Er din organisasjon klar for GDPR?

Er din organisasjon klar for GDPR?

Snart erstatters Personopplysningsloven med nye regler fra EU, vet du hva det betyr for din bedrift?

I mai 2018, vil EUs General Data Protection Regulation («ofte referert til som GDPR») tre i kraft, direkte til anvendelse i alle medlemslandene i EU (reglene vil også bli innført i Norge og andre EØS-land).

Det vil da erstatte dagens Personopplysningslov («POL»). De viktigste formålet med GDPR er:

  1. Styrke borgernes friheter og rettigheter,
  2. Øke harmonisering i EU-landene,
  3. Oppdatere lovverket til dagens digitaliserte verden med økende bruk av både skytjenester og sosiale medier.

GDPR gjelder både bedrifter og offentlige virksomheter. Det betyr at alle må forberede seg på den nye lovgivningen. Den bygger på de samme grunnleggende prinsipper og definisjoner som finnes i POL, men den inneholder også en rekke nyvinninger.

Noen vesentlige endringer å merke seg er:

  • Betydelige administrative bøter ved brudd (opp til maksimalt 4% av årlig omsetning, eller 20 millioner euro, avhengig av hva som er det høyeste). Dette betyr at risikoen for ikke å følge reglene øker betydelig og tvinger effektivt alle bedrifter og organisasjoner til å øke sitt fokus på behandling av personopplysninger, som er den del av intensjonen til de nye bestemmelsene.
  • Rettighetene til den registrerte styrkes, blant annet i form av:
  • Mer detaljerte krav til informasjon.
  • Hvordan samtykke skal utformes og forvaltes.
  • Økte rettigheter for tilgang til sine personlige data, sammen med detaljert informasjon om bruken av dataene.
  • Rett til å begrense bruken av data
  • Rett til å begrense behandlingen
  • Rett til å ha personlige data slettet og til å overføre personopplysninger fra en behandler til en annen (data portabilitet).
  • Den behandlingsansvarlige (den som bestemmer objektet og formålet med bruken av data, f.eks. arbeidsgiver) må kunne dokumentere overholdelse av GDPR. Dette betyr at det vil være nødvendig å ha på plass hensiktsmessige retningslinjer, dokumenterte prosesser og annen dokumentasjon.
  • Datatilsynet skal varsles når det har skjedd en uautorisert utlevering av personopplysninger som krever konfidensialitet. Den behandlingsansvarlige virksomheten skal rapportere inn avvik så snart som mulig etter at avviket er oppdaget.  Både behandlingsansvarlig og databehandler plikter å melde avvik. Det er akseptabelt og hensiktsmessig med en felles avviksmelding fra behandlingsansvarlig og databehandler dersom de er enige om dette og har en lik forståelse av hendelsen.

Som leverandør av produkter og tjenester innen HR og lønn, forbereder Aditro kurs aktivt for å sikre at vi kan overholde Data Protection Regulation innen mai 2018. Den første fasen ble gjennomført i sommeren 2016 med en gap-analyse av produktene og tjenestene vi tilbyr våre kunder.

I neste trinn definerer vi nå de tiltak som er nødvendige og mulige behov for produktutvikling handlingsplaner, retningslinjer, prosesser og annen relevant dokumentasjon. I løpet 2017 vil de definerte tiltak iverksettes, samt nødvendig opplæring innen kommunikasjon, for å oppnå GDPR samsvar for alle produkter og tjenester før mai 2018.

Hver organisasjon eller bedrift må vurdere virkningen av GDPR i sin virksomhet og iverksette nødvendige tiltak. Vi oppfordrer alle våre kunder til å starte sine egne forberedelser nå. Ettersom at betydelige ressurser kan være nødvendig, er det nødvendig å være tidlig ute!

For å hjelpe deg i gang, har vi satt sammen en enkel sjekkliste:

  1. Identifiser hvilke personlige data du behandler, og til hvilket formål.
  2. Vurdere det rettslige grunnlaget for behandling av data (for eksempel kontrakter, balanse av interesser, samtykke).
  3. Evaluere tekniske evner og prosesser for å håndtere rettigheter (for eksempel for å korrigere unøyaktige data, slette data, tilgang til data, flytte data).
  4. Gå gjennom informasjonen som gis til de registrerte.
  5. Utvikle en rutine for håndtering av personlig datainnbrudd
  6. Utpeke en person som er personvernombud.
  7. Prosess for databeskyttelse konsekvensutredninger
  8. Intern opplæring
  9. Gå igjennom databehandlingsavtaler med leverandører som behandler personopplysninger på vegne av organisasjonen.

 

For ytterligere informasjon, har Datatilsynet publisert nyttig informasjon og veiledning om forberedelsene til GDPR.

Ytterligere veiledning kan også forventes mellom nå og mai 2018.

Hele forordningsteksten finner du her.

Leave a comment

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *