EN
Bakgrunnsbilde

Personvern og GDPR

Rådgivning for etterlevelse, kvalitetssikring av dokumentasjon, rutiner, personvernerklæringer, databehandleravtaler og bistand ved tilsyn.
Text module

Alle virksomheter behandler personopplysninger, og må forholde seg til strenge krav i personvernforordning (GDPR), den norske personopplysningsloven og flere forskrifter. I tillegg kan behandlingen reguleres av ulike sektorlover, for eksempel innen helse. Hvilke typer/kategorier personopplysninger virksomheten behandler, og behandlingsomfanget varierer. Det har betydning for hvor omfattende tekniske og organisatoriske tiltak som kreves av virksomheten, men det stilles uansett krav om dokumenterte vurderinger, databehandleravtaler og informasjon til de registrerte. Vi ser også at bruk av KI ofte innebærer behandling av personopplysninger, uten at virksomheten har tilstrekkelig fokus på det.

Da GDPR (General Data Protection Regulation) trådte i kraft sommeren 2018, ble «alle» norske virksomheter opptatt av personvern – antagelig i stor grad pga risiko for høye overtredelsesgebyr. Vi har bistått bedrifter med etterlevelse av personvern i lang tid før det, og har omfattende erfaring og er godt kjent med ulike personvernvurderinger.

Vi ønsker å bidra til at små og store virksomheter etterlever personvernregelverket på en fornuftig måte, og har god «compliance». Det gjelder både de virksomheter som ser persondata som en sentral verdi og behandler personopplysninger i stort omfang for ulike formål, og de virksomheter som kun håndterer personopplysninger som en strengt nødvendig del av sin virksomhet, som for eksempel for å kunne utbetale lønn til ansatte og sørge for at kunder får levert de varer og tjenester som er bestilt. En del av god «compliance» er å sikre korrekt innhenting av samtykke ved bruk av cookies og lignende teknologier – cookiebannere.

Personvernregelverket er vanskelig tilgjengelig fordi mye av reglene er basert på EU-lovgiving og fordi det pågår en løpende utvikling i rettspraksis og praksis fra europeiske og nasjonale tilsynsmyndigheter (EDPB, Datatilsynet og Nkom). Vi legger stor vekt på å holde oss oppdatert på regelverket, samtidig som vi følger med i den teknologiske utviklingen for å kunne ivareta våre klienters behov. Dette har bl.a. medført at vi nå bruker mye tid på de personvernproblemstillingene bruk av KI medfører, slik at vi kan støtte virksomheter i utviklingen av deres KI-strategi med identifisering av risikoer og tiltak, samt sikre best praksis ved innføring av retningslinjer, opplæring og dokumentasjon.

Vi bistår med:

  • Kartlegging av virksomheters behandlinger av personopplysninger
  • Utarbeidelse og kvalitetssikring av personverndokumentasjon
  • Analyse av virksomheters behov for endringer og utforming av rutiner og erklæringer mv
  • Vurdering av rettslige grunnlag / behandlingsgrunnlag for ordinære personopplysninger og særlige kategorier (sensitive) personopplysninger
  • Dokumentasjon av berettigede interesser med interesseavveining 
  • Utforming av samtykketekst
  • Utarbeidelse personvernerklæringer til kunder, ansatte mv
  • Utarbeidelse av cookiepolicy og håndtering av cookiebanner
  • Avvikshåndtering med ev. melding til Datatilsynet og den registrerte
  • Etablering av rutiner for innsyn, korrigeringer, sletting og begrensing av behandling av personopplysninger
  • Sletterutiner
  • Personvernvurderinger ved ulike behandlinger, for eksempel før anskaffelse av ny IT-løsning eller ny bruk av eksisterende løsning til et nytt formål
  • Personvernvurderinger, utforming av retningslinjer, opplæring og dokumentasjon ved bruk av KI
  • Risikovurderinger
  • Personvernkonsekvensutredninger (DPIA)
  • Personvernrutiner for markedsføring
  • Personvernrutiner for HR / ansatte
  • Kontrolltiltak overfor ansatte
  • Bruk av bilder
  • Kameraovervåking
  • Rutiner for vedlikehold og revisjon
  • Personvernhåndbok (internkontroll)
  • Databehandleravtaler
  • Avtaler mellom felles behandlingsansvarlige
  • Konfidensialitetserklæringer (NDA)
  • Internasjonale overføringer av personopplysninger til tredjeland, med vurderinger av overføringsgrunnlag som for eksempel Standard Contractual Clauses (SCC) med Transfer Impact Assessment (TIA), Binding Coorporate Rules (BCR), adekvansbeslutninger eller sertifiseringsmekanismer som EU-US Data Privacy Framework (DPF) som gjelder overføring til USA
  • Implementering av personvern I teknologiske løsninger - Privacy by design/default
  • Tilsyn fra Datatilsynet
  • Årlig kontroll/revisjon av personvern
  • Kurs og opplæring

Møt teamet:

Bilde av Stillum, Grete Funderud

Grete Funderud Stillum.

Advokat MNA I Partner