Kort svar
En personvernerklæring skal forklare den faktiske behandlingen på en forståelig måte.
Start med å få kontroll på hvilke behandlinger som må omtales, hvordan rettigheter og kontaktpunkt beskrives og hvordan erklæringen holdes oppdatert, slik at ansvar, frister og dokumentasjon henger sammen.
Når dette ofte blir aktuelt
- når dere skal gjennomføre et løp som berører hvilke behandlinger som må omtales
- når ansvar, varsling eller frister rundt hvordan rettigheter og kontaktpunkt beskrives må avklares
- når dere trenger et ryddig spor for hvordan erklæringen holdes oppdatert
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke behandlinger som må omtales | avgjør hva som må skje først |
| Hvordan rettigheter og kontaktpunkt beskrives | sier noe om hvem som må involveres og varsles |
| Hvordan erklæringen holdes oppdatert | reduserer risikoen for hull i dokumentasjonen |
Praktisk framgangsmåte
- Lag en enkel plan med ansvar, frister og tydelige beslutningspunkter.
- Samle faktagrunnlag og dokumenter knyttet til hvilke behandlinger som må omtales.
- Avklar hvilke steg, varsler eller innsendelser som følger av hvordan rettigheter og kontaktpunkt beskrives.
- Kontroller at sluttresultatet også dekker hvordan erklæringen holdes oppdatert.
Dokumentasjon som ofte avgjør
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- kartlegging av hvilke personopplysninger virksomheten behandler
- rutiner, policyer og avtaler som styrer behandlingen
- risikovurderinger, protokoller og endringslogg
- oversikt over systemer, leverandører og tilgangsnivåer
Vanlige feil
- ansvar for framdrift, varsling og signering er uklart
- virksomheten beskriver et formål, men jobber i praksis på en annen måte
- for mye data samles inn fordi ingen eier oppryddingen
Når bør dere hente konkret hjelp?
Når store datamengder, ansattdata, tredjelandsoverføring eller reell sikkerhetsrisiko er involvert, bør vurderingene forankres tydelig og sees samlet. Det gjelder særlig hvis flere roller, formelle vedtak eller myndighetsmeldinger må koordineres samtidig.
Relaterte guider
- Databrudd hos databehandler: hvem gjør hva?
- Informasjonsplikt når opplysninger kommer fra andre enn den registrerte
- Kundedata i AI-verktøy: hva må bedriften avklare?