GDPR for småbedrifter: hva du faktisk må ha på plass

GDPR gjelder ikke bare for store konserner med egne juridiske avdelinger og personvernombud. Det gjelder også for deg som driver et regnskapsbyrå, en frisørsalong, en liten nettbutikk eller en gründerbedrift i vekst. Mange SMB-er sitter igjen med de samme spørsmålene: Hva må vi egentlig gjøre? Har vi allerede brutt loven? Kan vi løse dette selv, eller trenger vi hjelp?

I denne guiden gir vi deg en praktisk innføring i hva personopplysningsloven og GDPR faktisk krever av deg som liten eller mellomstor virksomhet. Ikke for å skremme, men for å gjøre det mulig å ta tak i det på en trygg og overkommelig måte.

Hva er GDPR, og gjelder det virkelig oss?

GDPR (General Data Protection Regulation) er EUs personvernforordning, gjennomført i norsk rett gjennom personopplysningsloven § 1. Loven gjelder for alle virksomheter som behandler personopplysninger om fysiske personer, uavhengig av størrelse.

Du behandler personopplysninger hvis du for eksempel lagrer kundenavn og e-postadresser, sender nyhetsbrev, bruker cookies på nettsiden din, har ansatte, eller filmer med overvåkningskamera. Det vil si: de aller fleste norske bedrifter er omfattet.

Brudd på regelverket kan føre til gebyrer fra Datatilsynet på opp til 4 prosent av virksomhetens globale årsomsetning, eller inntil 20 millioner euro. For en SMB er selv en begrenset bot alvorlig.

Hva må du faktisk ha på plass?

Personvernregelverket handler i bunn og grunn om å behandle personopplysninger på en lovlig og ryddig måte. Det gjelder kundedata, ansattinformasjon, e-postlister, kameraovervåking og nettsidesporing.

Du må blant annet kunne dokumentere:

  • Hvilke personopplysninger du samler inn (navn, e-post, IP-adresser, helseinfo)
  • Hva du bruker dem til og hvilket rettslig behandlingsgrunnlag du har
  • Hvordan opplysningene lagres og sikres mot uautorisert tilgang
  • Hvor lenge du lagrer dem, og at du sletter dem når formålet er oppfylt
  • Hvem som har tilgang til opplysningene i og utenfor virksomheten

Du trenger ikke femti sider med internkontroll. Men du trenger en viss orden i systemene, og det skal være lett å vise frem hvis noen spør. For eksempel Datatilsynet.

Sjekkliste: er du på rett spor?

Gå gjennom disse syv punktene. De fleste SMB-er vi snakker med har hull i noen av dem, og det viktigste er å få tak i de mest grunnleggende:

  1. Har du oversikt over hvilke personopplysninger dere behandler?
  2. Bruker du et lovlig behandlingsgrunnlag? (samtykke, avtale, rettslig plikt osv.)
  3. Gir du tydelig informasjon til kunder og ansatte gjennom en personvernerklæring?
  4. Har du rutiner for sletting og oppdatering av data?
  5. Har du databehandleravtaler med eksterne leverandører som regnskapskontor, lønnssystem og IT-partner?
  6. Har du rutiner for varsling ved databrudd?
  7. Er ansatte kjent med hvordan de skal håndtere persondata i hverdagen?

Er du usikker på noen av punktene, er det et tegn på at du bør starte der.

Markedsføring og kundedata

GDPR gjelder i høyeste grad når du driver med markedsføring. Her gjøres mange feil, ofte uten at man er klar over det:

Nyhetsbrev krever samtykke. Du må kunne dokumentere at mottakeren har sagt ja. Et skjult avkrysningsfelt holder ikke.

Sporing via cookies og retargeting krever samtykke og skal forklares forståelig i personvernerklæringen. Et standard cookie-banner som ikke gir reelt valg er ikke nok.

Internasjonale verktøy som Mailchimp, HubSpot og Facebook Pixel overfører data til tredjeland. Etter Schrems II-dommen fra EU-domstolen er dette et eget saksområde du må ha kontroll på.

Ansattdata: ofte undervurdert

Mange virksomheter fokuserer på kunder, men glemmer at ansatte også er registrerte. Alt fra lønn og sykefravær til jobbsøknader og helseattester regnes som personopplysninger.

Du må ha klart behandlingsgrunnlag for alt du lagrer, og du kan ikke bruke informasjon til noe annet enn det den ble samlet inn for. Kameraovervåking, e-postinnsyn og andre kontrolltiltak krever dessuten særlig vurdering og gjerne drøfting med de ansatte, jf. arbeidsmiljøloven kapittel 9.

Erfaringsmessig ser vi at mange arbeidsgivere har lagret for mye, for lenge, eller brukt opplysninger til noe annet enn det som var avtalt. Det kan få alvorlige konsekvenser.

Databehandleravtaler

En databehandler er en ekstern part som behandler persondata på dine vegne, som et regnskapskontor, et lønnssystem eller et markedsføringsbyrå. Bruker du slike samarbeid, må du ha en databehandleravtale (DBA).

Den må si noe om:

  • Hva slags data de behandler, og til hvilket formål
  • Hvordan dataene skal sikres mot tap og lekkasje
  • Hva som skjer ved brudd eller avsluttet samarbeid
  • Om de kan benytte underdatabehandlere

De fleste store leverandører tilbyr standardiserte DBA-er som utgangspunkt. Vi hjelper med gjennomgang og tilpasning der det er nødvendig.

Personvernkonsekvensvurdering (DPIA)

I noen tilfeller er du forpliktet til å gjøre en personvernkonsekvensvurdering (DPIA) før du starter en behandlingsaktivitet. Det gjelder typisk ved:

  • Ny teknologi eller nye behandlingsformål
  • Behandling av sensitive personopplysninger i stor skala
  • Systematisk overvåkning av offentlig tilgjengelige steder

Les mer om når og hvordan du gjør en DPIA på vår side om personvernkonsekvensvurdering.

Når bør du kontakte advokat?

Du trenger ikke advokat for alt. Men her er situasjoner der det er klokt å ta kontakt:

  • Du er usikker på om virksomheten følger GDPR og ønsker en gjennomgang
  • Du har mottatt klage fra kunde eller tidligere ansatt
  • Det har skjedd et databrudd og du er usikker på hva du må gjøre
  • Du har fått brev fra Datatilsynet
  • Du vil ha gjennomarbeidede rutiner og maler som faktisk fungerer i hverdagen

Vi i Judicia bistår små og mellomstore virksomheter med akkurat dette, og vi er vant til å levere råd tilpasset SMB-hverdagen uten unødvendig kompleksitet. Gjennom Eurojuris-nettverket har vi tilgang til spesialistkompetanse der saken krever det.

Ofte stilte spørsmål

Trenger alle bedrifter å følge GDPR?

Ja. GDPR gjelder for alle virksomheter som behandler personopplysninger om fysiske personer, uavhengig av størrelse. Selger du noe til kunder, har ansatte eller bruker e-postlister, er du omfattet.

Hva kan skje hvis vi bryter GDPR?

Datatilsynet kan ilegge gebyrer på opp til 4 prosent av global årsomsetning eller inntil 20 millioner euro, avhengig av hva som er høyest. For en SMB er selv en begrenset bot alvorlig, og i tillegg kan brudd skade tilliten hos kunder og samarbeidspartnere.

Trenger vi personvernombud?

Ikke alle virksomheter trenger det. Plikten gjelder for offentlige myndigheter, virksomheter som behandler sensitive personopplysninger i stor skala, og virksomheter som driver systematisk overvåkning av fysiske personer. Er du usikker, hjelper vi deg med å vurdere det.

Hva er et lovlig behandlingsgrunnlag?

For å behandle personopplysninger lovlig, må du ha ett av følgende grunnlag: samtykke fra den registrerte, oppfyllelse av en kontrakt, rettslig forpliktelse, vitale interesser, oppgave i offentlig interesse, eller berettiget interesse. De fleste kundedata behandles på grunnlag av kontrakt eller berettiget interesse. Markedsføring krever som regel samtykke.

Hva er forskjellen på behandlingsansvarlig og databehandler?

Behandlingsansvarlig er den virksomheten som bestemmer formålet med og midlene for behandlingen. Databehandler er en ekstern part som behandler data på vegne av behandlingsansvarlig. Du er behandlingsansvarlig i din virksomhet. Regnskapsbyrået som håndterer lønningene dine er en databehandler, og dere trenger en databehandleravtale.

GDPR trenger ikke være komplisert. Det handler om å ha kontroll på det viktigste og å vise at du tar personvern på alvor. Ta kontakt for en uforpliktende vurdering av hva din virksomhet trenger å gjøre.