GDPR og personvern - nye regler

Ifjor kom det nye regler om personvern i Norge – den såkalte GDPR-forordningen. Har du oversikt over de viktigste endringene og hva det innebærer for din virksomhet?

Nye og strengere krav

GDPR innebærer nye og til dels strengere krav til behandling av personopplysninger. Virksomheter får nye forpliktelser, samtidig som privatpersoner (det som kalles "registrerte") får nye og bedre rettigheter.

De nye kravene gjelder både for behandlingsansvarlige (den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes) og databehandlere (en virksomhet som behandler personopplysninger på vegne av behandlingsansvarlig).

Den nye forordningen medfører at det stilles nye krav til alle virksomheters  dokumentasjon og rutiner. Bedriftene må fortløpende vurdere hvorvidt deres virksomhet oppfyller dagens krav og se hvilke forandringer som eventuelt må gjøres.

Nedenfor følger en oversikt over noen av de viktigste endringene.

Les også: GDPR – 7 tiltak du bør gjøre nå

Strengere krav til informasjon

Informasjonsplikten til virksomheter som behandler personopplysninger blir strengere. De nye reglene gjelder både hva slags informasjon som må gis og hvordan slik informasjon skal gis.

Det må blant annet gis informasjon om den registrertes rett til innsyn, retting, sletting og i tillegg til det som kalles dataportabilitet, som er en ny rettighet for de registrerte. Informasjonen skal være kortfattet, klar og tydelig.

I tillegg til et klart og lett forståelig språk, må informasjonen også være lett tilgjengelig. Virksomheter kan ikke lenger gjemme bort viktig informasjon i en lang og uforståelig personvernerklæring på nett. «Gjennomsiktighet» er et av hovedprinsippene bak GDPR.

Mer om personvern? Last ned gratis guide – nå oppdatert med nye regler fra sommeren 2018: GDPR og personvern – en guide for virksomheter som behandler personopplysninger

Avvikshåndtering

Det nye regelverket førte til strengere krav knyttet til avvikshåndtering.

Tidligere var det bare dersom konfidensielle opplysninger hadde kommet på avveie at virksomheter var pliktige til å melde fra til Datatilsynet.

Etter de nye reglene skal som et utgangspunkt alle avvik som skyldes brudd på datasikkerheten meldes til Datatilsynet senest innen 72 timer. Det er kun dersom det er usannsynlig at avviket har medført en risiko for enkeltpersoners rettigheter eller personvern at virksomheter kan unnlate å melde fra til Datatilsynet.

Alle virksomheter må derfor ha oppdaterte avviksrutiner.

Personvernombud

Tidligere var ordningen med såkalte personvernombud frivillig.

Med de nye reglene er imidlertid flere virksomheter forpliktet til å ha personvernombud. Dette gjelder blant annet dersom virksomheter behandler sensitive opplysninger i stort omfang.

Personvernombudet skal blant annet informere og gi råd til virksomheten og de ansatte, i tillegg til å fungere som kontaktpunkt mellom Datatilsynet og virksomheten.

Vurdering av personvernkonsekvenser og forhåndsdrøftelser

Virksomheten pålegges videre å gjennomføre en vurdering av personvernkonsekvensene før behandling av personopplysninger kan igangsettes dersom det er høy risiko for at rettigheter til enkeltpersoner kan bli krenket.

Dersom denne såkalte konsekvensanalysen viser at det foreligger en høy risiko for krenkelse av personers rettigheter og denne risikoen ikke kan reduseres med interne tiltak, vil virksomheten være forpliktet til å gjennomføre forhåndsdrøftelser med Datatilsynet.

Innebygd personvern

Alle virksomheter er pliktige til å bygge personvern inn i IT–systemer og andre løsninger hvor personopplysninger behandles. Personvern skal være standardinnstilling i nye systemer som utvikles.

Ved å ta hensyn til personvern i utviklingsfasen og ha personvern som standardinnstilling i de ferdige løsningene, blir personvernet ivaretatt på en mer kostnadseffektiv måte, i tillegg til at den enkeltes personvern blir bedre ivaretatt.  

Les også: Innsyn i ansattes e-post

Databehandlere får nye plikter

Databehandlere er virksomheter som behandler personopplysninger på vegne av den behandlingsansvarlige.

Databehandlere fikk nye plikter ved innføringen av GDPR. De må blant annet sørge for tilstrekkelig informasjonssikkerhet, umiddelbart varsle den behandlingsansvarlige om avvik og opprette personvern ombud på lik linje med den behandlingsansvarlige.

Dersom databehandlere videre mener at instrukser de får fra den behandlingsansvarlig er i strid med den nye forordningen, vil de være forpliktet til å si fra om dette til behandlingsansvarlig.

På grunn av de nye kravene som stilles til databehandlere, må alle virksomheter gjennomgå sine databehandleravtaler for å vurdere hvorvidt disse oppfyller de nye kravene.

Nye rettigheter for borgerne

De registrerte fikk flere nye rettigheter, i tillegg til at en del allerede gjeldende rettigheter ble gjort tydeligere.

Retten til å bli glemt ble gjort strengere, i tillegg til at den registrerte nå får en rett til såkalt dataportabilitet.

Dataportabilitet betyr at den registrere i visse tilfeller kan kreve å ta med seg personopplysningene sine fra en virksomhet til en annen. Virksomheter må der det er teknisk mulig bistå den registrerte med å overføre personopplysningene til den nye virksomheten.

Hva bør vi gjøre?

Din virksomhet må ha oversikt over hva slags personopplysninger dere behandler og etter hvilke formål, samt hvilket grunnlag dere har for å behandle personopplysningene og hvilke underleverandører/databehandlere dere bruker.

Når du vet hvilke personopplysninger du behandler og hvorfor, er det neste steget i prosessen å vite hvor personopplysninger prosesseres (hvilke systemer) og hvor de oppbevares (databaser).

Basert på risiko- og eventuelt konsekvensanalyse må du implementere og beskrive din interne kontroll.

Etter en forsvarlig kartlegging må det etableres avtaleverk og rutiner, herunder Personvernerklæring for kunder, Databehandleravtale for underleverandører og interne rutiner for bl.a. håndtering av forespørsler fra registrerte, sletting, avvik, dataportabilitet mv.

Husk å slette opplysninger du ikke har grunnlag for å behandle – eventuelt hent inn nye samtykker mv.

Ønsker du å lære mer om personvern? Her kan du laste ned vår guide om personvern – oppdatert med nye regler i hht GDPR.

Last ned gratis guide GDPR og personvern: En guide for virksomheter som behandler personopplysninger

Bloggen ble først publisert 06.11.2017 – oppdatert februar 2019.