Om Kontakt Tjenester Kurs Nettbutikk Fagblogg Global 🌎

Personvernerklæring GDPR: Trenger du egentlig det?

GDPR hva er en personvernerklæring

Hva er en personvernerklæring?

En personvernerklæring er en erklæring av en behandling av personopplysninger du gjør i bedriften din. Du erklærer (forklarer) hvordan du behandler personopplysninger i en gitt situasjon, for eksempel for å sende nyhetsbrev på e-post.

Behandlingen er «sende ut nyhetsbrev». Personopplysningen du behandler er e-postadresse. Du kan se et eksempel på en personvernerklæring i skjemaet for nyhetsbrev lenger ned.

PS: Hvis du vet at du må ha en personvernerklæring, og vil spare deg for (mye) tid, kan du investere i en kvalitetssikret mal her. Du kan være trygg på at du kjøper et kvalitetsprodukt.

I denne artikkelen skal vi gå gjennom alt du trenger å vite om personvernerklæringer; hvordan skrive en personvernerklæring, få til en enkel personvernerklæring og redusere risikoen for en GDPR-bot for mangel personvernerklæring, eller mangler i personvernerklæring.

Innholdsfortegnelse

  1. Er personvernerklæringer nødvendig for å bli GDPR-compliant?

  2. Ikke gjør disse tabbene (og unngå GDPR-bot)

  3. Hva må en personvernerklæring inneholde?

  4. 4 steg for GDPR-klar personvernerklæring

  5. Må du ha samtykke til personvernerklæringen? Trenger du en sjekkboks?

  6. Trenger du flere personvernerklæringer? Personvernerklæring for ansatte

  7. Må personvernerklæringen ligge på nettsiden?

  8. Hva er forskjellen på en personvernerklæring og en cookieerklæring?

  9. Kan du kopiere tekst fra nettet? Eller bruke en gratis mal?

Alle bedrifter plikter å følge GDPR (personvernforordningen) på samme måte som andre generelle lover for regnskap, skatt og markedsføring. Start GDPR-arbeidet ditt med denne guiden til GDPR for små bedrifter.

1. Er personvernerklæringer nødvendig for å bli GDPR-compliant?

Driver du en bedrift, da behandler du personopplysninger, og da plikter du å informere om hvordan du gjør denne behandlingen.

Kravet om «informasjon til registrerte», som det så fint heter, kan løses på flere måter, men en personvernerklæring på nettsiden er anbefalt av Datatilsynet og flere (les mer nedenfor).

Krav om personvernerklæringer er regulert direkte i GDPR artikkel 12-14, men også implisitt i artikkel 5 (personopplysninger skal behandles på en lovlig, rettferdig og åpen måte).

Datatilsynet skriver utfyllende om plikten din til å informere personer du behandler personopplysninger til, under Virksomhetens plikter: Informasjon og åpenhet.

Nedenfor forklarer jeg nøyaktig hva du trenger å gjøre for å få på plass en enkel personvernerklæring.

2. Ikke gjør disse tabbene (og unngå GDPR-bot)

Hvis du vil unngå heftige bøter på f.eks. 20 000 kroner, 167 000 kroner eller 320 000 kroner, bør du snarest skrive en personvernerklæring for hvordan du behandler personopplysninger i bedriften din. 🤯

Dette er bare et utvalg GDPR-bøter som nå drysser over Europa, og kun for mangler i personvernerklæringer på nettsider.

Derfor bør du ikke bruke en gratis personvernerklæring du fant på nettet, billige maler eller kopiere en personvernerklæring fra andre.

Unngå å bryte lov om opphavsrett  § 2 og få en kjip faktura på 5-10 000,- eks. mva. i posten.

Ikke gjør disse tabbene:

  • Du tror ikke at du trenger en personvernerklæring
  • Du har ikke sjekket om personvernerklæringen du har, har med alle lovpålagte punktene
  • Du tror at den generiske teksten du fant på nettet, fikk med en WordPress-plugin eller fra en leverandør (f.eks. nettsidebyrået), er god nok
  • Du tror at den billige malen til en femtilapp, er god nok
  • Du tror at du kan bruke malen slik den er, uten å tilpasse den til bedriften din
  • Du tror ikke at du samler inn personopplysninger på nettsiden din, og derfor ikke trenger en personvernerklæring
  • Du vet at du plikter å ha en, men tenker at det ikke er så viktig og at Datatilsynet uansett ikke kommer til å ta akkurat deg (tro igjen)

3. Hva må en personvernerklæring inneholde?

Personvernerklæringen din må inkludere informasjon om:

  • Hvem du er og kontaktinformasjonen din
  • Hvorfor du behandler personopplysningene (formål)
  • Hvilket rettslig grunnlag (behandlingsgrunnlag) du har for hver behandling («en behandling» kan være å sende ut nyhetsbrev eller å selge varer og tjenester)
  • Hvis du behandler personopplysninger på bakgrunn av (det rettslige grunnlaget) berettiget interesse, må du skrive i personvernerklæringen hva disse berettigede interessene er (du må spesifisere dem)
  • Hvem du deler personopplysningene med (mottakere)
  • Om du bruker databehandlere og/eller lagrer personopplysninger utenfor EU/EØS, og hvilke nødvendige garantier du har for slik overføring (lagring av personopplysninger utenfor EU/EØS anses som «overføring»)
  • Hvor lenge du skal behandle (ha, oppbevare) personopplysningene – når de skal slettes
  • (Alle) rettighetene til de du behandler personopplysninger til (innsyn, retting, sletting, begrensning, protestering mot behandlingen, dataportabilitet, å trekke tilbake et samtykke og at de kan klage deg inn til Datatilsynet, jfr. GDPR artikkel 15-22 og 77
  • Om behandlingen av personopplysningene er frivillig
  • Om du bruker automatiserte avgjørelser i behandlingen, inkludert profilering
  • Kontaktinformasjon til personvernombud (sjeldent aktuelt for en liten bedrift)

Hvis du behandler personopplysninger du ikke har fått direkte fra personene det gjelder, må du i tillegg gi informasjon om:

  • Kategoriene av personopplysninger (hvilke personopplysninger er det) - denne anbefaler jeg at du tar med uansett, pga. krav etter GDPR artikkel 15
  • Hvor du fikk personopplysningene fra (kilde)

Du plikter å gi denne informasjonen så snart om mulig etter at du har fått personopplysningene, og senest innen én måned.

Jeg anbefaler at du i tillegg beskriver hvilke GDPR-rutiner og interne sikkerhetstiltak du har, for å overholde GDPR generelt.

Hvis alt dette høres ganske uforståelig ut, bør du starte med å forstå de overordnede prinsippene i GDPR.

4. 4 steg for GDPR-klar personvernerklæring

Personvernerklæringen din skal beskrive hvordan du behandler (alle typer) personopplysninger i (hele) bedriften din.

Da må du først ha denne oversikten over og vite hva du behandler av personopplysninger.

Steg 1: Start med behandlingsprotokollen. Da blir det mye enklere å skrive personvernerklæringen, fordi du da har nøkkelinformasjonen som skal stå i den.

Steg 2: Skriv selve personvernerklæringen. Nå må du passe på at du får med alle lovpålagte punktene. Eller spar tid med en ferdig mal (men du må likevel tilpasse teksten helt til din egen bedrift).

Steg 3: Publiser personvernerklæringen på nettsiden din. Lag en ny, frittstående side og bruk gjerne en nettadresse som slutter med «/personvern». Da er den også enkel å huske, i tilfelle du trenger å henvise noen muntlig til hvor de finner denne informasjonen.

Steg 4: Legg inn lenke til personvernerklæringen i bunnteksten på nettstedet ditt så den vises på alle sidene. Legg også inn lenke i e-postsignaturen din og alle andre steder du bør informere om personvern.

Hvis du har ansatte, bør du i tillegg skrive egne personvernerklæringer for jobbsøkere og ansatte.

5. Må du ha samtykke til personvernerklæringen? Trenger du en sjekkboks?

Nei.

En personvernerklæring er kun informasjon til de du behandler personopplysninger til.

Det er ikke en formell kontrakt de skal signere eller godkjenne. Formålet er å informere om hvordan du behandler personopplysninger i bedriften din, så folk har muligheten til å gjøre seg kjent med det før de f.eks. kjøper noe fra deg.

Mange ber fortsatt om samtykke til personvernerklæringer, og det blir helt feil.

Et samtykke etter GDPR kan trekkes tilbake, og hva gjør du hvis en eksisterende kunde plutselig ikke lenger samtykker til behandlingen, og det er to år igjen av kontrakten? Det gir ingen mening.

All behandling av personopplysninger krever et rettslig grunnlag (behandlingsgrunnlag) etter GDPR artikkel 6. Behandling av personopplysninger i et kundeforhold baseres ofte på artikkel 6-1-b; for å oppfylle avtalen (kontrakten) dere har. Du trenger da kun å informere om personvern i tillegg.

Du trenger altså ikke en egen boks folk må huke av i for å godkjenne personvernerklæringen din.

Det holder at du gir tydelig informasjon om hva behandlingen gjelder, og lenker til den fullstendige personvernerklæringen.

6. Trenger du flere personvernerklæringer? Personvernerklæring for ansatte

Plikt om personvernerklæring inkluderer ikke bare personopplysninger du samler på nettsiden din. En personvernerklæring skal informere om all behandling du gjør, i hele bedriften.

Du trenger minst én personvernerklæring, og minst én bør ligge på nettsiden din.

En generell personvernerklæring bør inkludere behandling av personopplysninger for generell korrespondanse på e-post, telefon og i andre kanaler, for potensielle kunder (leads), eksisterende kunder, leverandører, samarbeidspartnere, besøkende på nettsiden osv.

Her må du selv vurdere hva som gjelder for deg. En skole har studenter, en forening har medlemmer, et legekontor har pasienter og en coach har coachees. Disse kalles «kategorier av registrerte» i GDPR, og er grupper av personer du behandler personopplysninger til.

Hvis du er lege, har du altså andre "kategorier av registrerte" enn en som driver med nettmarkedsføring, eller er frisør.

Og snekkere, advokater, webdesignere, coacher og personlig trenere behandler ulike typer personopplysninger, i forskjellige systemer, basert på ulike rettslige grunnlag og formål, og har ulike kriterier for lagring og sletting.

Hver enkelt bedrift må derfor ha sin egen personvernerklæring, som beskriver (i detalj) hvordan akkurat denne bedriften behandler personopplysninger hos seg.

Personvernerklæring for jobbsøkere og ansatte

Du bør vurdere å lage flere personvernerklæringer hvis du har ansatte. Da anbefaler jeg at du skriver én personvernerklæring for jobbsøkere og én for ansatte.

Personvernerklæringen for ansatte trenger ikke å ligge åpent på nettsiden, den kan du fint bare distribuere internt. Legg den som vedlegg til ansattkontrakten og ha gode rutiner for å informere nyansatte.

Personvernerklæring til rekrutteringsprosessen bør du ha på nettsiden din, så du (og eventuelt rekrutteringsbyråer) kan lenke direkte til denne i stillingsannonser og i dialog med potensielle kandidater. Hvis noen tar direkte kontakt på e-post, bør du lenke til denne i svaret ditt.

Og hvis du vil ha et ferdig malverk å ta utgangspunkt i, finner du det her.

7. Må personvernerklæringen ligge på nettsiden?

Datatilsynet anbefaler at all informasjon om behandling av personopplysninger er tilgjengelig på ett sted.

Hvis du selger på nett forventer de at informasjon om behandling av personopplysninger også er "tilgjengelig digitalt" (altså, på nettsiden din).

Det er flere fordeler av å ha personvernerklæringen din på ett sted, og åpent tilgjengelig på nettsiden din:

  • Potensielle kunder og samarbeidspartnere som undersøker mulige leverandører, kan umiddelbart se at du tar personvern på alvor
  • Og du unngår tapt salg for de som ikke tar kontakt fordi du mangler en personvernerklæring på nettsiden
  • Du kan enkelt henvise kunder, samarbeidspartnere og andre til den for de fleste spørsmål rundt hvordan du håndterer personvern i bedriften din
  • Og kanskje de går rett dit neste gang de har noen spørsmål, så du unngår unødvendige supporthenvendelser
  • Datatilsynet, ved et tilsyn eller klage på deg, kan se raskt at du i alle fall tilfredsstiller ett sentralt punkt i loven (og ved et tilsyn tar de ofte kopi av personvernerklæringen – før de kontakter deg)
  • Og det er veldig praktisk! 👇

For hvis du har personvernerklæringen på nettsiden din, kan du enkelt lenke til den i bunnteksten og på alle skjemaer du har på nettsiden, fra e-postsignaturen, i kontrakter, og henvise til den muntlig.

Og hver gang du endrer på noe i personvernerklæringen, trenger du kun å oppdatere ett sted.

Legg inn lenke til personvernerklæringen i bunnteksten og på skjemaer

Sikre at personvernerklæringen vises i bunnteksten på nettsiden din, for da vises den på alle sidene, uansett hvilken side folk klikker seg inn på.

I tillegg bør du legge inn en lenke på alle skjemaer du har, f.eks. for kontakt, nyhetsbrev eller «freebies» (om du har en nedlastbar PDF eller et minikurs for å bygge e-postliste).

Ta for eksempel dette påmeldingsskjemaet; der ser du at jeg lenker til personvernerklæringen, så alle potensielle abonnenter får enkel og umiddelbar tilgang til informasjonen jeg er pliktig å gi dem:

Men, skjemaet i seg selv viser deg også et eksempel på en personvernerklæring.

Jeg informerer om formålet (du får nyttige e-brev), når du kan forvente e-brev (1-2 ganger i måneden) og at du kan trekke samtykket ditt tilbake (meld deg av). Det er tydelig frivillig og jeg lenker til den fullstendige personvernerklæringen.

Gå gjennom nettsiden din og sjekk at du har alt dette på plass.

PS: Her ser du at jeg ikke bruker en avkrysningsboks for samtykke til personvernerklæringen. Det trenger jeg ikke, og det gjør heller ikke du.

Nettsiden min samler ikke inn personopplysninger, trenger jeg en personvernerklæring da?

Mange tenker at de ikke samler inn personopplysninger på nettsiden sin, kanskje fordi de ikke har et kontaktskjema. Men det er stor sannsynlighet for at du gjør det likevel.

Svært mange cookies (informasjonskapsler) samler f.eks. inn IP-adresser, som i GDPR er definert som personopplysninger.

Og i tillegg til en personvernerklæring, trenger du også en cookieerklæring på nettsiden din.

Eksempel på personopplysninger som samles på nettsider:

  • Alle typer plugins for WordPress, f.eks. for å hindre spam (som Akismet) eller for sikkerhet (som Wordfence)
  • Kontaktskjemaer (som Gravity Forms eller Ninja Forms i WordPress)
  • Kommentarfelt som Disqus (frarådes pga. alvorlige GDPR-brudd, jfr. saken hos NRK Beta) eller Facebook-kommentarer som kodes/legges inn
  • Påmeldingsskjemaer til nyhetsbrev, f.eks. fra MailChimp, ConvertKit eller Kajabi
  • Skjema for å samle e-postadresser / bygge e-postlister, som også kan lages med MailChimp eller Kajabi
  • Nettbutikker som WooCommerce
  • Betalingsløsninger som PayPal, Stripe og Vipps
  • Like- og/eller delingsknapper for sosiale medier
  • Analyseverktøy som Google Analytics og Hotjar (og da kan du bruke et personvennlig alternativ som Fathom Analytics)
  • Sporingspiksler som Facebook-piksel eller fra CRM-systemer som Hubspot
  • Administrasjonsverktøy for alt av sporingskoder, som Google Tag Manager
  • Kommunikasjonsverktøy som Messenger Chat, Zendesk eller Freshdesk

Hvis du er 100% sikker på at nettsiden din ikke samler personopplysninger i noen form, da trenger du i alle fall ikke en personvernerklæring for besøkende på nettsiden.

Men, du må fortsatt lage en personvernerklæring for behandling av personopplysninger i bedriften din.

Du bør også vurdere om du burde publisere personvernerklæringen på nettsiden, fordi det er anbefalt av Datatilsynet.

8. Hva er forskjellen på en personvernerklæring og en cookieerklæring?

En personvernerklæring skal forklare hvordan du behandler personopplysninger i hele bedriften din, uansett om det er på nettsiden, i e-post, regnskapssystemet, nettbutikken eller for ansatte.

En cookieerklæring, også kalt cookie policy, cookie notice eller cookiedeklarasjon, er informasjon om hvilke cookies, på norsk informasjonskapsler, vi bruker på nettsider.

Cookies gjelder altså bare for informasjon direkte knyttet til nettstedet ditt.

Cookies er regulert i en egen lov i Norge; Lov om elektronisk kommunikasjon (ekomloven), som Nasjonal kommunikasjonsmyndighet fører tilsyn med. Se spesielt «cookieparagrafen» §2-7b.

Les alt om cookies her, inkludert hvordan du informerer om dem og eventuelt om du må be om samtykke til bruk av cookies. Du bør også sette deg godt inn i alle GDPR-krav for nettsider.

Hvorfor en personvernerklæring på nettsiden kan anses som et "krav"

Det europeiske personvernrådet* skrev i sine retningslinjer for åpenhet/transparens (dokument WP260):

Every organisation that maintains a website should publish a privacy statement/ notice on the website. A direct link to this privacy  notice should be clearly visible on each page of this website (…) WP29 recommends as a best practice that at the point of collection of the personal data in an online context a link to the privacy statement/ notice is provided or that this information is made available on the same page on which the personal data is collected.

I tråd med disse retningslinjene, bør dermed en personvernerklæring ligge på nettsiden din.

* Tidligere Article 29 Working Party («WP29») besto av representanter fra alle datatilsynene i EU og ga råd til EU-kommisjonen i personvernspørsmål fra 1996 til 2018. Selv om WP29 kun var rådgivende, ligger arbeidet i stor grad til grunn for fortolkninger av GDPR.

9. Kan du kopiere tekst fra nettet? Eller bruke en gratis mal?

Du kan fint skrive en personvernerklæring selv. Sørg for at du har med alle punktene etter GDPR artikkel 12-14 (jfr. del 3 over) og at du formulerer teksten i tråd med artikkel 5.

Denne artikkelen bør også ha gitt deg god informasjon til hva du bør ha med og hvor du bør dele den.

Spørsmålet du heller bør stille deg, er om du bør bruke tid på å skrive en personvernerklæring på egen hånd. Det tar fort 5-6 timer (og forutsetter at du da vet hva den skal inneholde).

Hvis du ikke engang har et org.nr. og/eller driver kun på hobbybasis, ville jeg ikke brukt så mye penger på GDPR eller andre formelle plikter. Dette må du vurdere selv.

Hvis du vet at du må ha en personvernerklæring, men ikke om bedriften din er levedyktig, eller kanskje du rett og slett har et ekstremt stramt budsjett, da bør du gjøre jobben selv.

Men gjør den. Ikke minst for å redusere risikoen for en kjip GDPR-bot.

I alle andre tilfeller anbefaler jeg at du investerer i en mal for personvernerklæring du vet er god nok etter GDPR-reglene. Min mal er grundig utarbeidet og kvalitetssikret av meg. Du får også med videoinstrukser som viser deg hvordan du fyller den ut, steg for steg.

Kan jeg bruke en gratis personvernerklæring?

Ja, det er ingenting i veien for at du bruker en gratis mal for personvernerklæring, så lenge du er helt sikker på at ingen har opphavsrett til teksten. (Helt sikker!)

I tillegg må du tilpasse personvernerklæringen til deg og din bedrift. Sikre at du har med alle punktene etter GDPR artikkel 12-14 og at du formulerer teksten i tråd med artikkel 5.

Kan jeg kopiere en personvernerklæring jeg finner på nettet?

Det vil jeg på det sterkeste fraråde deg å gjøre.

For det første vet du kanskje ikke hvem som, om noen, eier opphavsretten til teksten. Tekst er like beskyttet av åndsverkloven § 2, som bilder, lyd og video.

Du risikerer å få brev fra noens advokat, med et fakturakrav på mange tusen kroner. Typiske saker som dette som har gått til Forliksrådet, ender med at de som har «lånt» tekst eller bilder, plikter å gjøre opp for seg.

Terskelen for når noe anses som kopi, er lav. Det hjelper ikke at du skriver noe "for hånd", endrer på et ord her og der og/eller rekkefølgen av tekst. Du kan ikke kopiere store deler av noen tekst, uansett.

Hvis du vil finne en gratis personvernerklæring du kan bruke, sørg for at du vet 100% sikkert at vedkommende som deler den, faktisk har lov til å gjøre det.

For det nytter ikke å skylde på andre verken til advokater eller Forliksrådet.

Tenk også på om det er verdt det. Du kan kjøpe en GDPR-klar mal for personvernerklæring for en liten investering. Vei det opp mot risikoen for et krav på 5-10 000,- (eks. mva.) og omdømmesvikt.