Hva innebærer GDPR for avfallsbransjen i Norge?

Personvernforordningen (GDPR) som innføres 25. mai innebærer nye plikter og øker risikoen for feil håndtering av personopplysninger.
Av: Avfall Norge | Publisert: 1. mars 2018

Hva innebærer personvernforordningen (GDPR) for avfallsbransjen i Norge?

Personvernforordningen (GDPR) innebærer nye plikter og øker risikoen for feil håndtering av personopplysninger. Regelverket påvirker alle virksomheter som behandler personopplysninger, også avfallsbedrifter.

Nedenfor vil du finne svar på mange spørsmål som gjelder for bedrifter i avfalls- og gjenvinningsbransjen.

Behandler vi personopplysninger?

Selv om du kanskje tror at din bedrift ikke behandler personopplysninger, og derfor ikke er omfattet av de nye reglene, kan det med stor sannsynlighet hende at du tar feil. Behandler du for eksempel personopplysninger om ansatte, deres sykefravær, lønningsopplysninger, CV og adgangskontroll? Har dere opplysninger om potensielle og eksisterende kunder og er noen av disse knyttet til enkeltpersoner? Har kjøretøyene GPS-sporing? 

Dersom svaret er ja på ett eller flere av disse spørsmålene, behandler dere personopplysninger. Det å behandle personopplysninger etter personvernforordningen, omfatter blant annet innsamling, registrering, organisering, strukturering, lagring, tilpasning, endring, bruk, utlevering, sammenstilling eller sletting av personopplysninger.

Nedenfor vil vi ikke gjennomgå de regler som gjelder for spesielle tjenester, som for eksempel sikkerhetsmakulering. Dersom du følger anbefalingene som blir gitt i denne artikkelen bør du være godt rustet til å møte utfordringene som gjelder behandling av personopplysninger i avfallsbransjen. 

Spesielle utfordringer, behov og situasjoner krever en nærmere beskrivelse av personvernkravene som ikke dekkes av det som blir beskrevet her. Du bør derfor søke råd for å forsikre deg om at dere etterlever regelverket. 

Det kan bli kostbart å ta feil. Gebyrene kan komme opp i 20 millioner euro eller 4 prosent av bedriftens omsetningen i de mest graverende tilfellene. Feil behandling av personopplysninger kan føre til pålegg om stans av behandling av personopplysninger ved alvorlige overtredelser av regelverket. Dersom pålegg om stans gis av Datatilsynet, kan det bli vanskelig å utføre normale arbeidsoppgaver.

Hva er personopplysninger?

Personopplysninger er alle de opplysningene som enten direkte eller indirekte kan knyttes til en enkeltperson slik figuren viser:


Personopplysninger er også enkeltpersoner atferd slik figuren nedenfor viser:  

Du må være oppmerksom på hvilke kategorier av personopplysninger dere behandler. Det er særskilte krav for behandling av sensitive personopplysninger. Dette er sensitive personopplysninger:

Er dere behandlingsansvarlig eller databehandler?

Det er særlig to roller du bør kjenne til, behandlingsansvarlig og databehandler. Ansvaret og risikoene om noe går galt er forskjellige fra de ulike rollene.

Behandlingsansvarlig er den som bestemmer formålet med behandlingen og de midlene som benyttes til å behandle personopplysninger. Arbeidsgivere i avfallsbransjen er alltid behandlingsansvarlig ved behandling av personopplysninger for egne ansatte.

Databehandler er den som behandler personopplysninger på vegne av behandlingsansvarlig.

Bedrifter i avfallsbransjen er som regel databehandler når de behandler personopplysninger i oppdrag for kunder. Avtaler med kommuner om håndtering av avfall for private kunder innebærer at bedriften som håndterer avfall for husstander, er databehandler for kommunen. Dersom du er usikker på hvilken rolle bedriften har ved behandlingen av personopplysninger, kan dere ta utgangspunkt i at den som kjøper tjenester er behandlingsansvarlig og den som yter tjenesten er databehandler.  

Forholdet mellom rollene der oppdragsgiver er behandlingsansvarlig og avfallsbedriften er databehandler, reguleres som hovedregel av en databehandleravtale. Slik databehandleravtale skal ha et bestemt innhold og regulere adgangen avfallsbedriften har til å behandle personopplysninger.

Dersom databehandler går utover det mandatet som er gitt av behandlingsansvarlige i databehandleravtalen, kan databehandler få ansvaret som behandlingsansvarlig for de behandlingsaktivitetene som går utover mandatet eller instruksen fra behandlingsansvarlige.

Situasjoner der avfallsbedriften håndterer informasjon om ansatte

Avfallsbedriften er som nevnt alltid behandlingsansvarlig for personopplysninger som behandles om ansatte i arbeidsforholdet. Dette stiller blant annet krav til hvordan slike personopplysninger skal behandles, på hvilket grunnlag, og hvordan opplysningene skal lagres og slettes. Dersom avfallsbedriften benytter leverandører til å drifte IT-løsninger, benytter regnskapsfører, sikkerhetsselskap eller andre, er disse å regne som databehandler for avfallsbedriften. Bruk av databehandler krever at det inngås egen skriftlig databehandleravtale mellom avfallsbedriften og leverandører som nevnt. Det er vanlig at slike avtaler inngås i tillegg til andre ordinære avtaler med leverandørene.

Det er et krav om at ansatte informeres om hvilke personopplysninger som samles inn, hva som lagres, når opplysningene slettes og hvem som har tilgang til personopplysninger om ansatte. Det er vanlig at slik informasjon gis til ansatte i bedriftens personalhåndbok eller tilsvarende rutiner eller retningslinjer. Dersom det iverksettes tiltak som kameraovervåking på arbeidsplassen, adgangskontroll eller GPS-sporing på kjøretøy, skal det gis informasjon om det, hva formålet er og hvordan slik informasjon skal benyttes. Feil bruk av informasjon fra slike overvåkingstiltak, kan resultere i brudd på personvernreglene.

Hvilke plikter har avfallsbedriften ved behandling av personopplysninger om kunder?

Avfallsbedriftens kunder kan være private bedrifter, borettslag, organisasjoner, kommuner eller andre virksomheter. Behandling av opplysninger om bedrifter innebærer normalt ikke behandling av personopplysninger. Det er kun i de tilfellene hvor opplysningene enten direkte eller indirekte kan knyttes til en fysisk person, personvernreglene får anvendelse.

Avfalls- og gjenvinningsbransjen utfører også tjenester for private kunder. Dette kan typisk være private husstander, etter avtale med en kommune eller avfallshåndtering der avfallsbedriften har direkte avtale med enkeltpersoner som kunde.

I situasjoner der avfallsbedriften behandler personopplysninger for å oppfylle kontrakt/avtale på vegne av en kommune, er avfallsbedriften normalt databehandler for kommunen som kontraktsmotpart. I slike tilfeller er det kommunen som er behandlingsansvarlig under forutsetning om at avfallsbedriften kun utfører slike oppgaver som er avtalt med kommunen.

Hvordan skal du vite hva som er tillatt?

Personvernforordningen er ingen lov der du nødvendigvis finner bestemmelser som helt presist angir hva som er rett eller gal behandling av personopplysninger. Derfor vil personvernprinsippene gi deg et godt utgangspunkt for å bedømme hva som er korrekt behandling av personopplysninger i hvert tilfelle. Disse prinsippene gjelder for all behandling av personopplysninger. Nedenfor finner du mer informasjon om de viktigste prinsippene.

For det første skal behandlingen av personopplysninger være lovlig, rettferdig og gjennomsiktig. Dette innebærer blant annet at virksomheten må kunne dokumentere at det foreligger et lovlig behandlingsgrunnlag for behandlingen av personopplysningene. Eksempler på lovlig behandlingsgrunnlag er samtykke eller oppfyllelse av kontraktsforpliktelse etter avtale med kommune eller privatperson. Behandlingsgrunnlaget kan variere avhengig av om opplysningene retter seg mot ansatte eller mot kunder. I arbeidsforhold kan behandlingsgrunnlaget følge av arbeidsmiljøloven, andre lover eller forskrifter i arbeidsforhold eller samtykke fra den ansatte.  

Behandlingen skal være rettferdig. Det betyr at det skal være en viss forholdsmessighet mellom inngrepet i personvernet og formålet med behandlingen av personopplysninger. Dessuten skal behandlingen skal være gjennomsiktig, noe som stiller krav til at enkeltpersoner som det behandles personopplysninger om, skal være informert om behandlingen og formålet.

For det andre må behandlingen ha en formålsbegrensning. Det betyr at personopplysningene bare kan benyttes eller behandles til spesifikke, uttrykkelige angitte og berettigede formål. Dersom personopplysningene behandles med det formål å oppfylle en avtale om avfallshåndtering, kan ikke de samme opplysningene uten videre benyttes til markedsføringsformål.

For det tredje skal det foreligge en lagringsbegrensning. Når formålet med behandlingen er oppfylt, må avfallsbedriften slette personopplysningene. Dette vil typisk skje når avfallsbedriften har avsluttet et kontraktsforhold med kunden. Men ikke alle opplysninger kan slettes uten videre. Blant annet inneholder bokføringsreglene krav om oppbevaringsplikt. Det kan derfor være lovbestemte grunner til at personopplysninger ikke kan slettes fullstendig selv om en person ber om at personopplysningene om vedkommende skal slettes.

For det fjerde skal det ikke benyttes eller behandles flere personopplysninger enn det som er nødvendig for formålet. Dersom avfallsbedriften skal håndtere avfallet til en husholdning, er det kun adgang til å innhente de personopplysningene som skal til for å utføre oppdraget for vedkommende.

For det femte skal personopplysningene være korrekte og oppdaterte. Personopplysninger som er uriktige med hensyn til formålet for behandlingen, skal slettes eller korrigeres. Dette innebærer for eksempel at dersom det er lagret personopplysninger om en husstand, skal opplysningene oppdateres dersom eiendommen blir overdratt til nye eiere.

For det sjette skal personopplysningene være tilstrekkelig sikret mot uautorisert tilgang eller ulovlig behandling. Det skal sikres at personopplysningene ikke tapes, ødelegges eller skades.

Hva bør avfallsbedriften iverksette før 25. mai?

Vår anbefaling er at bedrifter i avfallsbransjen som ennå ikke har iverksatt noen personverntiltak, umiddelbart starter med en kartlegging av hvilke typer personopplysninger som normalt behandles, med hvilket formål og med hvilket behandlingsgrunnlag (se over). En slik kartlegging kan gi avfallsbedriften god oversikt og avdekke mulige sårbarheter, feil og mangler ved behandlingen av personopplysninger.

På bakgrunn av kartleggingen bør avfallsbedriften utarbeide en plan for hvordan kravene etter personvernforordningen skal etterleves. En slik tiltaksplan bør inneholde oversikt over oppgaver som må løses, prioritering av oppgavene, fordeling av ansvar, roller og tidsfrister. Husk at etterlevelsen av regelverket krever dokumentasjon som kan fremlegges for styret i avfallsbedriften eller Datatilsynet.

Eksempler på aktiviteter som kan inngå i en slik tiltaksplan kan være:

  • retningslinjer for informasjon til ansatte om avfallsbedriftens behandling av personopplysninger om ansatte,
  • oversikt over typer av personopplysninger avfallsbedriften behandler og eventuelt for hvem,
  • hvor opplysningene oppbevares og lagres,
  • eventuelle overføringer av personopplysninger utenfor EU/EØS-området,
  • utforming av personvernerklæring,
  • inngåelse av databehandleravtaler med leverandører og relevante kunder,
  • rutiner for håndtering av personopplysninger i avfallsbedriften,
  • identifisering av avvik og
  • tiltak for å sikre rettidig varsling om eventuelle avvik og regelbrudd.

Dokumentasjonen som utarbeides av avfallsbedriften som ledd i bedriftens personvernprosjekt, skal beskrive hvordan virksomheten oppfyller kravene etter personvernforordningen.

Nøkkelen til god etterlevelse av personvernforordningen ligger i organisasjonskulturen og måten dere håndterer personopplysninger på i avfallsbedriften. Derfor kan det være nødvendig å gjennomføre opplæring for medarbeidere, der formålet er å øke bevisstheten om enkeltpersoners rettigheter og sørge for at ansatte forstår hvilke krav og forventninger som påhviler dem ved behandling av personopplysninger.  

-

Om forfatteren

Advokat Erling Grimstad – www.personvernradgiveren.no - har arbeidet med personvernspørsmål siden 2004 og bistår bedrifter med å etterleve personvernreglene. Han er eksternt personvernombud for virksomheter og hjelper bedrifter med risikovurdering, tiltaksplaner, utarbeidelse av databehandleravtaler og andre personvernspørsmål.

Relaterte artikler

Se flere nyheter