Videre jobber vi tett med våre advokater i arbeidsrett, selskapsrett og M&A, samt PwCs økonomer og ingeniører med spesialistkompetanse i cybersikkerhet.

Vi kan med dette tilby både rene advokattjenester og et tverrfaglig team, alt ettersom hva som er best egnet. Ditt team med personvernrådgivere blir skreddersydd til det enkelte oppdraget innenfor våre spesialistområder, for eksempel:

• Klassiske personvernrettslige problemstillinger, slik som rettslig grunnlag for behandling av personopplysninger.
• Vurdering av egnetheten til potensielle databehandlere.
• Markedsføring av produkter og tjenester rettet direkte mot forbrukere.
• Bruk av informasjonskapsler (cookies).
• Utveksling av data med sosiale medier.
• GDPR due diligence ifm. transaksjonsprosesser.
• Personvernrettslige problemstillinger i ansettelses- og oppsigelsesforhold, konsulentoppdrag m.m.
• Vurdering og design av innebygd personvern i informasjonssystemer og sikkerhetsstrukturer.

Behandlingsansvarlige virksomheter har en rekke ansvar og plikter i henhold til GDPR, og er påkrevd å dokumentere at samtlige ansvar og plikter blir overholdt. I praksis munner dokumentasjonsplikten ut i blant annet følgende dokumenter: 

• Personvernpolicy som styrende dokument for virksomhetens behandling av personopplysninger.
• Personvernerklæringer, i henhold til virksomhetens plikt til å informere de registrerte om behandling av deres personopplysninger.
• Databehandleravtaler, i henhold til virksomhetens plikt til å kun engasjere databehandlere som skriftlig forplikter seg til å overholde personvernregelverket og den behandlingsansvarliges instruksjoner.
• Samtykketekster, i henhold til virksomhetens plikt til å innhente et gyldig samtykke fra registrerte om behandling av personopplysninger som krever samtykke.

Vi hjelper virksomheten med å 

• vurdere hvilke dokumenter virksomheten mangler 
• vurdere om eksisterende dokumenter overholder kravene i personvernregelverket 
• utarbeide nødvendig dokumentasjon som tilpasset virksomheten og de ansatte som skal forholde seg til dokumentasjonen. 

I forbindelse med at behandlingsansvarlige virksomheter har en rekke ansvar og plikter som følger av personvernregelverket, er det nødvendig å ha rutiner på plass for å sikre at ansvar og plikter blir overholdt i praksis, herunder for eksempel:

• Sletterutine.
• Rutine for kontroll av databehandlere. 
• Rutine for innsyn i arbeidstakers elektronisk lagrede materiale.
• Rutine for behandling av registrertes forespørsler om innsyn, sletting, retting, dataportabilitet og andre rettigheter som følger av GDPR . 
• Rutine for håndtering av sikkerhetsbrudd.

Vi hjelper virksomheten med å utarbeide rutiner som er skreddersydd til den daglige driften. Målet er at rutinene skal fungere optimalt i de ansattes arbeidshverdag, og i tillegg være utformet på en måte som gjør dem enkle å følge for hver enkelt ansatt.

PwC benytter ISO 27001 og ISO 27701 som utgangspunkt for prosjektene. Standardene fokuserer på å etablere nødvendige tiltak for å etterleve regulatoriske krav, kontraktuelle forpliktelser og egen risikoaksept.

Tiltakene dokumenteres i et sett dokumenterte policyer, standarder og prosedyrer. Risikovurderinger og risikostyring er sentralt i vurdering av hvilke tiltak som er nødvendig.

Etablering av styringssystem og gjennomføringen tilpasses alltid deres situasjon og behov med utgangspunkt i god praksis for design og implementering av ISMS.

GAP-analyse går ut på å gjøre en grundig analyse av om virksomheten overholder personvernregelverket. Her blir det kort sagt avdekket hva – og eventuelt hvem - virksomheten mangler for å overholde personvernregelverket. 

Vi bistår virksomheten med å undersøke hva som er status for GDPR compliance, og deretter med å utarbeide en strukturert oversikt over hva – og eventuelt hvem – som mangler. Deretter blir vi enige med virksomheten om hva som er den beste strategien fremover. 

Behandlingsansvarlige virksomheter og databehandlere plikter å etablere og vedlikeholde en oversikt over sine behandlingsaktiviteter, en såkalt protokoll. Formålet er først og fremst at ledelsen i virksomheten til enhver tid skal ha oversikt over de behandlinger som finner sted. Videre er protokollen utgangspunktet for all GDPR compliance. Datatilsynet kan for øvrig kreve at virksomheten legger frem en slik protokoll.

Protokollen må inneholde en rekke informasjonselementer, som er nærmere angitt i personvernforordningen. Selv om det er relativt uproblematisk å avdekke innholdskravene i protokollen, er det langt mer krevende å fylle den ut; ofte har ikke virksomheten gjort en god nok vurdering av informasjonen man legger inn. Hvis bedriften gjør feil her, kan dette få følgefeil i alt det etterfølgende compliance-arbeidet, og samlet sett kan dette bli en dyr affære.

Vi hjelper dere med å etablere en kvalitetssikret protokoll, og sørger for at nødvendige kartlegginger og vurderinger foreligger.

Alle offentlige virksomheter, og en rekke private, plikter å utpeke et personvernombud. Dette gjelder både behandlingsansvarlige og databehandlere. 

Datatilsynet oppfordrer alle virksomheter til å utpeke personvernombud.

Ombudet skal være en uavhengig rådgiver i alle spørsmål som gjelder behandling av personopplysninger i virksomheten, og i tillegg kontrollere at behandlingen skjer i samsvar med personvernregelverket. Vedkommende må ha ekspertkompetanse i hvilke krav personvernlovgivningen stiller, og hvordan disse skal etterleves i praksis. 

For de som enten er forpliktet til å ha eller ønsker å ha et personvernombud, er PwCs personvernombudstjeneste et godt valg. Våre advokater fungerer i dag som eksterne personvernombud for en rekke ulike offentlige og private virksomheter. 

Tjenesten skreddersys for klienten ut fra dennes størrelse, organisering og interne kompetanse.  

Følgetjeneste til personvernombud 

Interne personvernombud opplever ofte å stå alene i rollen og ønsker seg gjerne en kompetent diskusjonspartner. Derfor tilbyr vi også en følgetjeneste for interne personvernombud, som innebærer tett oppfølging og bistand til ombudet.  

Tjenesten skreddersys for klienten ut fra dennes størrelse, organisering og interne kompetanse.  

Dersom virksomheten overfører personopplysninger til land utenfor EU og EØS, må det foreligge et gyldig overføringsgrunnlag. Etter at den såkalte Schrems II-dommen kom 16. juli 2020, ble alle europeiske virksomheter pålagt et betydelig due diligence-ansvar i tilknytning til slike overføringer. 

Våre advokater bistår med å vurdere i hvilken grad virksomheten overfører personopplysninger til land utenfor EU og EØS, og hvorvidt slike overføringer er lovlige. 

Dersom overføringene viser seg å være ulovlige, hjelper vi virksomheten med å vurdere hvilke beskyttelsestiltak som er nødvendige for å sikre lovlig overføring, eventuelt med å finne andre løsninger som sikrer at virksomheten overholder reglene i GDPR og videre implementere nødvendige tiltak og løsninger. 

Virksomheter blir i økende grad utsatt for sikkerhetsbrudd. Ukentlig ender sikkerhetsbrudd opp på forsider i avisene og på bordet til Datatilsynet som har økt fokuset på virksomheters håndtering av informasjonssikkerheten. 

Sikkerhetsbrudd fører med seg en kaotisk situasjon for alle involverte. Det er vanskelig å vurdere hvordan bruddet best bør håndteres, og hvilke plikter man har som følge av bruddet, herunder om man er forpliktet til å rapportere bruddet til Datatilsynet og varsle de registrerte. 

PwCs tverrfaglige team leder virksomheten gjennom sikkerhetsbruddet. Vi har markedsledende sikkerhetseksperter som etablerer strategier for å best håndtere sikkerhetsbrudd. Advokatene våre tar seg av de rettslige sidene av sikkerhetsbruddet, herunder varslings- og rapporteringspliktene til virksomheten.

Når man benytter databehandlere plikter man å ha like god kontroll med behandlingen som om den skjedde i virksomhetens eget hus. Dette fører i praksis med seg en plikt til å aktivt kontrollere at personopplysningene behandles i samsvar med det som er avtalt.

Vi kan bistå med å forberede og gjennomføre kontroll av databehandlere, herunder

• vurdere hvorvidt og hvordan en databehandler skal kontrolleres
• vurdere hvilket handlingsrom databehandleravtalen gir for kontrollen
• utarbeide varsel til databehandler
• gjennomføre undersøkelser, typisk i form av dokumentgjennomgang, intervjuer og inspeksjoner
• utarbeide rapport med funn fra kontrollen
• anbefale eventuelle tiltak basert på de funn som er gjort 

Dersom kontrollen avdekker at databehandler bryter databehandleravtalen eller for øvrig opptrer i strid med personvernregelverket vil vi bistå med å vurdere og iverksette eventuelle tiltak, herunder 

• vurdere om bruddet utløser meldeplikt til Datatilsynet og underretningsplikt til de registrerte 
• vurdere reaksjoner mot databehandler, herunder oppsigelser og erstatningskrav. I forlengelsen av dette kan vi også bistå med tvisteløsning og prosedyre.  

Det er i mange tilfeller nødvendig eller hensiktsmessig å gå i dialog med Datatilsynet, typisk dersom virksomheten har behov for veiledning eller må melde fra om et sikkerhetsbrudd. I tillegg kan tilsynet på eget initiativ besøke virksomheten, eller be om dokumentasjon, som ledd i sin kontrollaktivitet. 

Våre advokater avklarer hvilke plikter og rettigheter virksomheten har i relasjon til Datatilsynet, bistår i kommunikasjonen og kan selvsagt også representere virksomheten i en eventuell sak.   

To av våre advokater har mange års erfaring fra Datatilsynet. De kjenner svært godt til de forventninger tilsynet har til virksomhetene, hvilke rettslige rammer tilsynet må forholde seg til og hvilke metoder tilsynet benytter. 

Tvisteløsning i personvernnemnda og i domstolene

Vi har advokater med prosedyreerfaring som kan representere virksomheten for personvernnemnda og i domstolene. 

Gode rutiner og kontrollsystemer kommer til kort hvis de ansatte ikke kan bruke dem på riktig måte. 

Vi bistår med opplæring og kompetanseheving for de ansatte i din virksomhet slik at virksomheten samlet sett er bedre rustet for å overholde kravene i personvernregelverket.

Se kurskalenderen vår her, eller ta kontakt med oss for muligheten til et skreddersydd kurs for deres organisasjon.