Site Search

Loading Results

Personvern

Advokat- og rådgivningstjenester

GDPR - personvern og informasjonssikkerhet

Personvern handler om å sikre den enkeltes rett til et privatliv og retten til kontroll over egne opplysninger. Behandling av personopplysninger er en nødvendig forutsetning for moderne forretningsdrift og -utvikling. Samtidig kan mangelfull etterlevelse av personvernlovgivningen få store konsekvenser for virksomhetens omdømme og resultere i høye gebyrer.

Mengden personopplysninger som behandles i dag øker og det er en endring i måten opplysningene behandles på. Opplysningene behandles ikke lenger kun internt i en virksomhet, men flyter på tvers av virksomheter og over landegrenser. Personopplysningenes krav til konfidensialitet, integritet og tilgjengelighet skal sikres.

Vi bistår gjerne med å etablere en praksis som ivaretar både personvernhensyn og kommersielle interesser. Les videre for mer om våre tjenester relatert til personvernlovgivningen og GDPR, eller ta kontakt.

Kontakt oss for en uforpliktende prat
 

Vårt personvernteam består av erfarne personvernadvokater og forvaltningsinformatikere, samt eksperter på informasjonssikkerhet og internkontroll. Alt dette har vi samlet under ett tak. Som en del av PwC-nettverket har vi også tilgang til personvernkompetanse over hele verden.

Christine Ask Ottesen,partner for personvern

Tverrfaglige personverntjenester

Etterlevelse av personvernlovgivningen krever tverrfaglig kompetanse. PwC har dyktige rådgivere med høy kompetanse og lang erfaring innen fagområdene personvern og informasjonssikkerhet. Vi kan tilby en forretningsorientert rådgivning med tverrfaglig bistand fra jurister, teknologer og sikkerhetskompetanse i teamet.

Dette gjør oss i stand til også å bistå din virksomhet med større utviklingsprosjekter innen digitalisering og modernisering.

 

Hvordan kan vi bistå deg?

Generell personvernrettslig rådgivning

Vårt personvernteam består av svært erfarne advokater som kan bistå i komplekse problemstillinger og utredninger relatert til Personvernloven.

Videre jobber vi tett med våre advokater i arbeidsrett, selskapsrett og M&A, samt PwCs økonomer og ingeniører med spesialistkompetanse i cybersikkerhet.

Vi kan med dette tilby både rene advokattjenester og et tverrfaglig team, alt ettersom hva som er best egnet. Ditt team med personvernrådgivere blir skreddersydd til det enkelte oppdraget innenfor våre spesialistområder, for eksempel:

  • Klassiske personvernrettslige problemstillinger, slik som rettslig grunnlag for behandling av personopplysninger.
  • Vurdering av egnetheten til potensielle databehandlere.
  • Markedsføring av produkter og tjenester rettet direkte mot forbrukere.
  • Bruk av informasjonskapsler (cookies).
  • Utveksling av data med sosiale medier.
  • GDPR due diligence ifm. transaksjonsprosesser.
  • Personvernrettslige problemstillinger i ansettelses- og oppsigelsesforhold, konsulentoppdrag m.m.
  • Vurdering og design av innebygd personvern i informasjonssystemer og sikkerhetsstrukturer.

Utarbeidelse av personvernpolicy, databehandleravtaler mm.

Behandlingsansvarlige virksomheter har en rekke ansvar og plikter i henhold til GDPR, og er påkrevd å dokumentere at samtlige ansvar og plikter blir overholdt. I praksis munner dokumentasjonsplikten ut i blant annet følgende dokumenter: 

  • Personvernpolicy som styrende dokument for virksomhetens behandling av personopplysninger.
  • Personvernerklæringer, i henhold til virksomhetens plikt til å informere de registrerte om behandling av deres personopplysninger.
  • Databehandleravtaler, i henhold til virksomhetens plikt til å kun engasjere databehandlere som skriftlig forplikter seg til å overholde personvernregelverket og den behandlingsansvarliges instruksjoner.
  • Samtykketekster, i henhold til virksomhetens plikt til å innhente et gyldig samtykke fra registrerte om behandling av personopplysninger som krever samtykke.

Vi hjelper virksomheten med å 

  • vurdere hvilke dokumenter virksomheten mangler 
  • vurdere om eksisterende dokumenter overholder kravene i personvernregelverket 
  • utarbeide nødvendig dokumentasjon som tilpasset virksomheten og de ansatte som skal forholde seg til dokumentasjonen. 

Rutiner og internkontrollsystem for behandling av personopplysninger

I forbindelse med at behandlingsansvarlige virksomheter har en rekke ansvar og plikter som følger av personvernregelverket, er det nødvendig å ha rutiner på plass for å sikre at ansvar og plikter blir overholdt i praksis, herunder for eksempel:

  • Sletterutine.
  • Rutine for kontroll av databehandlere. 
  • Rutine for innsyn i arbeidstakers elektronisk lagrede materiale.
  • Rutine for behandling av registrertes forespørsler om innsyn, sletting, retting, dataportabilitet og andre rettigheter som følger av GDPR . 
  • Rutine for håndtering av sikkerhetsbrudd.

Vi hjelper virksomheten med å utarbeide rutiner som er skreddersydd til den daglige driften. Målet er at rutinene skal fungere optimalt i de ansattes arbeidshverdag, og i tillegg være utformet på en måte som gjør dem enkle å følge for hver enkelt ansatt.

PwC benytter ISO 27001 og ISO 27701 som utgangspunkt for prosjektene. Standardene fokuserer på å etablere nødvendige tiltak for å etterleve regulatoriske krav, kontraktuelle forpliktelser og egen risikoaksept.

Tiltakene dokumenteres i et sett dokumenterte policyer, standarder og prosedyrer. Risikovurderinger og risikostyring er sentralt i vurdering av hvilke tiltak som er nødvendig.

Etablering av styringssystem og gjennomføringen tilpasses alltid deres situasjon og behov med utgangspunkt i god praksis for design og implementering av ISMS.

GAP-analyse - er alt på plass for å overholde personvernloven?

GAP-analyse går ut på å gjøre en grundig analyse av om virksomheten overholder personvernregelverket. Her blir det kort sagt avdekket hva – og eventuelt hvem - virksomheten mangler for å overholde personvernregelverket. 

Vi bistår virksomheten med å undersøke hva som er status for GDPR compliance, og deretter med å utarbeide en strukturert oversikt over hva – og eventuelt hvem – som mangler. Deretter blir vi enige med virksomheten om hva som er den beste strategien fremover. 

Kartlegging av behandlingsaktiviteter og behandlingsprotokoll

Behandlingsansvarlige virksomheter og databehandlere plikter å etablere og vedlikeholde en oversikt over sine behandlingsaktiviteter, en såkalt protokoll. Formålet er først og fremst at ledelsen i virksomheten til enhver tid skal ha oversikt over de behandlinger som finner sted. Videre er protokollen utgangspunktet for all GDPR compliance. Datatilsynet kan for øvrig kreve at virksomheten legger frem en slik protokoll.

Protokollen må inneholde en rekke informasjonselementer, som er nærmere angitt i personvernforordningen. Selv om det er relativt uproblematisk å avdekke innholdskravene i protokollen, er det langt mer krevende å fylle den ut; ofte har ikke virksomheten gjort en god nok vurdering av informasjonen man legger inn. Hvis bedriften gjør feil her, kan dette få følgefeil i alt det etterfølgende compliance-arbeidet, og samlet sett kan dette bli en dyr affære.

Vi hjelper dere med å etablere en kvalitetssikret protokoll, og sørger for at nødvendige kartlegginger og vurderinger foreligger.

Personvernombud

Alle offentlige virksomheter, og en rekke private, plikter å utpeke et personvernombud. Dette gjelder både behandlingsansvarlige og databehandlere. 

Datatilsynet oppfordrer alle virksomheter til å utpeke personvernombud.

Ombudet skal være en uavhengig rådgiver i alle spørsmål som gjelder behandling av personopplysninger i virksomheten, og i tillegg kontrollere at behandlingen skjer i samsvar med personvernregelverket. Vedkommende må ha ekspertkompetanse i hvilke krav personvernlovgivningen stiller, og hvordan disse skal etterleves i praksis. 

For de som enten er forpliktet til å ha eller ønsker å ha et personvernombud, er PwCs personvernombudstjeneste et godt valg. Våre advokater fungerer i dag som eksterne personvernombud for en rekke ulike offentlige og private virksomheter. 

Tjenesten skreddersys for klienten ut fra dennes størrelse, organisering og interne kompetanse.  

Følgetjeneste til personvernombud 

Interne personvernombud opplever ofte å stå alene i rollen og ønsker seg gjerne en kompetent diskusjonspartner. Derfor tilbyr vi også en følgetjeneste for interne personvernombud, som innebærer tett oppfølging og bistand til ombudet.  

Tjenesten skreddersys for klienten ut fra dennes størrelse, organisering og interne kompetanse.  

Personvernkonsekvensutredning (DPIA)

Dersom en behandlingsansvarlig virksomhet behandler personopplysninger på en måte som kan medføre høy risiko for fysiske personers rettigheter og friheter, så plikter virksomheten å gjøre en DPIA (Data Protection Impact Assessement). Dette innebærer å gjøre en dokumentert og systematisk kartlegging av hvilke konsekvenser behandlingen kan få for de registrerte, samt å identifisere tiltak for å redusere risikoen.

DPIA er aktuelt blant annet ved behandling av særlige kategorier personopplysninger i stor skala, ved utprøving av ny teknologi og ved behandlinger som har til hensikt å evaluere personer eller forutsi deres handlinger.

PwC har utviklet et eget rammeverk for gjennomføring av DPIA på bakgrunn av omfattende erfaring med å gjennomføre DPIA for både offentlig og privat virksomhet. Vi kan også bistå med å vurdere hvorvidt virksomheten plikter å gjennomføre en DPIA. 

Gjennomføringen av en DPIA krever ekspertise innenfor både juss og informasjonssikkerhet, og vår tverrfaglige kompetanse sikrer en sterk faglig dekning i alle ledd. 

PwC har utviklet en test som kan bidra til å avklare om det er nødvendig å gjennomføre DPIA av behandlingsaktiviteten du planlegger. 

Testen er ikke ment som erstatning for den helhetlige vurderingen som artikkel 35 forutsetter, men fungerer som beslutningsstøtte i denne vurderingen. Resultatet av testen avhenger av de opplysninger som du legger inn i verktøyet. PwC kan naturlig nok ikke kvalitetssikre de opplysninger som legges til grunn for svarene. 

Ta DPIA-testen her

Bistand ved internasjonale dataoverføringer

Dersom virksomheten overfører personopplysninger til land utenfor EU og EØS, må det foreligge et gyldig overføringsgrunnlag. Etter at den såkalte Schrems II-dommen kom 16. juli 2020, ble alle europeiske virksomheter pålagt et betydelig due diligence-ansvar i tilknytning til slike overføringer. 

Våre advokater bistår med å vurdere i hvilken grad virksomheten overfører personopplysninger til land utenfor EU og EØS, og hvorvidt slike overføringer er lovlige. 

Dersom overføringene viser seg å være ulovlige, hjelper vi virksomheten med å vurdere hvilke beskyttelsestiltak som er nødvendige for å sikre lovlig overføring, eventuelt med å finne andre løsninger som sikrer at virksomheten overholder reglene i GDPR og videre implementere nødvendige tiltak og løsninger. 

Bistand ved sikkerhetsbrudd og dataangrep

Virksomheter blir i økende grad utsatt for sikkerhetsbrudd. Ukentlig ender sikkerhetsbrudd opp på forsider i avisene og på bordet til Datatilsynet som har økt fokuset på virksomheters håndtering av informasjonssikkerheten. 

Sikkerhetsbrudd fører med seg en kaotisk situasjon for alle involverte. Det er vanskelig å vurdere hvordan bruddet best bør håndteres, og hvilke plikter man har som følge av bruddet, herunder om man er forpliktet til å rapportere bruddet til Datatilsynet og varsle de registrerte. 

PwCs tverrfaglige team leder virksomheten gjennom sikkerhetsbruddet. Vi har markedsledende sikkerhetseksperter som etablerer strategier for å best håndtere sikkerhetsbrudd. Advokatene våre tar seg av de rettslige sidene av sikkerhetsbruddet, herunder varslings- og rapporteringspliktene til virksomheten.

Kontroll av databehandlere

Når man benytter databehandlere plikter man å ha like god kontroll med behandlingen som om den skjedde i virksomhetens eget hus. Dette fører i praksis med seg en plikt til å aktivt kontrollere at personopplysningene behandles i samsvar med det som er avtalt.

Vi kan bistå med å forberede og gjennomføre kontroll av databehandlere, herunder

  • vurdere hvorvidt og hvordan en databehandler skal kontrolleres
  • vurdere hvilket handlingsrom databehandleravtalen gir for kontrollen
  • utarbeide varsel til databehandler
  • gjennomføre undersøkelser, typisk i form av dokumentgjennomgang, intervjuer og inspeksjoner
  • utarbeide rapport med funn fra kontrollen
  • anbefale eventuelle tiltak basert på de funn som er gjort 

Dersom kontrollen avdekker at databehandler bryter databehandleravtalen eller for øvrig opptrer i strid med personvernregelverket vil vi bistå med å vurdere og iverksette eventuelle tiltak, herunder 

  • vurdere om bruddet utløser meldeplikt til Datatilsynet og underretningsplikt til de registrerte 
  • vurdere reaksjoner mot databehandler, herunder oppsigelser og erstatningskrav. I forlengelsen av dette kan vi også bistå med tvisteløsning og prosedyre.  

Dialog med Datatilsynet

Det er i mange tilfeller nødvendig eller hensiktsmessig å gå i dialog med Datatilsynet, typisk dersom virksomheten har behov for veiledning eller må melde fra om et sikkerhetsbrudd. I tillegg kan tilsynet på eget initiativ besøke virksomheten, eller be om dokumentasjon, som ledd i sin kontrollaktivitet. 

Våre advokater avklarer hvilke plikter og rettigheter virksomheten har i relasjon til Datatilsynet, bistår i kommunikasjonen og kan selvsagt også representere virksomheten i en eventuell sak.   

To av våre advokater har mange års erfaring fra Datatilsynet. De kjenner svært godt til de forventninger tilsynet har til virksomhetene, hvilke rettslige rammer tilsynet må forholde seg til og hvilke metoder tilsynet benytter. 

Tvisteløsning i personvernnemnda og i domstolene

Vi har advokater med prosedyreerfaring som kan representere virksomheten for personvernnemnda og i domstolene. 

Kurs og opplæring relatert til Personvernloven og GDPR

Gode rutiner og kontrollsystemer kommer til kort hvis de ansatte ikke kan bruke dem på riktig måte. 

Vi bistår med opplæring og kompetanseheving for de ansatte i din virksomhet slik at virksomheten samlet sett er bedre rustet for å overholde kravene i personvernregelverket.

Se kurskalenderen vår her, eller ta kontakt med oss for muligheten til et skreddersydd kurs for deres organisasjon.

Kontakt oss

Christine Ask Ottesen

Advokat | Partner, Oslo, PwC Norway

928 09 229

Kontakt meg

Lars Erik Fjørtoft

Partner | Leder for Risk Services, Oslo, PwC Norway

974 74 469

Kontakt meg

Line Marie Engebretsen

Direktør | Risk Services, Oslo, PwC Norway

982 14 600

Kontakt meg

Se oversikt over våre personverneksperter

Les mer om våre tjenester innen Cybersikkerhet

 

Hold deg faglig oppdatert

Meld deg på vårt nyhetsbrev for å få nyheter om forretningsjus rett i din mailboks.

Fyll ut skjema

Våre eksperter bistår deg

Vi tilbyr et bredt spekter av tjenester både innen forretningsjus og skatte- og avgiftsrådgiving.

Forretningsjus
Skatt og avgift

{{filterContent.facetedTitle}}

Om oss Kontakt Presse Event Innsikt Tjenester Kontorer Karriere Alumni

© 2020 - 2024 PwC. Alle rettigheter forbeholdt. PwC refererer til PwC-nettverket og/eller en eller flere av dets medlemsfirmaer, som hver enkelt er en egen juridisk enhet. Vennligst se www.pwc.com/structure for mer informasjon.