Hva er GDPR - og hva innebærer reglene for din bedrift?

Nyheter 18 min read , October 10, 2020

EUs personvernforordning (GDPR) trådte i kraft i Norge 20. juli 2018, og innebærer betydelige endringer for bedrifter som behandler personopplysninger. I denne artikkelen tar jeg opp noen av de viktigste pliktene bedrifter må etterleve for å behandle personvernopplysninger i samsvar med GDPR.

Hva er GPDR?

GDPR er forkortelsen til General Data Protection Regulation, og er et personvernregelverk som gjelder for alle medlemsland i EU og EØS, inkludert Norge. Reglene har også blitt gjort gjeldene i Norge gjennom personopplysningsloven, og gjelder for alle bedrifter, uavhengig om bedriften behandler personopplysninger om kunder, ansatte, leverandører, aksjonærer, besøkende på bedriftens nettside, eller bare har bedriftskunder (B2B - Business ot Business).

GDPR inneholder regler om

  • når bedrifter har lov til å behandle personopplysninger
  • hvordan personopplysningene kan brukes og behandles
  • hvilke rettigheter kunder, ansatte og andre personer har overfor bedriften
  • hvordan personopplysninger skal sikres i bedriftens systemer
  • dokumentasjonskrav for å påvise at reglene blir overholdt

I tillegg gjelder en hel ahug av andre plikter som bedriften må følge fordi den behandler personopplysninger. Bedriften må blant annet inngå databehandleravtaler med leverandører, skrive personvernerklæringer, og utarbeide internkontroll og rutiner som sikrer at personvernreglene etterleves i det daglige. Flere bedrifter må også utnevne et personvernombud.

Hvor viktig er egentlig GDPR?

Ja, jeg starter like greit med dette. Hvor viktig er egentlig GDPR? Minuset med GDPR er at det er så omfattende at det oppleves som overveldende å ta fatt i. Det positive er at lovverket er satt for å verne om personvernet ditt, og dette er så viktig å ta tak i, at dersom du IKKE etterlever GDPR så vil det få konsekvenser.

Bedrifter som bryter personvernforordningen risikerer å bli ilagt betydelige bøter, og i ytterste konsekvens inntil 20 millioner euro, eller 4% av årsomsetningen. Akkurat så alvorlig, og akkurat så viktig er det at du og din bedrift tar GDPR på alvor. For de aller fleste har risikoen for bøter vært god nok grunn til å sette personvern høyt på agendaen. Det er imidlertid like viktig å huske på at godt personvern også kan medføre store fordeler for bedriften, som for eksempel økt tillit og konkurransefortrinn.

En oversikt over de viktigste GDPR-krav som gjelder for ALLE bedrifter.

Jeg kommer nå til å gå inn på de mest viktige og sentrale pliktene som gjelder for alle bedrifter, uavhengig av størrelse eller hvilke typer personopplysninger den behandler. Vær oppmerksom på at enkelte bransjer har utarbeidet sine egne bransjenormer som i stor grad forenkler arbeidet med å implementere reglene i bedriften sin. Du kan ta kontakt med din bransjeorganisasjon om det finnes en slik norm for din bransje.

GDPR artikkel 5: Grunnleggende personvernprinsipper

Personvernforordningen bygger på noen grunnleggende personvernprinsipper som gjelder for all behandling av personopplysninger, jf. GDPR artikkel 5. Disse prinsippene må vurderes og dokumenteres før bedriften starter en behandling av personopplysninger:

  • Formål: Hva skal personopplysningene brukes til? F.eks. markedsføring, fakturering, utbetaling av lønn, rekruttering etc.
  • Lovlighet: Kan bedriften vise til et rettslig grunnlag (behandlingsgrunnlag) som gir bedriften lov til å behandle de aktuelle opplysningene? F.eks. samtykke, avtale eller krav i lov eller forskrift
  • Dataminimering: Har bedriften vurdert hvilke personopplysninger den trenger for å oppnå formålet med behandlingen? Merk at det ikke er tillatt å innhente flere opplysninger enn det som er strengt nødvendig
  • Transparens: Er de registrerte (kunder og ansatte etc.) informert om behandlingen av personopplysninger? Informasjonen gis typisk i en intern eller ekstern personvernerklæring
  • Riktighet: Har bedriften vurdert hvordan den skal sørge for at opplysningene holdes korrekte og oppdaterte?
  • Lagringstid: Har bedriften fastsatt konkrete slettefrister for alle behandlingsformål og utarbeidet sletterutiner? Finnes det noen unntak fra sletteforpliktelsen som tilsier lengre lagringstid for visse personopplysninger? For eksempel har bedrifter plikt til å lagre kundefakturaer, lønnsbilag og annen regnskapsdokumentasjon i 5 år
  • Sikkerhet: Er personopplysningene tilstrekkelig sikret i bedriftens informasjonssystemer? Har bedriften vurdert om sikkerhetstiltakene er gode nok til å redusere risikoen for at personopplysningene kommer på avveier, endres eller slettes? F.eks. antivirus, to-faktor pålogging, sikkerhetsrutiner, back-up løsninger etc.

Det er bedriften ved øverste ledelse/styret som har ansvaret for å oppfylle personvernprinsippene og øvrige bestemmelser i personvernregelverket. Bedriften må også kunne vise til skriftlig dokumentasjon ved et eventuelt tilsynsbesøk. Vær oppmerksom på at ledelsen kan gjøres personlig ansvarlig for brudd på personvernregelverket.

GDPR art. 6: Krav om behandlingsgrunnlag

For at bedriften lovlig skal kunne samle inn og bruke personopplysninger, må den kunne vise til et rettslig grunnlag (behandlingsgrunnlag) for alle behandlingsformål, jf. GDPR artikkel 6.

I praksis vil følgende behandlingsgrunnlag være aktuelle for flere behandlinger som mange bedrifter utfører:

  • Samtykke fra den registrerte. F.eks. samtykke til å behandle personopplysninger i forbindelse med utsendelse av nyhetsbrev og annen e-postmarkedsføring på e-post (merk at man også kan bruke “legitim interesse” i tillegg til samtykke etter markedsføringsloven)
  • Behandlingen er nødvendig for å oppfylle en avtale med den registrerte, f.eks. en kjøpsavtale eller arbeidsavtale. Dette grunnlaget kan også brukes for forberedende handlinger som er nødvendige å utføre før en eventuell avtaleinngåelse, f.eks. i forbindelse med en rekrutteringsprosess.
  • Behandlingen er nødvendig for å oppfylle et rettslig forpliktelse som bedriften er pålagt i lov eller forskrift, f.eks. for å oppbevare regnskapsdokumentasjon, eller innrapportere ansattes inntekstopplysninger til NAV og Skatteetaten.
  • Behandlingen er nødvendig for å ivareta en legitim interesse for bedriften (eller en tredjepart) som veier tyngre enn personvernet til den registerte (interesseavveining). Dette kan være et aktuelt grunnlag i flere sammenhenger, f.eks. for noen markedsføringsformål, eller for å kunne overføre personopplysninger mellom selskaper i et konsern.

Dersom man ikke kan vise til et behandlingsgrunnlag, vil behandlingen av personopplysninger være forbudt.

Behandlingsgrunnlag for sensitive personopplysninger:

Hvis noen av personopplysningene er å anse som sensitive personopplysninger, må bedriften både kunne vise til at den har behandlingsgrunnlag etter GDPR artikkel 6 (som beskrevet ovenfor), og behandlingsgrunnlag etter GDPR artikkel 9 (som gjelder for sensitive opplysninger).

Sensitive personopplysninger omfatter opplysninger om:

  • Helse (f.eks. sykemeldinger, tilrettelegging, allergier)
  • Rasemessig og etnisk opprinnelse
  • Politisk, filosofisk og religiøs oppfatning (f.eks. politiske partier, trosretning)
  • Seksuelle forhold eller seksuell orientering (f.eks. legning, seksuelle preferanser)
  • Genetiske opplysninger (f.eks. resultater fra DNA-tester)
  • Biometriske opplysninger for entydig identifikasjon (f.eks. fingeravtrykkleser for ansattpålogging, ansiktsgjenkjenning)
  • Fagforeningstilhørighet
  • Straffbare forhold (f.eks. kontroll av vandelsattester), jf. GDPR art. 10

Som eksempel kan en arbeidsgiver behandle personopplysninger i lønnsslippen basert på arbeidsavtalen med ansatte, jf. GDPR art. 6 nr. 1 b. Hvis noen av de ansatte er organisert i en fagforening, må man imidlertid også ha et eget behandlingsgrunnlag for dette siden fagforeningstilhørighet er en sensitiv personopplysning iht. GDPR artikkel 9.

Bruker bedriften samtykke som behandlingsgrunnlag?

Samtykke er et viktig behandlingsgrunnlag for å samle inn og bruke personopplysninger. I noen sammenhenger er det også det eneste grunnlaget man kan bruke.

For at et samtykke skal være gyldig må det være:

  • Frivillig
  • Spesifikt
  • Informert
  • Utvetydig
  • Dokumentert

Den registrerte må også gjøre en aktiv handling for at samtykket skal være gyldig. Taushet, passivitet eller forhåndsavkryssede samtykkebokser vil aldri anses som et gyldig samtykke. Den registrerte skal også ha mulighet til å trekke tilbake sitt samtykke når som helst.

Ubalanse i maktforholdet mellom den registrerte og bedriften kan medføre at kravet til frivillighet ikke er oppfylt. Arbeidsgivere bør derfor unngå å benytte samtykke i arbeidsforhold ettersom slike samtykker ofte anses ugyldige.

Siden GDPR trådte i kraft i 2018 har flere bedrifter blitt ilagt bøter som følge av feil bruk av samtykker, eller fordi samtykkene har vært utformet på måter som medfører ugyldighet. Det er derfor svært viktig at bedriften gjør grundige vurderinger av om samtykke er et egnet behandlingsgrunnlag for den behandlingen den skal utføre, og påser at samtykkeerklæringen er korrekt utformet slik at den oppfyller alle gyldighetskravene i GDPR art. 7, jf. GDPR art. 4 nr. 11.

VIKTIG!

Alle kunder av SE Design har fått satt opp sine egne sider med informasjon om bedriftens personvernforordninger, og hvordan disse etterleves. Etter EUs nye oppdateringer av regelverket i 2020, så er dette ikke lenger nok. Banneret som ber besøkende på bedriftens hjemmeside er ikke lenger innenfor regelverket, da de besøkende ikke har muligheten til selv å bestemme hvilke personopplysninger som tillates å samles inn. Det er heller ikke en egen knapp for besøkende på siden, hvor da kan gå inn og redigere, eller be om sletting av opplysningene. Pr i dag må man ta direktekontakt med ansvarlig i bedriften for å få dette gjort. SE Design har ikke ansvaret for at kunders hjemmesider følger GDPR, men tar på seg ansvaret med å opplyse kundene om at endringer må gjøres, og kan også bistå med å gjøre nødvendige endringer på hjemmesidene.

Det er viktig å være nøye med utformingen av samtykke, for å sikre at man har et gyldig behandlingsgrunnlag.

Strenge regler for bruk av fødselsnummer

Det er bare tillatt å samle inn fødselsnummer når det er saklig behov for sikker identifisering av kunder eller ansatte, og fødselsnummeret er nødvendig for å oppnå slik identifisering, jf. personopplysningsloven § 12.

  • Arbeidsgivere har plikt til å bruke ansattes fødselsnummer for å innrapportere opplysninger om inntekt og skatt til NAV (a-melding) og skattemyndighetene.
  • Det kan også foreligge et saklig og nødvendig behov for å gjennomføre en kredittsjekk av kunder i visse situasjoner.

Bedriften må alltid gjøre en konkret vurdering av behovet (saklighet og nødvendighet) for å samle inn fødselsnummeret før opplysningene samles inn.

Kunder og ansatte skal være informert om behandlingen

Bedrifter må gi kunder, ansatte og andre som er registrert hos bedriften, detaljert informasjon om behandlingen av deres personopplysninger, jf. GDPR art. 13 og GDPR art 14. Blant annet skal det opplyses om hvor lenge opplysningene vil bli lagret, hvem opplysningene utleveres til, hvilke rettigheter de registrerte har og hvordan de skal gå frem for å få disse oppfylt.

Informasjonen skal være kortfattet, lett tilgjengelig og utformet på en tydelig og forståelig måte. Ofte gis informasjonen i personvernerklæringer på bedriftens nettside (brukere og kunder), på intranett (ansatte) eller i stillingsannonser (jobbsøkere).

Er bedriften pålagt å ha personvernombud?

Personvernforordningen pålegger en rekke bedrifter plikt til å utnevne personvernombud, jf. GDPR art. 37. Plikten gjelder både for behandlingsansvarlig og databehandler. Personvernombudets oppgaver er blant annet å kontrollere at bedriften følger personvernlovgivningen, gi råd og veiledning om reglene, og være kontaktperson for de registrerte og Datatilsynet.

Plikten til å utnevne personvernombud gjelder for

  • alle offentlige bedrifter (stat, kommune)
  • Private bedrifter som driver med monitorering (sporing/overvåkning) av personer i stor skala
  • Private bedrifter som behandler sensitive opplysninger eller opplysninger om straffbare forhold i stor skala.

Alle bedrifter har plikt til å vurdere om den er pålagt å utnevne personvernombud og må kunne dokumentere de vurderinger som er gjort uavhengig av om den er pålagt å ha personvernombud eller ikke.

Det stilles krav til at den som skal være personvernombud må være uavhengig, ha ekspertkompetanse innen personvernrett og god evne til å utføre oppgavene. For mindre bedrifter kan det særlig være utfordrende å finne kvalifisert personell eller ansatte som ikke er i en posisjon som påvirker uavhengigheten. For eksempel vil daglig leder, HR-leder, informasjonssikkerhetsleder eller andre som tar beslutninger om behandling av personopplysninger, ikke oppfylle kravet om uavhengighet.

Hvem har plikt til å utnevne personvernombud?

Følgende bedrifter må ha personvernombud:

  • Alle offentlige virksomheter, herunder stat, kommuner og fylkeskommuner
  • Private virksomheter som har som kjernevirksomhet å monitorere (spore/overvåke) personer i stor skala
  • Private virksomheter som behandler sensitive opplysninger, eller opplysninger om straffbare forhold i stor skala

Kravet om personvernombud gjelder også for leverandører (databehandlere) som utfører slike behandlinger av personopplysninger på vegne av sine bedriftskunder.

For å ta stilling til om bedriften må ha personvernombud må følgende kriterier være oppfylt:

  1. Bedriften driver med en eller flere av følgende aktiviteter:regelmessig og systematisk monitorering (sporing/overvåking) av personer
    behandling av sensitive personopplysninger
    behandling av opplysninger om straffbare forhold
  2. Behandlingen av personopplysninger er bedriftens kjernevirksomhet
  3. Behandlingen av personopplysninger utføres i stor skala

Dersom bedriften kan svare ja på alle disse spørsmålene, vil den være forpliktet til å utnevne et personvernombud.

1. Driver bedriften med monitorering av personer?

Monitorering omfatter alle former for regelmessig og systematisk overvåking og sporing av personer, inkludert mulig etterfølgende profilering av personers atferd. Dette gjelder eksempelvis for bedrifter som driver med:

  • Persontilpasset markedsføring
  • Målrettet e-postreklame
  • Bruk av overvåkingskameraer
  • Sporing av lokasjon, aktivitetsnivå eller lignende, f.eks. i mobilapper, aktivitetsarmbånd etc.
  • Nettbutikker som gir kjøpsanbefalinger basert på kunders søk og kjøpshistorikk
  • Kundeklubber og lojalitetsprogram
  • Bruk av internett-tilknyttede enheter, som automatiske strømmålere, smarthus, smarte biler etc.
  • Bruk av nettvarder (beacons) eller annen sporingsteknologi som benyttes for å spore besøkende, f.eks. kjøpesentre, butikker, flyplasser og ulike aktivitets- og opplevelsesarenaer (akvarier, dyreparker, kino) etc.

Bedriften må tilrettelegge for å oppfylle de registrertes rettigheter

Den registrerte (kunder, ansatte etc.) har flere rettigheter i forbindelse med behandlingen av deres personopplysninger:

  • Innsyn: De registrerte kan be om innsyn (og kopi) av alle opplysninger som bedriften behandler om dem
  • Retting: De registrerte kan be bedriften om å rette eller supplere opplysninger som er feilaktige, misvisende eller ufullstendige
  • Sletting: I noen situasjoner kan de registrerte be bedriften om å slette personopplysninger om vedkommende før bedriftens alminnelige slettefrister er oppfylt
  • Begrensning: I noen situasjoner kan de registrerte be om at bedriften begrenser behandlingen av personopplysninger. Dette innebærer at bedriften ikke kan gjøre noe annet med opplysningene enn å lagre dem.
  • Protestere: De registrerte har rett til å protestere mot behandlingen av personopplysninger i visse situasjoner. De registrerte har alltid rett til å protestere mot behandling knyttet til direkte eller tilpasset markedsføring.
  • Dataportabilitet: De registrerte har rett til å kreve opplysninger overført til seg selv eller til en annen bedrift, dersom behandlingen er basert på samtykke eller en avtale med den registrerte
  • Klagerett: De registrerte har rett til å sende klage til Datatilsynet

Alle henvendelser fra den registrerte skal som hovedregel behandles innen en måned. Det er derfor svært viktig at bedriften har gode rutiner og tiltak som gjør at bedriften klarer å behandle slike henvendelser effektivt og innenfor lovens tidsfrister.

Bedriften må ta stilling til

  • Hvordan den registrerte skal sende inn/henvende seg for å få oppfylt rettigheter etter loven. Den registrerte kan i utgangspunktet henvende seg til hvem som helst i bedriften, så for å sikre at bedriften klarer å fange opp alle forespørsler er det lurt å få på plass en kanal (f.eks. et kontaktskjema) som kun gjelder for oppfyllelse av rettigheter
  • Hvordan den skal klare å samle alle personopplysninger (strukturerte og ustrukturerte) ved innsynskrav
  • Hvordan opplysningene skal utleveres, rettes, slettes etc. og hvem som har ansvaret for å utføre disse oppgavene
  • Hvordan den skal forsikre seg om at den registrertes identitet er korrekt (sørg for å gjennomfør gode risikovurderinger)

I praksis er det svært mange bedrifter som sliter med å oppfylle rettighetene i tide. Bedrifter som er særlig eksponert for innsynskrav kan ha fordel av å benytte tekniske hjelpemidler for å effektivisere denne prosessen.

Bedriften må ha god kontroll over leverandører (databehandlere)

De fleste bedrifter kjøper inn standardiserte IT-systemer som brukes til bl.a. regnskap, utsendelse av nyhetsbrev, lønn- og personal, og andre systemer som er nødvendige for å ivareta den daglige driften. Når leverandører får tilgang til bedriftens personopplysninger er de å anse som databehandlere.

Det er bare tillatt å bruke databehandlere som gir “tilstrekkelige garantier” for at personopplysningene vil behandles forsvarlig og i henhold til kravene i GDPR, jf. GDPR art. 28. Dette betyr at bedriften må vurdere databehandlers egnethet før løsningen tas i bruk og personopplysningene overføres i databehandlers systemer.

Bedriften må videre undersøke om databehandler:

  • oppfyller kravene i personvernforordningen
  • har etablert tilfredsstillende sikkerhetstiltak
  • har tilstrekkelig dybdekunnskap om personvernregelverket
  • er pålitelig og har tilstrekkelige ressurser til å sikre en forsvarlig behandling av bedriftens personopplysninger

Hvor grundig slike undersøkelser må være, vil avhenge av personvernrisikoen ved behandlingen. Men man bør i alle fall påse at databehandler kan dokumentere etterlevelse av databehandleravtalen og visse forpliktelser i GDPR.

Krav om skriftlig databehandleravtale

Bedriften må også inngå databehandleravtale som minimum oppfyller kravene i GDPR artikkel 28 nr. 3. Vær oppmerksom på at mange databehandler ønsker å bruke sine egne standardiserte databehandleravtaler. I slike tilfeller må du sjekke at avtalen dekker alle kravene i personvernforordningen artikkel 28, før avtalen inngås.

Du må også huske på å følge opp avtalen. Bedriften har plikt til å gjennomføre periodiske revisjoner som sikrer at databehandler oppfyller kravene i databehandleravtalen og personvernregelverket. Sjekk også at databehandler har inngått databehandleravtale med alle underleverandører (underdatabehandlere).

Vær oppmerksom på overføringer til tredjeland

Mange databehandlere lagrer personopplysninger i tredjeland, ofte hos ulike underdatabehandlere.

Bedriften er ansvarlig for å kontrollere i hvilket land personopplysningene lagres og brukes. Land utenfor EU/EØS-området, såkalte tredjeland, har et lavere beskyttelsesnivå for personopplysninger enn Norge og krever derfor ekstra tiltak.

Bedriften må vurdere om overføringen er forsvarlig og overholder prinsippene i personvernforordningen, og sørge for at det er etablert et gyldig overføringsgrunnlag som gjør overføringen lovlig. F.eks. EUs standardavtaler, jf. GDPR artikkel 44 flg.

En “overføring” av personopplysninger omfatter også situasjoner hvor personer i tredjeland kan aksessere personopplysninger som befinner seg innenfor EU/EØS-området. For eksempel vil det ha skjedd en overføring til tredjeland selv om personopplysningene er lagret på servere innenfor EU/EØS-området dersom bedriftens servicepersonell befinner seg i India eller et annet tredjeland.

Har bedriftens systemer innebygd personvern?

Nye tekniske løsninger og systemer skal utvikles og designes på måter som ivaretar personvernet, jf. GDPR art. 25. Dette innebærer for det første at bedriften må sørge for at det tas hensyn til personvern i hele utviklingsfasen når nye systemer utvikles. Men plikten gjelder også når bedriften kjøper inn nye tekniske løsninger og systemer som brukes til å behandle personopplysninger.

Flere bedrifter har fått solide bøter som følge av at systemene de bruker ikke kan slette personopplysningene. Bedriften bør derfor sjekke at løsningene den bruker oppfyller kravene i personvernregelverket, særlig med hensyn til overholdelse av personvernprinsippene og de registrertes rettigheter.

Krav om personopplysningssikkerhet

GDPR artikkel 32 stiller krav om at personopplysningene skal være tilfredsstillende beskyttet med hensyn til:

  • Konfidensialitet – opplysningene skal sikres slik at de ikke blir kjent for uvedkommende
  • Integritet – opplysningene skal sikres slik at de ikke utsettes for uberettigede endringer
  • Tilgjengelighet – opplysningene skal være tilgjengelige når det er behov for dem

For å ivareta sikkerheten til personopplysningene, må bedriften først og fremst identifisere hvilke typer personopplysninger den behandler. Deretter må det gjennomføres grundige risikovurderinger av IT-systemene som brukes til å behandle opplysningene. Risikovurderinger brukes for å avklare om eksisterende sikkerhetstiltak er gode nok, eller om det er behov for å iverksette flere tiltak for å redusere risikoen for brudd på personopplysningssikkerheten.

Aktuelle tiltak kan være

  • Tekniske: antivirus, to-faktor pålogging, back-up etc.
  • Organisatoriske: it-sikkerhetsinstrukser, sikkerhetsrutiner etc.
  • Fysiske: låsesystemer, sikring mot brann/vannskader etc.
  • Pedagogiske: opplæring og bevisstgjøring av ansatte

Bedrifter som behandler alminnelige personopplysninger i begrenset omfang, vil ha behov for færre sikkerhetstiltak enn større bedrifter med omfattende behandlingsaktiviteter. Samtidig er alle bedrifter utsatt for sikkerhetstrusler som kan ramme bedriften hardt (bøter, omdømmetap, tap av tillit etc).

Alle bedrifter bør derfor som et minimum sørge for at grunnsikringen er på plass, og tenke gjennom hva den skal gjøre dersom den utsettes for sikkerhetsbrudd, for å redusere skadevirkningene mest mulig (it-sikkerhetsforsikringer, tilgang på ekspertise etc.)

Plikt til å vurdere personvernkonsekvenser – DPIA

Bedriften må vurdere personvernkonsekvensene av nye behandlinger av personopplysninger som kan medføre høy risiko for krenkelse av personvernet, jf. GDPR art. 35.

Dette kan blant annet være påkrevd ved innføring av ny teknologi, bruk av overvåknings- og kontrolltiltak, eller når det behandles sensitive personopplysninger i stor skala. I noen tilfeller vil det også foreligge konsultasjonsplikt med Datatilsynet.

Bedrifter som behandler enkle personopplysninger om kunder og ansatte, vil sjelden ha behov for å gjennomføre en dpia. Alle bedrifter er imidlertid forpliktet til å vurdere om en slik vurdering er nødvendig.

Plikt til å rapportere sikkerhetsavvik innen 72 timer

Dersom det oppstår sikkerhetsbrudd som involverer personopplysninger plikter bedriften å varsle Datatilsynet innen 72 timer. I noen tilfeller vil bedriften også ha plikt til å varsle de registerte, jf. GDPR art. 33 og GDPR art. 34.

For å klare å overholde fristen, er det viktig at bedriften har gode rutiner og tekniske tiltak som bidrar til å fange opp avvik, håndtere avvik og at avviksbehandlingen dokumenteres.

Internkontroll reduserer bedriftens risiko for brudd på GDPR

Alle bedrifter som behandler personopplysninger er pålagt å ha internkontroll, jf. GDPR art.24 og art. 5 nr. 2. Internkontroll innebærer at man utarbeider rutiner og etablerer tekniske tiltak som sørger for at bedriften følger personvernreglene i praksis.

Kravene til internkontroll er skjerpet med personvernforordningen. For å etablere internkontroll må man først sette seg inn i regelverket og vurdere hvilke plikter som er relevante for bedriften. Deretter må man gjennomføre risikovurderinger, skrive rutiner for å oppfylle pliktene og etablere sikkerhetstiltak.

De alle fleste bedrifter vil blant annet ha behov for rutiner for:

  • iverksettelse og opphør av behandling
  • innhenting og kontroll av samtykker
  • oppfyllelse av informasjonsplikt
  • oppfyllelse av de registrertes rettigheter
  • sletting og kvalitet
  • risikovurderinger og etablering av sikkerhetstiltak
  • bruk av databehandlere (inkl. revisjon av databehandlere og inngåelse av databehandleravtaler)
  • overføring til tredjeland
  • innebygd personvern
  • egenkontroll
  • avvikshåndtering og varsling

I tillegg er det viktig å lære opp de ansatte i hvordan personopplysninger skal håndteres. En velfungerende internkontroll som er kjent for og etterleves av de ansatte vil bidra til å redusere risikoen for lovbrudd, bøter og andre konsekvenser. Bedrifter har derfor mye å hente på å gjøre et grundig arbeid med dette!

Helt til slutt.

Være oppmerksom på at GDPR ikke er den eneste personvernforordningen som gjelder for hjemmesider. Både Canada, California USA og Brasil har også fått på plass sine egne personvernforordninger. Det betyr at i det øyeblikket din hjemmeside når disse stedene, så må du også sørge for at du har alt på stell også i forhold til disse, slik at de besøkende fra disse områdene kan forholde seg til gjeldende regler fra deres område/land.

GDPR