GDPR trer i kraft 20. juli, er din virksomhet GDPR-klar?

Et generelt prinsipp i GDPR er at tiltakene som skal sikre etterlevelse av regelverket skal stå i rimelig forhold til risikoen for og konsekvensene av brudd på personvernet. I denne artikkelen kan du lese om hvilken dokumentasjon små eller mellomstore virksomheter med begrenset behandling av personopplysninger trenger for å bli GDPR-klar.

Enten virksomheten behandler personopplysninger i liten eller stor grad er man omfattet av regelverket, men innholdet i pliktene vil kunne være forskjellig. For eksempel vil ikke en virksomhet med noen få ansatte, samt et lite kunde- og leverandørregister, ha de samme pliktene som en stor virksomhet med omfattende behandling av personopplysninger.

Regelverket stiller krav om at den behandlingsansvarlige skal iverksette «egnede tekniske og organisatoriske tiltak for å sikre og påvise» at behandlingen utføres i samsvar med regelverket. Hva betyr dette i praksis?

Dette betyr enkelt fortalt at virksomheten må ha på plass en del rutiner, blant annet for å unngå brudd på personvernregelverket, samt en del dokumentasjon for at virksomheten har vurdert hvilke tiltak som skal iverksettes for å unngå brudd på personvernregelverket. Stikkordene er risikovurdering, rutiner og dokumentasjon.

Vi anbefaler at små virksomheter (unntatt enkeltpersonforetak/virksomheter uten ansatte) som et minimum etablerer følgende dokumentasjon:

Behandlingsprotokoll

Det følger av personvernforordningen at alle som behandler personopplysninger skal ha en protokoll hvor det fremkommer hvilke behandlingsaktiviteter som utføres. Her skal det fremkomme:

  • Hvilken type personopplysning, f.eks. en ansatts lønnsslipp
  • Formålet med behandlingen av personopplysningen, f.eks. personalforvaltning
  • Beskrivelse av hvem opplysningene gjelder, f.eks. en ansatt
  • Beskrivelse av hvem som er mottaker av personopplysningen, f.eks. leverandør av lønnssystemet
  • Tidsfrist for sletting, f.eks. i henhold til reglene for lagring av bilag i bokføringsloven
  • Dersom noen har tilgang til dataene fra utenfor EU (f.eks. fordi IT-leverandøren har serverne sine i et land utenfor EU), må dette fremkomme

Risikovurdering

Virksomheten må foreta en risikovurdering for å avdekke hvor det foreligger risiko for personvernsikkerheten. En slik risikovurdering trenger ikke være veldig komplisert. De fleste virksomheter har allerede rutiner for risikovurderinger knyttet til gjennomføring av HMS-regelverket. Samme modell og rutine kan benyttes for vurdering av personvernrisiko, bare at vurderingstemaene selvsagt er knyttet til personvern. Eksempel på risiko kan være «risiko for at personalmappe kommer uvedkommende i hende».

I forbindelse med risikovurderingen må det også identifiseres tiltak for å redusere risikoen. Slike tiltak kan f.eks. være «adgangsbegrensning til mappe i filsystemet», eller «fysiske dokumenter oppbevares innelåst, kun 2 personer har tilgang til nøkkel».

Rutiner

For å sikre at de risikoreduserende tiltakene overholdes, bør det etableres rutiner. Disse rutinene bør også omfatte rutine for jevnlig oppdatering av dokumentasjonen. Det kan derfor være hensiktsmessig å implementere rutinene i et internkontrollsystem. Man kan enten implementere dette i det internkontrollsystemet man allerede har for HMS, eller lage et eget, gjerne over samme lest, med styrende, gjennomførende og kontrollerende dokumentasjon.

Eksempel på rutiner som bør beskrives er:

  • Rutine for sletting av personopplysninger
  • Rutine for behandling av forespørsel om innsyn
  • Rutine for behandling av forespørsel om retting og supplering av opplysninger
  • Rutine for arbeidsgivers innsyn i private e-poster og filområder
  • Risikoreduserende rutiner

 

Databehandleravtale

Virksomhetene kjøper normalt både lønns- og personalsystem, økonomisystem og kontorstøttesystem fra IT-leverandører. Alle leverandører som får tilgang til personopplysninger skal ha en databehandleravtale som regulerer hvilke personopplysninger leverandøren får tilgang til og begrenser hva leverandøren kan gjøre med disse personopplysningene. Det er den behandlingsansvarliges ansvar å vurdere om databehandleren har høy nok sikkerhet og gode nok rutiner for å kunne ta vare på personopplysningene på en trygg måte. Databehandleren har fått egne plikter etter det nye personvernregelverket, men dette fratar eller reduserer ikke den behandlingsansvarliges ansvar.

 

Informasjon

Virksomheten skal informere om hvilke personopplysninger som behandles og formålet med dette i en personvernerklæring som legges ut på bedriftens nettside.

 

Dersom man benytter informasjonskapsler for å analysere trafikken på nettsiden, må det informeres om dette i en såkalt cookie-policy

 

Berngaard / Sandbek har laget en dokumentpakke med ferdig utfylte maler for dokumentene som er nødvendige for å oppfylle kravene i GDPR. For nærmere informasjon, se her