Hvis du tenker at det bare er store selskaper som får bøter for brudd på personvern-loven må du tro om igjen! Også små og mellomstore bedrifter får bøter. La oss se på hva du kan bli bøtelagt for, hvorfor du blir det og hvordan du kan unngå slike situasjoner.
1. Tenk deg godt om før du henger opp et kamera
Det føles trygt å ha satt opp et kamera for å unngå tyveri og hærverk. Kanskje du ønsker å trygge kunder eller beboere? Noen setter opp et kamera som filmer et torg i byen de er stolte av. Det burde du være forsiktig med.
Dette er reglene for filming:
- Du må ha en god grunn til å filme et område der folk ferdes. Hvis du ønsker å forebygge mot tyveri eller hærverk må du ha forsøkt andre løsninger først.
- Ikke film ansatte mens de jobber. Unntaket kan være i butikker, bank etc. hvor kassepunktet er utsatt.
- Ikke film i det som oppfattes som privat sfære. Det kan være inne på restaurant hvor gjestene spiser, eller på et torg hvor folk møtes.
- Merk tydelig at området er kameraovervåket og ta kontaktinfo. Dette skal du gjøre selv om kameraet ikke er i bruk.
- Slett opptaket etter 7 dager. Har det skjedd en hendelse som du skal dele med politiet, kan du beholde opptaket i 30 dager.
Eksempler på bøter som er gitt i forbindelse med bruk av kamera:
- En klinikk fikk gebyr på 100 000,- i forbindelse med kameraovervåkning av resepsjonsområdet
- Et driftselskap fikk 200 000,- i bot i forbindelse med kameraovervåkning av restaurantlokaler
- Et selskap fikk overtredelsesgebyr på 35 000,- for ulovlig oversendelse av personopplysninger fra et kameraopptak
- Et selskap fikk bot på 150 000,- for direktesending fra et kamera i sentrum av et tettsted
2. Vær varsom med kredittvurderinger
Skal du foreta en kredittvurdering er dette fordi du skal vurdere å gi en kredit. Ja, det ligger i ordet, men mange bruker det også for å vurdere en potensiell kunde.
Dette er reglene du må forholde deg til:
- Kun kredittvurdere når du har blitt enig med din potensielle kunde om å gi en kreditt.
- Enkeltpersonforetak regnes som personopplysning og du må trå varsom i kredittsjekk av disse.
- I jobbsøknad kan du bare foreta en kredittsjekk i sluttfasen, og bare hvis det er nødvendig for stillingen.
- Slette raskt, du har ikke bruk for disse opplysningene lenge. Maks 1 måned.
- Dersom noen i organisasjonen har snoket på en kollega eller en nabo skal denne personen også skal vernes. Det er en stor belastning å være den som snoket, så det er ditt ansvar å beskytte vedkommende.
Eksempler på bøter som er gitt til selskaper som har tråkket feil ved kredittvurderinger:
- Flere selskaper har fått bøter fra 50 000 - 200 000,- for å foreta en kredittvurdering av en person som ikke var i et kundeforhold med dem
- Et sameie fikk bot på 300 000,- for 2 kredittvurderinger uten noen form for kundeforhold eller annen tilknytning
- Et transportselskap fikk 40 000,- i gebyr for å ha kredittvurdert et enkeltmannsforetak
3. Ikke videresend e-poster
Det kan være fristende å sjekke ansattes e-post for å se hva de faktisk jobber med, eller kanskje du logger deg inn på en privat konto for å videresende en viktig e-post? Her må du trå varsomt. Hvis det er mulig, varsle alltid den ansatte om at du må logge deg inn for å lese e-poster og hvorfor du trenger å gjøre det.
Dette er reglene du må følge:
- Du har bare lov til å sjekke e-posten til en ansatt hvis du har klare og tydelige mistanker om at det har skjedd noe ulovlig.
- Hvis det er svært viktig for bedriften og den ansatte ikke kan sende e-posten selv, kan du hente den ut. Dette kan for eksempel være i forbindelse med sykdom.
Noen nyttige tips:
- Be de ansatte sortere sine private e-poster i en egen mappe merket som Privat. Da unngår du å komme over privat innhold om du må inn i postboksen, og det er enkelt for vedkommende å hente ut sitt eget innhold.
- Når en ansatt slutter, be han sette opp en out of office reply med beskjed til kunder og kontakter om hvilken ny e-post adresse disse skal bruke i fremtiden. Da går dere ikke glipp av viktig dialog.
Eksempler på bøter som er gitt til SMB i forbindelse med e-poster:
- Anonymt selskap fikk overtredelsesgebyr på 100 000,- for å ha videresendt arbeidstakers e-poster til en adresse administrert av daglig leder
Hva kan man få gebyrer for av Datatilsynet? Se hele listen
NB! Ikke glem at dette må også fylles inn i din behandlingsprotokoll som du er pliktig til å ha på plass. Trenger du hjelp til dette? Les mer om behandlingsprotokollen i Adminkit GDPR:
