Bedre Bedrift AS

Kontakt Om meg Blogg Jobb med meg Gratis minikurs Logg inn

Trenger du egentlig en personvernerklæring?

gdpr Oct 09, 2018

Når det gjelder personvernerklæring, kjenner du deg igjen i en eller flere av disse påstandene?

  • Du tror ikke at du trenger en
  • Du er ikke klar over at det er et lovpålagt krav
  • Du tror ikke at du samler inn personopplysninger på nettsiden din
  • Du vet at du skal, men vet ikke hvor du skal begynne
  • Du vet at du skal, men tenker at det ikke er så viktig

Flere av påstandene henger sammen, og vi skal gå gjennom de her. (Og du, les helt til slutten, så får du med deg hvorfor du aldri bør kopiere noen andres personvernerklæring.)

Først og fremst, det står ikke uttrykkelig i personvernforordningen (GDPR) at "alle bedrifter skal ha en personvernerklæring på nettsidene sine". Men, at noe ikke står eksplisitt i en lovtekst, er ikke det samme som at det ikke er et krav. (Hvis du vil vite mer om resonnementet bak dette, les nederst.)

Ingen leser personvernerklæringer

Nei, kundene dine studerer nok fortsatt ikke personvernerklæringer - så hvorfor skal du gidde å bry deg?

Jo, det er fordi:

  1. Du med stor sannsynlighet skal ha en (du er pliktig til det)
  2. Datatilsynet har det på sjekklisten sin
  3. Leverandører og samarbeidspartnere som tar GDPR på alvor, gjør det
  4. Mange flere kunder gjør det nå, enn før, i kjølvannet av GDPR
  5. Og, hvis du fortsatt rekrutterer folk til e-postlisten din, uten å gi de all informasjonen de skal ha ved oppmelding, da er trolig disse samtykkene ugyldige (og når Datatilsynet da kommer på besøk, og du ikke kan dokumentere gyldig samtykke, må du kanskje slette hele listen din…)

Så, det korte svaret på spørsmålet i tittelen; det er ja. (Og dette er også svaret på det siste punktet i første avsnitt - dette er viktig!)

Du driver bedrift = du må forholde deg til GDPR

Driver du noen form for næringsvirksomhet, omfattes du faktisk av hele GDPR, og ikke bare krav til personvernerklæring.

Men, når det gjelder personvernerklæringer isolert sett, er det særlig personvernforordningen artikkel 51213, og kanskje også 14, som er relevant. Datatilsynet skriver utfyllende om plikten din til å informere personer du behandler personopplysninger til (ja, det inkluderer også B2B, altså om du kun har andre bedrifter som kunder!), på denne siden: Virksomhetens plikter: Informasjon og åpenhet.

Hvis du nå ikke leser artiklene jeg henviser til over her, skal jeg gjøre det enkelt for deg: ja, du trenger en personvernerklæring. Og denne bør du ha liggende på nettsiden din. (Nå.)

Føles alt dette overveldende? Det forstår jeg.

Jeg har brukt mange hundre timer (bare i år) på å sette meg grundig inn i GDPR. Så grundig at jeg har "tatt" Datatilsynet på flere feil, hører stadig amerikanske advokater si direkte feil ting på podcaster, og finner faktafeil i forskningsartikler om GDPR. Det sier jeg ikke for å skryte. Jeg sier det for å understreke at GDPR er et komplisert område, selv for ekspertene.

Er det uklart om du trenger personvernerklæring, eller ikke?

Det hjelper heller ikke på forståelsen at lover noen ganger kan tolkes på flere måter, spesielt når de er nye. Derfor er det ofte nødvendig med etablert rettspraksis, for å avgjøre hva som er den riktige tolkningen.  Det samme gjelder GDPR, og det er flere områder som ikke er krystallklare. Noe blir ikke klart før det har gått gjennom rettsapparatet (og blir "etablert rettspraksis"). Men, noen deler er ikke det.

For eksempel ble jeg nylig fortalt at det var "en del gråsoner" rundt det å ha personvernerklæring på nettsiden, altså at det var uklart om man trengte det, eller ikke.

Jeg kan forsikre deg om én ting: det er ingen gråsoner, eller noe som helst tvil, i dette tilfellet: driver du næringsvirksomhet, og har en nettside som samler personopplysninger (i en eller annen form), skal du informere besøkende på nettsiden din om hvordan du behandler personopplysningene deres. Og, det gjør du enklest i en personvernerklæring, som ligger permanent på siden din - noe også Datatilsynet og andre anbefaler.

Faktisk så er nettsiden en topp plass å ha personvernerklæringen på! Det kommer vi tilbake til litt lenger ned.

Kravet er uansett at "den registrerte", altså enkeltpersonen du behandler personopplysninger til, skal få en viss type informasjon fra deg, på et gitt tidspunkt. Hvis opplysningene kommer fra den registrerte selv, skal informasjon gis samtidig med innsamlingen.

Det betyr at hvis en person melder seg på et nyhetsbrev, eller sender inn et kontaktskjema (om så bare med e-postadressen sin), via nettsiden din, skal du gi informasjonen der og da - umiddelbart. Mange tror også at de ikke samler inn personopplysninger på nettsiden sin. Det gjør du - nesten uten unntak! De fleste informasjonskapsler samler f.eks. inn IP-adresser, som i GDPR er definert som personopplysninger. I tillegg har du overnevnte - spør du bare én eneste plass om at folk sender inn informasjon, behandler du trolig personopplysninger.

Så da har vi konkludert med at du er pliktig til å gi informasjon til alle du behandler personopplysningene til (ikke bare de som er innom nettsiden din). Hva nå?

Hvordan har du tenkt til å gi riktig informasjon, til riktig tid?

For, det er ikke bare besøkende på nettsiden din du er pliktig å informere. Du plikter også å informere potensielle og eksisterende kunder, samarbeidspartnere, leverandører, medlemmer, pasienter, jobbsøkende, ansatte osv. Kort sagt - alle du behandler personopplysninger til.

Og hvordan har du tenkt til å gi disse personene riktig informasjon, til riktig tid?

Det finnes selvsagt flere muligheter, og så lenge du informerer i samsvar med kravene i loven, er det helt fint! Jeg vil likevel nevne noen fordeler ved å ha personvernerklæringen på nettsiden din;

  • For deg, fordi du kun trenger å ha den liggende på én plass, og enkelt kan henvise kunder, samarbeidspartnere og eventuelt også ansatte dit
  • For kunder og alle andre, fordi de vet at informasjonen de skal ha, alltid ligger tilgjengelig på nettsiden din (og hvem sa vel nei takk til litt ekstra trafikk? ;))
  • Og, ikke minst, for Datatilsynet, fordi de ved en eventuell klage på deg raskt kan se at du i alle fall tilfredsstiller et sentralt punkt i loven

En annen fordel ved å ha personvernerklæringen på nettsiden, er rett og slett at det er enkelt, og praktisk. På skjemaet der den potensielle kunden melder seg på, kan du bare legge til lenken til personvernerklæringen din. Det samme gjelder kommentarfeltet på bloggen din, kontaktskjemaet, og nyhetsbrevet; du legger bare til en lenke.

Ta f.eks. dette påmeldingsskjemaet; der ser du at jeg lenker til personvernerklæringen, så alle potensielle abonnenter får enkel tilgang til informasjonen:

Og hver gang du endrer på noe i personvernerklæringen, trenger du ikke å tenke på å oppdatere andre steder (med mindre det er store endringer - da må du nemlig sende ut oppdateringen(e) til de "berørte registrerte").

Og da har vi konkludert med at du høyst sannsynlig trenger en personvernerklæring å legge ut på nettsiden din. Hva nå?

Slik skriver du en personvernerklæring

Jeg må begynne med å understreke noe viktig: du kan ikke kopiere noen andres personvernerklæring. Dette er så viktig at jeg sier det igjen: du kan ikke kopiere noen andres personvernerklæring!

For det første er det en kjip ting å gjøre, for de har kanskje brukt både mye tid, og penger, på å skrive sin egen personvernerklæring. Det kan også være brudd på åndsverkloven, og dermed ulovlig.

For det tredje skal en personvernerklæring skreddersys til din bedrift. Den skal opplyse om hvordan du behandler personopplysningene til "kategoriene av registrerte" som er relevant for din bedrift. Eksempler på slike kategorier var vi innom tidligere; potensielle og eksisterende kunder, medlemmer, ansatte osv. Hvis du er lege, har du trolig andre kategorier av registrerte, enn en som driver med nettmarkedsføring, eller er frisør. Og snekkere, advokater, webdesignere, coacher og personlig trenere behandler ulike typer personopplysninger, basert på ulike rettslige grunnlag, formål og har ulike kriterier for lagring og sletting.

Alt dette må du ta høyde for i personvernerklæringen din.

Personvernerklæring på 1-2-3

Steg 1, hvis du ikke allerede har gjort det (og nå er det en stund siden 20. juli…), er å starte med behandlingsprotokollen, og gjøre den helt ferdig. Etterpå blir det mye enklere å skrive personvernerklæringen, fordi du da har nøkkelinformasjonen som skal stå i den.

Steg 2 er å skrive selve personvernerklæringen. Der må du passe på at du får med alle punktene som Datatilsynet har listet opp i veilederen sin. Du skal ha med informasjon om bedriften din, hvem som er behandlingsansvarlig, formål, rettslig grunnlag og ganske mye mer. Ta gjerne en titt på Datatilsynets personvernerklæring (selv om den fortsatt ikke er helt perfekt…!).

Steg 3 er å publisere personvernerklæringen på nettsiden din. Legg den gjerne til på en nettadresse som slutter på /personvern (enkel å huske!). Husk også å legge lenken inn i bunnteksten, for da synes den på alle sidene på nettstedet ditt.

Vil du bruke tiden din på andre ting?

Vi småbedriftseiere har mange hatter, og er ofte både eier, daglig leder, markedsføringsansvarlig, HR-sjef, IT-ansvarlig, og, ikke minst, GDPR-ansvarlig. Da er det viktig at vi vet å prioritere tiden vår riktig, og er flinke til å delegere eller outsource.

Dessverre kan vi ikke outsource alt med GDPR (de som sier at du kan det, tar feil). GDPR handler om mer enn dokumentasjon, cookies og Facebook piksel. Vi har et ansvar for å vite hvordan vi behandler personopplysninger i vår egen virksomhet. Det er ikke noe vi kan be andre, utenforstående parter, om å gjøre.

Men, jeg skal heller ikke moralisere, for det jeg brenner for i Bedre Bedrift, er jo nettopp å hjelpe andre småbedriftseiere. Det gjør jeg blant annet gjennom det jeg håper er nyttig og relevant innhold på denne nettsiden. Jeg vet også at mye av det som andre kanskje hater å gjøre, som rutiner, prosesser, planer og compliance (f.eks. GDPR), er områder jeg digger å jobbe med. :)

Derfor har jeg laget en mal for personvernerklæring, som jeg vet er relevant for deg. Når du kjøper den, får du ikke bare et dokument med masse rød tekst som skal byttes ut. Du får også videoinstrukser, som tar deg gjennom utfyllingen, steg for steg.

Bruk tiden din på å få ferdig behandlingsprotokollen. (Og hvis du helst vil bruke et absolutt minimum av tiden din på GDPR, send meg en melding, så kan vi ta en uforpliktende prat om hvordan jeg kan hjelpe deg.)

PS: Personvernerklæring er ikke noe nytt. Det har vært et krav helt siden forrige personopplysningslov trådte i kraft i 2001. Altså, allerede i over 17 år!

Hvorfor en personvernerklæring på nettsiden kan anses som et "krav"

Article 29 Working Party var en gruppe bestående av representanter fra alle datatilsynene i EU, som ga råd til EU-kommisjonen i personvernspørsmål fra -96 til -18. Selv om "WP29"kun var rådgivende, ligger arbeidet i stor grad til grunn for fortolkninger av GDPR. Det er ikke så rart, med tanke på at det jo var datatilsynene selv som satt der, som i siste instans er ansvarlig for å håndheve lovverket i egne land.

I retningslinjer for åpenhet/transparens (dokument WP260), skriver WP29 følgende:

Every organisation that maintains a website should publish a privacy statement/ notice on the website. A direct link to this privacy statement/ notice should be clearly visible on each page of this website under a commonly used term (such as “Privacy”, “Privacy Policy” or “Data Protection Notice”). Og, videre: WP29 recommends as a best practice that at the point of collection of the personal data in an online context a link to the privacy statement/ notice is provided or that this information is made available on the same page on which the personal data is collected.

I tråd med disse retningslinjene, bør dermed en personvernerklæring ligge på nettsiden din.

PPS: 25. mai gikk WP29 over til å bli Det europeiske personvernråd. Det er fremdeles representanter fra datatilsynene som sitter i rådet. Norge er også medlem, men siden vi "kun" er et EØS-land har vi, som det meste i EU, ikke stemmerett.

Toppbilde av rawpixel fra Unsplash

Close

50% ferdig

Gratis minikurs i GDPR!

Meld deg på nedenfor for umiddelbar tilgang til kurset. 😊

NB! Du har kun tilgang til kurset i 14 dager. Meld deg derfor kun på når du har satt av tid til det.

Personopplysningene dine behandles i tråd med Bedre Bedrifts personvernerklæring.