GDPR nye regler personvern.jpg

I juli 2018 trådte det i kraft nye regler om personvern i Norge, gjennom den såkalte GDPR-forordningen. Alle bedrifter må nå ha en virksomhet som opererer i tråd med de nye reglene. Hvilke krav stilles til din virksomhet?

Les også: GDPR: Hvordan vil de nye personvernreglene påvirke din virksomhet? 

Det første du må gjøre, er å gjennomføre en kartlegging av virksomhetens behandling av personopplysninger.

1. Kartlegg hva slags personopplysninger bedriften behandler

Det første som må tas stilling til er hva slags personopplysninger din virksomhet behandler. Behandler dere for eksempel opplysninger om privatkunder eller kontaktpersoner hos bedriftskunder? Eller har dere kanskje opplysninger om andre personer som kunden er behandlingsansvarlig for?

Videre skilles det mellom «alminnelige» og «sensitive» personopplysninger. Det gjelder strengere regler for behandling av sistnevnte. Har dere kun «alminnelige» personopplysninger som navn og adresse til kunder, eller behandler dere også sensitive personopplysninger om for eksempel helse og fagforeningsmedlemskap?

2. Kartlegg hvor personopplysningene er lagret

Neste trinn er å kartlegge hvor eller i hvilke IT-systemer personopplysningene er lagret. Et tips er å lage en oversikt over alle IT- systemer, samt fysiske lagringsplasser, som inneholder personopplysninger. Videre bør dere avdekke hva slags hovedkategorier av personopplysninger som er lagret de ulike stedene.

Last ned gratis guide: GDPR og personvern – for virksomheter som behandler personopplysninger.

3. Kartlegg hvor personopplysningene kommer fra

Hvordan har din virksomhet fått personopplysningene? Og hvordan er de samlet inn?

Har dere hentet inn opplysningene selv, eller har dere fått opplysningene direkte fra personen det gjelder? Personopplysningene kan også ha kommet inn via en tredjepart.

Dere bør lage en oversikt som viser hvordan opplysningene er hentet inn og hvor de er hentet fra.

4. Ta stilling til formålet med personopplysningene

Det må også tas stilling til hva som er formålet med bruken av personopplysningene og hvorfor dere trenger dem. Skal dere for eksempel oppfylle en avtale med kunden, eller skal de brukes til personaladministrasjon?

Dersom dere har samlet inn opplysningene for å levere en tjeneste en kunde har bestilt, er det ikke gitt at dere har lov til å bruke opplysningene til markedsføring. Dere må derfor avdekke om dere bruker personopplysningene til andre formål enn det de opprinnelig er samlet inn for. Dere må også sjekke hvilken informasjon personen det gjelder har fått om din virksomhets bruk av personopplysningene.

Det gjelder strenge regler til hva som må til for at dere lovlig kan behandle og samle inn personopplysningene. Det er derfor viktig at dere har oversikt over hvordan dere har samlet dem inn og til hvilke formål dere bruker personopplysningene. Kun på denne måten kan dere avdekke om dere har et gyldig grunnlag for å behandle personopplysningene og om dere kun benytter dem til lovlige behandlingsformål.  

Les mer: GDPR – strengere krav til samtykke

5. Kartlegg underleverandører og om disse behandler personopplysninger

Det er viktig å kartlegge underleverandører og avdekke hvorvidt disse behandler personopplysninger på deres vegne. Oversikten i punkt 2 vil her være til stor hjelp.

Underleverandører som behandler personopplysninger på deres vegne kalles databehandlere. Det gjelder strenge krav til bruk av databehandlere, og dere må påse at dere har inngått en såkalt databehandleravtale med alle disse. Dersom databehandlerne deres befinner seg i utlandet, gjelder det egne regler om hva som må til for at overføringen av personopplysninger skal være lovlig.

Din virksomhet må etter ikrafttredelse av GDPR sørge for at alle gjeldende databehandleravtaler er oppdaterte.

6. Få oversikt over dagens rutiner for personvern

Videre bør dere også få oversikt over hva slags rutiner for personvern dere allerede har på plass. På denne måten avdekker dere hva som mangler. Når dere har oversikt over dette, kan dere vurdere:

  • Hvilke rutiner dere må oppdatere for å oppfylle de nye kravene
  • Hvilke rutiner dere må utvikle
  • Hvilke rutiner som er overflødige

Det kommer for eksempel nye regler for avvikshåndtering. Selv om dere eventuelt har avviksrutiner som oppfyller dagens krav, må disse oppdateres for å være lovlige etter medio 2018.

7. Utvikle nye rutiner for personvern i henhold til GDPR

Når dere har oversikt over hva slags endringer dere må gjøre for å oppfylle de nye kravene i GDPR-forordningen, må dere utvikle rutiner som oppfyller disse. Videre er det viktig at alt arbeidet dere gjør med personvern og personvernrutiner foreligger skriftlig, og at dere har dokumentasjon på for eksempel at dere har gjennomført pålagte risikoanalyser. Uten dokumentasjon står dere i fare for å bli ilagt strenge sanksjoner fra Datatilsynet ved et eventuelt tilsynsbesøk. Det hjelper ikke å gjøre alt korrekt om dere ikke kan dokumentere at dere overholder kravene.

Her kan du laste ned gratis guide om GDPR og personvern – for virksomheter som behandler personopplysninger. 

Last ned gratis guide GDPR og personvern: En guide for virksomheter som behandler personopplysninger

Denne artikkelen ble opprinnelig publisert 8. februar 2018. Oppdatert januar 2019.