GDPR – Hva betyr det for min bedrift?

02.11.2018
GDPR EU lås.jpg

MEF får mange spørsmål fra våre medlemmer som lurer på hva GDPR er, og om det er noe de må foreta seg i forbindelse med ny personopplysningslov fra juli i år.

For bedrifter med under 250 ansatte er det begrenset hvilke tiltak bedriften blir pålagt av den nye loven. Det er likevel noen plikter alle bedrifter i Norge må overholde.

1. Skriftlige retningslinjer for internkontroll

Alle bedrifter skal sørge for at de kun behandler personopplysninger i nødvendig utstrekning og med hjemmel i et lovlig behandlingsgrunnlag. Bedriften må også definere rutiner for informasjonssikkerhet, herunder hvordan bedriften sørger for at personopplysninger ikke kommer på avveie.

MEF har laget er forslag til internkontrollrutiner for typiske MEF-bedrifter. Forslaget er tilgjengelig i vårt KS-system.
KS-kode: 0103-042 R

2. Personvernerklæring til ansatte

Ansatte i bedriften skal ha tilgang til informasjon om hvilke personopplysninger bedriften behandler om dem, hva formålet med behandlingen er, og til hvem bedriften eventuelt gir opplysningene ut til.

MEF har laget en mal til personvernerklæring til ansatte. Legg merke til at det ikke er krav til samtykke fra den ansatte, kun at den ansatte har mottatt informasjonen. Lagrer bedriften sensitiv informasjon om den ansatte, er det derimot krav til samtykke.
KS-kode: 0103-042 D

3. Oversikt over personopplysninger i bedriften

Det anbefales å lage en skriftlig oversikt over alle gruppene med personopplysninger bedriften sitter på. Alle personopplysninger bedriften ikke har lov til å sitte, eller som bedriften ikke lenger har behov for skal slettes eller makuleres.

MEF har laget et excel-skjema med et eksempel for personopplysningsgruppen «Jobbsøknader». Legg merke til at jobben med å skape oversikt og slette gamle personopplysninger aldri blir ferdig – men må stadig opp til ny vurdering.
KS-kode skjema: 0103-043 D
KS-kode forklaring til skjema: 0103-044 D

4. Andre forberedelser

Skulle bedriften oppleve at personopplysninger kommer på avveie, er bedriften pålagt å melde fra til både Datatilsynet og den registrerte umiddelbart.

Alle bedrifter med hjemmesider hvor det lagres statistikk over besøkende, IP-adresser, cookies eller lignende skal ha en personvernerklæring på sine hjemmesider.

Selv om bedriften ikke lagrer slik informasjon, anbefales det likevel å ha en personvernerklæring på hjemmesiden. Det er fordi bedriften plikter blant annet å opplyse om hva personopplysninger som navn, e-post og fakturainformasjon bedriften får fra kunder brukes til, og hvor lenge disse lagres. Bedriften plikter også å opplyse om at den registrerte har en innsynsrett, og en rett til å få sine egne opplysninger slettet. En full liste over hvilke opplysninger bedriften skal gi til sine kunder finnes i personvernforordningen artikkel 13. Denne typen informasjon er det som regel mest hensiktsmessig å legge til hjemmesiden.

Ettersom en slik personvernerklæring er forskjellig fra bedrift til bedrift har MEF ingen mal, men du er hjertelig velkommen til å ta en titt på vår: MEFs personvernerklæring. 

Ønsker du mer utfyllende informasjon om GDPR og anleggsbransjen, anbefales følgende artikkel. 

Du er også velkommen til å ta kontakt med advokat Erik Handeland Selmer etter ferien hvis du skulle ha spørsmål.

Erik Handeland Selmer
Tlf 414 44 370
E-post: ehs@mef.no  

Kontakt oss

MEF
Postboks 505 Sentrum
0105 Oslo
Telefon: 22 40 29 00
E-post: firmapost@mef.no

Besøksadresse

MEF
Fred. Olsensgt. 3
0152 Oslo (NB! Kun besøksadresse)

Snarveier

Nyhetsarkiv
Medlemsoversikt
MEFs KS/HMS
Personvernerklæring
Intranett for ansatte