Sjekkliste for behandling av personopplysninger

Her er en oversikt over noe av det du må gjøre før du begynner å behandle personopplysninger.

Published Sist oppdatert
  1. Sett deg inn i personvernprinsippene
    Disse prinsippene er juridisk bindende, så du må alltid ha dem i bakhodet.
  2. Hvilke personopplysninger behandler du?
    Identifiser de ulike kategoriene opplysninger virksomheten behandler. Dette kan for eksempel være kontaktinformasjonen til de ansatte, kontaktinformasjonen til kunder, opplysninger om ansattes bankforbindelser og skattetrekk, kunders handlehistorikk, IP-adresser samlet inn gjennom virksomhetens nettside, kundesegmenter osv. Vær nøye slik at du ikke hopper over noe.
  3. Definer et klart formål med kategoriene av personopplysninger.
    Én kategori kan noen ganger ha flere formål, men du kan ikke endre formålet i særlig grad når behandlingen har begynt. Formålet må ikke være for vidt eller ullent – man skal alltid konkretisere.
  4. Identifiser hvilket behandlingsgrunnlag som passer best til de ulike behandlingene.
    Hver behandling kan kun ha ett behandlingsgrunnlag, og man kan normalt ikke bytte behandlingsgrunnlag underveis. Dersom ingen av behandlingsgrunnlagene kan brukes, er behandlingen ulovlig.
  5. Dersom du behandler særlige kategorier av personopplysninger (sensitive personopplysninger og biometri), må behandlingene også ha behandlingsgrunnlag i artikkel 9 i personvernforordningen.
  6. Personopplysninger skal ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.
    Dette gjelder hvis ikke annet er bestemt i lov (arkivlovaeller regnskapsloven) eller f.eks. i forbindelse med finansiering av forskning. Dette følger av prinsippet om lagringsbegrensningog dataminimering.  Linjeleder har ansvar for å utarbeide rutiner for sletting som skal minimalisere sikkerhetsrisikoen i sin enhet. Systemeier har dette ansvaret for det systemet vedkommende er systemeier. Hver enkelt medarbeider er ansvarlig for å slette personopplysninger som er lagret på vedkommendes personlige brukerområde. Finn ut hvordan du kan overholde informasjonspliktenbest mulig.
  7. Sett deg inn i hvilke andre rettigheter den enkelte har.
    Virksomheten har plikt til å sørge for systemer som sikrer at den enkelte faktisk får sine rettigheter innen tidsfristen. Det betyr for eksempel at man må ha gode rutiner, systemer og kompetanse til å vurdere krav fra den enkelte.
  8. Det er viktig å tenke personvern fra starten.
    Det gjør det mye lettere og billigere å lage rutiner, systemer og en organisasjon som ivaretar personvernet på en god måte. Innebygd personvern er nå en plikt. Når rutiner og systemer utarbeides, bør du derfor se på vår veileder om innebygd personvern
  9. Skal en databehandler behandle personopplysninger på dine vegne? Husk databehandleravtale!
  10. Vil personopplysningene forlate EØS-området?
    Les hvilke regler som gjelder overføring til utlandet i personvernforordningen kapittel V
    Veiledningen vår om overføring av personopplysninger til tredjeland etter den gamle personopplysningsloven kan være en grei innfallsvinkel, da begge regelsettene bygger på de samme prinsippene, men vær obs på at der er ulikheter.
  11. Vurder om du har plikt til å gjennomføre en vurdering av personvernkonsekvenser.
  12. Du må ha rutiner som gjør deg i stand til å etterleve alle pliktene etter loven.
    Du må derfor ha en internkontroll. Du har også plikt til å beskytte personopplysningene, altså ha informasjonssikkerhet. Se vår veiledning om internkontroll og informasjonssikkerhet når du planlegger hvilke sikkerhetstiltak din virksomhet må ha.
  13. Du må også legge en plan for hvordan du skal overholde pliktene til avviksbehandling når noe går galt.
    Se de kravene til avviksbehandling i personvernforordningen artikkel 33 og artikkel 34.
  14. Husk også at de fleste virksomheter har plikt til å føre protokoll over behandlingsaktiviteter.
  15. Du finner forøvrig alle pliktene en virksomhet har når den skal behandle personopplysninger samlet på denne side.