Kjøtt- og fjørfebransjens Landsforbund

Du er her: Forsiden / Jusspalten / EUs personvernforordning (GDPR)

EUs personvernforordning har trådt i kraft

Jushjørnet nr. 7 / 2018 av Anne Løken og Line Solhaug, advokater, NHO Mat og Drikke.
- Den nye personopplysningsloven trådte i kraft 20. juli 2018. Med dette gjennomføres EUs personvernforordning (GDPR) som gjelder bruk av personopplysninger i Norge.

I EU har reglene vært gjeldende fra 25. mai i år. Det er også fastsatt en ny personopplysningsforskrift og en egen overgangsforskrift. Videre er det kommet en ny forskrift om arbeidsgivers innsyn i e-postkasse og materiale som er lagret elektronisk. Disse reglene er omtrent like dem som allerede gjelder.

– SKAFF DERE OVERSIKT
Når de nye reglene har trådt i kraft, oppheves loven og forskriften fra 2000. Det blir også slutt på ordningene med å søke konsesjoner og tillatelser. Eksisterende konsesjoner og tillatelser opphører.

Det er viktig at bedriften skaffer seg en oversikt over hva slags personopplysninger bedriften har, og hvilket grunnlag bedriften har for å behandle disse og hvordan de blir brukt. NHO har laget en mal til kartleggingsskjema, hvor man får oversikt over hvilke personopplysninger bedriften håndterer og hva slags grunnlag bedriften har for å håndtere disse opplysningene samt hvilke rutiner bedriften har f.eks. for oppbevaring, bruk og sletting av opplysningene.

GIR VEILEDNING
Videre har NHO laget en mal for et dokument hvor bedriften dokumenterer egne rutiner og internkontroll. Dokumentet kan bedriften bruke internt for å sørge for at den gjør det riktig i fremtiden. Medlemmer i NHO har tilgang til vårt personverktøy på arbinn.nho.no, som gir både veiledning og eksempler.

BEDRIFTEN MÅ HA ET GRUNNLAG FOR Å BEHANDLE OPPLYSNINGER OM PERSONER
For å kunne behandle personopplysninger må bedriften ha et juridisk grunnlag, og for bedrifter vil de mest aktuelle være lov, avtale, berettiget interesse eller samtykke. Skal du behandle opplysninger som er sensitive, er det strengere krav til behandlingsgrunnlag. Som arbeidsgiver skal du være særlig oppmerksom på at opplysninger om medlemskap i fagforening eller helseforhold (som allergier, sykefravær, legebesøk og graviditet) er regnet som sensitive.

SEKS GRUNNLEGGENDE KRAV TIL BEHANDLING AV OPPLYSNINGER OM PERSONER
Det gjelder seks grunnleggende krav som gjelder all behandling av alle opplysninger om personer:

  1. Bedriften må behandle opplysningene på en måte som er lovlig, rettferdig og gjennomsiktig.
  2. Bedriften må ha bestemt seg for formålet med å samle inn opplysninger.
  3. Bedriften må sørge for at opplysningene er tilpasset det formålet den har (men også at de ikke er mer omfattende).
  4. Bedriften må sørge for at opplysningene den har er korrekte.
  5. Bedriften må slette opplysninger som det ikke lenger er nødvendig å ha (alternativt kan man anonymisere opplysningene).
  6. Bedriften må lagre og bruke opplysningene slik at de ikke blir misbrukt.

KRAV TIL RISIKOVURDERING
Bedriften må vurdere tiltak som reduserer risikoen for at reglene blir brutt. Det er derfor nødvendig å vurdere risikoen og dokumentere at man har gjort en slik vurdering, men dette trenger ikke alltid å være veldig omfattende. Man må også dokumentere hvordan man ser for seg å etterleve reglene.

BEDRIFTER HAR FORPLIKTELSER OVERFOR DE REGISTRERTE
Det er også slik at alle de man har registrert opplysninger om, skal få vite om hvordan personopplysningene behandles. De registrerte kan pålegge bedriften å slutte med eller begrense behandlingen, og de kan kreve at du sletter alle data om dem («retten til å bli glemt»). Disse rettighetene er ikke absolutte, noen vilkår må være oppfylt. De registrerte har også rett til å få utlevert de opplysningene de selv har gitt og som er blitt lagret. Bedriftene har plikt til å gi en del informasjon til de registrerte. De registrerte skal få vite både at bedriften behandler opplysninger om dem og om de rettighetene de har. Bedriften må derfor ha et dokument (personvernerklæring e.l.) som beskriver hvilke typer av opplysninger bedriften har og hva de brukes til. Dette skal skrives på en ryddig og forståelig måte.

HAR LAGET VEILEDER
NHO har laget en veileder som viser hvordan bedriftene kan gi den informasjonen som er pålagt, samt en skisse til personvernerklæring som ligger vedlagt veilederen. Du finner dette på arbinn.nho.no. I dette dokumentet finner du utgangspunkter for tekster til bruk for å informere dem din bedrift behandler personopplysninger om. Bedriften må selv tilpasse dokumentet til bedriftens egne forhold.

Det er bedriften som har plikter etter loven. Det er ikke mulig å outsource eller overlate ansvaret til noen andre. Men det er ikke forbudt å bruke systemløsninger eller tjenesteleverandører som håndterer opplysningene for bedriften. Den du da har avtale med regnes som «databehandler». Det er egne krav til slike avtaler, som skal sørge for at også denne databehandleren følger de reglene som gjelder for din bedrift. Du kan lese mer om databehandleravtaler på arbinn.nho.no.

Advokatene i NHO Mat og drikke bistår medlemsbedriftene innen spørsmål relatert til sykefravær og oppfølging. Som medlem i NHO Mat og Drikke kan du ta kontakt ved behov for hjelp.

Les flere saker fra siste utgave av bladet Kjøttbransjen.

Utviklet av 07 Web
Bransjeoversikt