GDPR

25. mai 2018 vedtas GDPR, ny personvernforordning i Norge. GDPR forordningen skal omfavne den teknologiske utviklingen som har skjedd, samt ta høyde for den utviklingen som vil skje i fremtiden. Under finner du noen lenker til relevante ressurser og informasjon og opplysninger om den nye ordningen.

Hva er GDPR?

GDPR står for General Data Protection Regulation, på norsk personvernforordning. Det er et regelverk som skal regulere virksomheters bruk av personopplysninger. Det vil si opplysninger som omhandler enkeltpersoner.

Det eksisterende personverndirektivet har to åpenbare mangler. For det første observeres det at flere organisasjoner og virksomheter mangler god nok kjennskap til det eksisterende personverndirektivet til at det håndheves korrekt. For det andre ser man nye behov når det kommer til personvern i dag enn man gjorde for bare få år siden. Digitaliseringen vi har sett de siste 20 årene gjør det det eksisterende personverndirektivet er teknisk udatert selv om det rent juridisk er ganske nytt.

GDPR tar sikte på å omfavne den teknologiske utviklingen som har skjedd, samt den utviklingen som vil skje i fremtiden. Det nye regelverket skal gi folk visse rettigheter. Enkeltpersoner skal for eksempel kunne vite hvem som har hvilke opplysninger om dem.

Opplysninger hentet fra Synlighetsbloggen, les hele artikkelen her.

Hva bør dere gjøre nå?

1. Ha oversikt over hvilke personopplysninger dere behandler

Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som gjelder også etter dagens lov.

2. Sørg for å oppfylle dagens lovkrav

Overgangen til de nye reglene blir lettere om dere etterlever kravene i personopplysningsloven, som gjelder i Norge i dag. Har dere gode rutiner for internkontroll som fungerer etter hensikten og er kjent i organisasjonen, er det lettere å få oversikt over hva dere må endre.

3. Sett dere inn i det nye regelverket

Les forordningsteksten. Følg også med på Datatilsynets nettsider. Der fyller vi også på med artikler om de nye reglene etter hvert som vi utarbeider dem.

4. Lag rutiner for å følge de nye reglene

Gå gjennom rutinene dere har for behandling av personopplysninger. Oppdater dem etter nytt regelverk der det trengs. Dokumenter de nye rutinene og legg en plan for nødvendige endringer. Er systemene deres laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Klarer dere å fange opp og besvare henvendelser fra borgerne innen én måned?

Endringer i systemer og rutiner tar tid. Begynn allerede nå!
Listen her hentet fra datatilsynets nettsider.  Her kan dere finner mer utdypende informasjon om endringene.

Hvor kan jeg finne informasjon?

  1. Man må ha hjemmel for å bruke personopplysninger, altså samtykke eller rettslig grunnlag. For å finne ut hvilken hjemmel man kan bruke kan man finne informasjon på datatilsynet sine nettsider, dette vil også bli tydeliggjort i artikkel 6 og 9 i forordningen.
  2. Vi anbefaler å undersøke om virksomheten din er omfattet av særregler. For eksempel så har Redningsselskapet folk på sjøen – da kan det være at de omfattes av sjøloven.
  3. Bedrifter skal ha en liste over alle opplysninger de har på hver enkelt person, og man må kunne definere hvorfor man har opplysningene, og hva de skal brukes til. Det er viktig at alle opplysninger og grunnlag tydelig kan dokumenteres, både for bedriften og eventuelt tilsyn fra Datatilsynet eller andre instanser.
  4. Det er ikke nødvendig å innhente nye samtykker etter at GDPR ble innført dersom samtykkene man allerede har er gitt frivillig og er tydelige.

Den nye bransjenormen

Norges Innsamlingsråd har samarbeidet med Forbrukertilsynet og Datatilsynet om «Bransjenorm for frivillige organisasjoners behandling av personopplysninger». Den nye bransjenormen venter fortsatt på offisiell godkjennelse fra Datatilsynet, men målet har vært at den nye normen skal dekke de nye GDPR reguleringene. Utvalget har jobbet hardt for at medlemmene skal føle seg trygge på, at dersom de følger den nye bransjenormen, befinner de seg også godt innenfor de nye reguleringene for håntering av personopplysninger.

Les mer om bransjenormen her.