- Er din virksomhet forberedt?Nye personvernregler fra mai 2018


Fra 25. mai 2018 trer EUs personvernforordning (GDPR) i kraft. Denne vil også gjelde i Norge. Alle virksomheter som behandler opplysninger må forholde seg til den nye personvernforordningen.

Fagartikkel

EUs personvernforordning (GDPR) inneholder mye kjent. Eksempelvis grunnleggende krav for behandling av personopplysninger, krav til sletting, samtykke, informasjon og dokumentasjon, men innebærer også nye krav til virksomheter og nye rettigheter for registrerte. Alle virksomheter vil bli berørt av GDPR, men omfanget vil bero på type virksomhet, hvilke og hvor mange personopplysninger som behandles.

Utfordringen er å få lagt opp en fornuftig plan med en begynnelse og slutt på prosjektet. Et personvernprosjekt omfatter veldig mange elementer. Første utfordring er å konkretisere de enkelte oppgavene og plassere dem i en fornuftig rekkefølge. Det første og viktigste steget er å kartlegge hvilke personopplysninger selskapet har i dag, hvor er de lagret, hva de brukes til, hvilken hjemmel behandlingen har, hvem som har tilgang, når opplysningene slettes med mer. Dette vil si livsløpet fra personopplysningene kommer inn i virksomheten, til de slettes.

Det er først etter en slik kartlegging avvik fra GDPR kan avdekkes og arbeidet med å etablere og oppdatere rutiner, samt iverksettelse av nødvendige organisatoriske og tekniske tiltak, kan starte.

Sentrale endringer

Alle virksomheter må oppdatere personvernerklæringer og informasjon til registrerte. Dette må skje i tråd med de nye kravene til innhold. Informasjonen skal være kortfattet, klar, tydelig, lett forståelig og lett tilgjengelig. Samtykke skal også skilles tydelig fra øvrige brukervilkår.

Alle virksomheter må oppfylle kravet til innebygd personvern i løsninger, for eksempel ved etablering av IKT-løsninger. Personvernet skal tas hensyn til i alle utviklingsfasene av et system. Personvern skal inntas som en standardinnstilling, blant annet for å sikre at bare nødvendig og relevante personopplysninger behandles (dataminimering), sletteplikten ivaretas og tilgjengeligheten begrenses.

Alle som bruker databehandlere, som for eksempel leverandører av skytjenester, lagringstjenester eller outsourcing-tjenester, må sikre at databehandleravtalen er i tråd med nye og detaljerte krav til innhold. Dette ansvaret påligger både behandlingsansvarlig og databehandler. Virksomheter som opptrer som databehandlere er nå også direkte regulert, og får en rekke plikter under GDPR. Reguleringen innebærer blant annet krav til dokumentasjon av hvilke personopplysninger som behandles, informasjonssikkerhet og avvikshåndtering.

Både behandlingsansvarlige og databehandlere som er offentlige virksomheter, som behandler sensitive personopplysninger i stort omfang, eller som systematisk overvåker offentlig område i stort omfang, må etablere et personvernombud. Dette vil typisk omfatte banker, forsikringsselskap og virksomheter i helsesektoren.

Alle får nye krav til avvikshåndtering. Avvik skal som utgangspunkt varsles Datatilsynet innen 72 timer. Det må etableres rutiner og systemer som ivaretar dette.

Rutiner og internkontrolldokumentasjon må oppdateres slik at pliktene under GDPR ivaretas.

Skrevet av
Skrevet av

Publisert:

13. juni 2017

Nils Kristian Einstabland

Stilling: Partner, advokat

Kompetanse:

Kontaktinfo:n.einstabland@selmer.no
+47 402 13 723

» Les mer om Nils Kristian

Anja Lange

Stilling: Fast advokat

Kompetanse:

Kontaktinfo:a.lange@selmer.no
+47 975 72 936

» Les mer om Anja

Relaterte artikler:
Arrangement

GDPR –
En praktisk
tilnærming

mnemonic og Selmer inviterer til frokostseminar om EUs forordning for personvern (GDPR). Det nye [...]