GDPR og personvern - nye regler

20. juli 2018 trådte de nye reglene om personvern i Norge – den såkalte GDPR-forordningen i kraft. Har du oversikt over de viktigste endringene og hva det innebærer for din virksomhet?

Nye og strengere krav

GDPR innebærer nye og til dels strengere krav til behandling av personopplysninger. Virksomheter får nye forpliktelser, samtidig som privatpersoner (det som kalles "registrerte") får nye og bedre rettigheter.

De nye kravene gjelder både for behandlingsansvarlige (den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes) og databehandlere (en virksomhet som behandler personopplysninger på vegne av behandlingsansvarlig).

Den nye forordningen medfører at det stilles nye krav til alle virksomheters  dokumentasjon og rutiner. Bedriftene må fortløpende vurdere hvorvidt deres virksomhet oppfyller dagens krav og se hvilke forandringer som eventuelt må gjøres.

Nedenfor følger en oversikt over noen av de viktigste endringene.

Les også: GDPR – 7 tiltak du bør gjøre nå

Strengere krav til informasjon

Informasjonsplikten til virksomheter som behandler personopplysninger blir strengere. De nye reglene gjelder både hva slags informasjon som må gis og hvordan slik informasjon skal gis.

Det må blant annet gis informasjon om den registrertes rett til innsyn, retting og sletting. Informasjonen skal være kortfattet, klar og tydelig. Det skal også gis informasjon om dataportabilitet, som er en ny rettighet for de registrerte. Retten til dataportabilitet innebærer at den registrerte har rett til å få utlevert personopplysningene sine og lagre disse på en privat enhet og at den registrerte har rett til å flytte, kopiere eller overføre personopplysningene sine fra en virksomhet til en annen.

I tillegg til et klart og lett forståelig språk, må informasjonen også være lett tilgjengelig. Virksomheter kan ikke lenger "gjemme bort" viktig informasjon i en lang og uforståelig personvernerklæring på nett. «Gjennomsiktighet» er et av hovedprinsippene bak GDPR.

Mer om personvern? Last ned gratis guide – nå oppdatert med nye regler fra sommeren 2018: GDPR og personvern – en guide for virksomheter som behandler personopplysninger

Avvikshåndtering

Det nye regelverket førte til strengere krav til avvikshåndtering.

Etter de nye reglene skal som et utgangspunkt alle avvik som skyldes brudd på datasikkerheten meldes til Datatilsynet senest innen 72 timer. Det er kun dersom det er usannsynlig at avviket har medført en risiko for enkeltpersoners rettigheter eller personvern at virksomheter kan unnlate å melde fra til Datatilsynet.

Alle virksomheter må derfor ha oppdaterte avviksrutiner.

Personvernombud

Tidligere var ordningen med såkalte personvernombud frivillig.

Med de nye reglene er imidlertid flere virksomheter forpliktet til å ha personvernombud. Dette gjelder blant annet dersom virksomheter som har som hovedoppgave å behandle personopplysninger (typisk vaktselskap) og virksomheter som behandler sensitive opplysninger i stort omfang.

Personvernombudet skal blant annet informere og gi råd til virksomheten og de ansatte, i tillegg til å fungere som kontaktpunkt mellom Datatilsynet og virksomheten.

Vurdering av personvernkonsekvenser og forhåndsdrøftelser

Virksomheten pålegges videre å gjennomføre en vurdering av personvernkonsekvensene før behandling av personopplysninger kan igangsettes dersom det er høy risiko for at rettigheter til enkeltpersoner kan bli krenket.

Dersom denne konsekvensanalysen viser at det foreligger en høy risiko for krenkelse av personers rettigheter og denne risikoen ikke kan reduseres med interne tiltak, vil virksomheten være forpliktet til å gjennomføre forhåndsdrøftelser med Datatilsynet.

Innebygd personvern

Alle virksomheter er pliktige til å bygge personvern inn i IT–systemer og andre løsninger hvor personopplysninger behandles. Personvern skal være standardinnstilling i nye systemer som utvikles.

Ved å ta hensyn til personvern i utviklingsfasen og ha personvern som standardinnstilling i de ferdige løsningene, blir personvernet ivaretatt på en mer kostnadseffektiv måte, i tillegg til at den enkeltes personvern blir bedre ivaretatt.  

Les også: Innsyn i ansattes e-post

Databehandlere får nye plikter

Databehandlere er virksomheter som behandler personopplysninger på vegne av den behandlingsansvarlige.

Databehandlere fikk nye plikter ved innføringen av GDPR. De må blant annet sørge for tilstrekkelig informasjonssikkerhet, umiddelbart varsle den behandlingsansvarlige om avvik og opprette personvern ombud på lik linje med den behandlingsansvarlige.

Dersom databehandlere videre mener at instrukser de får fra den behandlingsansvarlig er i strid med den nye forordningen, vil de være forpliktet til å si fra om dette til behandlingsansvarlig.

På grunn av de nye kravene som stilles til databehandlere, må alle virksomheter gjennomgå sine databehandleravtaler for å vurdere hvorvidt disse oppfyller de nye kravene.

Nye rettigheter for borgerne

De registrerte fikk flere nye rettigheter, i tillegg til at en del allerede gjeldende rettigheter ble gjort tydeligere.

Det ble enklere for den enkelte å kreve sin rett til å bli glemt, i tillegg til at den registrerte nå får en rett til dataportabilitet.

Hva bør vi gjøre?

Din virksomhet må ha oversikt over hva slags personopplysninger dere behandler og etter hvilke formål, samt hvilket grunnlag dere har for å behandle personopplysningene og hvilke underleverandører/databehandlere dere bruker.

Når du vet hvilke personopplysninger du behandler og hvorfor, er det neste steget i prosessen å vite hvor personopplysninger behandles (hvilke systemer) og hvor de oppbevares (databaser).

Basert på risiko- og eventuelt konsekvensanalyse må du implementere og beskrive din interne kontroll.

Etter en forsvarlig kartlegging må det etableres avtaleverk og rutiner, herunder personvernerklæring for kunder, databehandleravtale for underleverandører og interne rutiner for bl.a. håndtering av forespørsler fra registrerte, sletting, avvik, dataportabilitet mv.

Husk å slette opplysninger du ikke har grunnlag for å behandle – eventuelt hent inn nytt samtykke.

Ønsker du å lære mer om personvern? Her kan du laste ned vår guide om personvern – oppdatert med nye regler i hht GDPR.

Last ned gratis guide GDPR og personvern: En guide for virksomheter som behandler personopplysninger

Les mer om hva vi kan hjelpe deg med på nettsiden: Personvern og GDPR

Bloggen ble først publisert 06.11.2017 – sist oppdatert januar 2019.