Personvernforordningen (GDPR) er en ny EU-forordning som trådte i kraft 25 mai 2018 og erstatter den tidligere personopplysningsloven (POL). Alle bedrifter og organisasjoner som håndterer personopplysninger omfattes av GDPR.

Nedenfor følger en forklaring på deler av GDPR, samt en sjekkliste for å komme i gang med tilpasninger.

Hvem er ansvarlig for kundenes personopplysninger?

Holmquistsign er personopplysningsansvarlig for håndtering av våre kunders personopplysninger – hvordan de lagres, hvor lenge de lagres, hva de brukes til og hvordan de beskyttes fra datainnbrudd. Tar vi ikke dette ansvaret kan bedriften måtte betale en bot.

Les vår Personvernspolicy her.

Hva er en personopplysning?

En personopplysning er en opplysning som kan identifisere en fysisk, nålevende person. Hva er et personregister? Alle registre hvor det finnes minst to opplysninger om en person klassifiseres som et personregister, uansett om det er et papir i en perm, en excelfil eller en e-post. Registre som bare inneholder én personopplysning, men som kombineres med andre registre med ytterligere opplysninger om samme person, klassifiseres også som et personregister.

Utvidede rettigheter for de som eier personopplysningene vi behandler

GDPR ble til for å styrke individers personvern. Det som skiller GDPR fra POL er først og fremst at hver person skal ha bedre innblikk i hvordan deres opplysninger behandles, og ha kontroll over sine egne opplysninger.

Rett til informasjon

Kunden har rett til å få informasjon når hans eller hennes personopplysninger behandles. Blant annet skal man få kontaktopplysninger til den personopplysningsansvarlige, informasjon om den lovlige grunnen for behandlingen og formålet med behandlingen.

Den personopplysningsansvarlige skal gi informasjon både når opplysningene samles inn og når kunden ellers ber om det. Det finnes også noen tilfeller hvor spesiell informasjon skal gis til kunden – for eksempel hvis det skjer et datainnbrudd eller lignende (en personopplysningshendelse) og det er en risiko for identitetstyveri eller bedrageri.

Rett til korrigering

Det er vårt, Holmquistsigns, ansvar som personopplysningsansvarlig at personopplysninger er korrekte. Om det ikke er tilfellet har kunden rett til å få sine opplysninger korrigert. Kunden har rett til å kontakte Holmquistsign, på info@holmquistsign.se, for å få sine opplysninger korrigert. Kunden har også rett til å få vite hvem som kan ha mottatt feilaktige opplysninger.

Rett til å bli glemt

På kundens forespørsel har vedkommende rett til å få samtlige personopplysninger helt eller delvis slettet. Vi som personopplysningsansvarlige er da ansvarlige for å imøtekomme dette, og informere andre som har behandlet opplysningene om at de må gjøre det samme.

Om det finnes en annen lov som krever at opplysningene lagres, kan disse opplysningene ikke slettes. Det kan forekomme en interessekonflikt da organisasjonen fortsatt ikke kan lagre opplysninger uten personens samtykke. For eksempel om noen er ekskludert, og vil bli glemt, men organisasjonen trenger opplysninger for at personen ikke skal kunne komme tilbake igjen som kunde.

Dersom kunden vil bli helt glemt er det ikke lenger mulig å kjøpe produkter av Holmquistsign, fordi vi ikke lenger kan administrere kundeopplysninger.

Rett til dataportabilitet

Kunden har rett til å få sine opplysninger flyttet, f.eks. til en annen bedrift. Det gjelder bare de opplysningene som kunden selv har lagt igjen, og som omfattes av den avtalen eller samtykket som vi og kunden er enige om. Opplysningene skal da gjøres tilgjengelig i en fil i digital form som kan leses av vanlige systemer, for eksempel XML.

Rett til å hente ut sine behandlede opplysninger

Kunden har rett til å kostnadsfritt, én gang i året, få et utdrag av all behandling av sine personopplysninger. Det gjelder både digitale og analoge registre. Informasjonen skal presenteres i en lett tilgjengelig, skriftlig form og med et tydelig og enkelt språk.

Rett til å komme med innvendinger

Kunden har rett til å komme med innvendinger om hvordan vi har behandlet vedkommendes personopplysninger. Som personopplysningsansvarlig er vi da ansvarlige for å kunne bevise at vi har behandlet personopplysninger etter den avtalen eller samtykket vi er enige om. Om kunden kommer med innvendinger mot bruk til direkte markedsføring kan ikke Holmquistsign bruke kundens opplysninger til dette formålet.

Rett til å klage

En kunde som mener vi har sviktet i vår behandling av personopplysninger har rett til å levere en klage til Datatilsynet. Dette er vi ansvarlige for å informere kundene våre om. Dersom klagen «vinner frem» kan Datatilsynet beslutte at Holmquistsign skal betale erstatning.

Les nøye gjennom mer informasjon om personers rettigheter på Datatilsynets hjemmeside.

Sjekkliste for å begynne tilpasning til GDPR

Datatilsynet har laget et godt underlag som forenkler forberedelsene. Den finner du på datatilsynet.no.

For å gjøre det enda enklere har Holmquistsign laget en egen sjekkliste:

1) Søk informasjon

datatilsynet.no finnes det mye informasjon om den nye forordningen

2) Utnevn en ansvarlig

Holmquistsign har utnevnt en person som er ansvarlig for å sette seg inn i spørsmålene og begynne å lese. Ansvarlig for GDPR er: Malin Denbow.

3) Se gjennom hvilke personopplysninger vi lagrer, og til hvilke formål

Behandling av personopplysninger skal skje på en lovlig, korrekt og åpen måte. For å oppnå det skal vi kun lagre de personopplysningene som er nødvendige for å kunne drive virksomheten.

Vår målsetting er ikke å lagre flere opplysninger enn vi trenger.

4) Se over sikkerheten

Vi skal minimere risikoen for at kunders personopplysninger lekker ut. Dette gjør vi best ved å skape rutiner for hvem som får håndtere og lagre registre, og på hvilken måte de lagres. Vi skal sørge for at personopplysninger ikke lagres på personers egne datamaskiner, eller andre steder hvor de lett lekker ut. Det beste er om opplysningene ligger beskyttet bak skikkelige brannmurer.

I GDPR er det rapporteringsansvar ved datainnbrudd. Skulle personopplysninger lekkes, f.eks. om noen mister datamaskinen eller telefonen sin hvor personregisteret er lagret, eller noen hacker seg inn på hjemmesiden deres, har vi 72 timer på oss fra det oppdages til å rapportere det til https://www.datatilsynet.no/. Det kan også bli aktuelt å informere den rammende – dvs. kunden.

5) Skriv tredjepartsavtale

Alle eksterne parter som vi deler vårt personregister med er våre tredjeparter, som vi skal skrive en tredjepartsavtale med.

6) Personopplysninger i ustrukturert materiale

Alle personopplysninger som forekommer i f.eks. e-post, protokoll, brev og på hjemmesiden – såkalt ustrukturert materiale – omfattes også av GDPR. Slik har det ikke vært tidligere. Det betyr at vi må undersøke at publisering av personopplysninger i ustrukturert materiale har rettslig støtte, at vi lager rutiner for hvordan vi avpersonifiserer opplysninger i protokoll og at vi informerer de registrerte (kundene) på en korrekt måte.

7) Informer om hvordan dere håndterer kundenes personopplysninger

Det siste, og kanskje viktigste punktet, er å gi tydelig informasjon til kundene angående hvordan vi på Holmquistsign håndterer personopplysninger, og at vi forklarer ordentlig hvorfor og hvordan behandlingen av opplysningene skjer.

Spørsmål om GDPR

Har du spørsmål om GDPR, kontakt: Malin Denbow: malin@holmquistsign.se

Viktiga länkar

Vilkår

Dine kundeopplysninger er grunnlaget for at vi skal kunne være din leverandør. Vi lagrer dine personopplysninger for at du skal kunne være kunde hos oss.

Protokoll & arkivering

Beslutninger skal protokollføres og korrespondanse skal arkiveres internt i Holmquistsign.