Den mest effektive plattformen for å håndtere samtykker.

TRAQ hjelper virksomheten med å dokumentere samtykker, slik at lovverket følges samtidig som du bygger tillit til dine kunder. Vi reduserer risikoen og hjelper deg å se muligheter i dataene.

 
Personvernombud

Versjonering av samtykke

Om behandlingsformålet endres, må det hentes inn nytt samtykke. Gammelt samtykke er kun gyldig for de gamle vilkårene i versjon 1 og ikke gyldig for versjon 2.

Virksomheten ønsker å behandle personopplysninger til nye formål. Samtykkeerklæringen oppdateres med de nye formålene og versjoneres opp. Nye samtykker må hentes inn før virksomheten kan behandle personopplysninger til de nye formålene.

Har virksomheten din en løsning som håndterer versjonering og dermed norsk lov? Kun et fåtall løsninger gjør dette i dag.

 

TRAQ er et strategisk verktøy.

TRAQ er en leverandør som hjelper deg med å:

  • Enkelt opprette personvernerklæring, vilkår og samtykkeerklæring til hvert behandlingsformål med standardiserte maler som møter kravene om spesifikk og utvetydig informasjon

  • Få full oversikt over alle samtykker fra dine kunder, på tvers av hele virksomheten. TRAQ integrerer inn i virksomhetens tjenester og apper via API/widget, og lagrer alle samtykker gjennom hele livssyklusen.

  • Dokumenter samtykke basert på norske og internasjonale standarder for dokumentasjonsforvaltning (record management). Standarder som ISO, MoReq, Dublin Core og Noark.

  • Etterlev kravet om versjonering. At kunden har samtykket til versjon 1.1 og 1.2 av samtykkeerklæringen.

  • Gi kunden din økt tillit ved å gi full oversikt over hvilken informasjon man har samtykket til, og til hvilket formål.

Typiske utfordringer

Hvis du er personvernombud i din virksomhet, har du garantert møtt på utfordringer knyttet til håndtering av sikkerhetsbrudd og korrekt behandling av personopplysninger. Det er et sammensurium av regelverk som skal følges og som krever mye ressurser for å sette seg inn i og forstå seg på. Om dette ikke følges øker risikoen for bøter og dårlig omdømme. Videre er det ofte begrensninger i de tekniske systemene til virksomheten, som gjør at minimumskravene til et GDPR-gyldig samtykke ikke tilfredsstilles.

Vanlige svakheter er:

  • Vanskelig å trekke sitt samtykke like enkelt som det ble gitt. Om virksomheten må kontaktes for at sluttbruker kan trekke sitt samtykke, er ikke samtykke gyldig.

  • Mangelfull samtykkeerklæring. Samtykkeerklæringen skal være spesifikk og informert, og inneholde informasjon som hvem den behandlingsansvarlige er, hvilke persondata som samles inn og behandlingsformålet med disse, og konkret liste over tredjeparter - slik som tjenester og systemer, virksomheter og samarbeidspartnere virksomheten deler data med.

    • Det er ikke holdbart å skrive “dine data deles kun med selskaper underlagt virksomhet AS” eller “virksomhetens samarbeidspartnere”. Disse må listes opp på en så tydelig og informativ måte som mulig.

  • Vanskelig å få oversikt over alle samtykker på tvers av systemer (tjenester, apper) som virksomheten bruker, eller på tvers av virksomheter underlagt morselskapet/organisasjonen. Det er en stor ulempe at samtykkene lagres og dokumenteres på flere steder.

  • Samtykkene dokumenteres ikke med riktig versjon i henhold til standarder for dokumentasjonsforvaltning (consent management). Virksomheten må kunne dokumentere at Kari har samtykket til versjon 1.1 av samtykkeerklæringen, mens Ola har samtykket til versjon 1.2.

Sjekkliste for personvernombudet

Som personvernombud er du nødt til å sette deg inn i et komplekst regelverk og sørge for at virksomhetens tekniske løsninger er gode nok til at dette etterleves. Her er noen spørsmål vi anbefaler at du som personvernombud tar for deg.

  • Basert på behandlingsprotokollen til virksomheten, hvilke behandlingsgrunnlag har dere? Berettiget interesse, avtale og samtykke er vanlige behandlingsgrunnlag.

  • Har dere berettiget interesse eller avtale som behandlingsgrunnlag når dere egentlig burde ha samtykke? Praksisen viser blant annet at profilering/tilpasset annonseinnhold og deling av data med tredjeparter/samarbeidspartnere må baseres på eksplisitt samtykke.

  • Hvor mange samtykker henter virksomheten inn i dag, og følger samtykkeerklæringene Datatilsynets minimumskrav (behandlingsformål, datafelter, tredjeparter, informativt, spesifikt osv.)?

  • Hvilke systemer (tjenester, apper) bruker virksomheten hvor det behandles personopplysninger?

  • Hvordan dokumenteres samtykke i disse systemene, og følger de standarder for dokumentasjonsforvaltning? Det er ikke sikkert samtykke-modul som sekundær funksjonalitet i et system, eller egenutviklet oversikt, følger standarder med korrekt versjonering.

Vi hjelper personvernombudet med
korrekt håndtering av samtykker.

Er du personvernombud i en virksomhet som dette, er det bare å ta kontakt med oss for gratis rådgivning:

  • Konsern eller paraplyorganisasjon med underliggende, organisatoriske enheter.

  • Kundeklubb / lojalitetsprogram med salg av varer på nett.

  • Medlemsorganisasjoner.

  • Andre virksomheter som behandler mye personopplysninger.

TRAQ er en leverandør som svarer på problematikken rundt personvern. La oss sikre deg mot unødvendig hodebry.