Personvern

GDPR - personvern og informasjonssikkerhet

Behandling av personopplysninger er en nødvendig forutsetning for moderne forretningsdrift og-utvikling. Samtidig kan mangelfull etterlevelse av personvernlovgivningen få store konsekvenser for virksomhetens omdømme og resultere i høye gebyrer. 

Vi mener at godt personvern er et konkurransefortrinn, og bistår gjerne med å etablere en praksis som ivaretar både personvernhensyn og kommersielle interesser.  

Vårt personvernteam består av erfarne personvernadvokater og forvaltningsinformatikere, samt eksperter på informasjonssikkerhet og internkontroll. Alt dette har vi samlet under ett tak. Som en del av PwC-nettverket har vi også tilgang til personvernkompetanse over hele verden.

Christine Ask Ottesen, Direktør, PwC

Våre personverntjenester

Etterlevelse av personvernlovgivningen krever tverrfaglig kompetanse. I tillegg til at vi bistår med ordinære advokattjenester, har vi også erfarne ressurser blant annet innenfor informasjonssikkerhet, prosjektledelse og organisasjonsutvikling.

Dette gjør oss i stand til også å bistå med større utviklingsprosjekter innen digitalisering og modernisering. Det er særlig dette som skiller oss fra mer tradisjonelle advokatkontorer. 

 


Hvordan kan vi bistå deg?

Generell personvernrettslig advokatbistand

Våre svært erfarne advokater kan bistå med rådgivning og tvisteløsning.

Det omfatter blant annet:

  • Utredninger av små og store problemstillinger knyttet til tolkning av personvernregelverket 

  • Forhandlinger i forbindelse med inngåelse og senere tolkning av databehandleravtaler

  • Prosessfullmektig: 

    • ved tvister knyttet til blant annet krav om erstatning for brudd på personvernregelverket 

    • i dialog med Datatilsynet, typisk i forbindelse med avviksmeldinger eller kontroller. 

Se mer

Personvernombud

Alle offentlige virksomheter, og en rekke private, plikter å utpeke et personvernombud. Dette gjelder både behandlingsansvarlige og databehandlere. 

Datatilsynet oppfordrer alle virksomheter til å utpeke personvernombud. 

Ombudet skal være en uavhengig rådgiver i alle spørsmål som gjelder behandling av personopplysninger i virksomheten, og i tillegg kontrollere at behandlingen skjer i samsvar med personvernregelverket. Vedkommende må ha ekspertkompetanse i hvilke krav personvernlovgivningen stiller, og hvordan disse skal etterleves i praksis. 

For de som enten er forpliktet til å ha eller ønsker å ha et personvernombud, er PwCs personvernombudstjeneste et godt valg. Våre advokater fungerer i dag som eksterne personvernombud for en rekke ulike offentlige og private virksomheter. 

 

Følgetjeneste til personvernombud

Interne personvernombud opplever ofte å stå alene i rollen og ønsker seg gjerne en kompetent diskusjonpartner. Derfor tilbyr vi også en følgetjeneste for interne personvernombud, som innebærer tett oppfølgning og bistand til ombudet.  

Tjenestene skreddersys for klienten ut fra dennes størrelse, organisering og interne kompetanse.  

 

Se mer

Personvernkonsekvensvurdering (DPIA)

Dersom en behandlingsansvarlig virksomhet behandler personopplysninger på en måte som kan medføre høy risiko for fysiske personers rettigheter og friheter, så plikter virksomheten å gjøre en DPIA. Dette innebærer å gjøre en dokumentert og systematisk kartlegging av hvilke konsekvenser behandlingen kan få for de registrerte, samt å identifisere tiltak for å redusere risikoen.

DPIA er aktuelt blant annet ved behandling av særlige kategorier personopplysninger i stor skala, ved utprøving av ny teknologi og ved behandlinger som har til hensikt å evaluere personer eller forutsi deres handlinger.

PwC har utviklet et eget rammeverk for gjennomføring av DPIA på bakgrunn av omfattende erfaring med å gjennomføre DPIA for både offentlig og privat virksomhet. Vi kan også bistå med å vurdere hvorvidt virksomheten plikter å gjennomføre en DPIA. 

Gjennomføringen av en DPIA krever ekspertise innenfor både juss og informasjonssikkerhet, og vår tverrfaglige kompetanse sikrer en sterk faglig dekning i alle ledd. 

Se mer

Personvernerklæringer og andre informasjonstiltak

Behandlingsansvarlige virksomheter plikter å gi de registrerte  informasjon om hvordan virksomheten behandler deres personopplysninger. Personvernregelverket oppstiller strenge krav til når og hvordan informasjonen skal gis, hva informasjonen skal inneholde og hvordan den skal gjøres forståelig for målgruppen. 

Vi bistår med å vurdere hvordan informasjonsplikten kan oppfylles i praksis. Eksempler på dette er å utarbeide brukervilkår, avtalevilkår og personvernerklæringer, alt ettersom hva som er egnet.

Se mer

Databehandlere

En virksomhet kan overlate behandling av personopplysninger til andre virksomheter, såkalte databehandlere. Den behandlingsansvarlige plikter imidlertid å gjøre en vurdering av databehandlers egnethet, før vedkommende får tilgang til personopplysningene. 

Det kreves videre at behandlingen reguleres i en skriftlig avtale mellom partene, og at den behandlingsansvarlige kontrollerer at behandlingen faktisk skjer i samsvar med det avtalte. 

Vi kan hjelpe din virksomhet med å etablere et trygt databehandlerforhold, herunder å forhandle frem eller revidere databehandleravtaler. 

Se mer

Kontroll av databehandlere

Når man benytter databehandlere plikter man å ha like god kontroll med behandlingen som om den skjedde i virksomhetens eget hus. Det forventes at man aktivt kontrollerer hvorvidt personopplysningene behandles i samsvar med det som er avtalt.

Vi kan bistå med å forberede og gjennomføre kontroll av databehandlere, herunder

  • vurdere hvorvidt og hvordan en databehandler skal kontrolleres

  • vurdere hvilket handlingsrom databehandleravtalen gir for kontrollen

  • utarbeide varsel til databehandler

  • gjennomføre undersøkelser, typisk i form av dokumentgjennomgang, intervjuer og inspeksjoner

  • utarbeide rapport med funn fra kontrollen

  • anbefale eventuelle tiltak basert på de funn som er gjort 

 

Dersom kontrollen avdekker at databehandler bryter databehandleravtalen eller for øvrig opptrer i strid med personvernregelverket vil vi bistå med å vurdere og iverksette eventuelle tiltak, herunder 

  • vurdere om bruddet utløser meldeplikt til Datatilsynet og underretningsplikt til de registrerte 

  • vurdere reaksjoner mot databehandler, herunder oppsigelser og erstatningskrav. I forlengelsen av dette kan vi også bistå med tvisteløsning og prosedyre. 

Se mer

Dialog med Datatilsynet

Det er i mange tilfeller nødvendig eller hensiktsmessig å gå i dialog med Datatilsynet, typisk dersom virksomheten har behov for veiledning eller må melde fra om et sikkerhetsbrudd. I tillegg kan tilsynet på eget initiativ besøke virksomheten, eller be om dokumentasjon, som ledd i sin kontrollaktivitet. 

Dialogen med Datatilsynet kan oppleves krevende, særlig i lys av tilsynets sanksjonsmuligheter. Våre advokater bistår med å avklare hvilke plikter og rettigheter virksomheten har i relasjon til Datatilsynet, og kan selvsagt også representere virksomheten i en eventuell sak.   

To av våre advokater har mange års erfaring fra Datatilsynet. De kjenner svært godt til de forventninger tilsynet har til virksomhetene, hvilke rettslige rammer tilsynet må forholde seg til og hvilke metoder tilsynet benytter. 

Se mer

Internkontroll for personvern

Den behandlingsansvarlige må gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise etterlevelse av personvernregelverket. Datatilsynet anbefaler å løse dette gjennom å etablere et internkontrollsystem, bestående av styrende, gjennomførende og kontrollerende elementer. 

Vi bistår med identifisere hvilke tiltak som er egnet for den enkelte virksomheten, basert på dennes størrelse, organisering og behandlingsaktiviteter, og med å dokumentere disse tiltakene. For å sikre at tiltakene er hensiktsmessige og har god forankring, gjør vi dette i tett samarbeid med interne ressurser i virksomheten. 

Se mer

Innebygd personvern

Plikt til å sørge for innebygd personvern betyr at det skal tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette skal sørge for at informasjonssystemene oppfyller personvernprinsippene, og at de ivaretar de registrertes rettigheter. Plikten påhviler den behandlingsansvarlige, men får også indirekte betydning for databehandlere og andre som tilbyr systemer for behandling av personopplysninger. 

Kravet til innebygd personvern er vanskelig å forstå og dermed vanskelig å overholde. Vi kan gjøre en vurdering av om din virksomhet overholder kravet til innebygd personvern og eventuelt foreslå nødvendige endringer for å overholde regelverket. Våre eksperter gjør grundige vurderinger knyttet til både de tekniske og de organisatoriske kravene på bakgrunn av et svært bredt spekter av faglig ekspertise på tvers av PwC-nettverket.

Se mer

Kartlegging og protokoll over behandlingsaktiviteter

Behandlingsansvarlige virksomheter og databehandlere plikter å etablere og vedlikeholde en oversikt over sine behandlingsaktiviteter, en såkalt protokoll. Formålet er først og fremst at ledelsen i virksomheten til enhver tid skal ha oversikt over de behandlinger som finner sted, og skal kunne etablere tiltak for å sikre at all behandling er i samsvar med personvernregelverket. Videre skal protokollen kunne legges frem for Datatilsynet, på forespørsel. 

Protokollen må inneholde en rekke informasjonselementer, som er nærmere angitt i personvernforordningen. Men det kan være nyttig for virksomheten selv å bygge ut protokollen med enkelte tilleggselementer. Dette gjelder særlig virksomheter med behandlingsansvar.      

Vi hjelper dere med å kartlegge hvordan virksomheten behandler personopplysninger, og med å etablere en protokoll. Vi kan raskt identifisere om det finnes behandlinger som virksomheten bør vurdere nærmere i lys av vilkårene i personvernlovgivningen.   

 

Se mer

Kurs og opplæring

Gode rutiner og kontrollsystemer kommer til kort hvis de ansatte ikke kan bruke dem på riktig måte. 

Vi bistår med opplæring og kompetanseheving for de ansatte i din virksomhet slik at virksomheten samlet sett er bedre rustet for å overholde kravene i personvernregelverket.

Se mer


Kontakt oss

Christine Ask Ottesen

Direktør Personvern, Oslo, PwC Norway

928 09 229

Kontakt meg

Lars Erik Fjørtoft

Partner | Leder IT Risk, Oslo, PwC Norway

974 74 469

Kontakt meg

Cecilie Rønnevik

Direktør, Oslo, PwC Norway

913 93 436

Kontakt meg

Ida Solberg Henning

Advokat | Manager, Oslo, PwC Norway

976 86 215

Kontakt meg

Maria Fonneløp Inderberg

Associate, Oslo, PwC Norway

478 65 144

Kontakt meg

Marie Munthe-Kaas

Associate, Oslo, PwC Norway

473 99 446

Kontakt meg


{{filterContent.facetedTitle}}