<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=481164012244046&amp;ev=PageView&amp;noscript=1">
Magnus Legal
GDPR nye regler personvern.jpg
2.01.2020

GDPR: 7 tiltak du må prioritere nå

Forfatter

Advokatfirmaet Magnus Legal Advokatfirmaet Magnus Legal

I juli 2018 trådte nye regler om personvern i kraft i Norge, gjennom den såkalte GDPR-forordningen. Alle bedrifter må nå operere i tråd med de nye personvernreglene. Hvilke krav stilles til din virksomhet?

Les også: GDPR: Hvordan vil de nye personvernreglene påvirke din virksomhet? 

Det første du må gjøre, er å gjennomføre en kartlegging av virksomhetens behandling av personopplysninger.

1. Kartlegg hva slags personopplysninger bedriften behandler

Det første som må tas stilling til er hva slags personopplysninger din virksomhet behandler. Behandler dere for eksempel opplysninger om privatkunder eller kontaktpersoner hos bedriftskunder? Eller har dere kanskje opplysninger om andre personer som kunden er behandlingsansvarlig for? Denne sonderingen har betydning for hvorvidt din virksomhet er å anse som behandlingsansvarlig eller databehandler. Det gjelder ulike regler for behandlingsansvarlig og databehandler. 

Videre skilles det mellom «alminnelige» og «sensitive» personopplysninger. Det gjelder strengere regler for behandling av sensitive opplysninger. Har dere kun «alminnelige» personopplysninger som navn og adresse til kunder, eller behandler dere også sensitive personopplysninger om for eksempel helse og fagforeningsmedlemskap?

Guide for bedrifter som behandler personopplysninger

2. Kartlegg hvor personopplysningene er lagret

Neste trinn er å kartlegge hvor eller i hvilke IT-systemer personopplysningene er lagret. Et tips er å lage en oversikt over alle IT- systemer, samt fysiske lagringsplasser, som inneholder personopplysninger. Videre bør dere avdekke hva slags hovedkategorier av personopplysninger som er lagret de ulike stedene.

Last ned gratis guide: GDPR og personvern – for virksomheter som behandler personopplysninger.

3. Kartlegg hvor personopplysningene kommer fra

Hvordan har din virksomhet fått personopplysningene? Og hvordan er de samlet inn?

Har dere hentet inn opplysningene selv, eller har dere fått opplysningene direkte fra personen det gjelder? Personopplysningene kan også ha kommet inn via en tredjepart.

Dere bør lage en oversikt som viser hvordan opplysningene er hentet inn og hvor de er hentet fra.

4. Ta stilling til formålet med personopplysningene

Det må også tas stilling til hva som er formålet med bruken av personopplysningene og hvorfor dere trenger dem. Skal dere for eksempel oppfylle en avtale med kunden, eller skal de brukes til personaladministrasjon?

Dersom dere har samlet inn opplysningene for å levere en tjeneste en kunde har bestilt, er det ikke gitt at dere har lov til å bruke opplysningene til markedsføring. Dere må derfor avdekke om dere bruker personopplysningene til andre formål enn det de opprinnelig er samlet inn for. Dere må også sjekke hvilken informasjon personen det gjelder har fått om din virksomhets bruk av personopplysningene.

Det gjelder strenge regler til hva som må til for at dere lovlig kan samle inn og behandle personopplysningene. Det er derfor viktig at dere har oversikt over hvordan dere har samlet dem inn og til hvilke formål dere bruker personopplysningene. Kun på denne måten kan dere avdekke om dere har et gyldig grunnlag for å behandle personopplysningene og om dere kun benytter dem til lovlige behandlingsformål.  

Les mer: GDPR – strengere krav til samtykke

5. Kartlegg underleverandører og om disse behandler personopplysninger

Det er viktig å kartlegge underleverandører og avdekke hvorvidt disse behandler personopplysninger på deres vegne. Oversikten i punkt 2 vil her være til stor hjelp.

Underleverandører som behandler personopplysninger på deres vegne kalles databehandlere. Det gjelder strenge krav til bruk av databehandlere, og dere må påse at dere har inngått en databehandleravtale med alle disse. Dersom databehandlerne befinner seg i utlandet, gjelder det egne regler om hva som må til for at overføringen av personopplysninger skal være lovlig.

Din virksomhet må etter ikrafttredelse av GDPR sørge for at alle gjeldende databehandleravtaler er oppdaterte.

6. Få oversikt over dagens rutiner for personvern

Videre bør dere også få oversikt over hva slags rutiner for personvern dere allerede har på plass. På denne måten avdekker dere hva som mangler. Når dere har oversikt over dette, kan dere vurdere:

  • Hvilke rutiner dere må oppdatere for å oppfylle de nye kravene
  • Hvilke rutiner dere må utvikle
  • Hvilke rutiner som er overflødige

7. Utarbeide nye rutiner for personvern i henhold til GDPR

Når dere har oversikt over hva slags endringer dere må gjøre for å oppfylle de nye kravene i GDPR-forordningen, må dere utarbeide rutiner som oppfyller disse. Videre er det viktig at alt arbeidet dere gjør med personvern og personvernrutiner foreligger skriftlig, og at dere har dokumentasjon på at dere har gjennomført pålagte risikoanalyser. Uten dokumentasjon står dere i fare for å bli ilagt strenge sanksjoner fra Datatilsynet ved et tilsynsbesøk. Det hjelper ikke å gjøre alt korrekt om dere ikke kan dokumentere at dere overholder kravene.

Les mer om hva vi kan hjelpe deg med på nettsiden: Personvern og GDPR

Her kan du laste ned gratis guide om GDPR og personvern – for virksomheter som behandler personopplysninger. 

Guide for bedrifter som behandler personopplysninger

Denne artikkelen ble opprinnelig publisert 8. februar 2018. Oppdatert januar 2020.

Få e-post om nye innlegg

Vi blogger om praktiske problemstillinger med tema i grenseland mellom jus og økonomi.

Vi tar opp utfordringer og spørsmål knyttet til lover og regler som får konsekvenser for din virksomhet og arbeidshverdag. 

Nye blogginnlegg publiseres jevnlig, så om du vil holde deg oppdatert,  registrer deg her for varsling på epost.