Mai 2018 nærmer seg med stormskritt, og for de fleste organisasjoner gjenstår det fortsatt mye arbeid for å etterkomme de nye kravene. Vi tar en titt på 5 ting som du bør vite om GDPR.
1. Unnasluntring kan få store konsekvenser
Du er sikkert klar over konsekvensene allerede, men det skader ikke å nevne dem på nytt: Hvis du blir tatt for å ikke overholde de nye reglene som trer i kraft, står du i fare for å måtte betale bøter på opptil €20 millioner, eller tilsvarende 4% av bedriftens omsetning.
Med andre ord kan det bli svært dyrt å ikke etterkomme de nye kravene. Ligger du derimot foran skjema med forberedelsene for å følge forordningen, kan det bli en lønnsom investering for deg og din organisasjon på lang sikt.
Vær også oppmerksom på at du kan bli holdt ansvarlig for eventuelle datainnbrudd. Rapporterer du ikke inn et innbrudd innen 72 timer vil du bli bøtelagt. Altså er det avgjørende å få på plass pålitelige rapporteringsprosedyrer.
2. Stor virksomhet? Da må du utnevne personvernombud
Det har tidligere vært frivillig med eget ombud, men når reglene trer i kraft vil det være et krav.
Personvernombudet fungerer som virksomhetens personvernsekspert, og skal være et bindeledd mellom ledelsen, registrerte personer og Datatilsynet.
Ifølge Datatilsynet er følgende virksomheter pliktig til å ha ombud:
- Offentlige virksomheter (unntatt domstolene).
- Virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang.
- Virksomheter som behandler sensitive personopplysninger i stort omfang.
Begrepene gir rom for tolking, altså må hvert enkelt tilfelle vurderes. Datatilsynet anbefaler å se på antall registrerte personer og volumer av registrerte data. Noen vil derfor være unntatt kravet (eksempelvis enkeltmannsforetak som typisk har få lagrede personopplysninger), men om du skal være på den sikre siden, bør du følge EUs egne veiledningstekster, samt Datatilsynets retningslinjer.
3. Gjelder ikke for anonyme data
Det er ikke alle som er klar over det, men anonyme data inngår ikke som en del av den nye forordningen.
Så hvilke data regnes som anonyme?
Vel, datasett som ikke kan knyttes til et identifiserbart individ, alle hjelpemidler tatt i betraktning, regnes som anonyme.
Det finnes likevel et mangfold av måter å bli identifisert på. Personer kan blant annet identifiseres ved hjelp av enheter, applikasjoner, og protokoller som IPer og cookies. Også ID-nummer og geografiske data er relevante, så du bør være klar over hvilke identifiserbare data dine systemer fanger opp.
Om noen regnes som identifiserbare eller ikke, er en vurderingssak, men også her finnes det retningslinjer som kan være behjelpelige. Blant annet Datatilsynets veileder kan være til hjelp.
4. Du kan bli påkrevd å slette persondata
Registrerte personer har faktisk rett til å kreve seg slettet fra dine systemer. Sørg for å ha interne prosesser for sletting, og vær sikker på at systemer du jobber med har funksjonalitet til å slette persondata. Dette må også kunne dokumenteres.
Irrelevante data skal slettes så raskt som mulig, og du skal kun holde på data så lenge det anses som nødvendig. Har du derfor en oversikt over hvor persondata lagres, blir det naturligvis lettere å behandle og flytte data.
5. Det er fortsatt tid igjen
Mai 2018 kommer stadig nærmere, men du og din virksomhet blir ikke GDPR-compliant i panikkmodus.
Skal du få alt på plass i tide bør du først og fremst senke skuldrene, og sette av tid til å planlegge hvordan organisasjonen din skal bli compliant i tide.
Vi anbefaler å gå systematisk til verks, og få en god oversikt over systemer og data. Hvilken informasjon har dere lagret på ansatte, kunder og underleverandører? Hvor ligger denne informasjonen lagret? Hvordan behandler dere data?
Dette er bare noen få av mange spørsmål som du bør kunne svare på – helst i god tid før GDPR trer i kraft.