Nye personvernregler trer i kraft i 2018

DFØ oppfordrer kunden til å videresende dette kundenotatet til alle i egen organisasjon som arbeider med GDPR-forordningen.

Oppdatert

Hva gjør DFØ?

I juli trer den europeiske personvernforordningen (The General Data Protection Regulation, GDPR) i kraft i Norge. Forordningen skal implementeres i hele EU- og EØS-området. Den har som hovedformål å gi innbyggerne i EU og EØS større kontroll over sine egne personopplysninger og sikre at informasjonen beskyttes.

Mer informasjon om nytt regelverk, innføring i norsk lovgivning og endringene som følger av implementering finner dere på Datatilsynets hjemmeside.

Trer i kraft i 2018

Tidligere sto det at de nye personvernreglene skulle tre i kraft 25. mai i Norge. Nå har regjeringen sagt at de tidligst trer i kraft i juli i år.

DFØ er databehandler

DFØ behandler personopplysninger på vegne av våre kunder og er, i tråd med personvernforordningen, definert som databehandler. DFØs behandlingsgrunnlag finner dere i Tjenesteavtalene vi har med dere.

Vi skal sikre at vi etterlever de kravene som stilles i forordningen. Vi har vurdert alle prosesser og systemer som behandler personopplysninger. Basert på resultatet har DFØ kartlagt og gitt prioritet til alle tiltak som vi må gjennomføre for å etterleve kravene i forordningen. En annen del av arbeidet er å vurdere GDPR-forordningen og hvordan den samhandler med norsk særlovgivning, herunder arkivloven og økonomiregelverket. I denne forbindelsen har DFØ hatt dialog med Riksarkivet og Datatilsynet.

Sletting av personopplysninger

Personopplysninger skal ikke lagres uten lovhjemmel og ikke lenger enn nødvendig for formålet de er samlet inn for. DFØ oppbevarer lønns- og regnskapsmateriale i henhold til økonomiregelverket.

DFØ vil gjennomgå lønn- og regnskapssystemer for å identifisere hvor personopplysninger er lagret og oppdatere sletterutinene i henhold til nytt regelverk. Personopplysninger som det ikke foreligger en lovhjemmel for å oppbevare vil bli slettet.

Databehandleravtale mellom DFØ og kunden

Prosjektet vil utarbeide en databehandleravtale som skal gjelde for alle kunder av DFØ. En viktig del av denne jobben er å sikre at DFØ ikke lagrer data utenfor behandlingsformålet. Sletterutiner må være oppdatert i henhold til både nye personvernregler og norsk særlovgivning som berører personopplysninger.

DFØ jobber også med å oppdatere gjeldende databehandleravtaler med våre underleverandører slik at vi sikrer etterlevelse av nytt regelverk igjennom hele leverandørkjeden.

31. mai sendte vi ut et kundenotat om ny databehandleravtale

Kunden er behandlingsansvarlig

Som behandlingsansvarlig er kunden ansvarlig for å ha lovhjemmel for behandlingen av sine ansattes personopplysninger.

Kunden skal være oppmerksom på følgende:

  • Kunden eier sin informasjon (deriblant personopplysninger) som DFØ behandler
  • Kunden har selv ansvar for å sikre at personopplysninger ikke lagres uten lovhjemmel når dere trekker ut informasjon fra DFØs systemer og lagrer dette internt og/eller sender videre
  • Kunden har ansvar for å gi DFØ beskjed innen 01. mai 2018 dersom dere mener at dere er omfattet av særlovgivning som gir dere hjemmel for oppbevaring av lønns og/eller regnskapsbilag utover økonomiregelverket. Den informasjonen sendes inn igjennom Kundesenter på nett.
  • Kunden har ansvar for å motta innsynsbegjæringer fra de registrerte (ansatte).
  • Kunden har ansvar for å varsle DFØ om eventuelle avvik som medfører risiko for den registrertes rettigheter, når det er nødvendig.
  • Kunden har ansvar for å ikke sende inn mer enn det som er nødvendig av personopplysninger til DFØs systemer. Det vil falle utenfor behandlingens formål. Kundene må gjennomgå sine rutiner for hva som skal sendes inn, slik at dere ikke sender inn personopplysninger det ikke foreligger en lovhjemmel for å oppbevare.

Informasjonssikkerhet

DFØ har allerede sikkerhetsrutiner på plass, men prosjektet vil sikre at dokumentasjon og rutiner er oppdatert i henhold til den nye personvernforordningen.

Spørsmål og svar

Ta kontakt med DFØs Kundesenter ved spørsmål om hvordan de nye personvernreglene påvirker kundeforholdet til DFØ.

Ved generelle henvendelser vedrørende den nye personvernforordningen så gjør vi oppmerksom på at Datatilsynet har veiledende materiale på sine nettsider i tillegg til å ta imot henvendelser på veiledning@datatilsynet.no.

Kontaktinfo

Kontakt kundesenter lønn

Kontakt kundesenter regnskap

Fant du det du lette etter?