Personvernregler for norske bedrifter: En praktisk sjekkliste

Personvernreglene er fellesbetegnelsen for reglene som styrer hvordan bedrifter samler inn, lagrer og bruker personopplysninger. I Norge håndheves reglene av Datatilsynet.

Personopplysninger er alt som kan knyttes til en enkeltperson: navn, e-postadresse, telefonnummer, IP-adresse, kundenummer og lignende. Hvis bedriften din har en kundeliste, et kontaktskjema på nettsiden, et nyhetsbrev eller ansattregistre, behandler du personopplysninger.

Reglene gjelder uansett bedriftens størrelse. En frisørsalong med kundeoversikt i et regneark har de samme grunnleggende pliktene som et stort selskap — bare i mindre skala. Kravene er proporsjonale, men ingen er unntatt.

Gå gjennom disse punktene. Hvert punkt du kan svare ja på betyr at du er nærmere å følge reglene. Hvert nei er noe du bør fikse.

1. Du vet hvilke personopplysninger du samler inn. Lag en oversikt over alle personopplysninger bedriften behandler — kundelister, ansattdata, skjemainnsamlinger, nyhetsbrevlister og lignende. Denne oversikten kalles behandlingsprotokoll og er pålagt for de fleste bedrifter.

2. Du har et rettslig grunnlag for behandlingen. For hver type personopplysning du samler inn, må du ha en lovlig grunn. De vanligste grunnlagene er samtykke (kunden har sagt ja), avtale (du trenger opplysningene for å levere en tjeneste) eller berettiget interesse (du har en god grunn som ikke overkjører personens rettigheter).

3. Du har en personvernerklæring på nettsiden. Alle nettsider som samler inn personopplysninger — gjennom kontaktskjema, informasjonskapsler eller analyseverktøy — må ha en personvernerklæring. Den skal forklare hva du samler inn, hvorfor, og hvilke rettigheter brukerne har.

4. Du kan slette opplysninger på forespørsel. Alle har rett til å be om at personopplysningene sine slettes. Du må ha en prosedyre for å håndtere slike forespørsler innen 30 dager.

5. Du har rutiner for databrudd. Hvis personopplysninger kommer på avveie — for eksempel gjennom et dataangrep eller en feilsendt e-post — har du plikt til å varsle Datatilsynet innen 72 timer. Ha en enkel plan for hvem som gjør hva.

6. Ansatte vet hvordan de skal håndtere personopplysninger. Alle som jobber med personopplysninger bør vite hva de kan og ikke kan gjøre. En kort opplæring ved ansettelse er tilstrekkelig for de fleste bedrifter.

En behandlingsprotokoll er en oversikt over alle personopplysninger bedriften behandler. Den trenger ikke være avansert — et regneark er nok.

For hver type behandling, noter:

• Hva: Hvilke opplysninger samles inn (navn, e-post, telefon, adresse osv.).
• Hvorfor: Formålet med behandlingen (kundeoppfølging, fakturering, markedsføring).
• Grunnlag: Hvilket rettslig grunnlag du bruker (samtykke, avtale, berettiget interesse).
• Hvem: Hvem som har tilgang til opplysningene.
• Hvor lenge: Hvor lenge opplysningene lagres.
• Sikkerhet: Hvordan opplysningene beskyttes.

Tenk deg et lite konsulentselskap. Behandlingsprotokollen deres kan ha tre rader: kundedata i kundesystemet (grunnlag: avtale, slettes to år etter avsluttet prosjekt), ansattdata i personalsystemet (grunnlag: lovkrav, slettes etter arbeidsforholdet), og nyhetsbrevliste i e-postverktøyet (grunnlag: samtykke, slettes ved avmelding). Det trenger ikke være mer komplisert enn dette.

Personvernerklæringen på nettsiden din skal være skrevet i et klart og forståelig språk. Unngå juridisk sjargong — den skal forstås av en vanlig person.

Den bør inneholde:

• Hvem som er ansvarlig for behandlingen (bedriftens navn og kontaktinformasjon).
• Hvilke personopplysninger du samler inn og hvorfor.
• Hvilket rettslig grunnlag du bruker.
• Hvem opplysningene eventuelt deles med (for eksempel regnskapsfører, skytjenester).
• Hvor lenge opplysningene lagres.
• Hvilke rettigheter brukerne har (innsyn, sletting, retting, klagerett til Datatilsynet).
• Informasjon om bruk av informasjonskapsler hvis nettsiden bruker slike.

Datatilsynet har maler og veiledninger på nettsidene sine som gjør det enkelt å lage en personvernerklæring. Du trenger ikke en advokat for dette — en time med Datatilsynets mal er nok for de fleste bedrifter.

Samler inn mer enn du trenger. Spør deg selv: Trenger vi virkelig denne opplysningen? Hvis svaret er nei, ikke samle den inn. Jo mindre du lagrer, jo enklere er det å overholde reglene — og jo mindre skade kan et eventuelt databrudd gjøre.

Ingen sletteprosedyre. Mange bedrifter samler inn data i årevis uten å slette noe. Gamle kundelister, utdaterte kontaktskjema og tidligere ansattes opplysninger hoper seg opp. Sett opp en årlig gjennomgang der du sletter det du ikke lenger trenger.

Uklart samtykke. Hvis du bruker samtykke som grunnlag — for eksempel for nyhetsbrev — må samtykket være aktivt. En forhåndsavkrysset boks er ikke gyldig samtykke. Brukeren må selv krysse av eller klikke for å godta.

Glemmer underleverandører. Bruker du nettbaserte tjenester som behandler kundedata — kundesystem, e-postverktøy, analyseverktøy — er du ansvarlig for at disse leverandørene også følger personvernreglene. Sjekk at de har en databehandleravtale — en skriftlig avtale som forplikter leverandøren til å behandle opplysningene etter reglene. De fleste seriøse tjenester tilbyr dette.

Tror det ikke gjelder deg. Den vanligste feilen er å anta at reglene ikke gjelder for små bedrifter. Det gjør de.

Datatilsynet kan gi advarsler, pålegg og bøter. Bøtene kan i teorien være svært store — opp til 20 millioner euro for de alvorligste bruddene. I praksis er bøtene til norske små bedrifter mye lavere, men de kan likevel være smertefulle.

Viktigere enn bøtene er tilliten. Kunder og samarbeidspartnere forventer at du behandler opplysningene deres forsvarlig. Et brudd på personvernreglene — spesielt hvis det blir offentlig kjent — kan skade omdømmet mer enn boten.

Den gode nyheten er at Datatilsynet i første omgang gir veiledning og advarsler. Hvis du viser at du tar personvern på alvor og jobber med å rette opp mangler, er tilsynet løsningsorientert. Det verste du kan gjøre er å ignorere det helt.