Det store spørsmålet er om Norge kan bli verdens mest digitaliserte land uten å gå på kompromiss med personvernet.
Mange bedrifter tror de har alt på stell, men ofte viser det seg at erklæringen enten er utdatert, misvisende eller rett og slett ikke tilgjengelig på deres nettside. Vi har sett mange eksempler der virksomheter har bommet på dette viktige punktet, og vi ønsker å dele noen av våre erfaringer med deg for å belyse de vanligste feilene og utfordringene knyttet til personvernerklæringer.
Her er noen eksempler fra vår gjennomgang av personvernerklæringer:
- Ved gjennomgang av personvernerklæringen til en virksomhet som hadde hovedkontor med ansvar for personopplysningene til flere franchisevirksomheter, oppdaget vi at alle brukte den samme personvernerklæringen. Dette var problematisk fordi de forskjellige franchisevirksomhetene hadde ulike systemer og prosesser. I tillegg manglet det kartlegging av behandlingen av personopplysninger. Erklæringen var dessuten dårlig formulert.
- Ved gjennomgang av personvernerklæringen til en forening, avdekket vi at 14 andre uavhengige virksomheter hadde kopiert den samme personvernerklæringen, men delvis redigert den. Felles for disse var at de hadde kjøpt erklæringen fra samme webutvikler og kun delvis lykkes med å omskrive den. Det var usikkert om erklæringene var forankret i en oppdatert behandlingsprotokoll. Man kan ikke kjøpe en personvernerklæring uten videre – den må reflektere virkeligheten.
- En leverandør hadde inkludert personvernerklæringen i kontrakten med oss, men den var ikke tilgjengelig på deres hjemmeside. Dette er nødvendig for fullstendig transparens og å bygge tillit hos kundene.
- En reiselivsaktør hadde et velfungerende internt dokument med oversikt over personopplysningene, men personvernerklæringen som var tilgjengelig for publikum var skrevet på et komplisert og lite forståelig språk. Dessuten var det tydelig at det ikke var samsvar mellom personvernerklæringen og den interne behandlingsprotokollen.
- En annen virksomhet ble oppmerksom på manglene da vi kunne dokumentere at de ikke hadde en personvernerklæring publisert. Det viste seg at de hadde skrevet en erklæring, men den var ikke lagt ut på nettet, hvilket gjør den lite nyttig.
- Til sist kom vi over en virksomhet som hadde misforstått fullstendig. De hadde kun lagt ut en mal på cookie policy under personvernerklæringen. Denne malen var heller ikke oppdatert eller korrekt, men bare en standardmal.
Det er tydelig at mange bedrifter har utfordringer med å følge kravene til en korrekt og oppdatert personvernerklæring. Dette er ikke bare et lovkrav, men også en mulighet til å vise transparens og bygge tillit hos kunder og samarbeidspartnere.
Vi oppfordrer derfor alle virksomheter til å gjennomgå sine personvernerklæringer regelmessig, sørge for at de er tilpasset deres faktiske behandlinger og at de er lett tilgjengelige på deres nettsider.
Sammen kan vi bidra til økt bevissthet og forbedring av personvernet i alle virksomheter og dermed få en god balanse mellom datadeling og personvern.
