I juli 2018 trådte GDPR forordningen i kraft. Her er en oversikt over hva disse reglene om personvern innebærer for din virksomhet.
For Norge innebærer GDPR til dels strengere krav til behandling av personopplysninger enn det vi var vant til før forordningen trådte i kraft.
Kravene som stilles gjelder både for behandlingsansvarlige (den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes) og databehandlere (en virksomhet som behandler personopplysninger på vegne av behandlingsansvarlig).
Forordningen medfører at det stilles krav til at bedriftene fortløpende må vurdere hvorvidt deres virksomhet oppfyller dagens krav og se hvilke forandringer som eventuelt må gjøres.
Nedenfor følger en oversikt over noen sentrale punkter forordningen medbrakte.
Les også: GDPR – 7 tiltak du bør gjøre nå
Informasjonsplikten til virksomheter som behandler personopplysninger ble strengere med GDPR forordningen. Reglene gjelder både hva slags informasjon som må gis og hvordan slik informasjon skal gis.
Det må blant annet gis informasjon om den registrertes rett til innsyn, retting og sletting. Informasjonen skal være kortfattet, klar og tydelig. Det skal også gis informasjon om dataportabilitet, som ble en ny rettighet for de registrerte. Retten til dataportabilitet innebærer at den registrerte har rett til å få utlevert personopplysningene sine og lagre disse på en privat enhet og at den registrerte har rett til å flytte, kopiere eller overføre personopplysningene sine fra en virksomhet til en annen.
I tillegg til et klart og lett forståelig språk, må informasjonen også være lett tilgjengelig. Virksomheter kan ikke lenger "gjemme bort" viktig informasjon i en lang og uforståelig personvernerklæring på nett. «Gjennomsiktighet» er et av hovedprinsippene bak GDPR.
Det stilles også strenge krav til avvikshåndtering. Alle avvik som skyldes brudd på datasikkerheten, skal i utgangspunktet meldes til Datatilsynet senest innen 72 timer. Det er kun dersom det er usannsynlig at avviket har medført en risiko for enkeltpersoners rettigheter eller personvern at virksomheter kan unnlate å melde fra til Datatilsynet.
Alle virksomheter må derfor ha oppdaterte avviksrutiner.
Før GDPR forordningen trådte i kraft var den såkalte personvernombud frivillig. GDPR forordningen innebærer at flere virksomheter forplikter seg til å ha personvernombud. Dette gjelder blant annet dersom virksomheter som har som hovedoppgave å behandle personopplysninger (typisk vaktselskap) og virksomheter som behandler sensitive opplysninger i stort omfang.
Personvernombudet skal blant annet informere og gi råd til virksomheten og de ansatte, i tillegg til å fungere som kontaktpunkt mellom Datatilsynet og virksomheten.
Virksomheten pålegges videre å gjennomføre en vurdering av personvernkonsekvensene før behandling av personopplysninger kan igangsettes dersom det er høy risiko for at rettigheter til enkeltpersoner kan bli krenket.
Dersom denne konsekvensanalysen viser at det foreligger en høy risiko for krenkelse av personers rettigheter og denne risikoen ikke kan reduseres med interne tiltak, vil virksomheten være forpliktet til å gjennomføre forhåndsdrøftelser med Datatilsynet.
Alle virksomheter er pliktige til å bygge personvern inn i IT–systemer og andre løsninger hvor personopplysninger behandles. Personvern skal være standardinnstilling i nye systemer som utvikles.
Ved å ta hensyn til personvern i utviklingsfasen og ha personvern som standardinnstilling i de ferdige løsningene, blir personvernet ivaretatt på en mer kostnadseffektiv måte, i tillegg til at den enkeltes personvern blir bedre ivaretatt.
Les også: Innsyn i ansattes e-post
Databehandlere er virksomheter som behandler personopplysninger på vegne av den behandlingsansvarlige.
Databehandlere må blant annet sørge for tilstrekkelig informasjonssikkerhet, umiddelbart varsle den behandlingsansvarlige om avvik og opprette personvernombud på lik linje med den behandlingsansvarlige.
Dersom databehandlere videre mener at instrukser de får fra den behandlingsansvarlig er i strid med den nye forordningen, er de forpliktet til å si fra om dette til behandlingsansvarlig.
Som følge av kravene som stilles til databehandlere i GDPR forordningen, bør alle virksomheter ta en kvalitetssjekk av sine databehandleravtaler for å vurdere hvorvidt disse oppfyller kravene.
Din virksomhet må ha oversikt over hva slags personopplysninger dere behandler og etter hvilke formål, samt hvilket grunnlag dere har for å behandle personopplysningene og hvilke underleverandører/databehandlere dere bruker.
Når du vet hvilke personopplysninger du behandler og hvorfor, er det neste steget i prosessen å vite hvor personopplysninger behandles (hvilke systemer) og hvor de oppbevares (databaser).
Basert på risiko- og eventuelt konsekvensanalyse må du implementere og beskrive din interne kontroll.
Etter en forsvarlig kartlegging må det etableres avtaleverk og rutiner, herunder personvernerklæring for kunder, databehandleravtale for underleverandører og interne rutiner for bl.a. håndtering av forespørsler fra registrerte, sletting, avvik, dataportabilitet mv.
Husk å slette opplysninger du ikke har grunnlag for å behandle – eventuelt hent inn nytt samtykke.