Om Tjenester Butikk Kontakt Artikler Gratis minikurs Logg inn

GDPR: Trenger du egentlig en personvernerklæring?

gdpr Oct 09, 2018

Kjenner du deg igjen?

  • Du tror ikke at du trenger en personvernerklæring
  • Du er ikke klar over at det er et lovpålagt krav
  • Du tror ikke at du samler inn personopplysninger på nettsiden din
  • Du vet at du skal, men vet ikke hvor du skal begynne
  • Du vet at du skal, men tenker at det ikke er så viktig...

I denne artikkelen skal vi gå gjennom hvorfor du må ha en personvernerklæring for hele virksomheten din (ikke bare for nettsiden) og hvorfor den bør ligge på nettsiden din.

Aller først vil jeg understreke at du ikke har lov til å skrive av eller kopiere tekst fra andres personvernerklæringer. Det er brudd på lov om opphavsrett og du risikerer et skarpt brev fra noens advokat, sammen med en saftig faktura på 5-10 000,- eks. mva. (eller mer). Det spiller ingen rolle om du skriver det av ved å se på en tekst, eller om det er ren blåkopi. Sørg derfor for at du enten skriver hele teksten selv, eller (sparer deg for mange timers jobb og) investerer i en GDPR-godkjent mal for personvernerklæring.

6 gode grunner til å ha en personvernerklæring

For en stund siden påsto noen at det var "en del gråsoner" rundt det å ha personvernerklæring på nettsiden, altså at det var uklart om man trengte det, eller ikke. Det hadde de nemlig blitt fortalt.

Jeg kan forsikre deg om én ting: det er ingen gråsoner, eller noe som helst tvil, i dette tilfellet: driver du næringsvirksomhet, og har en nettside som samler personopplysninger (i en eller annen form), skal du informere besøkende på nettsiden din om hvordan du behandler personopplysningene deres.

Les også: Troverdige kilder du kan stole på i GDPR-arbeidet (og ikke)

Den første gode grunnen til å ha en personvernerklæring, er dermed at du er pliktig til det (og har vært det siden første personopplysningsloven kom i 2001). De øvrige grunnene er:

  • Datatilsynet har det på sjekklisten sin
  • Leverandører og samarbeidspartnere som tar GDPR på alvor, etterlyser den
  • Mange kunder vil vite hvordan du behandler personopplysningene deres
  • Hvis du har et nyhetsbrev eller andre e-postlister plikter du å gi de som melder seg på, informasjon om hvordan du behandler personopplysningene deres, når de melder seg på listen din
  • Det sparer deg for mye tid hvis du har personvernerklæringen på nettsiden din og enkelt kan lenke til den der

Så, det korte svaret på spørsmålet i tittelen; det er ja - du trenger en personvernerklæring.

GDPR gjelder for alle virksomheter

Driver du noen form for virksomhet, omfattes du faktisk av hele GDPR, og ikke bare krav til personvernerklæring. 

Men, når det gjelder personvernerklæringer isolert sett, er det særlig personvernforordningen artikkel 5, 12, 13, og kanskje også 14, som er relevant. Datatilsynet skriver utfyllende om plikten din til å informere personer du behandler personopplysninger til, på denne siden: Virksomhetens plikter: Informasjon og åpenhet

Merk også at plikten gjelder like fullt om du kun har andre bedrifter som kunder, altså driver "B2B" (business-to-business). For det er alltid en person som signerer en kontrakt, ergo du behandler personopplysninger.

Og slik informasjon gir du enklest i en personvernerklæring, som ligger permanent på siden din - noe også Datatilsynet og Personvernrådet anbefaler. Faktisk så er nettsiden en topp plass å ha personvernerklæringen på! 

Slik gir du riktig informasjon, til riktig tid

For det er ikke bare besøkende på nettsiden din du er pliktig å informere. Du plikter også å informere potensielle og eksisterende kunder, samarbeidspartnere, leverandører, medlemmer, pasienter, jobbsøkende, ansatte osv. Kort sagt - alle du behandler personopplysninger til.

Les også: GDPR på nettsider: dette plikter du å informere om

Fordelene ved å ha personvernerklæringen på nettsiden din (bortsett fra at Datatilsynet oppfordrer til det), er:

  • Du trenger kun å ha den liggende på én plass, og enkelt kan henvise kunder, samarbeidspartnere og eventuelt også ansatte dit
  • Alle du behandler personopplysninger til vet at informasjonen de skal ha, alltid ligger tilgjengelig på nettsiden din
  • Datatilsynet, ved et tilsyn eller klage på deg, kan se raskt at du i alle fall tilfredsstiller ett sentralt punkt i loven

En annen fordel ved å ha personvernerklæringen på nettsiden, er rett og slett at det er enkelt og praktisk. Du kan enkelt lenke til personvernerklæringen din i e-postsignaturen, kontrakter og på alle skjemaer på nettsiden din. Ta f.eks. dette påmeldingsskjemaet; der ser du at jeg lenker til personvernerklæringen, så alle potensielle abonnenter får enkel og umiddelbar tilgang til informasjonen jeg er pliktig å gi dem:

Og hver gang du endrer på noe i personvernerklæringen, trenger du kun å oppdatere ett sted.

PS: Mange tror også at de ikke samler inn personopplysninger på nettsiden sin. Det gjør du - nesten uten unntak! Svært mange cookies (informasjonskapsler) samler f.eks. inn IP-adresser, som i GDPR er definert som personopplysninger. Og alle steder folk kan sende inn skjemaer, behandler du personopplysninger.

Les også: Hva er cookies, og må du ha samtykke for å bruke dem?

Derfor må du skreddersy din egen personvernerklæring

Igjen, husk at du kan ikke kopiere noen andres personvernerklæring. Dette er så viktig at jeg sier det igjen: du kan ikke kopiere noen andres personvernerklæring!

For det første er det en kjip ting å gjøre, for de har kanskje brukt både mye tid, og penger, på å skrive sin egen personvernerklæring. Det er også trolig brudd på åndsverkloven § 2, og dermed ulovlig.

Terskelen for når noe anses som kopi, er lav. Det hjelper ikke at du skriver noe "for hånd", endrer på et ord her og der og/eller rekkefølgen av tekst. Du kan ikke kopiere store deler av noen tekst, uansett.

For det tredje skal en personvernerklæring skreddersys til din bedrift. Den skal opplyse om hvordan du behandler personopplysningene til "kategoriene av registrerte" som er relevant for din bedrift. Eksempler på slike kategorier er potensielle og eksisterende kunder, klienter, coachees, pasienter, medlemmer, ansatte osv.

Hvis du er lege, har du andre "kategorier av registrerte" enn en som driver med nettmarkedsføring, eller er frisør. Og snekkere, advokater, webdesignere, coacher og personlig trenere behandler ulike typer personopplysninger, i forskjellige systemer, basert på ulike rettslige grunnlag og formål, og har ulike kriterier for lagring og sletting.

Alt dette må du ta høyde for i personvernerklæringen din.

Les også: GDPR enkelt forklart for deg som driver en liten bedrift

Personvernerklæring på 1-2-3

Personvernerklæringen din skal forklare hvordan du behandler (alle typer) personopplysninger i din bedrift. Da må du først ha oversikt over hva du egentlig behandler (lagrer, registrerer, deler osv. - alt du gjør, aktivt eller passivt, med personopplysninger), i hele virksomheten din.

Steg 1 er derfor å starte med behandlingsprotokollen. Da blir det mye enklere å skrive personvernerklæringen, fordi du da har nøkkelinformasjonen som skal stå i den.

Steg 2 er å skrive selve personvernerklæringen. Nå må du passe på at du får med alle punktene som Datatilsynet har listet opp i veilederen sin. Du skal ha med informasjon om bedriften din, hvem som er behandlingsansvarlig, formål, rettslig grunnlag og ganske mye mer. Ta gjerne en titt på Datatilsynets personvernerklæring (selv om den fortsatt ikke er helt perfekt…!).

Steg 3 er å publisere personvernerklæringen på nettsiden din (gjerne under /personvern). Husk å legge lenken inn i bunnteksten, for da synes den på alle sidene på nettstedet ditt.

Invester i en kvalitetssikret mal for personvernerklæring

Vi småbedriftseiere har mange hatter, og er ofte både eier, daglig leder, markedsføringsansvarlig, HR-sjef, IT-ansvarlig, og, ikke minst, GDPR-ansvarlig. Da er det viktig at vi vet å prioritere tiden vår riktig, og er flinke til å delegere eller outsource.

Dessverre kan vi ikke outsource alt med GDPR eller bare kjøpe et system eller en plugin til nettsiden og tro at vi er "GDPR-klare" (de som sier at du kan det, tar feil). GDPR handler om mer enn dokumentasjon, cookies og Facebook piksel.

Vi har et ansvar for å vite hvordan vi behandler personopplysninger i vår egen virksomhet. Det er ikke noe vi kan be andre, utenforstående parter, om å gjøre.

Men, vi kan og bør få inn hjelp der det er fornuftig, slik at vi kan bruke tiden vår på det vi er gode på. Og det jeg brenner for i Bedre Bedrift, er å hjelpe andre småbedriftseiere, blant annet gjennom relevant innhold på denne nettsiden, nyhetsbrev, foredrag, webinarer og mer.

Jeg vet også at mye av det som andre kanskje hater å gjøre, som rutiner, prosesser, planer og compliance, er områder jeg digger å jobbe med. :)

Derfor har jeg laget en mal for personvernerklæring, som jeg vet er nyttig for deg. Når du kjøper den, får du ikke bare et dokument med masse rød tekst som skal byttes ut. Du får også videoinstrukser, som tar deg gjennom utfyllingen, steg for steg.

Jeg har brukt nærmere tusen timer på å studere, jobbe med og forenkle GDPR, og malen er skrevet ut fra innholdet i selve lovteksten og veiledningene til de britiske og norske datatilsynene. Du kan være trygg på at du kjøper et kvalitetsprodukt.

Bruk tiden din på å få ferdig behandlingsprotokollen. (Og hvis du helst vil bruke et absolutt minimum av tiden din på GDPR, invester i tjenesten GDPR S.O.S. Da er malen inkludert i prisen, og jeg fyller den ut for deg.)

Hvorfor en personvernerklæring på nettsiden kan anses som et "krav"

Article 29 Working Party var en gruppe bestående av representanter fra alle datatilsynene i EU, som ga råd til EU-kommisjonen i personvernspørsmål fra -96 til -18. Selv om "WP29"kun var rådgivende, ligger arbeidet i stor grad til grunn for fortolkninger av GDPR. Det er ikke så rart, med tanke på at det jo var datatilsynene selv som satt der, som i siste instans er ansvarlig for å håndheve lovverket i egne land.

I retningslinjer for åpenhet/transparens (dokument WP260), skriver WP29 følgende:

Every organisation that maintains a website should publish a privacy statement/ notice on the website. A direct link to this privacy statement/ notice should be clearly visible on each page of this website under a commonly used term (such as “Privacy”, “Privacy Policy” or “Data Protection Notice”). Og, videre: WP29 recommends as a best practice that at the point of collection of the personal data in an online context a link to the privacy statement/ notice is provided or that this information is made available on the same page on which the personal data is collected.

I tråd med disse retningslinjene, bør dermed en personvernerklæring ligge på nettsiden din.

PPS: 25. mai gikk WP29 over til å bli Det europeiske personvernråd. Det er fremdeles representanter fra datatilsynene som sitter i rådet. Norge er også medlem, men siden vi "kun" er et EØS-land har vi, som det meste i EU, ikke stemmerett.

Toppbilde av rawpixel fra Unsplash

Close

Nyhetsbrev sendes ut 1-2 ganger i måneden og inneholder noen ganger informasjon om mine produkter og tjenester. Jeg lover å ta godt vare på dataene dine og slette de på forespørsel, jfr. personvernerklæringen. Du kan enkelt melde deg av når som helst.