GDPR - 5 viktige punkter alle bør forstå
19. april 2018
Alle bedrifter har viktige ansvar knyttet til den nye personvernloven - de vil da være behandlingsansvarlige av personopplysninger. Noen av disse pliktene skal vi nå se på. Husk at det mest sannynlig vil være flere, men det er lurt å begynne med noen.
I tillegg har noen bedrifter ekstra mye ansvar - blant annet de som driver firma for å ta vare på data for andre , eller lager programvare eller jobber med sensitive opplysninger. Disse er databehandlere og har strenge regler til sikkerhetsrutiner m.m. Det kommer en egen oversikt for dem senere.
Hva må en helt vanlig bedrift kunne vise frem etter 28.mai hvis datatilsynet skulle tenke seg å komme på kontroll. HUSK: Reglene gjelder i utgangspunktet kun for personer og personopplysninger. Dette betyr at hvis du bare forholder deg til bedrifter så kan det bli noe enklere - MEN hvis du oppbevarer f.eks. navn og telefon nr om ansatte i bedrifter så vil allikevel reglene gjelde da dette er personopplysninger.
Jeg har valgt ut 5 punkter som alle må forstår uansett hva de jobber med.
Det er vanskelig å forklare dette uten å henvise til reglene, og enn så lenge så tar jeg utgangspunkt i den foreløpige oversettelsen som ligger på datatilsynet sine sider:
https://www.datatilsynet.no/globalassets/global/regelverk-skjema/forordningen/uoffisiell-norsk-oversettelse-av-personvernforordningen.pdf
1: Forstå hva behandlingsansvarlig (data-EIER) eller databehandler (data-LEVERANDØREN)
Artikkel 4 «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes;
«databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige
2: Lovlighet av lagring av data. Har kunden gitt samtykke ?
Eksisterende kunder eller andre du samarbeider med kan du lagre nødvendig data, selv om du egentlig også fra disse bør innhente nytt samtykke. Du må allikevel alltid huske å ha med et felt på epost du sender ut med link til din personvernerklæring og en mulighet for å trekke samtykket, se, endre eller slette opplysninger du har lagret.
Artikkel 5
f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.
Har kunden gitt samtykke til å lagre. Enten har du bedt om spesielt samtykke ellers vil mye gå under :
Artikkel 7
Punkt 4. Ved vurdering av om et samtykke er gitt frivillig skal det tas størst mulig hensyn til blant annet om oppfyllelse av en avtale, herunder om yting av en tjeneste, er gjort betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale
MEN husk
Punkt 3. Den registrerte skal ha rett til å trekke tilbake sitt samtykke til enhver tid. Dersom samtykket trekkes tilbake, skal det ikke påvirke lovligheten av behandlingen som bygger på samtykket før det trekkes tilbake. Før det gis samtykke, skal den registrerte opplyses om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke
HUSK: Det er ikke lov å bruke innhentede opplysninger til å sende ut info om noe du ikke har bedt om. DETTE er et viktig prinsipp i den nye loven. Slutt på å lure ut epost og info
3: Hvilke krav er det for å informere dine kunder
Artikkel 13:
1. Når personopplysninger om en registrert samles inn fra den registrerte, skal den behandlingsansvarlige på tidspunktet for innsamlingen av personopplysningene gi den registrerte følgende informasjon:
a) identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant,
b) kontaktopplysningene til personvernrådgiveren, dersom dette er relevant,
c) formålene med den tiltenkte behandlingen av personopplysningene samt det rettslige grunnlaget for behandlingen,
d) dersom behandlingen er basert på artikkel 6 nr. 1 bokstav f), de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart,
e) eventuelle mottakere eller kategorier av mottakere av personopplysningene
Dette punktet er det vanskelig å gjennomføre når en kunde ringer på telefon, eller en av dine ansatte har en samtale med en kunde ute på en jobb. Det letteste er å ha et felt på ditt ordre system, eventuelt et skjema med en mulighet for å krysse av for å registrere samtykke. Skjema bør da også ha en link til personvernerklæringen din ( se under). Det er også mulig å ha et kryss på bestillings-seddelen som kunden signerer på papir når han bestiller varer fra deg om at han har gitt samtykke til at du lagrer opplysninger. Ved kontroll må du kunne dokumentere at du har innhentet samtykke.
4: Du må ha en personvernerklæring
Personvernerklæringen er viktig fordi den gir informasjon om hva du gjør med den informasjonen og opplysningene du samler inn. Du må huske at datatilsynet kan ta kontroll og da må faktisk informasjonen du har på din pc stemme overens med informasjonen her. I tillegg er dette med å innhente samtykke til å lagre informasjonen viktig. Samtykke bør kunden krysse av på samtidig som han sender inn et skjema eller en bestilling på din side - og i den forbindelse bør det også være en link til personvernerklæringen.
Datatilsynet har laget en liste over ting som må være med
https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/?id=6319
Vi har hentet hele teksten fra den foreløpige norske oversettelsen samt av vi har laget 2 ulike eksempler til deg. En av utfordringene er hvor mye informasjon du skal ta med. Se menyen for personvernmal eller trykk her
5: Avtaler må lages med alle som du har datatjenester sammen med.
Som eier av data som du har samlet inn fra dine kunder eller medlemmer så har du plikt til å sørge for at de som behandler disse dataene på riktig måte - med riktig sikkerhet ( databehandlere - altså andre firmaer du får hjelp fra - eventuelt egne servere)
Vi har funnet et eksempel fra uninett, men det er fortsatt mye uklart om hvor omfattende en slik avtale skal være. Vi vil komme tilbake med mer info etterhvert som dette blir klart.
https://www.uninett.no/sites/default/files/imce/Sikkerhet/uninett.databehandleravtalemal_v.3.0.docx
Tilslutt:
Dere har kanskje hørt at dere må ha personvernombud. Dette gjelder ikke så mange private små bedrifter. Datatilsynet har laget en sjekk her som du kan bruke hvis du er i tvil:
https://www.datatilsynet.no/regelverk-og-skjema/personvernombud/hvem-ma-ha-personvernombud/