Sliter du med GDPR, den nye personvernforordningen?

GDPR er øyeblikkelig her, og alle bedrifter må forholde seg til denne gjennom å først kartlegge hva slags personinformasjon man lagrer, hvorfor man lagrer informasjonen og så sørge for tillatelse til å lagre den og bruke den også fremover.

Under finner dere en enkel oppskrift på hvordan dere kan komme i gang med arbeidet.

Av: - NFVB
Sist oppdatert: 2018-06-27T12:26:45.0000000+00:00

NHO har laget et tre-stegs personvernverktøy for medlemmer. Vi anbefaler på det sterkeste at dere benytter dere av dette, som finnes på NHOs lukkede medlemssider www.arbinn.no (login for medlemmer av NFVB/NHO)

Arbeidet krever innsats, og for å hjelpe dere i gang har vi laget noen konkrete punkter som også vil dokumentere ovenfor myndighetene at dere har påbegynt på arbeidet. Svaret på punktene er avhengig av hvilket data/kasse-system dere har i salong og hvordan dere pr. nå har behandlet persondata.

 

  1. Lag en fysisk mappe (perm) som heter GDPR, én mappe for hver salong.
  2. Del mappen inn i følgende kapitler:
    1. Personale
    2. Kunder
    3. Leverandører
    4. Annet
  3. Skriv ut listene med spørsmål under og legg inn i mappen
  4. Sett av nok tid til å lage skriftlige svar på (så mange som mulig av) spørsmålene pr. kapittel, og legg svarene inn i mappen.
  5. Spørsmålene dere ikke klarer å svare på i første omgang, samles opp i et eget notat som dere kaller "Ikke ferdig behandlet". NFVB og NHO vil lage prosedyrer så fort det foreligger tydelige svar fra myndighetene og vi har samlet nok erfaring til å vite hva som er korrekt fremgangsmåte
  6. Ta skriftlig kontakt med din dataleverandør og få bekreftelse på at systemet er utviklet og fungerer i tråd med de nye reglene for lagring (sikring) av persondata. Du trenger en skriftlig bekreftelse tilbake fra dem om at de oppfyller de nye lovkravene innen 01. juli 2018. Husk at dataleverandøren skal sørge for at enkeltpersoner kan få tilgang til sine data innen 30 dager! Legg svaret under kapittelet "Leverandører" i mappen.
  7. Ta skriftlig kontakt med ditt regnskapsbyrå og få bekreftelse på at de behandler persondata i tråd med de nye reglene. Du trenger en skriftlig bekreftelse tilbake fra dem om at de oppfyller de nye lovkravene innen 01.juli 2018. Legg svaret under kapittelet "Leverandører" i mappen.
  8. Send ut en SMS/mail til alle kunder der du ber om en bekreftelse på at salongen får lov til å lagre og benytte persondata. Det er viktig at du skriver hva slags type data du lagrer om kunden og hvorfor salongen trenger denne informasjonen (hva den benyttes til). Be dataleverandøren hjelpe med å sende ut og registrere svar. Svarregisteret må så legges inn i mappen "Kunder".
  9. Du trenger et låsbart skap der fysiske mapper lagres. Digitalt trenger du en lukket lagringsmulighet der du som eier/leder kan sikre at dataene kun er tilgjengelige for avtalte parter.

I kapittelet for Personale legger du inn følgende spørsmål:

  • Hvordan skal jeg fysisk og/eller digitalt lagre og oppbevare persondata i salongen?
  • Hvem skal ha tilgang til persondataene? Og hvordan sikrer jeg denne tilgangen?
  • Hvordan får jeg tillatelse fra de ansatte til å lagre og bruke persondata?
  • Hva slags persondata skal jeg lagre? Og hvorfor skal jeg lagre disse dataene?
  • Hvordan skal jeg lagre ansettelseskontrakter?
  • Hvordan og når skal ansettelseskontrakter slettes etter endt arbeidsforhold?
  • Hvordan skal jeg registrere og lagre informasjon om advarsler, sykdom, pensjon, andre forhold som berører den enkelte ansatte?
  • Kan legebesøk/sykdom og andre sensitive persondata være synlig i timeboken/timesystemet?
  • Sletterutiner, hva slettes når og av hvem?

 

 

I kapittelet for Kunder legger du inn følgende spørsmål:

  • Hvordan registrerer og lagrer jeg kundedata?
  • Hva slags data skal registreres om kunden og hva er formålet med dette?
  • Hvordan registrerer og lagrer jeg registrerte behandlinger?
  • Hvordan registrerer og lagrer jeg betalingsopplysninger?
  • Hvordan registrerer og lagrer jeg personlige opplysninger om kunden, som f.eks. "hadde lus sist»
  • Hvordan sikrer jeg tillatelse fra kunden til å sende ut SMS og/eller mail til dem?
  • Hvordan sikrer jeg tillatelse til å inkludere kunden i min kundeklubb?
  • Hvordan sikrer jeg at dataene som registreres via en applikasjon registreres og lagres?
  • Hvordan sikrer jeg tillatelse til eventuell bruk av persondata på våre hjemmesider?
  • Finnes det avmeldingssystemer for kunder som vil ut av registeret?
  • Sletterutiner, hva slettes når og av hvem?

 

 

I kapittelet for Leverandører legger du inn følgende spørsmål:

  • Har leverandøren rutiner i tråd med de nye reglene for lagring (sikring) av persondata?
  • Hvis du har et eksternt byrå som hjelper med lønn, har de rutiner i tråd med de nye reglene for lagring (sikring) av persondata rundt lønn, IA-register, skatt etc.?
  • Har regnskapsbyrået systemer i tråd med de nye reglene for lagring (sikring) av persondata?
  • Kan regnskapsbyrået garantere at de oppfyller de nye lovkravene?
  • Har jeg andre leverandører som har tilgang til persondata på personal- eller kundenivå, og har disse i tilfellet rutiner i tråd med de nye reglene for lagring (sikring) av persondata?
  • Sletterutiner, hva slettes når og av hvem?

 

 

I kapittelet for Annet printer du ut og legger inn følgende:

  • Datatilsynets veileder for den nye Personvernforordningen: Datatilsynets veileder
  • "Kartleggingsverktøy" og "Bedriftens Personverndokument" fra NHOs trestegs veileder for den nye Personvernforordningen: NHO tre steg for GDPR

 

Tilbake
ANNET INNHOLD