GDPR bygger på prinsippene om at all behandling av personopplysninger skal ha et rettslig grunnlag og et klart definert formål, at behandlingen skal være åpen og kjent for personene opplysningene gjelder, at det ikke skal behandles flere personopplysninger enn nødvendig for formålet, og at opplysningene skal slettes når formålet er oppnådd. I tillegg skal personopplysninger behandles på en sikker måte.
For å etterleve personvernprinsippene og regelverket for øvrig, kreves en god oversikt over behandlingen av personopplysninger i virksomheten, presise og praktiske rutiner som gjør ansatte i stand til å følge regelverket, og et aktivt forhold til informasjonssikkerhet. I tillegg stilles det krav om at virksomheten kan dokumentere sin etterlevelse.
Vi har lang erfaring med å bistå virksomheter med effektiv etterlevelse av personvernregelverket, både ved utvikling av nye forretningsområder og implementering av GDPR. Implementering av GDPR i virksomheter krever ikke bare en forståelse for regelverkets krav, men også praktisk erfaring med hvordan regelverket best kan etterleves i ulike bransjer, samt innsikt i den konkrete virksomhetens egenart og behov.
Vi gir deg nødvendig innsikt for å sikre at personvernregelverket følges, samtidig som virksomhetens forretningsmessige behov ivaretas.
Våre ekspertiseområder
Vi bistår virksomheter med inngåelse, utarbeidelse og revisjon av databehandleravtaler, og andre avtaler om behandling av personopplysninger, som for eksempel avtale om felles behandlingsansvar eller utlevering av personopplysninger til tredjepart.
Ved akutte sikkerhetshendelser er det behov for å handle raskt, samtidig som arbeidstakeres personvern må ivaretas. Vi har lang erfaring med praktisk rådgivning for å sikre at virksomheten får undersøkt og stanset mulige datainnbrudd, uten at det oppstår unødig risiko for at virksomheten selv bryter lovregler.
Når personopplysninger kommer på avveie eller personopplysningssikkerheten på andre måter brytes, må virksomheten som hovedregel varsle Datatilsynet innen 72 timer. I noen tilfeller må også personene opplysningene gjelder varsles. Vi bistår våre klienter med å vurdere om varsling er påkrevd, samt å gjennomføre varsling til Datatilsynet innen lovens frist.
Hjort har lang erfaring med å bistå virksomheter som er innklaget til Datatilsynet og Personvernnemnda. Vi bistår med å besvare henvendelser på en strukturert og god måte, slik at saken undergis rett og en godt dokumentert behandling hos tilsynet.
Kameraovervåkning utgjør også behandling av personopplysninger, og det gjelder strenge krav til slik overvåkning. Vi bistår våre klienter med å vurdere om det er rettslig adgang til å overvåke, samt hvordan overvåkningen kan innrettes for å ivareta prinsippet om dataminimering.
En del behandlingstyper krever en grundig vurdering av personvernkonsekvensene. Dette gjelder særlig behandling av personopplysninger som innebærer overvåkning eller bruk av ny teknologi. Vi vurderer personvernkonsekvensene av behandling, eller tilbyr rådgivning til våre klienter når de selv gjennomfører disse vurderingene.
Noen ganger må arbeidsgivere gjøre innsyn i arbeidstakers e-postkasse. Slike innsyn er strengt regulerte. Vi bistår med vurdering av om det er grunnlag for innsyn, og bistår gjennom hele innsynsprosessen for å sikre at regelverket overholdes og at det sikres god dokumentasjon av prosessen.
Mange selskaper arbeider med å øke mangfoldet blant sine ansatte. Når resultatet av dette arbeidet skal måles, kan det oppstå spørsmål om hvilke personopplysninger om ansatte arbeidsgiver kan og bør samle inn. Vi har god erfaring med å bistå våre klienter med å finne balansen, slik at mangfoldsarbeidet ikke går på bekostning av ansattes personvern.
Personvernregelverket og markedsføringsregelverket inneholder mange regler for hvordan virksomheter kan behandle personopplysninger når de skal markedsføre sine produkter. Vi har lang erfaring med å bistå klienter med å oppnå sine forretningsmessige behov, uten å risikere brudd på personvernregelverket og regelverket for markedsføring.
Personvernombud er en særskilt rolle som en del virksomheter plikter å ha. Personvernombudet skal ha en overordnet, og ikke en operativ rolle. En del virksomheter velger å etablere et personvernombud selv om dette ikke er lovpålagt. Vi tilbyr personvernombudtjenester, slik at vi kan påta oss denne rollen for virksomheter som ikke ønsker internt personvernombud, eller som ikke har denne kompetansen internt.
Forskningsprosjekter innebærer ofte omfattende behandling av store mengder personopplysninger, og ofte også helseopplysninger eller andre sensitive opplysninger om personer som deltar i forskningsstudier. Hjort bistår forskningsinstitusjoner med å etablere gode rutiner for innsamling og behandling av personopplysninger for forskningsformål, vurdere behandlingsansvar og behandlingsgrunnlag, samt å utarbeide samtykkeskjema og informasjonsskriv til deltakere. Vi bistår også forskningsinstitusjoner i kontakt med REK og NEM.
Når det gjennomføres eksterne granskninger, behandles det store mengder personopplysninger. Det oppstår jevnlig problemstillinger om behandling av personopplysninger i granskninger, for eksempel relatert til de involverte parters rett til informasjon og innsyn, innsyn i elektronisk lagret materiale, og granskerens formelle rolle som behandlingsansvarlig eller databehandler. Våre granskninger ivareta alle berørtes personvern.