Er du klar for Datatilsynets GDPR-kontroll?

Av Pål Karlsen 19. sep 2018

Er du klar for Datatilsynets GDPR-kontroll?

I juli trådte den nye personopplysningsloven i kraft. Personvernet er styrket ved at EUs personvernforordning (GDPR) er innarbeidet i loven. En del av den GDPR-hverdagen du da må være forberedt på, er at Datatilsynet kan dukke opp hos dere for kontroll. Er du klar til å ta imot dem?

Tidligere var det en ordning med meldeplikt eller søknad om konsesjon for behandling av personopplysninger. Det er nå falt bort. I stedet har alle norske virksomheter selv ansvar for å oppfylle kravene i den nye personopplysningsloven. Hovedansvaret har daglig leder. 

Med det nye ansvaret følger også flere plikter. GDPR pålegger virksomheten å gjennomføre en rekke tiltak. I stedet for å godkjenne slike tiltak på forhånd vil Datatilsynet foreta hyppige etterkontroller, og det blir strengere sanksjoner ved regelbrudd. Det kan bli bøter på flere millioner kroner. 

Selv om du sikkert har gjort grundige forberedelser til den nye GDPR-hverdagen, kan det for sikkerhets skyld være lurt å ta en ekstra sjekk på rutinene allerede nå i tilfelle Datatilsynet kommer.

Makulering

Et av de sentrale punktene i den nye loven er at personopplysninger skal slettes når det ikke lenger er grunnlag for å ha dem lagret, eller når personer krever at de skal slettes. Det kalles "retten til å bli glemt". Selv om det kanskje har vært mest fokus på digitale lagringsmedier i diskusjonen om GDPR, er det viktig å være klar over at kravet om sletting også gjelder personopplysninger i papirdokumenter. Dere må derfor ha rutiner for sikker makulering av disse. 

Slike rutiner er det viktig å ha for annen sensitiv informasjon også. Kommer de på avveie, kan det også koste dyrt i form av omdømmetap og tapt konkurransekraft.

Internkontroll og informasjonssikkerhet

Innenfor flere områder som, helse, sikkerhet, miljø og arbeidsmiljø forutsettes det at virksomhetene har et systematisert regelverk - en internkontroll - for hvordan de skal etterleve det regelverket som finnes. Det samme gjelder for etterlevelse av personvernreglene, som da blir en del av virksomhetens internkontroll. Den delen skal beskrive rutiner for oppfyllelse av virksomhetens plikter og de registrertes rettigheter. Det betyr rutiner og tekniske tiltak for informasjonssikkerhet.

Informasjonssikkerhet er med andre ord en sentral del av internkontrollen. Den skal sikre at personopplysningene ikke kommer på avveie.  Dere må da først kartlegge hvilke personopplysninger dere lagrer og behandler. Så må dere gjennomføre en risikovurdering for å finne ut om dere har gode nok sikkerhetstiltak. Er sikkerheten for dårlig, skal nye tiltak utarbeides og gjennomføres. Dette skal være en kontinuerlig prosess.

Datatilsynet har utarbeidet en egen guide for internkontroll og informasjonssikkerhet.

Samtykke og åpenhet

I tillegg til det som er beskrevet ovenfor, lister GDPR opp flere krav og plikter. Noen av disse er:

  • Skjerpede krav om å melde brudd på personvernet
  • Det skal være åpenhet om hvordan personopplysninger behandles og informasjonen om det skal være forståelig for alle.
  • Private virksomheter må innhente samtykke fra den enkelte for å kunne registrere personopplysninger. Det er også en viktig rettighet at den enkelte skal kunne korrigere og eventuelt få slettet personopplysninger om seg selv.
  • Risiko og personvernkonsekvenser skal vurderes.
  • Personvernerklæring skal utarbeides.
  • Noen virksomheter får krav om å opprette personvernombud.

Norsk Makulering har utarbeidet en sjekkliste som kan hjelpe deg med gjennomgangen av eget regelverk. Lenke til den finner du nedenfor.

 

 LAST NED GRATIS SJEKKLISTE:EUs nye personvernforordning (GDPR)

 

Temaer: GDPR, personopplysninger, sikker makulering


Pål Karlsen's photo

Av: Pål Karlsen

Pål karlsen har jobbet som daglig leder i Norsk Makulering siden august 2016. Han har erfaring fra reklamebransjen hvor han var eier og daglig leder i Selskapet Markèr fra 1990 – 2000. Etter det har han vært 13 år i mediebransjen – både som adm. direktør i lokalavisen Sarpsborg Arbeiderblad, og som mediehusleder for (den gang) A-pressens aviser i Nedre Glomma og Halden. Fra 2013 – 2016 jobbet han for Ishockeyklubben Sparta Sarpsborg som daglig leder.

Epost

Kommentarer