Arbeidseksempel
GDPR-dokumentpakke for treningssenter
FjordForm (fiktiv) Treningssenter AS
Oppdrag
Utarbeide GDPR-compliant dokumentasjon for et norsk treningssenter som lanserer app for timebestilling, medlemskap og oppfølging.
Leveranse (dokumentpakke)
- Personvernerklæring (app + nettside)
- Mal for databehandleravtale med app-/systemleverandør (GDPR art. 28)
- Intern prosedyre for sletting og håndtering av registrertes rettigheter
- Protokoll over behandlingsaktiviteter (GDPR art. 30)
- Praktisk sjekkliste for cookies/sporing og markedsføringssamtykker
Kartlegging av relevant lovverk og rammebetingelser
FjordForm opererer i Norge (EØS). Appen og nettsiden retter seg mot privatpersoner (B2C) og behandler personopplysninger om medlemmer og potensielle medlemmer.
Kjernekrav
- Personopplysningsloven (2018) og GDPR: behandlingsgrunnlag, informasjon, rettigheter, sikkerhet og dokumentasjonsplikt.
- Ekomloven (lov 13.12.2024 nr. 76, i kraft 1. januar 2025): bruk av cookies/sporing krever samtykke som er gyldig etter GDPR.
- Markedsføringsloven § 15: krav om forhåndssamtykke for markedsføring via e-post/SMS til fysiske personer (med enkelte unntak).
- Bokføringsloven og bokføringsforskriften: plikt til å oppbevare regnskapsmateriale (påvirker sletting/lagringstid).
- Ehandelsloven og angrerettloven: opplysningsplikt og angrerett ved salg av tjenester på nett (relevant ved innmelding/betaling i app/nettside).
- Overføring ut av EØS: krav til overføringsgrunnlag (f.eks. SCC eller adekvansbeslutning der dette finnes).
Bransjespesifikke personvernhensyn
- Treningssentre behandler ofte opplysninger som kan oppleves private (treningsvaner, oppmøte, mål). Dersom appen behandler helseopplysninger (skader/diagnoser), utløses strengere krav (GDPR art. 9).
- Mindreårige: Dersom appen tilbys direkte til barn, må aldersgrenser og samtykkeløsninger vurderes særskilt. I Norge er aldersgrensen for barns samtykke til informasjonssamfunnstjenester normalt 13 år – barn under 13 krever foreldresamtykke.
Prosess
1. Innsikts- og datakartlegging
- Avklaring med kunden: hvilke funksjoner appen har (booking, betaling, meldinger, treningsplaner).
- Kartlegging av personopplysningsflyt: hva samles inn, hvor lagres det, hvem har tilgang, og hvilke leverandører er involvert.
- Rolleavklaring: behandlingsansvarlig (FjordForm) vs. databehandlere (app-leverandør, drift/hosting, e-post/SMS) – samt avklaring av øvrige mottakere/selvstendige behandlingsansvarlige (f.eks. betalingsleverandør, avhengig av løsning).
2. Juridisk vurdering og gap-analyse
- Behandlingsgrunnlag per formål (GDPR art. 6) og evt. art. 9 ved særlige kategorier.
- Informasjonsplikt: innhold som må stå i personvernerklæringen (GDPR art. 13).
- Krav til databehandleravtaler (GDPR art. 28) og underdatabehandlere.
- Sikkerhetstiltak og avvikshåndtering (GDPR art. 32–34).
- Lagringstid/sletting: kobling mellom GDPR og regnskapskrav (bokføringsregelverket).
- Cookies/sporing og markedsføring: samtykker og reservasjonsmekanismer.
3. Dokumentproduksjon og implementering
- Utarbeide personvernerklæring og tilpasse til faktisk databruk.
- Utarbeide databehandleravtale-mal med vedlegg for behandlingsbeskrivelse og sikkerhet.
- Etablere intern prosedyre for sletting og håndtering av rettighetskrav.
- Etablere og fylle ut protokoll (GDPR art. 30).
Last ned eksempel dokumenter
Dette er et illustrativt arbeidseksempel som viser hvordan vi tilnærmer oss GDPR-dokumentasjon for treningssentre. Faktisk innhold og omfang tilpasses alltid kundens konkrete situasjon.