GDPR regler alle bør vite
GDPR regler kan være vanskelig å forstå for små og mellomstore bedrifter som ikke har en egen jurist. Vi har derfor laget en enkel oversikt som etter vår mening dekker de viktigste reglene i GDPR.
1. Ha oversikt over hvilke personopplysninger du behandler.
Artikkel 30 i GDPR krever at alle som behandler personopplysninger skal dokumentere behandlingen i en protokoll, ofte kalt behandlingsprotokoll. Det er et unntak fra kravet om å føre protokoll for visse type behandlinger for bedrifter med mindre enn 250 ansatte. Men dette untaket er snevert, og vi vil uansett anbefale alle å kontinuerlig holde oversikt over hvilke personopplysninger man til enhver tid behandler.
2. Vær sikker på at du behandler dataene lovlig.
For å kunne behandle personopplysninger må du ha en hjemmel, eller et rettslig grunnlag. Artikkel 6 i GDPR definerer seks gyldige behandlingsgrunnlag, og ett av de må være oppfylt for at behandlingen skal være lovlig. Noen vanlige behandlingsgrunnlag er “nødvendig for å oppfylle en avtale”, samtykke og legitim interesse. Les mer om behandlingsgrunnlag.
3. Forsikre deg om at dataene er tilstrekkelig sikret.
Systemene som lagrer og behandler personopplysninger må ha gode sikkerhetsmekanismer. Vår erfaring er at den tekniske sikkerheten som regel er god, og at dette ikke er noe stort problem. I praksis er de fleste problemer med sikring av personopplysninger knyttet til tilgangskontrollen, det vil si at for mange har for mye tilganger. Derfor: pass på at de ansatte bare har tilgang til det de trenger tilgang til for å gjøre jobben sin. Aldri gi tilganger i tilfellet noen vil komme til å trenge de. En av de vanligste årsakene til bøter fra datatilsynet er virksomheter som kredittsjekker personer uten gyldig grunn. I mange av disse tilfellene har det vist seg at kredittsjekken har blitt utført av en ansatt som på egenhånd har brukt virksomhetens systemer for å tilfredsstille sin egen nysgjerrighet.
4. Informér brukerne om behandlingene du gjør
Alle de registrerte har krav på informasjon om hvordan deres personopplysninger behandles. Dette opplyser du om i en personvernerklæring. En personvernerklæring skal inneholde all informasjon om hvilke personopplysninger du behandler, hvilke behandlinger du gjør samt formålet med de. Du bør også oppgi hvilke behandlingsgrunnlag du benytter deg av. Bruk gjerne vår mal for personvernerklæring som utgangspunkt til å skrive din egen.
5. Sørg for at du har kontroll på underleverandører
Som behandlingsansvarlig er du du som er ansvarlig for at personopplysninger behandles i tråd med personvernforordningen. De fleste virksomheter benytter seg av mange underleverandører for å lagre og behandle personopplysninger. Dette kan være infrastrukturleverandører som for leverer servere eller annen infrastruktur, eller betalingsløsninger, epostsystemer, analyseløsninger etc. For å ha kontroll på hvordan underleverandørene dine behandler personopplysningene på dine vegne trenger du en databehandleravtale. Det er viktig at du leser disse avtalene og forstår hva som står i de, for til syvende og sist er det din virksomhet som har ansvaret for at behandlingen av personopplysninger er lovlig.
6. Slett data du ikke bruker
Vår erfaring er at mange virksomheter slurver med lagringstid og sletterutiner. Det er skummelt av mange årsaker. For det første er det ulovlig, men for det andre så eksponerer det også virksomheten for en stor økonomisk risiko. Dersom virksomheten får en datalekkasje som fører til at personopplysninger kommer på avveie, vil overtredelsesgebyret i seg selv sannsynligvis bli langt større dersom dataene som har kommet på avveie skulle vært slettet. De berørte av en datalekasje kan også kreve erstatning, og denne risikoen vil selvsagt bli større dersom en virksomhet ikke har slettet data på gamle kunder.