GDPR for styringssystemer

Personvernforordning (GDPR)

I mai 2018 ble EUs forordning for personvern innlemmet i norsk lov.

Denne erstattet det tidligere regelverket, og medførte nye plikter for virksomheter og nye rettigheter for personer du behandler opplysninger om.

Alle virksomheter må derfor sette seg inn i den nye lovgivningen og finne ut hvilke plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde disse pliktene, og informere om endringer til de ansatte.

Det er blant annet et krav å ha en oversikt over hvilke personopplysninger dere behandler. Dere må beskrive hvor personopplysningene kommer fra, hvem det gjelder, hvor de ligger lagret, samt rettslig grunnlag for behandling.

GDPR krav

Alle databehandlere har plikter, som blant annet pålegger virksomheten å ha rutiner for innsamling og bruk av personopplysninger, og plikter dem å si ifra til oppdragsgiver dersom de får instrukser som er i strid med loven.

Det er strenge krav til form og innhold til personvernerklæringen. Den skal være lett tilgjengelig, tydelig, kortfattet og forståelig.

I 2018 direktivet er det krav om at alle offentlige organer og myndigheter skal utpeke personvernombud. Blant private er dette et krav dersom hovedvirksomheten i stor skala inkluderer:

• Systematisk monitorering av personopplysninger
• Behandling av sensitive opplysninger

Det kreves at ombudet inkluderes i alle spørsmål som gjelder vern av personopplysninger, men det er likevel databehandler eller behandlingsansvarlig som er ansvarlig for at lovgivningen følges. Det oppfordres av Datatilsynet at alle virksomheter som i stor grad behandler personopplysninger utpeker et personvernombud, selv om de ikke er lovpålagt.

Fokus på personvern

I forordningen er det krav om at alle tiltak og systemer utformes med fokus på personvern, og at den mest personvernvennlige løsningen velges som standard.

Dersom man planlegger behandling av personopplysninger som kan utgjøre en risiko for personens rettigheter, har man plikt på å utrede personvernskonsekvenser. Der det vises at behandlingen gir høy risiko, skal Datatilsynet involveres i forhåndsdrøftelser. Datatilsynet plikter da å gi skriftlig veiledning.

Alle avvik som skyldes brudd på datasikkerhet skal dokumenteres, og det skal beskrives hvilke tiltak som er iverksatt. Dersom avviket medfører risiko for enkeltpersoners rettigheter eller personvern, skal det meldes til Datatilsynet innen 72 timer.

Enkeltpersoner har rett til å kreve sletting av egne personopplysninger. Alle henvendelser fra de registrerte skal besvares innen en måned. Dessuten kan man kreve å ta med seg opplysninger fra en leverandør til en annen.

Vi anbefaler alle virksomheter å gå gjennom sine rutiner for datasikkerhet og sikre at de samstemmer med punktene beskrevet over.

Kilde: Virksomhetens plikter, Datatilsynet

Benytt Landax som system for oppbevaring og behandling av virksomhetens data

Prøv Landax gratis

Ta kvalitetsledelsen i din bedrift til et nytt nivå.
I vår brukervennlige demo kan du teste de relevante modulene og andre Landax-funksjoner gratis.