Planleggingsfasen i praksis
Planleggingsfasen (Juli-Sep) I denne fasen vil du se gjennom og eventuelt gjennomføre nye risikoanalyser og gjennomgang av handlingsplan for videre arbeid med GDPR og personvern.
For deg som ønsker litt mer utfyllende informasjon har vi forsøkt å oppsummere regelverket for planlegging i punkter under. Hvis du er inne for første gang kan det være lurt å gå gjennom kurset på www.gdprsystem.no
Informasjonsplikten
"Er du kjent med informasjonsplikten?"
Personvernserklæringen
Personvernsærkleringen skal fortelle klart og tydeig, i lett forståelig språk, hva som samles inn, hvorfor det samles inn, og hvor det eventuelt sendes videre. Her legger du gjerne samtykke skjema vedsidenav.
Dette er viktig så individet forstår hva deres opplysninger blir samlet for, så de kan gjøre et informert valg om de vil la deres opplysninger lagres.
Informasjonsplikten fordypelse
Noe som ikke er nevnt enda er at informasjonsplikten også har krav for hvordan du kommuniserer med kunder.
Det er mange måter å kommunisere med kunder på, det trenger ikke alltid være direkte. Dette gjelder for eksempel gjennom personvernserklæringen, når kundene vil ta bruk av rettighetene sine, eller når det skal informeres om avvik.
Veldig likt som med erklæringen, må bedriften kommunisere på en kort, lett tilgjengelig, åpen og forståelig måte. Det følgende gjelder:
- Du kan ikke bruke teknisk eller juridisk språk når du kommuniserer om personopplysninger
- Informasjonen skal være forståelig for målgruppen, og ha klart språk og god struktur
- Informasjon skal være konkret (Formuleringer som "vi kan bruke" må unngås)
- Informasjon om behandling av personopplysninger må være adskilt fra annen informasjon (For eksempel brukervilkår)
- Det skal ikke være nødvendig for kundene å måtte lete etter informasjon om behandling av personopplysninger
- Det skal være lett for den enkelte å finne frem i informasjonen (For eksempel dersom individet bare lurer på hvordan opplysninger behandles når de tar kontakt med kundeservice)
- Individet skal ikke måtte sette seg inn i store mengder informasjon for å forstå hva som skjer med egne opplysninger
- Alle kunder har krav på å få informasjonen gratis
Du kan finne Datatilsynets dypere veiledning ved linken Her
Databehandler
"Vet du hvilke databehandlere du har avtale med?"
Å ha kontroll på hvem dere har databehandleravtale med er aldri dumt.
En databehandler er lurt å ha for flere grunner. En databehandler kan gjøre mye forskjellig for deg, F.eks: Sende markedsføring til kunder på dine vegne, eller oppholde opplysninger på en skytjeneste.
Databehandleravtale
"Personvernforordningen skiller mellom begrepene behandlingansvarlig og databehandler. Den behandlingsansvarlige bestemmer over personopplysningene, mens databehandleren opptrer på vegne av den behandlingsansvarlige. Databehandleren kan derfor bare behandle personopplysninger etter innstruks fra den behandlingsansvarlige."
Behandlingsansvarlig
Den behandlingansvarlige er etter forordningen pliktansvarlig og overordnet ansvarlig for å overholde personvernprinsippene og regelverket. Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, blant mange andre plikter.
Behandlingsansvarlig må derfor passe at alle organisatoriske og tekniske tiltak som trengs er etablert så regelverket følges klart til enhver tid. Behandlingsansvarlig må også vise at den opptrer i samsvar med reglene. Dette gjelder også med godt valg av databehandler. Av denne grunn kan ikke behandlingsansvarlig gi fra seg ansvaret for å passe på at regelverket følges.
Databehandler
"En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige."
Det viktigste å få med seg i paragrafen er at en databehandler behandler opplysninger på vegne av andre.
Databehandleren behandler alltid opplysninger etter instruks fra en annen bedrift, og kan av den grunn aldri bestemme formål eller andre avgjørende ting ved behandlingen. En databehandler har med andre ord blitt gitt en oppgave om å behandle personopplysninger fra en behandlingsansvarlig.
En databehandler vil ofte være en annen bedrift, men det kan også være en fysisk person som er databehandler. Hvordan man er organisert - både som enkeltperson eller en større bedrift - har ikke betydning for spørsmålet om man er databehandler eller ikke. Selv hvis man ikke kan se dataen som blir behandlet kan man regnes som databehandler eksempelvis hvis man oppbevarer personopplysninger på en skytjeneste. En databehandler kan i tillegg også være behandlingsansvarlig, men bare for "egne" opplysninger. Det vi mener med egne opplysninger er for eksempel opplysninger om databehandler sine ansatte. Det er derimot ikke mulig å være databehandler og behandlingsansvarlig for samme behandlingen.
Mange databehandlere har spesifikke tjenester som har med behandling av personopplysninger å gjøre, og har derfor en "standard databehandleravtale". Når du skal ta bruk av slike avtaler kan det hende man får inntrykk av at det er databehandler som bestemmer, siden avtalen har vilkår for hvordan databehandleren behandler opplysninger. Likevel ligger ansvaret for at vilkårene etterlever regelverket hos behandlingsansvarlig. Derfor må du som behandlingsansvarlig sikre at vilkårene er undersøkt, og at de følger regelverket.
Oppsummering
Disse punktene er en oppsummering på de viktigste tingene å vurdere når det kommer til om det foreligger et databehandleroppdrag, og hvorvidt du er databehandler eller behandlingsansvarlig
- Personopplysningene behandles bare etter dine formål.
- Det er du som er overordnet ansvarlig for å overholde personvernregelverket.
- Den andre parten behandler opplysninger på vegne av deg, og har ikke bestemmelsesrett over opplysningene.
- Den andre parten er en ekstern virksomhet, separert fra deg.
- Loven eller lignende pålegger deg å behandle visse personopplysninger.
- En avtale mellom deg og en annen part inneholder en direkte eller en indirekte instruks om å behandle personopplysninger (Motsatt: avtalen omhandler levering av et annet type oppdrag eller tjeneste).
- Du kan instuere den andre parten om hvordan personopplysningene kan behandles.
- Den andre parten kan bare lovlig behandle opplysningene etter instruks fra deg, og kan ikke bruke opplysningene til egne formål.
- Det er du som bestemmer formål og de avgjørende hjelpemidlene for hvordan personopplysningene skal behandles
- Du kan kontrollere at den andre parten behandler opplysninger som avtalt.
- Personene du behandler personopplysninger om har en berettiget forventning om at du er behandlingsansvarlig.
- Du kan kreve at den andre parten sletter eller tilbakeleverer opplysningene.
Du kan finne hele veiledningen på Datatilsynet sin nettside her
Internkontrollsystem
"nternkontrollsystem er en vital ting å ha for alle bedrifter som jobber med GDPR.
Systemet bør oppdateres ofte, etter nødvendighet. Dette vil si hver gang du går gjennom sirkelen med kartlegging, planlegging og oppfølging - altså minst fire ganger i året.
Etablering av internkontrollMed god internkontroll og et bevisst forhold til å sikre opplysninger, sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig. Datatilsynet har en utdypende veiledning her som vi oppsummerer videre.
Se gjerne på www.gdprsystem.no for hvordan vi kan hjelpe deg å lage et internkontrollsystem.
Ansvarlighet, internkontroll og informasjonssikkerhet
"Personvernforordningen stiller krav til den behandlingsansvarliges ansvar. Det innebærer å sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket."
Om det blir behov for det, skal valgte tiltak endres og/eller oppdateres. Man kan oppsummere dette som rutiner som skal som skal oppfylle bedriftens plikter og kundenes rettigheter, i tillegg til rutiner og tekniske tiltak for informasjonssikkerhet.
Hva er internkontroll?
Hvem som helst bedrift må forholde seg til flere forskjellige regelverk. Disse kan for eksempel handle om helse, miljø, sikkerhet, regnskap eller avgifter. De som lager regelverkene, forventer at bedriftene har en systematisk tilnærming til å følge regelverkene.
Det første man må gjøre er å finne ut er hvilke bestemmelser som er relevante til din bedrift. Noen bestemmelser er relevante for ledelsen i bedriften, mens andre bestemmelser er ment for å påvirke de ansatte sitt arbeid. Det er også bestemmelser som gir andre personer eller grupper rettigheter, og som bedriften har plikt til å oppfylle.
Internkontroll er ment for å ha et godt system på dette, og består gjerne av tre hovedelementer:
- Styrende elementer, som for det meste retter seg mot ledelsen, herunder beslutninger føringer de legger for internkontroll.
- Gjennomførende elementer, som hovedsaklig retter seg mot de ansatte. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon.
- Kontrollerende elementer, som hjelper med å få styr på avvik fra systemet, og passer på at det gjennomføres periodiske gjennomganger.
Internkontroll kalles i ulike sammenhenger et kvalitetssystem, styringssystem eller ledelsessystem for etterlevelse av regelverk.
Om informasjonssikkerhet.
Personvernregelverket krever at personopplysninger skal beskyttes tilfredstillende mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelig for de som trenger dem, når de har behov for det.
Informasjonssikkerhet handler om å håndtere risikoen for at personopplysninger og andre verdier blir ivaretatt på en tilfredstillende måte. Dette gjøres ved å først identifisere hvilke personopplysninger bedriften har. Når dette er gjort gjennomfører man en risikovurdering for å avklare om sikkerhetstiltak som allerede er tilstede er tilfredstillende.
Dersom risikovurdering avdekker at tiltakene ikke er nok må det vurderes om nye tiltak skal settes for å oppnå tilfredstillende sikkerhetsnivå for verdiene. Kontrollrutiner må utarbeides og jevnlig følges, for å passe på at tiltakene blir fulgt opp og virker etter hensikt.
Dette systemet for informasjonssikkerhet vil være en sentral del av bedriftens internkontroll.