NetPed Rådgivning og GDPR

Oppdatering
Tekst

Personvern er viktig for oss i NetPed Rådgivning. Den 1. juli trer EUs nye personvernforordning i kraft, og i den forbindelse oppdateres salgsvilkårene for å tydeliggjøre vårt ansvar og hjelpe deg som kunde å etterleve visse krav i det nye regelverket. Oppdaterte salgsvilkår og kjøpsavtale gjelder fra 1.juli 2018. 

Hva er GDPR?

GDPR står for General Data Protection Regulation, og er EUs nye personvernforordning. Hovedformålet er å styrke personvernet for alle borgere i EU/EØS-området. I hovedsak dreier det seg om innstramminger knyttet til innsamling, bruk og oppbevaring av personopplysninger. Litt forenklet kan man si at reglene gjelder for alle virksomheter som behandler personopplysninger i EU/EØS-området, eller som tilbyr varer eller tjenester til EU/EØS- borgere.

Hva innebærer endringene i våre vilkår?

Vi har utvidet vilkåret om behandling av personopplysninger for å tydeliggjøre ansvaret vi har som henholdsvis behandlingsansvarlig og databehandler, som er et viktig skille etter regelverket. Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger. Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige. NetPed Rådgivning opptrer både som selvstendig behandlingsansvarlig og som databehandler for de fleste av våre bedriftskunder. I de nye vilkårene har vi tydeliggjort i hvilke situasjoner vi behandler data for egne formål (dvs. som behandlingsansvarlig) og når vi behandler personopplysninger på vegne av en bedriftskunde. Der NetPed Rådgivning er behandlingsansvarlig vil bedriftskundene som hovedregel ikke kunne holdes ansvarlig for hvordan NetPed Rådgivning etterlever regelverket. Vilkårene inneholder nå også en henvisning til vår databehandleravtale, slik at alle bedriftskunder kan være sikker på at de har inngått en gyldig databehandleravtale med oss (se mer om dette nedenfor).

Oppdatert databehandleravtale

De nye vilkårene inneholder en henvisning til en oppdatert databehandleravtale. Denne regulerer NetPed Rådgivnings behandling av personopplysninger som databehandler på vegne av våre bedriftskunder, og sikrer at både dere og vi oppfyller kravene som GDPR stiller til bruk av databehandleravtaler. Som det fremgår av vilkårene gjelder den nye databehandleravtalen med mindre annet er avtalt mellom partene. Les databehandleravtalen her.

Hvordan sikrer NetPed Rådgivning etterlevelse av regelverket?

Personvern er en av kjerneverdiene i NetPed Rådgivning, og vi har hatt et eget prosjekt for å tilpasse oss det nye regelverket siden høsten 2016. Det viktigste har vært å sørge for at vi er i stand til å oppfylle de nye personvernrettighetene for individer samt å sikre at både vi og våre underleverandører etterlever de kravene som forordningen stiller når det gjelder sikkerhet, sletting av data, informasjon/åpenhet m.m.

Gjelder GDPR alle virksomheter?

Det korte svaret er ja – GDPR får virkning for alle som har ansatte, kunder eller på andre måter registrerer informasjon om enkeltpersoner. Hvis dere ikke har satt dere inn i GDPR-kravene allerede, er det ikke for sent å begynne nå. Datatilsynet har mye god informasjon: https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/

GDPR – Spørsmål og svar

Hva er GDPR?
GDPR står for General Data Protection Regulation og er EUs forordning for å styrke personvernet i dagens digitaliserte samfunn. GDPR trer i kraft som norsk lov 1.juli 2018 og alle bedrifter må da forholde seg til nye og strengere personvernkrav, blant annet knyttet til nye rettigheter for alle individer. Er du ikke kjent med GDPR kan du sette deg inn i de nye reglene her.

Hvorfor GDPR?
Den nåværende Personvernloven er basert på regler fra 20 år tilbake, og har ikke hengt med utviklingen av verken teknologi eller samfunnet vårt. Personalisering av reklame var å skrive navnet til adressaten i brev, smarttelefonen var ikke oppfunnet, Facebook fantes ikke – vi brukte knapt internett.
GDPR er utformet for å gjøre opp for disse manglene, samt å styrke enkeltpersoners personvern og kontroll over sin egen data. Du kan lese mer om dette på datatilsynet.no.

Hva vil de nye GDPR-reglene bety for min bedrift?
De nye GDPR-reglene stiller strengere krav til hvordan bedriften din behandler personopplysninger. Alle norske virksomheter vil også få nye plikter gjennom det nye regulativet.
Du kan lese mer om dette på datatilsynet.no.

Hva er en databehandleravtale?
Dersom du bruker underleverandører til å behandle personopplysninger på dine vegne, krever GDPR at du inngår en skriftlig databehandleravtale som regulerer partenes plikter og ansvar. Avtalen sikrer blant annet at underleverandøren (databehandleren) ikke bruker opplysningene til annet enn det som er avtalt, at det er god nok sikkerhet, at partene hjelper hverandre med oppfyllelse av rettslige plikter m.m.
Vi har inngått egne databehandleravtaler med mange kunder allerede, og for å sikre at det foreligger databehandleravtaler med alle våre kunder, finnes disse nå som eget vedlegg i kjøpsavtalen og/eller som egen databehandleravtale.

Hva er forskjellen på en behandlingsansvarlig og databehandler?
Behandlingsansvarlig:
Den som bestemmer formålet og hensikten med hvilke data som behandles og lagres. Behandlingsansvarlig plikter å påse at alle personvernkravene i GDPR etterleves.

Databehandler:
Behandler data på vegne av behandlingsansvarlig. Behandlingen reguleres gjennom en databehandleravtale mellom partene, hvor databehandleren plikter å påse at alle kravene i databehandleravtalen etterleves, både de som er fastsatt av GDPR, og de som er fastsatt av behandlingsansvarlig.

Eksempel:
Når du bestiller tilgang til kartleggingstester og opplæringsprogram hos oss, behandler vi informasjon tilknyttet årslisensen til våre egne formål; fakturering, innlogging med brukernavn og passord. Vi vil også være databehandler, siden resultater og personopplysninger fra gjennomførte tester hos deg som kunde lagres hos oss på våre servere. Du finner nærmere detaljer om dette i salgsvilkårene og databehandleravtalen.

Hva betyr det at NetPed Rådgivning er behandlingsansvarlig?
Når vi behandler personopplysninger for egne formål, anses vi å være behandlingsansvarlig, og vil ha det fulle ansvaret for at personvernreglene følges.
Det betyr blant annet at vi må ha et gyldig rettslig grunnlag for behandling av opplysningene, at vi må informere brukere om hvordan vi behandler opplysninger samt gi kunder anledning til å utøve sine rettigheter m.m.

Hva betyr det at min bedrift er behandlingsansvarlig?
Når bedriften din behandler personopplysninger for egne formål, anses dere som behandlingsansvarlig, og vil ha det fulle ansvaret for at personvernreglene følges. Det betyr blant annet at dere må ha et gyldig rettslig grunnlag for behandling av opplysninger, at dere må informere brukere om hvordan dere behandler opplysninger samt gi brukere anledning til å utøve sine rettigheter. Dere må også ha databehandleravtale med alle underleverandører som behandler personopplysninger m.m. Du finner mer informasjon om plikter og ansvar som behandlingsansvarlig på datatilsynet.no.

Hva betyr det at NetPed Rådgivning er databehandler for min bedrift?
Når NetPed Rådgivning er databehandler, plikter vi å behandle dataene på vegne av bedriften som beskrevet i databehandleravtalen, og vi kan ikke bruke opplysningene til egne formål.

Trenger vi som en bedrift en databehandleravtale med NetPed Rådgivning?
Det kommer an på hvilke produkter og tjenester dere har hos oss. Dersom dere kun kjøper undervisningsmateriell og kurs, vil vi være behandlingsansvarlig. Men dersom dere kjøper kartleggingsverktøy som krever registrering av elever/deltakere for lagring av resultater på våre servere, anses vi å være databehandler, og da krever GDPR at det inngås en databehandleravtale. Ved å bygge databehandleravtalene inn i salgsvilkårene våre, sikrer vi at alle kunder har nødvendige databehandleravtaler på plass med oss. Se fullstendig oversikt i kjøpsavtalen.

Hvordan skal bedriften min forholde seg til NetPed Rådgivning sine tredjeparter?
NetPed Rådgivning har inngått egne databehandleravtaler med våre underleverandører. Dette sikrer at våre underleverandører følger GDPR og de forpliktelsene som følger av databehandleravtalene med våre kunder. Oversikt over våre underleverandører finner du her.

Hvor finner jeg salgsvilkår?
Informasjon om produkter og salgsvilkår finner du på www.raadgiveren.no.

Hvor finner jeg informasjon om hva som lagres av personopplysninger?
Du kan lese mer om hvordan vi samler inn og bruker personopplysninger, hvilke rettigheter du har og hvordan vi sikrer opplysningene i vår personvernerklæring

Hvor lenge lagrer NetPed Rådgivning personopplysninger?

I henhold til personvernreglene skal personopplysninger slettes når de ikke lenger er nødvendig for formålene som de ble samlet inn for. Vi har fastsatt ulike regler for sletting avhengig av type opplysninger, hva opplysningene brukes til og om det gjelder eksisterende eller avsluttede kundeforhold. Se databehandleravtalen for mer.

Hvor lagres personopplysninger?
Vi lagrer personopplysninger i EU – da fortrinnsvis i Norge, men lagringssted kan variere noe i forhold til hvilke produkter eller tjenester vi tilbyr.

Hvordan vet jeg hvilke opplysninger NetPed Rådgivning behandler og/eller lagrer på vegne av bedriften min?
Alle opplysninger vi samler inn og bruker som databehandler er beskrevet i databehandleravtalen.

Har NetPed Rådgivning opplysninger om meg som ikke er nødvendige for å levere produktet bedriften min har kjøpt til meg?
Personvernreglene stiller krav til såkalt dataminimalisering. Det betyr at vi ikke har lov til å samle inn mer opplysninger enn det som er nødvendig i forhold til formålet med innsamlingen, og de produktene/tjenestene vi tilbyr.

Hvordan sikrer NetPed Rådgivning at mine personopplysninger / opplysninger om min bedrift og ansatte håndteres på en sikker måte?
Informasjonssikkerhet er en viktig del av personvernet. Vi har iverksatt omfattende tekniske og organisatoriske tiltak for å sikre at personopplysninger ikke kommer på avveie, og at de øvrige kravene til sikkerhet i GDPR tilfredsstilles. Vi stiller krav til bl.a. informasjonsklassifisering, risikovurderinger, kryptering og logging.