Personvernveileder for medlemsbedrifter i Norges Bilbransjeforbund (NBF) I denne veilederen gir NBF en oversikt over de viktigste pliktene den enkelte bedrift må overholde når det gjelder personvern. Herunder henvises det til hjelpemidler og mer informasjon. I faktaboksen på nest siste side av denne brosjyren forklares en del begrep, og det gis en oversikt over sentrale deler av personvernregelverket.
Innledende bemerkninger Alle bedrifter som behandler personopplysninger plikter å følge personopplysningsloven og tilhørende forskrifter (heretter samlet benevnt personvernregelverket). I praksis behandler alle bedrifter personopplysninger, så sant bedriften har minst en ansatt, leverandør eller kunde. Det betyr at alle må kjenne og overholde personvernregelverket. «Alle må kjenne og overholde personvernregelverket.» Fra mai 2018 trer en ny personopplysningslov i kraft. Dette fordi en EU-forordning (GDPR) krever visse endringer av regelverket, i form av økte plikter for bedriftene, flere rettigheter for enkeltpersoner som får sine opplysninger behandlet og utvidede sanksjonsmuligheter for Datatilsynet. Rammen for gebyr ved brudd på personvernregelverket vil etter det nye regelverket også øke betydelig (opptil 20 millioner Euro eller 4 % av konsernets årlige globale omsetning, mot dagens ramme på rundt kr 900 000). Hva kreves av bedriftene og hvilke verktøy finnes? Dersom bedriften allerede oppfyller de krav som følger av dagens personopplysningslov og -forskrifter, skal det ikke så mye til for også å oppfylle det nye regelverket som trer i kraft i mai 2018. Alle vil imidlertid måtte gjøre noen tilpasninger for å tilfredsstille det nye regelverket som kommer. SKAFFE OVERSIKT Alle bedrifter må skaffe seg oversikt over hvordan de behandler personopplysninger i sin virksomhet og hvorvidt dette gjøres i sam svar med personvernregelverket.
INTERNKONTROLL Alle som behandler personopplysninger, hvilket i praksis vil si alle bedrifter, plikter å ha en internkontroll. Denne skal sikre at personvernregelverkets krav overholdes. Alle NBF-medlemmer er også medlemmer av Næringslivets Hovedorganisasjon (NHO). NHO har utarbeidet et generelt verktøy, som skal hjelpe medlems bedriftene både med å skaffe seg oversikt over sin behandling av personopplysninger (se like ovenfor) og til å ha nødvendig dokumentasjon på plass. Du finner NHOs personvernverktøy her: «Alle plikter å ha en internkontroll.» https://arbinn.nho.no/forretningsdrift/personvern/ personopplysningsverktoy/innforing/ Verktøyet må fylles ut av den enkelte bedrift. Det er naturligvis ikke tilstrekkelig å ha papirarbeidet på plass; internkontrollen må også gjennomføres i den praktiske hverdagen. Alle i bedriften som behandler personopplysninger må kjenne til de plikter dette medfører. PERSONVERNERKLÆRING Alle bedrifter må utarbeide en egen personvernerklæring med opplysninger om hvordan kundenes personopplysninger be handles. Tilsvarende må det lages en personvernerklæring for behandling av personopplysninger til personer hos leverandører og andre samarbeidspartnere og en personvernerklæring for behandling av personopplysninger tilhørende de ansatte. Regelverket krever at erklæringen er klar og forståelig. Personvernerklæringene må nødvendigvis utarbeides konkret for hver bedrift. Datatilsynet har utarbeidet en oversikt over hva som bør inngå i en personvernerklæring: https://www.datatilsynet.no/regelverk-og-skjema/ lage-nye-losninger/personvernerklaeringer/
SAMTYKKETEKSTER Der det er nødvendig med samtykke som behandlingsgrunnlag, må samtykketekster lages. Husk at samtykket skal være informert (vedkommende må forstå hva det samtykkes til), frivillig og uttrykkelig (den registrerte må gjøre noe eksplisitt samtykke ved passivitet er ikke tilstrekkelig). Av bevishensyn anbefales det at samtykket er skriftlig. Samtykket kan gis for en tidsbegrenset periode og det kan når som helst trekkes tilbake. «Samtykket skal være informert, frivillig og uttrykkelig.» SÆRLIG OM OPPLYSNINGER SOM SAMLES INN GJENNOM BILENS SYSTEMER Dagens biler inneholder teknologi som kan samle inn, registrere, sammenstille, lagre og/eller utlevere opplysninger. Disse opplysningene kan til dels knyttes til enkeltpersoner, og er da å regne som personopplysninger. Systemene som samler inn opplysningene er utarbeidet og plassert i bilen av bilprodusentene, som derfor vil være å regne som såkalt behandlingsansvarlig. Selv om NBFs medlemmer, i all hovedsak, ikke er behandlingsansvarlig i denne sammenheng, anbefaler NBF at medlemsbedriftene gir sine kunder informasjon om de ulike systemene, med mindre fabrikken eller importøren gir kundene denne informasjonen. NBF har utarbeidet en bransjenorm for hvordan slik informasjon kan gis av forhandleren. Denne bransjenormen er godkjent av Datatilsynet. Informasjon om bransjenormen samt selve informasjonsskjemaet finner du her: http://www.nbf.no/salg/personvern-ved-kjoep-av-bilarticle2434-303.html Også verksteder som tar ut, bruker og/eller sender videre personopplysninger av bilen vil måtte forholde seg til personvernregelverket.
INNEBYGD PERSONVERN Etter at EUs personvernforordning er gjennomført i Norge mai 2018 stilles det krav til at bedriftene skal sørge for innebygd personvern i alle nye systemer de lager eller tar i bruk. Det betyr at man skal sørge for best mulig personvern i sine systemer. Det mest personlige alternativet skal være standardinnstillingen i systemene. PERSONVERNOMBUD Private bedrifter må ha personvernombud dersom bedriften har som sin hovedvirksomhet å gjøre følgende i stor skala: «Bedriftene skal sørge for innebygd personvern i alle nye systemer de lager eller tar i bruk.» n Regelmessig og systematisk monitorering av personer n Behandling av sensitive personopplysninger (for eksempel opplysninger om politisk eller religiøs oppfatning, helseforhold, seksuelle forhold, fagforeningsmedlemskap og straffbare forhold knyttet til person), eller opplysninger om straffbare forhold Antagelig vil få av NBFs medlemsbedrifter måtte ha personvernombud. Les Datatilsynets veileder om hvem som må ha personvernombud her: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/ personvernombudsordningen-etter-nytt-regelverk/
Avsluttende bemerkninger Datatilsynet er et forvaltningsorgan som ikke bare skal føre tilsyn med at personvernregelverket blir overholdt. Som forvaltningsorgan har Datatilsynet også veiledningsplikt. Dette gjelder både generelleog mer konkrete spørsmål. På sin hjemmeside (www.datatilsynet.no) har Datatilsynet lagt ut nyttig informasjon og maler for dokumentasjon, som bedriftene kan bruke. Dersom bedriften er usikker på noe i forhold til sin behandling av personopplysninger, bør den søke råd og bistand av advokat. «Det er god forretningsskikk å sørge for betryggende og lovlig behandling av personopplysninger.» Det er den enkelte bedrift som har ansvar for sin behandling av personopplysninger. Det er god personalforvaltning, kundebehandling og forretningsskikk for øvrig å sørge for betryggende og lovlig behandling av personopplysninger.
Oversikt over personvernregelverket PERSONOPPLYSNINGER er opplysninger eller vurderinger som direkte eller indirekte kan knyttes til en enkeltperson. Personopplysninger som behandles av bedrifter gjelder særlig: n Ansatte (eksisterende, tidligere og potensielle) n Kunder eller kontaktpersoner hos kunder (eksisterende, tidligere og potensielle) n Enkeltpersoner hos leverandører og andre samarbeidspartnere (eksisterende, tidligere og potensielle) Personopplysninger kan ikke samles inn, registreres, sammenstilles, lagres, utleveres eller på annen måte behandles uten lovlig behandlingsgrunnlag. LOVLIG BEHANDLINGSGRUNNLAG kan for eksempel være: n samtykke fra den registrerte, n lovbestemmelse, n nødvendighet for å kunne oppfylle en avtale mellom det registrerte og den som behandler personopplysningene (for eksempel om arbeider eller service på bil), n andre rettslige plikter (regnskapslovgivningen, rapporteringsplikter og annet), og/eller n ivaretakelse av en berettiget interesse der hensynet til den registrerte ikke overstiger denne berettigede interessen Det må undersøkes i hvert enkelt tilfelle hva som er lovlig behandlingsgrunnlag. PRINSIPPER FOR BEHANDLINGEN av personopplysninger: n Behandlingen av opplysningene skal være lovlig, rimelig og gjennomsiktig n Opplysningene skal kun brukes for de formål de er samlet inn for n Kun relevante opplysninger skal behandles (dataminimering) n Opplysningene skal være korrekte n Opplysningene skal ikke oppbevares lenger enn formålet tilsier (krav til formålstjenelige slettingsrutiner) n Personopplysningene skal behandles med integritet og i fortrolighet n Personopplysningene skal behandles ansvarlig RETTIGHETER FOR DEN REGISTRERTE: n Rett til innsyn n Rett til informasjon når det samles inn personopplysninger, blant annet kontaktdata til behandlingsansvarlig eller dennes representant og formålet med behandlingen n Rett til informasjon om automatiserte avgjørelser og ved bruk av personprofiler n Rett til å kreve manuell behandling, med visse unntak, for eksempel der behandlingen er knyttet til oppfyllelse av kontrakt og der personvernet ivaretas på tilstrekkelig måte n Rett til å kreve retting n Rett til å motsette seg lagring av unødvendige personopplysninger I tillegg kommer det til nye rettigheter for den registrerte i mai 2018, når EUs personvernforordning (GDPR) blir norsk lov: n Rett til å bli glemt (kan kreve sletting) n Rett til å kreve behandlingen av personopplysninger begrenset. Om dette kreves, kan personopplysningene kun brukes med den registrertes samtykke, for å forsvare et rettskrav, for å forsvare en annens rettigheter eller for å ivareta viktige samfunnsinteresser. n Rett til dataportabilitet. Der behandlingen av personopplysningene er basert på samtykke, kan den registrerte kreve å få ta med seg personopplysningene til en annen virksomhet, typisk en annen tjenesteleverandør. n Rett til å motsette seg behandling av personopplysninger. Da må den behandlingsansvarlige stanse bruken av personopplysningene og slette dem. Dette er mest praktisk ved profilering, det vil si at den registrerte kan motsette seg at det utvikles personprofil(er) av ham/henne.
Sentralbord: 22 54 21 00 E-post: firmapost@nbf.no www.nbf.no