<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=481164012244046&amp;ev=PageView&amp;noscript=1">
personvernreglene

GDPR: Hvordan påvirker personvernreglene din virksomhet?

I juli 2018 trådte GDPR forordningen i kraft. Her er en oversikt over hva disse reglene om personvern innebærer for din virksomhet.

Strenge krav

For Norge innebærer GDPR til dels strengere krav til behandling av personopplysninger enn det vi var vant til før forordningen trådte i kraft.

Kravene som stilles gjelder både for behandlingsansvarlige (den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes) og databehandlere (en virksomhet som behandler personopplysninger på vegne av behandlingsansvarlig).

Forordningen medfører at det stilles krav til at bedriftene fortløpende må vurdere hvorvidt deres virksomhet oppfyller dagens krav og se hvilke forandringer som eventuelt må gjøres.

Nedenfor følger en oversikt over noen sentrale punkter forordningen medbrakte.

Les også: GDPR – 7 tiltak du bør gjøre nå

Strengere krav til informasjon

Informasjonsplikten til virksomheter som behandler personopplysninger ble strengere med GDPR forordningen. Reglene gjelder både hva slags informasjon som må gis og hvordan slik informasjon skal gis.

Det må blant annet gis informasjon om den registrertes rett til innsyn, retting og sletting. Informasjonen skal være kortfattet, klar og tydelig. Det skal også gis informasjon om dataportabilitet, som ble en ny rettighet for de registrerte. Retten til dataportabilitet innebærer at den registrerte har rett til å få utlevert personopplysningene sine og lagre disse på en privat enhet og at den registrerte har rett til å flytte, kopiere eller overføre personopplysningene sine fra en virksomhet til en annen.

I tillegg til et klart og lett forståelig språk, må informasjonen også være lett tilgjengelig. Virksomheter kan ikke lenger "gjemme bort" viktig informasjon i en lang og uforståelig personvernerklæring på nett. «Gjennomsiktighet» er et av hovedprinsippene bak GDPR.

Guide for bedrifter som behandler personopplysninger

Avvikshåndtering

Det stilles strenge krav til avvikshåndtering.

Alle avvik som skyldes brudd på datasikkerheten, skal i utgangspunktet meldes til Datatilsynet senest innen 72 timer. Det er kun dersom det er usannsynlig at avviket har medført en risiko for enkeltpersoners rettigheter eller personvern at virksomheter kan unnlate å melde fra til Datatilsynet.

Alle virksomheter må derfor ha oppdaterte avviksrutiner.

Personvernombud

Før GDPR forordningen trådte i kraft var den såkalte personvernombud frivillig.

GDPR forordningen innebærer at flere virksomheter forplikter seg til å ha personvernombud. Dette gjelder blant annet dersom virksomheter som har som hovedoppgave å behandle personopplysninger (typisk vaktselskap) og virksomheter som behandler sensitive opplysninger i stort omfang.

Personvernombudet skal blant annet informere og gi råd til virksomheten og de ansatte, i tillegg til å fungere som kontaktpunkt mellom Datatilsynet og virksomheten.

Vurdering av personvernkonsekvenser og forhåndsdrøftelser

Virksomheten pålegges videre å gjennomføre en vurdering av personvernkonsekvensene før behandling av personopplysninger kan igangsettes dersom det er høy risiko for at rettigheter til enkeltpersoner kan bli krenket.

Dersom denne konsekvensanalysen viser at det foreligger en høy risiko for krenkelse av personers rettigheter og denne risikoen ikke kan reduseres med interne tiltak, vil virksomheten være forpliktet til å gjennomføre forhåndsdrøftelser med Datatilsynet.

Innebygd personvern

Alle virksomheter er pliktige til å bygge personvern inn i IT–systemer og andre løsninger hvor personopplysninger behandles. Personvern skal være standardinnstilling i nye systemer som utvikles.

Ved å ta hensyn til personvern i utviklingsfasen og ha personvern som standardinnstilling i de ferdige løsningene, blir personvernet ivaretatt på en mer kostnadseffektiv måte, i tillegg til at den enkeltes personvern blir bedre ivaretatt.

Les også: Innsyn i ansattes e-post

Databehandlernes plikter

Databehandlere er virksomheter som behandler personopplysninger på vegne av den behandlingsansvarlige.

Databehandlere må blant annet sørge for tilstrekkelig informasjonssikkerhet, umiddelbart varsle den behandlingsansvarlige om avvik og opprette personvernombud på lik linje med den behandlingsansvarlige.

Dersom databehandlere videre mener at instrukser de får fra den behandlingsansvarlig er i strid med den nye forordningen, er de forpliktet til å si fra om dette til behandlingsansvarlig.

Som følge av kravene som stilles til databehandlere i GDPR forordningen, bør alle virksomheter ta en kvalitetssjekk av sine databehandleravtaler for å vurdere hvorvidt disse oppfyller kravene.

Hva bør vi gjøre?

Din virksomhet må ha oversikt over hva slags personopplysninger dere behandler og etter hvilke formål, samt hvilket grunnlag dere har for å behandle personopplysningene og hvilke underleverandører/databehandlere dere bruker.

Når du vet hvilke personopplysninger du behandler og hvorfor, er det neste steget i prosessen å vite hvor personopplysninger behandles (hvilke systemer) og hvor de oppbevares (databaser).
Basert på risiko- og eventuelt konsekvensanalyse må du implementere og beskrive din interne kontroll.

Etter en forsvarlig kartlegging må det etableres avtaleverk og rutiner, herunder personvernerklæring for kunder, databehandleravtale for underleverandører og interne rutiner for bl.a. håndtering av forespørsler fra registrerte, sletting, avvik, dataportabilitet mv.

Husk å slette opplysninger du ikke har grunnlag for å behandle – eventuelt hent inn nytt samtykke.

Guide for bedrifter som behandler personopplysninger

Få e-post om nye innlegg

Vi blogger om praktiske problemstillinger med tema i grenseland mellom jus og økonomi.

Vi tar opp utfordringer og spørsmål knyttet til lover og regler som får konsekvenser for din virksomhet og arbeidshverdag. 

Nye blogginnlegg publiseres jevnlig, så om du vil holde deg oppdatert,  registrer deg her for varsling på epost.