GDPR er ikke lenger en nyhet. Reglene om personvern trådte i kraft i juli 2018 gjennom GDPR forordningen. Alle bedrifter må nå operere i tråd med de nye personvernreglene. Har du kontroll og oversikt over hvordan din bedrift håndterer personvernreglene? Det er svært viktig at reglene overholdes, hvis ikke, kan det bli en kostbar affære. I denne bloggen får du en oversikt over hvilke krav som stilles til bedrifter.
Det første som må tas stilling til er hva slags personopplysninger din virksomhet behandler. Behandler dere for eksempel opplysninger om privatkunder eller kontaktpersoner hos bedriftskunder? Eller har dere kanskje opplysninger om andre personer som kunden er behandlingsansvarlig for? Denne sonderingen har betydning for hvorvidt din virksomhet er å anse som behandlingsansvarlig eller databehandler. Det gjelder ulike regler for behandlingsansvarlig og databehandler.
Videre skilles det mellom «alminnelige» og «sensitive» personopplysninger. Det gjelder strengere regler for behandling av sensitive opplysninger. Har dere kun «alminnelige» personopplysninger som navn og adresse til kunder, eller behandler dere også sensitive personopplysninger om for eksempel helse og fagforeningsmedlemskap?
Les også: GDPR: Hvordan vil de nye personvernreglene påvirke din virksomhet?
Neste trinn er å kartlegge hvor eller i hvilke IT-systemer personopplysningene er lagret. Et tips er å lage en oversikt over alle IT- systemer, samt fysiske lagringsplasser, som inneholder personopplysninger. Videre bør dere avdekke hva slags hovedkategorier av personopplysninger som er lagret de ulike stedene.
Last ned gratis guide: GDPR og personvern – for virksomheter som behandler personopplysninger.
Hvordan har din virksomhet fått personopplysningene? Og hvordan er de samlet inn? Har dere hentet inn opplysningene selv, eller har dere fått opplysningene direkte fra personen det gjelder? Personopplysningene kan også ha kommet inn via en tredjepart.
Dere bør lage en oversikt som viser hvordan opplysningene er hentet inn og hvor de er hentet fra.
Det må også tas stilling til hva som er formålet med bruken av personopplysningene og hvorfor dere trenger dem. Skal dere for eksempel oppfylle en avtale med kunden, eller skal de brukes til personaladministrasjon?
Dersom dere har samlet inn opplysningene for å levere en tjeneste en kunde har bestilt, er det ikke gitt at dere har lov til å bruke opplysningene til markedsføring. Dere må derfor avdekke om dere bruker personopplysningene til andre formål enn det de opprinnelig er samlet inn for. Dere må også sjekke hvilken informasjon personen det gjelder har fått om din virksomhets bruk av personopplysningene.
Det gjelder strenge regler til hva som må til for at dere lovlig kan samle inn og behandle personopplysningene. Det er derfor viktig at dere har oversikt over hvordan dere har samlet dem inn og til hvilke formål dere bruker personopplysningene. Kun på denne måten kan dere avdekke om dere har et gyldig grunnlag for å behandle personopplysningene og om dere kun benytter dem til lovlige behandlingsformål.
Les mer: GDPR – strengere krav til samtykke
Det er viktig å kartlegge underleverandører og avdekke hvorvidt disse behandler personopplysninger på deres vegne. Oversikten i punkt 2 vil her være til stor hjelp.
Underleverandører som behandler personopplysninger på deres vegne kalles databehandlere. Det gjelder strenge krav til bruk av databehandlere, og dere må påse at dere har inngått en databehandleravtale med alle disse. Dersom databehandlerne befinner seg i utlandet, gjelder det egne regler om hva som må til for at overføringen av personopplysninger skal være lovlig.
Din virksomhet må etter ikrafttredelse av GDPR sørge for at alle gjeldende databehandleravtaler er oppdaterte.
Videre bør dere også få oversikt over hva slags rutiner for personvern dere allerede har på plass. På denne måten avdekker dere hva som mangler. Når dere har oversikt over dette, kan dere vurdere:
Når dere har oversikt over hva slags endringer dere må gjøre for å oppfylle de nye kravene i GDPR-forordningen, må dere utarbeide rutiner som oppfyller disse. Videre er det viktig at alt arbeidet dere gjør med personvern og personvernrutiner foreligger skriftlig, og at dere har dokumentasjon på at dere har gjennomført pålagte risikoanalyser. Uten dokumentasjon står dere i fare for å bli ilagt strenge sanksjoner fra Datatilsynet ved et tilsynsbesøk. Det hjelper ikke å gjøre alt korrekt om dere ikke kan dokumentere at dere overholder kravene.
Denne artikkelen ble opprinnelig publisert 8. februar 2018. Oppdatert januar 2020.