GDPR vil erstatte nåværende personopplysningslov, og stiller strengere krav til dokumentasjon av rutiner, behandling av personopplysninger, sikring av opplysninger og risikovurderinger enn eksisterende lovgivning. Personopplysninger er alle opplysninger som direkte eller indirekte kan knyttes til en person, enten kunder, ansatte eller andre, og forordningen gjelder for både privat og offentlig virksomhet (med begrensede unntak). Alle virksomheter må derfor anta at de berøres av forordningen.
For norske virksomheter som allerede har gode rutiner, systemer og dokumentasjon som tilfredsstiller kravene i dagens personvernlovgivning, behøver trolig bare å gjøre begrensede tilpasninger for det nye regelverket. For virksomheter som ikke har slik kontroll begynner det derimot å haste. Konsekvensene av å ikke følge de nye reglene kan være store. Personvern blir i stadig større grad viktig for selskapers omdømme. For alvorlige brudd på GDPR kan man også risikere bøter på inntil 4% av konsernets årlige omsetning, eventuelt 20 millioner Euro dersom dette utgjør en større sum. Manglende forsøk på å etterleve regelverket vil være relevant i bøteutmålingen.
Her er 10 sjekkpunkter for din virksomhet:
- Skaff deg en skriftlig oversikt over hvilke personopplysninger virksomheten behandler, for hvilke formål, på hvilket behandlingsgrunnlag, fra hvilke kilder, med hvilke systemer, og hvilke kategorier av registrerte som inngår i databasene. GDPR krever at dere kan dokumentere dette, og at dere har et gyldig behandlingsgrunnlag som dekker behandlingsformålet. Dersom behandlingen av personopplysninger er basert på samtykke må man kontrollere at samtykket oppfyller forordningens oppdaterte krav. Samtykke er imidlertid bare ett av flere mulige behandlingsgrunnlag.
- Sørg for at virksomheten har kompetanse om regelverket og hvordan det påvirker deres virksomhet. Kompetanse vil være ditt beste vern mot personvernbrudd. Flere virksomheter vil ha plikt til å opprette en egen personvernsrådgiver (tidligere personvernombud), og GDPR stiller blant annet krav til personvernsrådgivererens fagkunnskap. Mange bør uansett oppnevne personvernsrådgiver på frivillig basis.
- Gjennomfør og dokumenter risikovurderinger knyttet til de personopplysninger som behandles, og hvilke konsekvenser brudd på personvernet vil kunne få for de registrerte. I noen tilfeller vil GDPR påby en utvidet konsekvensanalyse etter nærmere bestemte kriterier, og det vil også kunne være plikt til å gjennomføre forhåndsdrøftelser med Datatilsynet. Risikovurderingene vil også ha direkte betydning for hvilke krav som skal stilles til andre tekniske og organisatoriske tiltak, og disse kravene henger nøye sammen.
- Sjekk og dokumenter at personvernet ivaretas av de IT-løsninger virksomheten benytter. Informasjonssikkerhet er et sentralt element av GDPR, og det stilles krav til at risikovurderinger og sikkerhetstiltak kan dokumenteres. Dersom systemer driftes av eksterne krever dette særlige avtaler og dokumentasjon. GDPR stiller også krav til innebygget personvern, personvernsinnstillinger og dataportabilitet som IT-løsningene må oppfylle, og som ikke følger av dagens regelverk. Noen virksomheter bør trolig vurdere anskaffelse av egne IT-løsninger som hjelper til å ivareta kravene i GDPR.
- Avklar roller og ansvar knyttet til personvern innen virksomheten og sørg for å ha skriftlige rutiner og andre organisatoriske tiltak for å etterleve regelverket. Det overordnede ansvaret ligger uansett hos styret og den daglige ledelse, men klare rolle- og ansvarsforhold, samt rutiner, vil både være pålagt og redusere risiko for personvernbrudd.
- Få på plass skriftlige rutiner for internkontroll og avvikshåndtering. GDPR stiller gjennomgående krav til at både rutinene og oppfølgningen kan dokumenteres. Brudd på personvernssikkerheten må håndteres innen korte tidsfrister.
- Sjekk hvilken informasjon som gis til de registrerte om behandling av deres personopplysninger. GDPR stiller krav til at informasjonen skal være kortfattet, klar og tydelig, lett forståelig og lett tilgjengelig. Det er spesifikke krav til hva som skal inngå i opplysningene. Det skilles mellom opplysninger som er innhentet direkte fra den registrerte, og opplysninger som er hentet inn fra andre. Ofte vil det være tilrådelig å utarbeide en såkalt personvernpolicy.
- Sørg for å implementere gode rutiner for å håndtere henvendelser fra de registrerte. Gjør dere kjent med den enkeltes rett til innsyn, dataportabilitet, samt til å kreve at personopplysninger slettes. Dersom det benyttes ekstern databehandler må denne omfattes av rutinene.
- Gjennomgå og oppdater deres avtaler og vilkår. Eksisterende databehandleravtaler oppfyller mest sannsynlig ikke kravene i GDPR, og må derfor oppdateres. Standardvilkår vil som regel også trenge oppdateringer med nye bestemmelser og henvisninger. Desstuten kan det det være fornuftig å revidere ansvarsbestemmelser for å unngå uønskede konsekvenser av det utvidede ansvar GDPR medfører. Dersom dere behandler data på vegne av andre er det verdt å merke seg at GDPR også stiller direkte krav til databehandlere, og at databehandlere får et direkte ansvar mot den registrerte.
- Lag en plan for å adressere og utbedre eventuelle avvik fra kravene i GDPR innen 25. mai 2018.
Dersom din virksomhet inngår i et konsern, eller personopplysninger overføres over landegrensene, foranlediger dette ofte særskilte vurderinger og tiltak. Det samme gjelder dersom virksomhetens kjernevirksomhet består av behandling av personopplysninger i stor skala eller sensitive personopplysninger.
Ta gjerne kontakt for en uforpliktende samtale om hvordan din virksomhet best kan forberede seg til GDPR.