Er du blant dem som forsøker å unngå å forholde deg til GDPR? Mange kjenner på en usikkerhet rundt personvernregelverket. Mange har for lite kunnskap om hva som skal dokumenteres, og ikke minst hvordan dette burde gjøres.
Er du blant dem som forsøker å unngå å forholde deg til GDPR? Mange kjenner på en usikkerhet rundt personvernregelverket. Mange har for lite kunnskap om hva som skal dokumenteres, og ikke minst hvordan dette burde gjøres.
Det er Datatilsynet som har ansvaret for å følge opp GDPR i Norge. De har utarbeidet en oversikt over virksomhetens ansvar og plikter, men for oss som ledere er det liten tid til overs til å sette seg inn i disse.
«…hver enkelt virksomhet må gjøre mange viktige vurderinger på egen hånd - før de samler inn og bruker personopplysninger.»
Dette sier Datatilsynet om virksomhetens ansvar. Men hva betyr egentlig det?
De færreste vet at bedriften er pålagt å dokumentere hvordan dere samler inn, bruker og sletter personopplysninger. Dette er opplysninger – ofte omtalt som data – om de ansatte i virksomheten din, medlemmene i organisasjonen din eller om kundene dine. Hvis dokumentasjonen mangler eller er utdatert kan du risikere pålegg og bøter fra Datatilsynet.
Les også: 72 bedrifter bøtelagt på fem år: – Ubehageleg å vite at vi bryt lova (NRK)
Aller først: Få oversikt over hvilke personopplysninger dere har
Vi ser ofte at bedriftene ender opp med litt tilfeldig dokumentasjon, som raskt blir utdatert. Faktisk innrømmer hele 45 %* at de mangler en personvernerklæring for virksomheten, eller at den aldri har blitt oppdatert.
Når du samler alle opplysninger i en behandlingsprotokoll, får du god oversikt over hvilke personopplysninger dere samler inn og bruker.
Et eksempel på dette kan være utbetaling av lønn til ansatte. For å kunne gjøre det, trenger du minimum navn og kontonummer. Dette er personopplysninger. I protokollen beskriver du hvilken aktivitet det er snakk om (kjøre lønn), hvilke data du samler inn (navn og kontonummer).
Hvem har tilgang til disse opplysningene?
Hvem har tilgang til disse dataene om de ansatte? Bare du, eller du og noen på regnskap? Eller kanskje et eksternt regnskapsbyrå? Dette må du beskrive i protokollen.
Hvor lenge har du tenkt å beholde dem?
Navn og kontonummer må du beholde så lenge den ansatte skal få utbetalt lønn fra deg. Slik relevans er knyttet til alle personopplysninger du bruker.
Et eksempel kan være et kunderegister, som går mange år tilbake. Hvis kundene ikke har noe forhold til deg lenger skal de slettes. Men hvis de kjøpte en vare hos deg er du pliktig til å beholde opplysningene innenfor varens garantiperiode.
Hvor godt er personopplysningene sikret?
Du er forpliktet til å ta godt var på personopplysningene du bruker. Det kan du for eksempel gjøre med begrenset tilgang, passord eller tofaktorautentisering. Sikkerhetstiltak skal også inn i behandlingsprotokollen.
Hvis du deler opplysninger med noen eksterne, som et regnskapsbyrå, må du ha en databehandleravtale med dem. Den sikrer at de som får låne data fra deg (regnskapsbyrået) gjør sitt beste for å ta vare på dem – på vegne av deg.
Hva kan gå galt, egentlig?
Se for deg at du har en mappe med referater fra medarbeidersamtaler i hylla på kontoret. Hvis denne mappen kommer på avveie, kan mange personlige og private opplysninger blir spredt til uvedkommende.
Dette er en typisk risiko som burde beskrives i virksomhetens risikovurdering. Et tiltak for å forhindre at dette skjer, kan være at mappen låses inn i et skap som bare du har nøkkel til.
Vær stolt av personvernerklæringen din og del den med alle
I personvernerklæringen forteller du ansatte, medlemmer og kunder hva dere samler inn og hvorfor dere gjør det. Her forklarer du hvilke plikter dere har overfor dem, og hvilke rettigheter de har, med tanke på innsyn eller sletting av egne personopplysninger.
Personvernerklæringen er beviset på at du har skaffet deg oversikt, at du gjør ditt beste for å lagre alt trygt og slette når du ikke lenger har behov for personopplysningene. Skryt av det! En oppdatert personvernerklæring hører hjemme på nettsidene dine og som vedlegg i annen dokumentasjon om virksomheten din.
En oppsummering av hva du må få på plass
- Samle alle aktiviteter og personopplysningene i en behandlingsprotokoll
- Skaff databehandleravtaler fra alle leverandører og samarbeidspartnere som du deler personopplysninger med
- Sett opp en risikovurdering
- Skriv en personvernerklæring
- Hold alt oppdatert!
Er du usikker på hva du mangler? Ta GDPR-sjekken i dag!
Trenger du hjelp til å komme i gang med GDPR?
Adminkit har satt personvernarbeidet i system, slik at du raskt får oversikt. I Adminkit GDPR ligger behandlingsprotokollen klar. Det eneste du trenger å gjøre er å legge inn de ulike aktivitetene deres, som for eksempel å kjøre lønn til de ansatte eller sende nyhetsbrev til kundene.
Når du har fylt inn protokollen, oppretter vi resten av dokumentasjonen for deg, og varsler deg om risikoer som du må ta hensyn til.
Book en uforpliktende demo med oss i dag, så viser vi deg hvordan det vil fungere for din virksomhet!
Kilde: SMB-tempen 2023
