Personvern

Har din virksomhet kontroll på kravene til personvern?

Manglende kunnskap om personvernlovgivningen kan få store konsekvenser for virksomhetenes omdømme og resultere i høye bøter. Personopplysningsloven åpner også opp for nye forretningsmuligheter, og vi kan bistå din virksomhet med en forretningsdrevet etterlevelse av regelverket.

Den 20. juli 2018 fikk Norge en ny personopplysningslov. Loven gjør EUs nye personvernforordning (GDPR) gjeldende som norsk lov. Med nytt personvernregelverk gis enkeltpersoner større kontroll over egne personopplysninger, og det stilles strengere krav til virksomhetenes behandling av personopplysninger. Ved manglende overholdelse av personvernregelverket, kan virksomheten risikere svært høye gebyrer.

 

Den 25. mai 2018 trådte personvernforordningen (GDPR) i kraft som lov i EUs medlemsland.

PwCs personvernteam

PwCs personvernteam

Vårt personvernteam består av erfarne personvernadvokater, forvaltningsinformatikere, eksperter på informasjonssikkerhet og internkontroll. Alt dette har vi samlet under ett tak. Som en del av PwC-nettverket har vi også tilgang til personvernkompetanse over hele verden.

Christine Ask Ottesen Direktør, PwC Norway

Vårt personvernteam bistår dere med:

  • Kartlegging av din virksomhets behandling av personopplysninger.

  • Vurdering av din virksomhets overholdelse av personvernregelverket.

  • Etablering og implementering av internkontrollsystem for personvern.

  • Risikovurderinger og vurdering av personvernkonsekvenser.

  • Opplæring og kompetanseheving: Foredrag og kurs.

  • Internrevisjoner og attestasjoner.

  • Bistand i dialog med Datatilsynet.

  • Ekstern personvernombudstjeneste.

  • Generell personvernrettslig bistand.

I tillegg bistår vi med utarbeidelse av:

  • Bransjenormer.

  • Nødvendige rutiner.

  • Databehandleravtaler.

  • Avtaler for overføring av personopplysninger til utlandet.

  • Binding corporate rules (BCR).

  • Høringsuttalelser.

Personvernombud eller ikke?

Godt personvern krever løpende og målrettet arbeid. Å opprette et personvernombud bidrar til å øke bevissthet omkring personvern i virksomheten, samtidig som det bidrar til å skape tillit til personvernarbeidet både internt og eksternt.

Hvem må ha personvernombud?

  • Offentlige myndigheter og organer (unntatt domstolene).

  • Virksomheter hvor kjernevirksomheten består av behandlingsaktiviteter som krever regelmessig og systematisk monitorering av personer i stor skala.

  • Virksomheter hvor kjernevirksomheten består i å behandle særlige kategorier av personopplysninger eller opplysninger om straffbare forhold i stor skala.

Personvernombudets oppgaver

  • Informere og gi råd knyttet til personvern.

  • Kontrollere overholdelse av personvernregelverket.

  • Gi råd om og kontrollere gjennomføring av personvernkonsekvensvurderinger (DPIA).

  • Kontaktpunkt for samarbeid med Datatilsynet.

  • Bidra med opplæring internt i virksomheten.

Datatilsynet oppfordrer alle virksomheter å utpeke personvernombud, uavhengig av om virksomheten er pålagt å ha det eller ikke.


Personvernombudstjenesten
– Vi bistår som eksternt personvernombud

Vi bistår som eksternt personvernombud for offentlige og private virksomheter, uavhengig av om virksomheten din er forpliktet til å utpeke et ombud eller ikke.

Hos oss vil du få tilgang til en av våre advokater som navngitt personvernombud. Samtidig forplikter vi et tverrfaglig personvernteam med omfattende erfaring. Slik vil virksomheten din få en robust tjeneste, hvor problemstillinger knyttet til ulike fagområder kan besvares av teamet.

Som del av vårt personvernombudsnettverk vil din virksomhet også motta dagsaktuelle nyhetsbrev og få invitasjoner til PwCs forumsmøter.

Våre personvernombud bistår deg også med:

  • Kartlegging og identifisering av gap fra gjeldende regelverk
  • Oppsett av årshjul for virksomhetens systematiske personvernarbeid
  • Årlig orientering til virksomhetens ledelse
  • Bistand med gjennomføring av kontrollerende aktiviteter
  • Bistand til avvikshåndtering

Vurdering av personvernkonsekvenser (DPIA)

Ved behandling av personopplysninger er det en plikt å vurdere personvernkonsekvenser (DPIA) dersom det er sannsynlig at en behandling vil medføre en høy risiko for fysiske personers rettigheter og friheter. Vurderingsprosessen skal beskrive behandlingen av personvernopplysninger, og om den er nødvendig og proporsjonal. I tillegg bidrar den til å håndtere risiko og eventuelt fastlegge risikoreduserende tiltak.


Vurderingsprosessen

  • Skaffe oversikt over behandlings­aktiviteten

  • 0. DPIA screening

  • 1. og 2. Dokumentasjon av behandlings­aktiviteten

  • 3. Vurdering av risiko for de registrerte

  • 4. Godkjenning og beslutning


Som en del av våre DPIA-tjenester kan PwC tilby:

  • Bistand i vurdering av når DPIA er nødvendig (steg 0 over).
  • Metodikk for gjennomføring av DPIA (steg 1 til 4 over).
  • Oppstartsmøte der metodikk presenteres og virksomheten blir kjent med hvordan de best kan forberede seg til workshop (ved avtale om full DPIA).
  • Deltagelse i workshop for gjennomføring av DPIA i henhold til PwCs metodikk, der PwC teamet veileder relevante representanter fra virksomheten. På denne måten sikres kunnskapsdeling og forankring i virksomheten.
  • Utarbeidelse og presentasjon av rapport (ved avtale om full DPIA).
  • Team med bred og solid faglig bakgrunn bestående av en ressurs fra PwC og en ressurs fra Advokatfirmaet PwC. På denne måten sikrer vi en allsidig kompetanse som vil bringe nyttige erfaringer og refleksjoner inn i virksomhetens DPIA prosess.
  • Ytterligere bistand, eksempelvis kartlegging i forkant av DPIA, kan selvfølgelig også avtales.

Alle virksomheter er ulike, har ulik tilnærming til personvernregelverket og varierende kompleksitet på sine behandlingsprosesser. Vi tilbyr derfor bistand i ulikt omfang for å best mulig imøtekomme den enkelte virksomhets behov.

Christine Ask OttesenDirektør, PwC Norway

Kontakt oss

Christine Ask Ottesen

Direktør for personvern, PwC Norway

Tlf: 928 09 229