AGS Bloggen

GDPR – Hvordan påvirker det deg?

Skrevet av Christine Stenersen | 16. januar 2018

 

dette innlegget skal vi ta for oss GDPR og hvordan det påvirker deg som person og bedriften du jobber i. GDPR er EUs forordning for personvern og står for «The General Data Protection Regulation». GDPR erstatter EU's regelverk fra 1995 og trer i kraft 25. mai 2018.

Datatilsynet, som både er ombud i personvernspørsmål og tilsynsmyndighet etter personopplysningsloven, har i Norge som oppgave å overvåke overholdelse av personopplysningsloven. De har laget og publisert en punktliste som ligger på nett og denne tar for seg de viktigste punktene du må sette deg inn i før loven trer i kraft i mai 2018. Den bygger på de 7 personvernprinsippene og samsvarer også med de nye personvernreglene. Sjekk ut videoen under for en kort oppsummering av innlegget.

Se videoen her i denne linken eller i avspilleren nedenfor.

 

De 7 Personvernprinsippene

Reglene for behandling av personopplysninger bygger på grunnleggende prinsipper i europarådskonvensjonen, retningslinjer fra OECD og EUs personverndirektiv. Kjernen i prinsippene er at alle har rett til å bestemme over opplysninger om seg selv.

  1. Lovlig, rettferdig og gjennomsiktig - Behandlingen av personopplysninger må være lovlig. Dette innebærer at det må finnes et rettslig grunnlag for en planlagt behandling av personopplysninger. Igjen så må behandlingen av personopplysningene være rettferdig. Med dette menes det at behandlingen skal være forståelig for den registrerte og ikke foregå i det skjulte. Til slutt skal bruken av personopplysningene være gjennomsiktige. Dette betyr at den er oversiktlig og forutsigbar for den registrerte.
  2. Formålsbegrensning - Personopplysninger skal kun brukes for spesifikke og angitte formål. De skal ikke gjenbrukes til formål som er annet enn det opprinnelige formålet.
  3. Dataminimering - Dette betyr i prinsippet at du skal begrense mengden innsamlede personopplysninger. Om opplysningene ikke er nødvendig for å realisere formålet, skal heller ikke informasjonen hentes inn.
  4. Riktighet - Behandlingsansvarlig må til enhver tid sørge for å slette eller rette opp personopplysninger som er uriktige.
  5. Lagringsbegrensning - Personopplysninger skal slettes eller anonymiseres når det ikke lenger er nødvendig for formålet det ble hentet inn for.
  6. Integritet, konfidensialitet og tilgjengelighet - Den behandlingsansvarlige skal til enhver tid sørge for at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes.
  7. Ansvarlighet - Alle bedrifter som behandler personopplysninger har ansvar for å ivareta de registrertes rettigheter og friheter. Bedriften må også opptre proaktivt og etablere nødvendige tiltak for å sikre at regelverket etterleves til enhver tid.

 

GDPR - Veien videreGDPR - Hvordan påvirker det bedriften din?

GDPR - Hvordan påvirker det bedriften din?

For å enkelt forklare hva GDPR vil bety for deg, så får bedriften nye plikter å forholde seg til og personene du behandler personopplysninger om får nye rettigheter. Det blir i dette innlegget referert til Datatilsynet, som har publisert en foreløpig norsk oversatt versjon av den nye forordningen. De har også summert opp de viktigste punktene du som bedrift du må forholde deg til.

 

De 10 viktigste punktene du må forholde deg til:

 

 

#1 - Bedriften får nye plikter

I dag har bedriften krav til å ha rutiner for å etterleve personopplysningsloven. Når loven nå endres, må også bedriften endre rutinene. Det er ledelsen i bedriften som har ansvaret for å utforme de nye rutinene, men alle i bedriften må kjenne til og følge de nye reglene. Å lage nye rutiner, lære opp ansatte og sette seg inn i nye regler og rutiner, krever tid og ressurser. Det er derfor viktig å starte forberedelsene så tidlig som mulig!

#2 - Enklere personvernerklæring

Det nye lovverket stiller strengere krav til informasjonens form, språk og innhold enn dagens lovgivning. Informasjonen skal være skrevet på en forståelig måte og være lett tilgjengelig. Dersom bedriften din behandler personvernopplysninger om barn, må informasjonen utformes slik at også barna kan forstå den.

Med GDPR skal bedriften mer enn tidligere gi god informasjon om personopplysningene du behandler, hvor disse opplysningene ligger og hvorfor du må ha de. Mer om hva du må gi informasjon om kan du finne på Datatilsynet sine sider eller du kan ta kontakt med oss for veiledning.

#3 - Vurdering av risiko og personvernkonsekvenser

Hvis et tiltak utgjør en stor risiko for personvernet og personenes rettigheter, må bedriften utrede hvilke personvernkonsekvenser det kan ha. Det må i disse tilfellene utføres en konsekvensanalyse. Dersom utredningen viser at risikoen er stor og at dere selv ikke kan utrede den, må Datatilsynet involveres. Datatilsynet kan gi råd og ilegge sanksjoner som å for eksempel forby den aktuelle handlingen.

#4 - Innebygd personvern i nye løsninger

Når den nye personvernloven trer i kraft, blir alle bedrifter som behandler personopplysninger pliktet til å følge prinsipper for innebygd personvern. Innebygd personvern omhandler det å ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning og den mest personvernvennlige innstillingen skal være standard i alle systemer.

Et annet viktig krav er at det ikke skal være mulig å gjøre personopplysninger tilgjengelig for et ubestemt antall personer uten at den registrerte medvirker til dette.

 

 

#5 - Behov for personvernombud

Den nye personvernloven krever at flere bedrifter må utnevne personvernombud. Dette er i dag frivillig, men medfører nå at flere blir pliktet til å følge ordningen. De bedriftene som nå må utnevne personvernombud er:

  • Offentlige virksomheter (unntatt domstol)
  • Bedrifter som utfører regelmessig og systematisk overvåkning av personer i stort omfang og har dette som kjerneaktivitet.
  • Bedrifter som behandler sensitive personopplysninger i stort omfang.

Når bedriften velger personvernombud må det velges ut fra faglig kvalitet, ekspertise innen personvernrett og evne til å utføre oppgavene som kreves. Fagkunnskap er viktig i rollen som personvernombud. Ombudet må være ansatt eller en profesjonell tredjepart og skal være bundet av taushetsplikt eller konfidensialitet under utførelse av pliktene de innehar. Personvernombudet blir bedriftens personvernsekspert og blir et bindeledd mellom den registrerte, ledelsen og Datatilsynet. Mer om personvernombudet oppgaver finner du i lovverket.

#6 - GDPR utenfor Europa

GDPR gjelder primært innenfor EU, men dersom du tilbyr varer og tjenester til EU og EØS borgere, eller om du kartlegger atferden til europeiske borgere på nett, blir også du påvirket av GDPR. Dersom bedriften er etablert i flere land i Europa, skal det primært være personvernmyndigheten i landet der de har sitt europeiske hovedkontor de trenger å forholde seg til.

#7 - Nye plikter til databehandlere

For å først forklare hva en databehandler er, så er det en bedrift som behandler personopplysninger på vegne av en annen bedrift, såkalt behandlingsansvarlig. I dag følger den behandlingsansvarliges plikter av loven, mens databehandlerens plikter følger av en databehandleravtale mellom databehandler og behandlingsansvarlig. Databehandler er pålagt å ha rutiner for innsamling og bruk av personopplysninger.

Nytt med GDPR er at databehandler også skal si ifra til behandlingsansvarlig om de får instrukser som er i strid med loven og behandlingsansvarlig har loven på sin side til å godkjenne databehandlerens underleverandører.

Den behandlingsansvarlige har fremdeles hovedansvaret for behandlingen av personopplysningen, men dersom det foreligger brudd på reglene som medfører tap for den registrerte, vil både behandlingsansvarlig og databehandleren være erstatningsansvarlige.

#8 - Samarbeid i egne nettverk og følg bransjenormer

De nye reglene oppfordrer til at bedrifter innenfor samme sektor går sammen om utforming av retningslinjer og bransjenormer. Bransjenormer er retningslinjer for hvordan en bestemt bransje eller sektor skal behandle personopplysninger på. Disse bransjenormene skal godkjennes av Datatilsynet og om bedriften følger disse vil de viktigste rutinene være på plass.

 

 

#9 - Nye krav til avvikshåndtering

Med de nye reglene blir kravene for håndtering av sikkerhetsbrudd strengere. Alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet innen 72 timer. Dersom avviket ikke medfører en risiko for den registrertes rettigheter eller personvern, kan det gjøres unntak fra å melde ifra. Bedriften må ha dokumentasjon på alle avvik og hvilke tiltak de har iverksatt. Hva avviksmeldingen skal inneholde kan du finne i lovverket.

Dersom det er sannsynlig at et avvik vil medføre en høy risiko for personvernet til de som er berørt, vil den nye forordningen også gi nye regler for når de berørte skal varsles.

#10 - De registrertes nye rettigheter

Med GDPR kommer flere nye rettigheter til de registrerte. Bedriftene må sette seg inn i de nye rettighetene og legge til rette for å følge disse. Rutiner for å vurdere krav fra de registrerte skal lages og disse må oppfylles. En ny regel er blant annet at den registrerte nå skal besvares innen en mnd fra tilsendtes krav. Det er derfor svært viktig at du har rutiner for å håndtere dette. Det er foreløpig ikke kjent hvor mange dager en mnd består av, men ta i det minste utgangspunkt i 28 dager så er du innenfor lovverket.

Den enkeltes rett til å kreve at personopplysninger blir slettet blir styrket, også kjent som «retten til å bli glemt». Dersom den registrerte ønsker å ta med seg personopplysningene sine fra en behandler til en annen, kan de nå kreve å få med seg dette i et strukturert, allment brukt og maskinlesbart filformat.

I enkelte tilfeller kan også de registrerte motsette seg fra profilering. Dette avhenger av hva behandlingsgrunnlaget er eller hva formålet er.

 

GDPR - Veien videre

Det er nå viktig å være klar når GDPR trer i kraft 25. mai 2018, da det i utgangspunktet er for sent 26.mai. Dersom du ikke følger det nye lovverket kan du bli ilagt bøter som avhenger av omsetning og nivå på sikkerhetsbrudd.

Først og fremst må du få en oversikt over hvilke personopplysninger dere behandler, hvor de kommer fra og det rettslige grunnlaget for behandlingen. Deretter er det viktig å sette seg inn i det nye regelverket og lage nye rutiner for behandling av personopplysninger.

Å lage nye rutiner, lære opp ansatte og sette seg inn i nye regler og rutiner, krever tid og ressurser. Det er derfor viktig å starte forberedelsene så tidlig som mulig! Det er du som må implementere dette i bedriften din. Vi kan bistå dere med de teknologiske hjelpemidlene som bør ligge til grunn for håndtering av personopplysninger.

 

Vi leverer IT og skytjenester til norske bedrifter

Få en brukervennlig og enkel One-Stop-Shop for alt du trenger av IT-løsninger, skytjenester, support og IT-sikkerhet.