GDPR-registrerte dokumenter
Personvernerklæring er et obligatorisk GDPR-relatert dokument
En personvernerklæring er et obligatorisk GDPR-relatert dokument som skal utarbeides av selskapet for å informere de registrerte om selskapets behandling av personopplysninger.
Hva en personvernerklæring er for noe
En personvernerklæring er et obligatorisk DPR-relatert dokument og det vanligste DPR-relaterte dokumentet som selskaper har. Den informerer de registrerte om behandlingen av deres personopplysninger.
For eksempel det juridiske grunnlaget for behandlingen, formålet med behandlingen, rettighetene til de registrerte, kontaktinformasjonen til selskapet og dets databeskyttelsesansvarlig (hvis noen), den nasjonale databeskyttelsesmyndigheten, etc. Innholdet i en personvernmelding er regulert i artikkel 13 i GDPR og artikkel 14 i GDPR. Det er viktig at minimumskravene er oppfylt.
Bedrifter må informere de registrerte om behandlingen
De registrerte har rett til å motta informasjon om behandlingen av deres personopplysninger. Dette gjelder både før behandlingen starter og under behandlingen dersom den registrerte ber om det. I tillegg krever GDPR at selskaper skal være åpne om alle sine behandlingsaktiviteter for personopplysninger. Dette gjøres vanligvis av selskapet som beskriver behandlingsoperasjonene i en personvernerklæring som presenteres for de registrerte. I samsvar med artikkel 13 skal opplysningene om behandlingen gis til den registrerte på det tidspunktet personopplysningene innhentes eller samles inn. En personvernerklæring er et obligatorisk GDPR-relatert dokument.
Hva er forskjellen mellom en personvernerklæring og en personvernerklæring
Mange forveksler en personvernerklæring med en personvernerklæring. Her er hovedforskjellen mellom en personvernpolicy og en personvernerklæring:
Retningslinjer for personvern
En policy er et internt policydokument, ofte produsert av styret eller ledelsen, inkludert en personvernpolicy. Politikken handler om hvordan selskapet skal jobbe med databeskyttelse og er adressert til ansatte.
Personvernerklæring
En personvernerklæring er et eksternt dokument som informerer de registrerte om hvordan selskapet behandler personopplysningene deres. En personvernerklæring er et obligatorisk GDPR-relatert dokument som bør publiseres på selskapets nettsted, samt lenkes til på slutten av e-postene som sendes av selskapet.
Mange bedrifter glemmer å gi informasjon om behandlingen i kontaktskjemaer på nettstedet
Det er vanlig for bedrifter å ha kontaktskjemaer på deres hjemmeside som besøkende kan bruke til å stille spørsmål eller bestille tjenester / produkter fra selskapet. Ofte må den besøkende fylle ut hans / hennes kontaktinformasjon for at selskapet skal kunne svare på meldingen. Som et resultat behandler selskapet personopplysninger ved mottak av forespørselen via kontaktskjemaet. En vanlig feil mange bedrifter gjør er å ikke gi informasjon om behandlingen i forbindelse med kontaktskjemaet, før innsamlingen av personopplysningene finner sted. Dette kan for eksempel gjøres ved å lenke til selskapets personvernerklæring i kontaktskjemaet, før «send»-knappen i kontaktskjemaet.
Dersom de registrerte er barn
Hvis et selskap behandler personopplysninger om barn, er reglene strengere enn om de var av alder. Dette betyr blant annet at språket i en personvernerklæring skal være forståelig for barn. I tillegg må det være utarbeidet på nasjonalt språk og være relativt kortfattet med enkle setninger å lese og forstå.
Et stort selskap måtte betale en bot fordi språket i personvernerklæringen var på engelsk
I Nederland måtte et stort internasjonalt selskap betale en bot for blant annet å utarbeide sin personvernerklæring på engelsk. Selskapet har mange barn som brukere, og derfor bør personvernerklæringen for de registrerte (barna) ha vært på nederlandsk. Boten var på 750 000 euro.
Eksempler på innhold som en personvernerklæring bør ha
Behandlingsansvarlig (artikkel 13 (1) (a-b) GDPR)
Personvernerklæringen skal inneholde identiteten til den behandlingsansvarlige (registreringsnummer, navn), kontaktinformasjonen til den behandlingsansvarlige i selskapet og databeskyttelsesansvarlig (DPO), hvis noen.
Formålet med behandlingen (artikkel 13 (1) (c) GDPR)
Enhver behandling av personopplysninger må tjene et formål. Med andre ord, et formål. Den må være klar og spesifikk. For eksempel «tjenesteyting». Vær oppmerksom på at behandling av personopplysninger ikke er tillatt fordi «det kan være nyttig for fremtiden».
Rettslig grunnlag Formål (artikkel 13 (1) (c) GDPR)
Det rettslige grunnlaget for hver behandling skal angis. I henhold til artikkel 6 nr. 1 bokstav b) i GDPR brukes for eksempel «datasubjektkontrakt» når kunder kjøper en tjeneste fra selskapet, og selskapet behandler kundens personopplysninger for å levere tjenesten og utføre kontrakten. Videre, i henhold til artikkel 6 (1) (a) GDPR, kan "samtykke" brukes som et juridisk grunnlag for å behandle personopplysninger for statistiske formål gjennom informasjonskapsler på nettstedet, etc. Merk at ved samtykke må personvernerklæringen i henhold til artikkel 13 (2) (c) GDPR inneholde informasjon som den registrerte kan trekke tilbake samtykket når som helst.
Vennligst spesifiser den legitime interessen (artikkel 13 (1) (d) GDPR)
Dersom et selskap bruker det rettslige grunnlaget «berettiget interesse» i henhold til artikkel 6 nr. 1 bokstav f) i personvernforordningen, skal personvernerklæringen også angi den berettigede interessen. I slike tilfeller bør det også tas med en henvisning til den registrertes rett til å be om å få se interesseavveiningen gjennomført og dokumentert.
Mottakere av personopplysninger (artikkel 13 (1) (e) GDPR)
Det er viktig å informere om personopplysningene vil bli delt med en tredjepart, for eksempel en leverandør eller offentlig myndighet, eller selskaper i samme gruppe. Personvernerklæringene må inneholde informasjon om mottakerne eller kategoriene av mottakere av personopplysningene.
Overføring av personopplysninger (artikkel 13 (1) (f) GDPR)
Hvis selskapet har til hensikt å overføre personopplysningene til et tredjeland eller en internasjonal organisasjon, bør personvernerklæringen angi dette. Den skal også angi om Kommisjonen har truffet en beslutning om tilstrekkelighet eller ikke. Videre skal det angis en henvisning til de relevante sikkerhetstiltakene og hvordan en kopi av dem kan skaffes til veie.
Kategorier av personopplysninger (artikkel 14 nr. 1 bokstav d))
Hvis selskapet har mottatt personopplysningene fra noen andre enn den registrerte, må personvernerklæringen inneholde informasjon om kategoriene av personopplysninger som behandles. Noen personopplysninger er viktigere og mer sensitive enn andre. Det er nyttig å ha en omfattende liste over kategorier som selskapet behandler. For eksempel navn på kunder, økonomiske data som kredittkortnummer, sensitive personopplysninger som sykefravær fra ansatte, etc.
Opprinnelse (artikkel 14 nr. 2 bokstav f))
Dersom selskapet ikke mottar personopplysningene direkte fra den registrerte, skal det opplyses om hvordan de ble innhentet. Dette gjelder for eksempel offentlige registre.
Rettigheter (artikkel 13 (2) (b) GDPR)
Bedrifter må informere de registrerte om sine rettigheter. For eksempel retten til å protestere når det juridiske grunnlaget er legitim interesse, retten til å få sine personopplysninger rettet, slettet, etc.
Oppbevaringsperiode (artikkel 13 (2) (a) GDPR)
Selskaper kan ikke behandle personopplysninger på noe tidspunkt. De skal slettes eller anonymiseres når de ikke lenger er nødvendige for det formålet de ble samlet inn for. Oppbevaringsperioden skal videreformidles til de registrerte.
Klager til tilsynsmyndigheten (artikkel 13 (2) (d) GDPR)
Kontaktopplysningene til den nasjonale personvernmyndigheten som de registrerte kan sende inn klager til, skal inkluderes i personvernerklæringen.
Mer informasjon
Kontinuitetsplan
For å forberede selskapet og dets ansatte på en mulig krise, slik at de vet hvordan de skal handle i så fall, er det nyttig å etablere en forretningskontinuitetsplan. Med andre ord en plan for hvordan virksomheten vil oppføre seg ved en alvorlig forstyrrelse eller krise. I tillegg er det nyttig å etablere en katastrofegjenopprettingspolitikk, som er den tekniske delen av en forretningskontinuitetsplan. Å være forberedt på en krise og ha instruksjoner for ansatte, samt å teste og forbedre dem regelmessig, kan lette håndteringen av en krise og minimere konsekvensene.