Personvern og GDPR — få kontroll på behandlingsaktiviteter og dokumentasjon

GDPR (personvernforordningen) stiller krav til alle virksomheter som behandler personopplysninger. De fleste norske virksomheter er omfattet.

Hvem gjelder GDPR for?

Nesten alle norske virksomheter som har ansatte, kunder eller brukere behandler personopplysninger og er omfattet av GDPR. Det gjelder blant annet:

  • Virksomheter med ansatte (HR-data, lønn, sykefravær)
  • Virksomheter med kunder eller kontaktpersoner (CRM, e-post, faktura)
  • Virksomheter som bruker skytjenester, nyhetsbrev eller analyseverktøy
  • Virksomheter som leverer tjenester til offentlig sektor eller helseområdet

Hva må virksomheter typisk gjøre?

GDPR stiller en rekke krav til virksomheter som behandler personopplysninger. De vanligste oppgavene er:

  • Føre behandlingsprotokoll over alle behandlingsaktiviteter (art. 30)
  • Ha rettslig grunnlag for hver behandling (art. 6)
  • Inngå databehandleravtaler med leverandører som behandler personopplysninger
  • Vurdere risiko knyttet til behandlingsaktiviteter
  • Dokumentere sikkerhetstiltak og internkontroll

Hvordan hjelper Styringsklar.no?

Styringsklar.no gir virksomheter en arbeidsflate for å jobbe strukturert med personvern og GDPR:

  • Registrer behandlingsaktiviteter med formål, rettslig grunnlag og kategorier
  • Hold oversikt over databehandlere og avtalestatus (DPA)
  • Få automatiserte risikoflagg og indikasjoner på om DPIA kan være aktuelt
  • Generer dokumentasjon og eksporter behandlingsprotokoll
  • Opprett tiltak og følg opp status over tid

Styringsklar.no er et arbeidsverktøy, ikke juridisk rådgivning.

Hva løsningen ikke gjør

  • Gir ikke juridiske konklusjoner eller bindende vurderinger
  • Erstatter ikke personvernombud (DPO) eller juridisk rådgiver
  • Avgjør ikke om en behandling er lovlig eller krever DPIA
  • Automatiserte forslag er utgangspunkt for videre vurdering, ikke fasit

Vanlige spørsmål om personvern og GDPR

Gjelder GDPR for vår virksomhet?
Ja, med svært få unntak. Alle norske virksomheter som behandler personopplysninger er omfattet av GDPR. Det gjelder uansett om dere har ansatte, kunder, brukere eller kontaktpersoner. Også bruk av tredjeparts tjenester som nyhetsbrev, CRM eller skylagring innebærer behandling av personopplysninger.
Hva er en behandlingsprotokoll (art. 30)?
En behandlingsprotokoll er en oversikt over alle behandlingsaktiviteter i virksomheten. Den skal inneholde informasjon om formål, kategorier av registrerte, personopplysninger som behandles, mottakere, overføringer til tredjeland, slettfrister og sikkerhetstiltak. De fleste virksomheter har plikt til å føre en slik protokoll.
Hva er en databehandleravtale (DPA)?
En databehandleravtale er en avtale mellom den behandlingsansvarlige og en databehandler (leverandør som behandler personopplysninger på deres vegne). Eksempler er skyleverandører, lønnssystemer og nyhetsbrevtjenester. GDPR krever at slike avtaler er på plass.
Når må vi gjennomføre en DPIA?
En vurdering av personvernkonsekvenser (DPIA) skal gjennomføres når en behandling sannsynligvis vil medføre høy risiko for de registrertes rettigheter. Datatilsynet har publisert en liste over behandlinger som alltid krever DPIA. Styringsklar.no gir indikasjoner på om DPIA kan være aktuelt.
Erstatter Styringsklar.no personvernombudet?
Nei. Styringsklar.no er et arbeidsverktøy som gir struktur og oversikt. Verktøyet erstatter ikke personvernombud, juridisk rådgiver eller andre fagpersoner. Automatiserte forslag er utgangspunkt for videre vurdering, ikke endelige konklusjoner.

Bygg behandlingsoversikt og personverndokumentasjon

Prøv Styringsklar.no gratis i 14 dager — full tilgang til alle moduler, inkludert behandlingsoversikt, GDPR-flagg og dokumentutkast.

Start gratis prøveperiode

Usikker? Sjekk med veiviseren først.