Personvern

Advokat- og rådgivningstjenester

GDPR - personvern og informasjonssikkerhet

Behandling av personopplysninger er en nødvendig forutsetning for moderne forretningsdrift og -utvikling. Samtidig kan mangelfull etterlevelse av personvernlovgivningen få store konsekvenser for virksomhetens omdømme og resultere i høye gebyrer. 

Vi mener at godt personvern er et konkurransefortrinn, og bistår gjerne med å etablere en praksis som ivaretar både personvernhensyn og kommersielle interesser. Les videre for mer om våre tjenester relatert til personvernloven og GDPR, eller ta kontakt.

Vårt personvernteam består av erfarne personvernadvokater og forvaltningsinformatikere, samt eksperter på informasjonssikkerhet og internkontroll. Alt dette har vi samlet under ett tak. Som en del av PwC-nettverket har vi også tilgang til personvernkompetanse over hele verden.

Christine Ask Ottesen, Direktør, PwC

Våre personverntjenester

Etterlevelse av personvernlovgivningen krever tverrfaglig kompetanse. I tillegg til at vi bistår med ordinære advokattjenester, har vi også erfarne ressurser blant annet innenfor informasjonssikkerhet, prosjektledelse og organisasjonsutvikling.

Dette gjør oss i stand til også å bistå med større utviklingsprosjekter innen digitalisering og modernisering. Det er særlig dette som skiller oss fra mer tradisjonelle advokatkontorer. 

 


Hvordan kan vi bistå deg?

Generell personvernrettslig rådgivning

Vårt personvernteam består av svært erfarne advokater som kan bistå i komplekse problemstillinger og utredninger relatert til Personvernloven. Videre jobber vi tett med våre advokater i arbeidsrett, selskapsrett og M&A, samt PwCs økonomer og ingeniører med spesialistkompetanse i cybersikkerhet.

Vi kan med dette tilby både rene advokattjenester og et tverrfaglig team, alt ettersom hva som er best egnet. Ditt team med personvernrådgivere blir skreddersydd til det enkelte oppdraget innenfor våre spesialistområder, for eksempel:

  • Klassiske personvernrettslige problemstillinger, slik som rettslig grunnlag for behandling av personopplysninger.
  • Vurdering av egnetheten til potensielle databehandlere.
  • Markedsføring av produkter og tjenester rettet direkte mot forbrukere.
  • Bruk av informasjonskapsler (cookies).
  • Utveksling av data med sosiale medier.
  • GDPR due diligence ifm. transaksjonsprosesser.
  • Personvernrettslige problemstillinger i ansettelses- og oppsigelsesforhold, konsulentoppdrag m.m.
  • Vurdering og design av innebygd personvern i informasjonssystemer og sikkerhetsstrukturer.

Se mer

Utarbeidelse av personvernerklæringer, personvernpolicyer, samtykketekster, databehandleravtaler mm.

Behandlingsansvarlige virksomheter har en rekke ansvar og plikter i henhold til GDPR, og er påkrevd å dokumentere at samtlige ansvar og plikter blir overholdt. I praksis munner dokumentasjonsplikten ut i blant annet følgende dokumenter: 

  • Personvernpolicy som styrende dokument for virksomhetens behandling av personopplysninger.
  • Personvernerklæringer, i henhold til virksomhetens plikt til å informere de registrerte om behandling av deres personopplysninger.
  • Databehandleravtaler, i henhold til virksomhetens plikt til å kun engasjere databehandlere som skriftlig forplikter seg til å overholde personvernregelverket og den behandlingsansvarliges instruksjoner.
  • Samtykketekster, i henhold til virksomhetens plikt til å innhente et gyldig samtykke fra registrerte om behandling av personopplysninger som krever samtykke.

Vi hjelper virksomheten med å 

  • vurdere hvilke dokumenter virksomheten mangler 
  • vurdere om eksisterende dokumenter overholder kravene i personvernregelverket 

  • utarbeide nødvendig dokumentasjon som tilpasset virksomheten og de ansatte som skal forholde seg til dokumentasjonen. 

 

Se mer

Utarbeidelse av rutiner for behandling av personopplysninger

I forbindelse med at behandlingsansvarlige virksomheter har en rekke ansvar og plikter som følger av personvernregelverket, er det nødvendig å ha rutiner på plass for å sikre at ansvar og plikter blir overholdt i praksis, herunder for eksempel:

  • Sletterutine.

  • Rutine for kontroll av databehandlere. 

  • Rutine for innsyn i arbeidstakers elektronisk lagrede materiale.

  • Rutine for behandling av registrertes forespørsler om innsyn, sletting, retting, dataportabilitet og andre rettigheter som følger av GDPR . 

  • Rutine for håndtering av sikkerhetsbrudd.

Vi hjelper virksomheten med å utarbeide rutiner som er skreddersydd til den daglige driften. Målet er at rutinene skal fungere optimalt i de ansattes arbeidshverdag, og i tillegg være utformet på en måte som gjør dem enkle å følge for hver enkelt ansatt.

Se mer

GAP-analyse - er alt på plass for å overholde Personvernloven?

GAP-analyse går ut på å gjøre en grundig analyse av om virksomheten overholder personvernregelverket. Her blir det kort sagt avdekket hva - og eventuelt hvem - virksomheten mangler for å overholde personvernregelverket. 

Vi bistår virksomheten med å undersøke hva som er status for GDPR compliance, og deretter med å utarbeide en strukturert oversikt over hva - og eventuelt hvem - som mangler. Deretter blir vi enige med virksomheten om hva som er den beste strategien fremover. 

Se mer

Kartlegging av behandlingsaktiviteter og utarbeidelse av behandlingsprotokoll

Behandlingsansvarlige virksomheter og databehandlere plikter å etablere og vedlikeholde en oversikt over sine behandlingsaktiviteter, en såkalt protokoll. Formålet er først og fremst at ledelsen i virksomheten til enhver tid skal ha oversikt over de behandlinger som finner sted. Videre er protokollen utgangspunktet for all GDPR compliance. Datatilsynet kan for øvrig kreve at virksomheten legger frem en slik protokoll.

Protokollen må inneholde en rekke informasjonselementer, som er nærmere angitt i personvernforordningen. Selv om det er relativt uproblematisk å avdekke innholdskravene i protokollen, er det langt mer krevende å fylle den ut; ofte har ikke virksomheten gjort en god nok vurdering av informasjonen man legger inn. Hvis bedriften gjør feil her, kan dette få følgefeil i alt det etterfølgende compliance-arbeidet, og samlet sett kan dette bli en dyr affære.   

Vi hjelper dere med å etablere en kvalitetssikret protokoll, og sørger for at nødvendige kartlegginger og vurderinger foreligger.

Se mer

Personvernombud

Alle offentlige virksomheter, og en rekke private, plikter å utpeke et personvernombud. Dette gjelder både behandlingsansvarlige og databehandlere. 

"Datatilsynet oppfordrer alle virksomheter til å utpeke personvernombud." 

Ombudet skal være en uavhengig rådgiver i alle spørsmål som gjelder behandling av personopplysninger i virksomheten, og i tillegg kontrollere at behandlingen skjer i samsvar med personvernregelverket. Vedkommende må ha ekspertkompetanse i hvilke krav personvernlovgivningen stiller, og hvordan disse skal etterleves i praksis. 

For de som enten er forpliktet til å ha eller ønsker å ha et personvernombud, er PwCs personvernombudstjeneste et godt valg. Våre advokater fungerer i dag som eksterne personvernombud for en rekke ulike offentlige og private virksomheter. 

Tjenesten skreddersys for klienten ut fra dennes størrelse, organisering og interne kompetanse.  

Følgetjeneste til personvernombud 

Interne personvernombud opplever ofte å stå alene i rollen og ønsker seg gjerne en kompetent diskusjonspartner. Derfor tilbyr vi også en følgetjeneste for interne personvernombud, som innebærer tett oppfølging og bistand til ombudet.  

Tjenesten skreddersys for klienten ut fra dennes størrelse, organisering og interne kompetanse.  

Se mer

Personvernkonsekvensutredning (DPIA)

Dersom en behandlingsansvarlig virksomhet behandler personopplysninger på en måte som kan medføre høy risiko for fysiske personers rettigheter og friheter, så plikter virksomheten å gjøre en DPIA (Data Protection Impact Assessement). Dette innebærer å gjøre en dokumentert og systematisk kartlegging av hvilke konsekvenser behandlingen kan få for de registrerte, samt å identifisere tiltak for å redusere risikoen.

DPIA er aktuelt blant annet ved behandling av særlige kategorier personopplysninger i stor skala, ved utprøving av ny teknologi og ved behandlinger som har til hensikt å evaluere personer eller forutsi deres handlinger.

PwC har utviklet et eget rammeverk for gjennomføring av DPIA på bakgrunn av omfattende erfaring med å gjennomføre DPIA for både offentlig og privat virksomhet. Vi kan også bistå med å vurdere hvorvidt virksomheten plikter å gjennomføre en DPIA. 

Gjennomføringen av en DPIA krever ekspertise innenfor både juss og informasjonssikkerhet, og vår tverrfaglige kompetanse sikrer en sterk faglig dekning i alle ledd. 

Se mer

Bistand ved internasjonale dataoverføringer

Dersom virksomheten overfører personopplysninger til land utenfor EU og EØS, må det foreligge et gyldig overføringsgrunnlag. Etter at den såkalte Schrems II-dommen kom 16. juli 2020, ble alle europeiske virksomheter pålagt et betydelig due diligence-ansvar i tilknytning til slike overføringer. 

Våre advokater bistår med å vurdere i hvilken grad virksomheten overfører personopplysninger til land utenfor EU og EØS, og hvorvidt slike overføringer er lovlige. 

Dersom overføringene viser seg å være ulovlige, hjelper vi virksomheten med å vurdere hvilke beskyttelsestiltak som er nødvendige for å sikre lovlig overføring, eventuelt med å finne andre løsninger som sikrer at virksomheten overholder reglene i GDPR og videre implementere nødvendige tiltak og løsninger.   

Se mer

Bistand ved sikkerhetsbrudd og dataangrep

Virksomheter blir i økende grad utsatt for sikkerhetsbrudd. Ukentlig ender sikkerhetsbrudd opp på forsider i avisene og på bordet til Datatilsynet som har økt fokuset på virksomheters håndtering av informasjonssikkerheten. 

Sikkerhetsbrudd fører med seg en kaotisk situasjon for alle involverte. Det er vanskelig å vurdere hvordan bruddet best bør håndteres, og hvilke plikter man har som følge av bruddet, herunder om man er forpliktet til å rapportere bruddet til Datatilsynet og varsle de registrerte. 

PwCs tverrfaglige team leder virksomheten gjennom sikkerhetsbruddet. Vi har markedsledende sikkerhetseksperter som etablerer strategier for å best håndtere sikkerhetsbrudd. Advokatene våre tar seg av de rettslige sidene av sikkerhetsbruddet, herunder varslings- og rapporteringspliktene til virksomheten.

Se mer

Kontroll av databehandlere

Når man benytter databehandlere plikter man å ha like god kontroll med behandlingen som om den skjedde i virksomhetens eget hus. Dette fører i praksis med seg en plikt til å aktivt kontrollere at personopplysningene behandles i samsvar med det som er avtalt.

Vi kan bistå med å forberede og gjennomføre kontroll av databehandlere, herunder

  • vurdere hvorvidt og hvordan en databehandler skal kontrolleres

  • vurdere hvilket handlingsrom databehandleravtalen gir for kontrollen

  • utarbeide varsel til databehandler

  • gjennomføre undersøkelser, typisk i form av dokumentgjennomgang, intervjuer og inspeksjoner

  • utarbeide rapport med funn fra kontrollen

  • anbefale eventuelle tiltak basert på de funn som er gjort 

Dersom kontrollen avdekker at databehandler bryter databehandleravtalen eller for øvrig opptrer i strid med personvernregelverket vil vi bistå med å vurdere og iverksette eventuelle tiltak, herunder 

  • vurdere om bruddet utløser meldeplikt til Datatilsynet og underretningsplikt til de registrerte 

  • vurdere reaksjoner mot databehandler, herunder oppsigelser og erstatningskrav. I forlengelsen av dette kan vi også bistå med tvisteløsning og prosedyre.  

Se mer

Dialog med Datatilsynet

Det er i mange tilfeller nødvendig eller hensiktsmessig å gå i dialog med Datatilsynet, typisk dersom virksomheten har behov for veiledning eller må melde fra om et sikkerhetsbrudd. I tillegg kan tilsynet på eget initiativ besøke virksomheten, eller be om dokumentasjon, som ledd i sin kontrollaktivitet. 

Våre advokater avklarer hvilke plikter og rettigheter virksomheten har i relasjon til Datatilsynet, bistår i kommunikasjonen og kan selvsagt også representere virksomheten i en eventuell sak.   

To av våre advokater har mange års erfaring fra Datatilsynet. De kjenner svært godt til de forventninger tilsynet har til virksomhetene, hvilke rettslige rammer tilsynet må forholde seg til og hvilke metoder tilsynet benytter. 

Tvisteløsning i personvernnemnda og i domstolene

Vi har advokater med prosedyreerfaring som kan representere virksomheten for personvernnemnda og i domstolene. 

Se mer

Kurs og opplæring relatert til Personvernloven og GDPR

Gode rutiner og kontrollsystemer kommer til kort hvis de ansatte ikke kan bruke dem på riktig måte. 

Vi bistår med opplæring og kompetanseheving for de ansatte i din virksomhet slik at virksomheten samlet sett er bedre rustet for å overholde kravene i personvernregelverket.

Se kurskalenderen vår her, eller ta kontakt med oss for muligheten til et skreddersydd kurs for deres organisasjon.

Se mer


Kontakt oss

Lars Erik Fjørtoft

Partner | Leder IT Risk, Oslo, PwC Norway

974 74 469

Kontakt meg

Christine Ask Ottesen

Direktør Personvern, Oslo, PwC Norway

928 09 229

Kontakt meg


{{filterContent.facetedTitle}}

{{contentList.loadingText}}