GDPR - HVA ER GDPR?

Livet vårt har blitt heldigitalt. Hva man surfer på, kjøper, liker og ikke liker, deler og mener, blir av mange aktører nøye analysert og lagret. Persondata har fått stor verdi. Enten det er i jobb eller som privatperson, er det individet selv som har eierskap til sine data, og de som lagrer kan når som helst måtte svare for hva man vet, hvordan data benyttes, hvorfor – og ikke minst måtte slette de på oppfordring. Og nei, dette gjelder ikke bare bedrifter som jobber med IT eller driver netthandel, dette gjelder alle bransjer.

Personvernsforordningen (GDPR) fra 2018 er en EU-forordning som Norge må følge. Målet er å styrke rettighetene til forbrukerne, og å gjøre det forutsigbart å drive næringsvirksomhet.

Virksomheter forplikter seg å ha følge forordningen

Man må sette seg inn i lovgivning og avklare hvilke regler som gjelder, og ledelsen må sørge for rutiner som overholder disse. Alle ansatte må følge rutinene .

Alle virksomheter skal ha en forståelig personvern­erklæring

Informasjon om hvordan din virksom­het behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte.

Alle virksomheter skal vurdere risiko og personvernkonsekvenser

Dersom et tiltak eller en aktivitet utgjør en risiko for personvernet, må virksomheten utrede hvilke personvernkonse­kvenser det kan ha.

Alle virksomheter skal bygge personvern inn i nye løsninger

Det stilles krav til at nye systemer (IT og andre støttesystemer) utarbeides på en mest mulig personvernvennlig måte – innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.

Virksomheter må opprette personvernombud

Det skal opprettes et personvern­ombud, en person som er virksomhetens «ekspert» og bindeledd mellom ledelsen og de registrerte. Ombudet kan være en ansatt eller en profesjonell tredjepart.

Alle virksomheter får krav til avvikshåndtering

Det må implementeres regler for håndtering av sikkerhets­brudd. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles.

Alle må kunne oppfylle enkeltindividets nye rettigheter

Den enkelte har rett til å kreve at hans/hennes personopplysninger blir slettet – «retten til å bli glemt». Man kan også kreve å få med egne personopplysninger fra en leverandør til en annen – «data­ portabilitet». De kan også motsette seg alle typer direkte markedsføring. Alle henvendelser fra de som begjærer innsyn må besvares innen én måned.

1. Få oversikt over hvilke personopplysninger dere behandler

Alle virksomheter har, benytter eller samler inn personopplysninger. Få oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hvorfor det er relevant at dere sitter på disse. Det kan være informasjon om ansatte, kunder, leverandører, samarbeidspartnere osv. Her snakker vi om informasjon rundt kjøpshistorikk, bosted, mailadresser, bilder, e-post historikk, telefonnummer, IP-adresser, preferanser osv. Alle opplysninger du har som kan knyttes direkte til en enkeltperson.

2. Oppfyller du dagens lovkrav?

Overgangen til de nye reglene blir lettere om dagens krav til personopplysningsloven etterleves. Eksisterer det gode rutiner for internkontroll som er kjent i organisasjonen, er det lettere å få oversikt over hva som må endres til nytt regelverk.

3. Sett dere inn i det nye regelverket

Hele den nye forordningen finnes på Datatilsynets nettsider.

4. Lag rutiner for å følge reglene

Gå gjennom dagens rutiner for behandling av personopplysninger. Oppdater etter nytt regelverk der det trengs. Dokumenter nye rutiner og legg en plan for nødvendige endringer. Sjekk at systemene er laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standard innstilling. Sørg også for at dere klarer å fange opp og besvare henvendelser fra de som ber om innsyn innen én måned.