10 viktige ting du bør vite om GDPR

4

Publisert 16 mars 18, 12:03 av Lukas Lind

Nå styrkes vernet av fysiske personer ved behandling av personopplysninger. GDPR står for General Data Protection Regulation og på norsk kalles forskriftene personvernforordningen. Alle organisasjoner som behandler personopplysninger må etterfølge GDPR fra og med 25. mai 2018, og  forordningen erstatter personopplysningsloven (POL). Det nye regelverket stiller strengere krav til bedrifter og andre organisasjoner om å opplyse blant annet om hvorfor og hvordan de samler inn og håndterer personopplysninger.

Her følger noen punkter som det er viktig å ha oversikt over.

1. Grunnleggende prinsipper

De grunnleggende prinsippene handler om å ha et tydelig formål og et juridisk grunnlag for hver enkelt behandling. Det betyr at man ikke senere kan behandle eller lagre personopplysninger som er i strid med formålet, og man må være åpen i sitt forhold til den registrerte.

2. Innebygget datavern

Det handler om at man har truffet alle tekniske og organisatoriske tiltak, samt at man på personopplysningsnivå overholder alle prinsipper som finnes i forordningen.

3. Den 25. mai må alt være klart

Forordningen trer i kraft den 25. mai, noe som også gjelder for sanksjonene. Med en slik kompleks lovgivning og ulike detaljkrav har mange innsett at det kan være vanskelig å rekke å gjennomføre alt. I slike tilfeller er det gunstig å prøve å prioritere og dokumentere valgene sine og hva man har foretatt. En god ting ved personvernforordningen er at det finnes noe som kalles innebygget datavern, som dreier seg om at man hele tiden skal jobbe for å bli bedre. Det er bra å sikte seg inn på 100 %, men når det gjelder implementeringen, er det bedre å konstaterer hva som er ens nåværende situasjon, og se hvor de største integritetsrisikoene finnes og hanskes med dem.

4. Hvordan prioritere best

Tenk nøye over hva konsekvensene kan blir for de registrerte. Finnes det noen store risikoer?  Du må også kjenne til hvordan du rapporterer eventuelle sikkerhetsbrudd og kunne avgjøre om det er nødvendig å oppnevne et personvernombud. Det er også viktig å ha korrekte bistandsavtaler rundt personvern, samt å forklare håndteringen av personopplysninger i personvernforskriftene. Etterfølges dette, har man en trygg grunn å stå på om det skulle bli aktuelt å diskutere eventuelle sanksjoner med Datatilsynet. Vi anbefaler ikke å la skuta seile sin egen sjø og bare håpe på det beste.

5. Hvordan komme i gang

Begynn med å se hvordan ting ligger an for øyeblikket, og ta for deg de viktigste områdene først. Det er opp til hver enkelt å selv finne ut hvordan dette skal legges opp. Hvordan kan dere jobbe med det innebygde datavernet? Er adgangskontroll noe det kan jobbes mer med? Kan rutinene gjennomgås?

6. Hvordan får man alle med på lasset?

Det er viktig at de ansatte forstår hvorfor de må være med. De må bli involvert, og det holder ikke bare å kunngjøre den nye rutinen. Vær oppmerksom på at de høyeste sanksjonsnivåene blant annet gjelder rettigheter, der informasjon om og sletting fra register inngår.

7. Slik avgjøres sanksjonens størrelse

Overtredelsens art og hvor mange den rammer, er faktorer som avgjør sanksjonens størrelse. Om overtredelsen var gjort med forsett eller var utilsiktet påvirker også størrelsen av straffetiltaket. En positiv faktor er om man har prøvd å forebygge hendelser og om man tar opp igjen arbeidet etter en inntruffet hendelse. En negativ faktor er om man ikke har villet ta kostnadene ved arbeidet.

8. Det positive med GDPR

Det finnes folk som ikke setter pris på hvordan personopplysningene deres blir brukt. Profilering er ikke for alle, når for eksempel et firma følger med på hvordan folk klikker seg rundt på nettet og siden kommer med et tilbud til dem. Med GDPR får organisasjoner muligheten til å begynne å jobbe med atferden sin, noe som trolig vil bli satt pris på av mange kunder.

9. Unntak fra forordningen

Ja, det finnes visse unntak. For eksempel når man skriver noe der man bruker sin ytringsfrihet for å vekke debatt. Ytringsfriheten trumfer i så fall personvernforordningen. Dette gjelder særlig for nettsteder der en bedrift for eksempel ønsker å diskutere et spørsmål på bloggen.

10. Det er ikke lenger mulig å benytte seg av misbruksregelen

Misbruksregelen er et unntak som betyr at man ikke trenger å følge POL når det dreier seg om såkalt ustrukturert tekst. Det er tilstrekkelig å garantere at man ikke misbruker personopplysningene. Nå opphører imidlertid denne misbruksregelen. I stedet vil personvernforordningen omfatte alt i Excel-lister, PowerPoint-presentasjoner, Word-dokumenter, tekster på nettsteder og i e-poster. Man må altså kunne håndtere den registrertes rettigheter selv når det gjelder ustrukturert materiale. Eksempelvis må man informere personer om når deres personlige data blir brukt i ustrukturert materiale.

Hurtigguide:

– Man kan ikke samle inn flere personopplysninger enn nødvendig.

– Man kan bare samle inn data for forhåndsdefinerte formål.

– Data kan ikke lagres lenger enn nødvendig.

– Data kan ikke lagres på flere steder enn nødvendig.

– Data kan ikke lagres utenfor EU-land eller land med tilsvarende personvern i lovgivningen (f.eks. https://www.privacyshield.gov).

– Brukere har rett til å vite hvilke data du har lagret om dem.

– Brukere har rett til å bli glemt (slettet).

– Datalekkasje må rapporteres til Datatilsynet.

– Det må finnes dokumentasjon på hvordan du håndterer personopplysninger.

– Alle leverandører som håndterer personopplysninger på dine vegne, må etterfølge GDPR, og du må ha en personopplysningsavtale med hver leverandør.

– Du må utnevne en som er ansvarlig for personopplysninger.

Hvis du ønsker å lese mer om GDPR, finner du mer informasjon på Datatilsynets nettsider.

 

 

Liker
Liker Elsker Haha! Wow! Sad Angry

Mer Viva i innboksen din!