Hva er en personvernerklæring?
En personvernerklæring forklarer hvordan du behandler personopplysninger i bedriften din – i en gitt situasjon, for eksempel når du sender nyhetsbrev på e-post.
Det er et dokument der de personer du behandler opplysninger om kan finne informasjon om for eksempel hvilken type personopplysninger som behandles, til hvilke formål, behandlingsgrunnlaget, hvilke rettigheter de har og hvilke databehandlere som benyttes.
Det kan være navn og kontaktopplysninger, men også mye annen informasjon som kan knyttes til den enkelte person mer indirekte.
Hvorfor er det viktig å ha en personvernerklæring?
Rent juridisk er det lovpålagt å informere brukerne om behandlingen av de persondata du innsamler på nettsiden eller i mobilappen din – og de skal aktivt og frivillig gi samtykke på forhånd, fortrinnsvis via en profesjonell samtykkeboks/-løsning som følger cookie-reglene. Mangel på informasjon her kan medføre bøter fra tilsynsmyndighetene.
En klar og tydelig personvernerklæring er med til å bygge tillit til bedriften din. Ikke bare loven, men også brukerne selv etterspør innsikt i de personopplysningene du innsamler om dem.
Få en gratis personvernerklæring med vår samtykkeløsning
Når du benytter deg av Cookie Informations profesjonelle samtykkeløsning, er en personvernerklæring tilpasset din bedrift inkludert:
Den inkluderte personvernerklæringen oppfyller alle lovkrav, og behøver ikke å tilpasses ytterligere.
Men – hvis du vil bruke litt ekstra tid, har personvernekspert Ida Thorsrud et glimrende eksempel. Ikke bare til inspirasjon, hun oppfordrer deg til og med til å kopiere, og er gjengitt her med bare få modifikasjoner:
Eksempel på en tilpasset personvernerklæring
Norges ærligste personvernerklæring, skriver forfatteren selv på LinkedIn.
Tips: “Skriv til en leser du er glad i, som du virkelig ønsker skal forstå det du skriver. Jeg bruker søstra mi.” Etterpå får Ida Thorsrud søsteren til å lese igjennom. Alt hun må lese to ganger eller synes er vanskelig, endrer hun. Brukertesting i praksis!
Her er Ida Thorsruds eksempel på personvernvernerklæring fra A til Å:
Hvem er ansvarlig for å behandle dine personopplysninger når du melder deg på nyhetsbrevet mitt?
Det er meg, Ida Thorsrud, som er ansvarlig for å behandle dine personopplysninger på en måte som er i samsvar med personvernregelverket når du melder deg på nyhetsbrevet mitt. Du kan ta kontakt med meg ved å svare på enhver e-post jeg sender deg (selve nyhetsbrevet) eller på personverntakk [alfakrøll] xx.no
Når jeg sier at jeg må behandle dine personopplysninger «i samsvar med personvernregelverket», mener jeg at jeg må følge de reglene som står i EU-forordningen om personvern som heter General Data Protection Regulation (forkortet GDPR) og den norske personopplysningsloven.
Hva gir meg rett til å behandle dine personopplysninger?
For å behandle dine personopplysninger, må jeg kunne vise til et «behandlingsgrunnlag». Sagt på en annen måte, jeg må kunne vise til hva som gir meg rett til å behandle dine personopplysninger.
Da du meldte deg på nyhetsbrevet mitt om personvern, samtykket du til at jeg kan behandle personopplysningene dine. Det at jeg ber deg om å bekrefte e-postadressen din, er for å forsikre meg om at du virkelig vil melde deg på. Behandlingsgrunnlaget for dette nyhetsbrevet er altså ditt samtykke. Det står i GDPR artikkel 6 nr. 1 bokstav a) at samtykke er et gyldig behandlingsgrunnlag.
Hvordan går du frem for å trekke tilbake samtykket?
Helt nederst i e-postene jeg sender deg, er det en knapp du kan trykke på for å si opp abonnementet ditt på nyhetsbrevet. Formelt har du da trukket tilbake samtykket ditt aka. ombestemt deg!
Bruker du en leverandør for å behandle mine personopplysninger?
Ja, jeg bruker selskapet Make AS for å sende deg nyhetsbrev.
Jeg kjøper tilgang til programmet deres, som jeg bruker til å registrere nye abonnementer på e-postlista mi, holde oversikt over eksisterende abonnementer, gjør det mulig å melde seg av, sende nyhetsbrev og opprettholde lista ved at jeg sletter folk som ikke har åpnet nyhetsbrev fra meg på flere måneder.
Bruker leverandøren noen underleverandører?
Ja, Leverandør XX AS har disse underleverandørene:
Navn
Underleverandør A AS
Hva gjør de?
Drift og vedlikehold av XX AS’ servere for nyhetsbrevapplikasjonen og databasen.
Navn
Underleverandør B AS
Hva gjør de?
Drift og vedlikehold av XX AS’ e-postservere.
Hvilke personopplysninger jeg behandler om deg og hvorfor?
Først og fremst behandler jeg informasjon som du gir til meg for at du skal kunne melde deg på nyhetsbrevet. Dette er:
-
Navnet ditt: Jeg spør etter fornavnet ditt fordi jeg starter hvert nyhetsbrev med å adressere deg som person. Du kan gi meg til fulle navn med etternavn og alt, du kan velge å la feltet være blankt eller du kan juge og oppgi et tullenavn. Det er opp til deg!
-
E-postadressen din: Dette sier seg selv, men for at jeg skal kunne sende deg nyhetsbrev på e-post, må jeg ha e-postadressen din.
Jeg behandler også personopplysninger om hvor ofte du åpner nyhetsbrev fra meg. Det er flere grunner til dette.
For det første er det er viktig for meg at du som er på e-postlista, faktisk ønsker å være der. Jeg sender som regel ut et nyhetsbrev i uka, og hvis du ikke har åpnet et nyhetsbrev på 2 måneder, er det ganske sannsynlig at du ikke egentlig får noe ut av det. Da forbeholder jeg meg den friheten å slette deg fra lista.
For det andre kan det være at du bytter e-postadresse, og ikke lenger åpner nyhetsbrevet av den grunn. Flere av dere som abonnerer på nyhetsbrevet bruker e-posten deres på jobb. Og det skjer jo at du ved (u)jevne mellomrom bytter jobb, og dermed e-postadresse. Jeg må sørge for at jeg bare behandler personopplysninger som er oppdaterte. Hvis du ikke lenger bruker e-postadressen, må jeg ha en mulighet til å finne det ut, for så å fjerne e-postadressen din fra lista.
Hvor lenge vil personopplysningene dine bli lagret?
Jeg vil lagre personopplysningene dine så lenge du abonnerer på nyhetsbrevet mitt, eller til jeg avslutter det. Hvis jeg avslutter nyhetsbrevet før du sier opp abonnementet ditt, vil jeg slette dine personopplysninger.
Jeg sender nyhetsbrev ca. en gang i uka. Hvis du ikke har åpnet et nyhetsbrev på 2 måneder, vil jeg slette deg fra e-postlista. Det betyr at jeg ikke lenger behandler personopplysningene dine.
Sender jeg dine personopplysninger til noen?
Ja. Jeg bruker XX AS for å levere nyhetsbrevet til deg. Så når du melder deg på, blir dine personopplysninger delt med dem og deres underleverandører.
Ut over dette, er det ingen jeg deler dine personopplysninger med.
Overfører jeg dine personopplysninger til tredjeland?
Nei. XX AS er et norsk selskap. Serverne deres er i Norge. Også underleverandørene til XX AS behandler bare personopplysninger i Norge.
Behandler jeg dine personopplysninger på en automatisert måte? Eller profilerer jeg deg?
Nei.
Hvordan går du frem for å oppfylle personvernrettighetene dine?
Du har flere rettigheter etter personvernregelverket. Her skal jeg fortelle seg om hvilke du har, og hvordan jeg forstår dem.
1. Du har rett til å be meg om dataportabilitet
Dette er en rettighet som skal forhindre at et kommersielt firma «fanger» personopplysningene dine. Kort fortalt går det ut på at du skal kunne ta med deg personopplysningene dine til en konkurrent. Fordi det er mulig å abonnere på flere nyhetsbrev samtidig, er ikke dette en rettighet som er realiserbar i mitt tilfelle.
2. Du har rett til å be om at jeg skal slette dine personopplysninger
Helt nederst i e-postene jeg sender deg, er det en knapp du kan trykke på for å si opp abonnementet ditt på nyhetsbrevet. Når du gjør det, vil du og dine personopplysninger automatisk slettes.
3. Du har rett til å be om at jeg skal rette dine personopplysninger
Hvis du har skrevet navnet ditt feil, kan du sende meg en e-post og så vil jeg manuelt rette det. Hvis du har skrevet e-postadressen din feil, vil jeg ikke klare å levere e-posten til din adresse. Du blir da sletta fra lista.
4. Du har rett til å be meg om innsyn i dine personopplysninger
Send meg en e-post, så skal jeg gi deg innsyn i hvilke konkrete personopplysninger jeg behandler om deg.
5. Du har rett til å be om begrensning i behandlingen
Hvis du tenker at jeg behandler dine personopplysninger ulovlig, kan du be om begrensning inntil jeg finner ut av om jeg gjør dette på lovlig måte. Det betyr at jeg ikke kan bruke dem til jeg kan svare på om jeg behandler dine personopplysninger lovlig.
Jeg er usikker på hvor praktisk denne rettigheten er. Jeg bruker samtykke som behandlingsgrunnlag, og hvis du mener jeg behandler dine personopplysninger ulovlig, tenker jeg at den enkleste løsningen er at jeg sletter deg fra e-postlista.
6. Du har rett til å protestere på min behandling av dine personopplysninger
Hvis du er uenig i hvordan jeg bruker dine personopplysninger, kan du protestere på behandlingen. Det betyr at du sender meg en e-post hvor du forklarer meg hva du er misfornøyd med. En protest kan gjøre at jeg ikke lenger kan bruke dine personopplysninger, noe som betyr at du vil slettes fra e-postlista.
7. Du har rett til informasjon om hvordan jeg behandler dine personopplysninger
Voilà! Dette er websiden hvor jeg informerer deg om hvordan jeg behandler dine personopplysninger!
For å be at jeg hjelper deg å realisere en av rettighetene på denne lista, sender du meg en e-post på personverntakk [alfakrøll] xx.no
Husk å sende meg en melding fra den e-postadressen du abonnerte fra, slik at jeg har sikkerhet for at du er du og at du søker innsyn i dine egne personopplysninger, og ikke i noen andres.
Kan du klage på denne behandlingen?
Ja. Hvis du vil kan du klage denne behandlingen inn for det norske Datatilsynet.
Datatilsynet jobber med en elektronisk løsning for at du skal kunne sende en klage, men de har foreløpig ikke en sikker nok løsning på plass. Det betyr at du må sende en skriftlig klage til:
Datatilsynet
Postboks 458 Sentrum
0105 Oslo
Om Ida Thorsrud
Ida Thorsrud er en jurist og personvernekspert som daglig hjelper store og små virksomheter i Norge med personvern. Som fagansvarlig for personvern i konsulent- og IT-firmaet Sopra Steria, har hun meninger om hva den jevne medarbeider bør vite om personvern.
I et tidligere og stadig like aktuelt webinar i samarbeid med Cookie Information presenterer hun tre, enkle ting om personvern som vil gjøre arbeidet med personvern i din virksomhet enklere:
