Slik innhenter og lagrer du personopplysninger
Personopplysninger må hentes inn og lagres på en måte som følger norsk lov og EU-reglement, her finner du nødvendig informasjon.
Eksempel på samtykke skjema for informert samtykke
Hensikt
Alle som behandler personopplysninger, må opptre i samsvar med personvernprinsippene:
- Lovlig, rettferdig og gjennomsiktig
- Formålsbegrensning
- Dataminimering
- Riktighet
- Lagringsbegrensning
- Integritet og konfidensialitet
- Ansvarlighet
Personopplysninger
Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson.
Det er regulert i lov hvordan personopplysninger kan samles inn og lagres.
Forarbeid
Før du starter kan det kan være lurt å ha tenkt over hvilke personopplysninger som vil bli innhentet.
Virksomhetens plikter
Virksomheten må sørge for å følge personvernreglene og ta vare på personopplysningene til kunder, brukere, medlemmer og ansatte.
Datatilsynet har laget er sjekkliste som sier hva virksomheten må gjøre:
www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/sjekkliste/
Behandlingsgrunnlag
For å behandle personopplysninger må du ha et behandlingsgrunnlag.
For ideelle organisasjoner anbefales behandlingsgrunnlag «samtykke».
En virksomhet kan behandle personopplysninger dersom den har innhentet gyldig samtykke fra personene det gjelder.
For at et samtykke skal være gyldig, må det være:
- frivillig
- spesifikt
- informert
- utvetydig
- gitt gjennom en aktiv handling
- dokumenterbart
- mulig å trekke tilbake like lett som det ble gitt
Les mer om dette på Datatilsynet sin hjemmeside:
Interne rutiner for behandling av personopplysninger
Virksomheter som behandler personopplysninger, må sørge for at opplysningene har god kvalitet og er korrekte. Opplysningene skal holdes oppdaterte.
Sletting av personopplysninger
Det er forbudt å oppbevare personopplysninger lenger enn det som er nødvendig for formålet de ble samlet inn for. Det vil si at når formålet er nådd, skal opplysningene slettes, selv om de som er registrert ikke har bedt om det. Virksomhetene må ha systemer og rutiner som sikrer at sletting blir gjennomført.
Tips og råd
- Lag gode rutiner for hvor personopplysninger lagres og hvem som har tilgang.
- Lag rutiner for å gjennomgå og slette. Rutinen kan for eksempel tas inn i bedriftens årshjul.
- Gi en konkret person ansvaret for oppgaven.
Nyttige lenker
- datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/grunnleggende-personvernprinsipper/
- datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/
- datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/sjekkliste/
- datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/behandlingsgrunnlag/veileder-om-behandlingsgrunnlag/
- datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/behandlingsgrunnlag/veileder-om-behandlingsgrunnlag/samtykke/