GDPR: Omfattende informasjonsplikt for daglig leder

Av Pål Karlsen 27. sep 2018

GDPR: Omfattende informasjonsplikt for daglig leder

Etter lengre tids varsling ble i juli EUs personvernforordning (GDPR) en del av personopplysningsloven. Personvernet er styrket gjennom rettigheter for hver enkelt av oss. For at vi skal ha en reell mulighet til å bruke rettighetene, skal alle virksomheter som registrerer personopplysninger, gi informasjon om hvordan de blir behandlet. Informasjonsplikten er omfattende. Som daglig leder har du ansvaret for at den blir oppfylt.

Lovendringene innebærer at virksomhetene selv har ansvar for at kravene i GDPR oppfylles. For å sikre at det blir gjort, pålegges virksomhetene flere plikter. Informasjonsplikten er en viktig del av dem. Noen av de øvrige er

  • Fastsette formål
  • Legge til rette for brukernes rettigheter
  • Rutiner for retting og sletting
  • Vurdering av personvernkonsekvenser
  • Innebygd personvern
  • Etablere internkontroll
  • Informasjonssikkerhet
  • Protokoll over behandlingsalternativer
  • Håndtering av avvik

For å etterleve disse pliktene må det utarbeides tiltak for å hindre trusler mot personvernet. Datatilsynet har til hjelp laget en veileder om pliktene.

Rettigheter

Når personopplysninger registreres, får de registrerte flere konkrete rettigheter. Disse er

  • Rett til innsyn 
  • Rett til korrigering 
  • Rett til sletting
  • Begrensning av behandlingen 
  • Innsigelse mot behandlingen  
  • Rett til å trekke tilbake samtykke gitt tidligere
  • Rett til å ta med seg personopplysningene fra en virksomhet til en annen

For å oppfylle dem pålegges virksomhetene en informasjonsplikt. De registrerte skal få vite hvordan personopplysningene behandles, hvor lenge de lagres, hva formålet og det rettslige grunnlaget er, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter den registrerte har i den forbindelse og hvordan de kan ivareta disse rettighetene.

Informasjonen skal gis skriftlig og helst være tilgjengelig elektronisk. Helt sentralt er at den skal ha en form som gjør at de registrerte forstår rettighetene sine. Fristen for å informere er senest en måned etter innsamling.

Samtykke

I tillegg til denne generelle informasjonsplikten skal det også gis informasjon når personopplysningene registreres. For å foreta denne registreringen kreves det at virksomhetene har et behandlingsgrunnlag. Vanligvis vil behandlingsgrunnlaget være at man innhenter samtykke fra de som skal registreres. I tillegg til andre krav skal dette samtykket være informert. Det vil si at man skal informere om

  • hvem den behandlingsansvarlige er
  • formålet for hver av behandlingene som virksomheten ber om samtykke til
  • hva slags personopplysninger som vil samles inn
  • informasjon om retten til å trekke tilbake samtykke
  • informasjon om eventuelle automatiserte individuelle avgjørelser hvis det er relevant
  • informasjon om risiko og tiltak ved eventuell overføring utenfor EU/EØS-området   

Sikker makulering

Tiltakene som følger av de nevnte pliktene, skal inngå i et system for internkontroll Hovedansvaret for at et slikt system er på plass, har ledelsen.

Det er viktig å huske på at GDPR også gjelder for papirdokumenter som inneholder  personopplysninger. Internkontrollen må derfor ha rutiner for sletting av dem. Løsninger for sikker makulering må være på plass. Hvis du er i tvil om løsningene deres er gode nok, kan du ta sikkerhetstesten vår

Vil du ta en ekstra sjekk på om rutinene dere har lagt opp til oppfyller de kravene og pliktene som følger av den nye personopplysningsloven, kan sjekklisten vi har utarbeidet forhåpentligvis være til hjelp.  

 

 

LAST NED GRATIS SJEKKLISTE:EUs nye personvernforordning (GDPR)

Temaer: GDPR, personopplysninger, informasjonsplikt, sikker makulering


Pål Karlsen's photo

Av: Pål Karlsen

Pål karlsen har jobbet som daglig leder i Norsk Makulering siden august 2016. Han har erfaring fra reklamebransjen hvor han var eier og daglig leder i Selskapet Markèr fra 1990 – 2000. Etter det har han vært 13 år i mediebransjen – både som adm. direktør i lokalavisen Sarpsborg Arbeiderblad, og som mediehusleder for (den gang) A-pressens aviser i Nedre Glomma og Halden. Fra 2013 – 2016 jobbet han for Ishockeyklubben Sparta Sarpsborg som daglig leder.

Epost

Kommentarer