Få alt på plass til GDPR trer i kraft

Få alt på plass til GDPR trer i kraft

6 min

Den 20. juli trer den nye europeiske personvernforordningen, The General Data Protection Regulation (GDPR) i kraft i Norge. Personvernloven gjelder for alle, uavhengig av om bedriften deres har tre eller tusen ansatte.

Den nye loven gir virksomheter nye regler å forholde seg til – og enkeltpersoner nye rettigheter. Det viktigste deres virksomhet gjør er å sette dere inn i det nye lovverket, utarbeide rutiner som tilfredsstiller dokumentasjonskravet i loven og gjennomføre det i praksis.

Har deres virksomhet alt på plass? Gå gjennom sjekklisten under og se om dere gjort det dere skal, eller om det er noe dere må gjøre før lovverket trer i kraft.

1. Sørg for at alle i virksomheten er klar over at loven endrer seg og at de kjenner til betydningen av GDPR.

Det er virksomhetens ledelse som har ansvaret for å utforme nye rutiner i forbindelse med GDPR, men alle i organisasjonen må kjenne til og følge de nye reglene. GDPR gir virksomheter prinsipper å leve etter, heller en klare mål. Derfor er det opp til hver enkelt virksomhet å vurdere hvilke tiltak som må gjøres for å oppfylle kravene som er satt. Dette er det viktig at alle ansatte har kunnskap om.

2. Dokumenter hvilke persondata som er lagret, hvor opplysningene kommer fra og hva som er grunnlaget for bruk og lagring av disse.

Alle virksomheter som innhenter eller bruker personopplysninger skal ha oversikt over hvilke data som behandles, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Persondata er en enhver opplysning som kan knyttes til en privatperson, alt fra navn, kjønn, e-postadresse og arbeidssted. Dermed gjelder dokumentasjonskravet både for informasjon dere besitter om egne ansatte og om deres kunder. Dere må også dokumentere hvor persondata er lagret og hvem som har tilgang til denne informasjonen.

Den beste måten å gjøre dette på er i en oversikt som samler informasjonen på ett sted. Det er ingen krav til hvordan denne oversikten skal se ut, men Datatilsynet har laget en detaljert og oversiktelig mal som man kan ta utgangspunkt i.

3. Slett opplysninger som det ikke lenger er nødvendig å ha.

Det er flere grunner til å innhente, lagre og bruke persondata. Typiske årsaker kan være at det er nødvendig for å etterleve en avtale virksomheten har med en kunde, eller at person selv har gitt virksomheten samtykke til at opplysningene kan lagres og brukes (les mer om samtykke i punkt 6).

Det er deres oppgave å sørge for at opplysningene dere har er tilpasset formålet det er ment for – og kun det. Dersom formålet for eksempel er e-postmarkedsføring til privatpersoner, har dere ikke grunnlag for å lagre vedkommendes adresser eller telefonnumre. Opplysninger som ikke er nødvendig å ha, skal slettes.

Les mer om hvilke seks grunnleggende krav som bør ligge til grunn for behandling av personopplysninger på NHOs nettsider.

4. Lag en personvernerklæring som er enkel å forstå for alle som leser den.

Gå nøye gjennom nåværende personvernerklæring og gjør endringer om nødvendig. Informasjon om hvordan deres virksom­het behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte.

Se hvordan vi i Onninen har gjort dette her.

5. Få på plass databehandleravtaler med samarbeidspartnere

Revisorer, regnskapsfører eller IT-operatører er alle typiske databehandlere. Dere må inngå en skriftlig databehandleravtale med alle eksterne aktører som behandler personopplysninger på vegne av deres bedrift. Denne skal sette en klar ramme for hvordan personopplysningene kan behandles.

Se hva en databehandleravtale må inneholde her.

6. Ved markedsføring til kunder: Skaff samtykker!

Dersom dere ønsker å sende ut nyhetsbrev, kampanjemateriell eller lignende til deres kunder, trenger dere eksplisitte samtykker fra dem. Om dette er relevant for dere, må dere lage rutiner for hvordan samtykker innhentes og registreres. Husk at det skal være tydelig hva man samtykker til, at det kommer klart fram at det er frivillig å gi sitt samtykke, og at man når som helst kan trekke samtykket tilbake.

7. Planlegg hvordan dere skal håndtere forespørsler om persondata.

Dersom man får en forespørsel om innsyn i lagret persondata har vedkommende som har sendt henvendelsen krav på svar «uten ugrunnet opphold» og senest innen 30 dager. «Retten til å bli glemt» gir enkeltpersoner rett til å kreve at data om dem blir slettet eller begrenset.

Derfor bør dere på forhånd planlegge hvordan slike henvendelser skal håndteres best mulig.

8. Sørg for at prosedyrer er på plass for å oppdage, rapportere og undersøke datainnbrudd.

I forbindelse med GDPR blir reglene for håndtering av sikkerhetsbrudd strengere. Alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet innen 72 timer. Da må man også dokumentere hva som har skjedd og hvilke tiltak som er iverksatt.

Derfor er det viktig å få på plass prosedyrer på hva et varsel skal inneholde og hvem som har ansvar for å varsle. Les mer om hva som skal inkluderes i avviksmeldingen her.

Er du medlem av Nelfo?

De har utarbeidet en mal for sine medlemsbedrifter i forbindelse med GDPR. Se den her.

Er du medlem av Virke?

De veileder også sine medlemmer gjennom lovverket. Les mer her.

Du vil kanskje også lese

Vil du ha flere nyheter fra onn:time?
Meld deg på vårt nyhetsbrev!

Onninen Logo