En personvernerklæring skal inneholde informasjon som viser hvordan en organisasjon behandler personopplysninger i samsvar med GDPR-reglene. Erklæringen bør forklare hvem som er behandlingsansvarlig, hvilke typer personopplysninger som samles inn, formålene med databehandlingen, det rettslige grunnlaget, og hvem dataene eventuelt deles med.

Viktige elementer en personvernerklæring skal dekke

• Behandlingsansvarlig: Inkluder navn, adresse og kontaktinformasjon på den ansvarlige virksomheten.
• Formål med behandlingen: Beskriv hvorfor dataene samles inn, som for eksempel kundeadministrasjon eller markedsføring.
• Rettslig grunnlag: Oppgi om behandlingen er basert på samtykke, avtale, juridisk forpliktelse eller legitim interesse.
• Opplysningstyper: Spesifiser hvilke data som samles inn, som navn, e-post eller IP-adresser.
• Datakilde: Forklar om opplysningene er innhentet direkte fra brukeren eller fra andre kilder.
• Deling med tredjeparter: Angi om data deles med andre parter, og hvem disse er.
• Oppbevaringsperiode: Angi hvor lenge opplysningene oppbevares før de slettes.
• Rettigheter: Informer individet om rettighetene deres, som innsyn, sletting, og retten til å klage.
• Datasikkerhet: Beskriv tiltak som beskytter dataene mot misbruk.

Hvordan utforme din personvernerklæring?

Du bør sørge for at dokumentet er lett forståelig og strukturert, med klare overskrifter for hvert punkt. Dette gjør det enkelt for brukere å finne den informasjonen de trenger.

Eksempel på god praksis

Organisasjoner som Datatilsynet har en godt strukturert personvernerklæring som kan være et forbilde. Den viser åpenhet ved å forklare databehandlingen på en enkel og tilgjengelig måte.

Nøkkelpunkter å huske

• En tydelig og informativ personvernerklæring øker brukernes tillit.
• Overholdelse av GDPR-reglene minimerer juridisk risiko for virksomheten din.
• Husk å oppdatere erklæringen jevnlig for å reflektere endringer i databehandling.