31. desember 2022

Hva er hemmeligheten for å oppfylle GDPR?

Noen nyttige startråd på vei mot å oppfylle personvernreglene

Brudd på GDPR kan være dyrt
Stadig oftere blir virksomheter kontrollert for mulige brudd på personvernreglene. Bøtene for de verste overtredelsene av den generelle personvernforordningen (GDPR) er blitt rekordstore. Amazon har fått en bot på over 7 milliarder norske kroner etter å ha brutt GDPR. Google og Facebook anklages for det samme.

GDPR gjelder som del av norsk rett. Her hjemme har Datatilsynet ilagt bøter til både Stortinget, NAV og Trumf. Nå som Datatilsynet har begynt med uanmeldte tilsyn, er det ikke usannsynlig at flere norske virksomheter vil lide tilsvarende skjebner.

Det kan uansett ta mye tid å svare Datatilsynet på mulig brudd. I tillegg kan negativ presse ved brudd på personvernreglene være nok til å ta GDPR på alvor.

 

Vær i forkant – 10 steg for å oppfylle minstekrav i GDPR
Denne listen på 10 steg gir et crashcourse for hva din virksomhet må gjøre for å få orden i eget hus:

Steg 1: Start med å tenke gjennom følgende; hvilke personopplysninger samles inn?
Identifiser de ulike kategoriene av opplysninger dere behandler og sørg for å ha oversikt over dem – lag en behandlingsprotokoll for slik oversikt.

Steg 2: Oppdater behandlingsprotokoll med informasjon om behandlingen dere skal gjennomføre.
Velg ett av seks mulige lovlige behandlingsgrunnlag. Få frem hvilke tredjeparter dere deler persondata med.

Steg 3: Vurder rollen dere har etter GDPR i forhold til andre aktører.
Er dere den som har mest ansvar og som bestemmer hvorfor personopplysninger behandles, og som da vil anses for behandlingsansvarlig? Kan dere for en behandlingsaktivitet være felles behandlingsansvarlig? Eller behandler dere bare persondata på vegne av en kunde slik at dere er en databehandler som bare må oppfylle det som står i databehandleravtalen?

Steg 4: Sørg for å foreta nødvendige risikovurderinger før en behandling starter, og sørg samtidig for å dokumentere at dette er gjort.
Har dere vurdert om informasjonssikkerheten er god nok? Er kravene til gyldig databehandleravtale oppfylt med databehandlerne? Må det gjennomføres en personvernkonsekvensvurdering (DPIA) for å vurdere om personvernrisikoen er for høy?

Steg 5: Ha dokumentasjon som kreves internt.
Sørg for å ha tilpassede prosesser og rutiner for styring, forvaltning, sikkerhet og kontroll for personopplysningene dere er ansvarlige for. Internkontroll må være på plass, bl.a. bør dere ha utpekt hvem i ledelsen som har hvilke ansvarsoppgaver. I tillegg bør dere ha rutiner som er implementert i deres daglige drift, f.eks. for å sikre at dere stiller krav til innebygd personvern i avtaler med samarbeidsparter som skal utvikle eller tilby en løsning for dere hvor persondata dere er ansvarlig for vil behandles.

Steg 6: Inngå databehandleravtaler der det er nødvendig.
Dere må ha databehandleravtale med hver aktør som behandler personopplysninger på deres vegne. Pass også på at dere selv har gyldig databehandleravtale med deres kunder dersom dere som leverandør kan behandle persondata på vegne av kundene deres.

Steg 7: Dokumenter at tilleggskrav for å kunne overføre personopplysninger til noen i land utenfor EU/EØS er oppfylt.
For å overføre personopplysninger ut av EU/EØS må dere påse at tilleggskrav i GDPR er oppfylt. Ved overførsel til USA eller andre tredjeland som ikke er godkjent av EU-Kommisjonen trengs det standard kontraktklausuler kalt Standard Contractual Clauses (SCCs). Sjekk at slike SCCs er fra 4. juni 2021 – fristen for å implementere de er satt til 27. desember 2022, og fortsatt henviser leverandører utenfor EU/EØS til SCCs fra 2010 eller tidligere.

EU-domstolen oppstilte i Schrems II-dommen flere tilleggskrav om leverandør i slikt ikke-godkjent land utenfor EU/EØS gis tilgang til eller på annen måte behandler personopplysninger om EU/EØS-borgere. Dere må vurdere de lokale lovreglene i slikt land utenfor EU/EØS og de ekstra sikkerhetstiltakene som aktøren i slikt land tilbyr er så gode at vernet for EU/EØS-borgere blir like godt som om behandlingen foregår i EU/EØS.

Steg 8: Ha systemer som gir de registrerte de rettigheter de har krav på etter GDPR.
Sørg for å oppfylle rettigheter til de personene som dere behandler personopplysninger om. Dere må f.eks. svare på innsynsbegjæringer innen fristen på 1 måned, slette personopplysninger når dere ikke lenger har lovlig behandlingsgrunnlag for disse, følge opp samtykke fra den registrerte mv.

Steg 9: Tilby de registrerte forståelige personvernerklæringer.
Beskriv hvem som behandler hvilke personopplysninger for hvilke formål i en personvernerklæring. Åpenhet og personvern er et konkurransefortrinn og viktig for tilliten vi har til en virksomhet.

Det er viktig å spisse personvernerklæringen til det virksomheten faktisk gjør. Dere bør f.eks. ha en generell personvernerklæring på hjemmesiden deres og en for ansatte i personalhåndboken eller på intranettet deres.

Steg 10: Sørg for å gjennomføre en egenkontroll.
Egenkontrollen bør gjennomføres minst årlig. Ved å sjekke seg selv årlig vil dere ha en pekepinn på om virksomheten deres har kontroll med etterlevelsen av personvernreglene.

I en egenkontroll kan det avdekkes om dere mangler lovlig behandlingsgrunnlag for en behandling av persondata. I så fall må dere kutte ut slik behandling eller gjennomføre en balansetest for å forsikre dere om at dere kan bruke berettiget interesse som lovlig behandlingsgrunnlag.

 

Trenger du ytterligere hjelp?
Dersom din virksomhet følger disse stegene, vil dere være på god vei til å behandle personopplysninger i tråd med minstekrav i GDPR. Dere vil samtidig vise at dere tar personvern på alvor – tenk at dere kan bruke resultater av å være i forkant som et konkurransefortrinn, f.eks. ved å beskrive hvor sikker deres tilbudte løsning er for at flere skal velge dere.

Disse rådene er ikke ment å være uttømmende. Bing Hodneland har et stort team som er spesialisert innen personvern og GDPR, f.eks. bistår vi daglig private og offentlige virksomheter med juridisk rådgivning, tvisteløsning og ulike vurderinger, undersøkelser eller utarbeidelse av nødvendig dokumentasjon.