GDPR – et komplisert regelverk?

2018 var året hvor mange ble oppmerksomme på personvern og GDPR. Det var stadig artikler i media, bransjearrangementer og gode råd på hvordan man skulle angripe utfordringene som det nye regelverket introduserte. For oss som individer ble vi en periode pepret med mer eller mindre godt formulerte personvernerklæringer og samtykker.

Likevel, mange bedrifter ble sittende på gjerdet for å se hvordan dette faktisk utviklet seg. Større selskaper hadde det nok enklere, i form av ressurser og kompetanse både i egen organisasjon og fra eksterne konsulenter og advokater.

GDPR – et overveldende komplisert regelverk?

Også mindre bedrifter og organisasjoner tar dette på alvor, men finner det vanskelig og tidkrevende å orientere seg i all informasjonen. Uten godt med ressurser og i en ellers hektisk hverdag blir det derfor lett å skyve dette foran seg og mange har også valgt å innta en vent-og-se holdning til å iverksette tiltak.

Men, det er loven og den som har fått tildelt ansvaret internt i en organisasjon er ofte usikker på hvordan gripe det an. Interesseorganisasjoner som Bedriftsforbundet viser til at små og mellomstore bedrifter finner regelverket overveldende komplisert.

Så hva er det som er så utfordrende?

Vi er flere som opplever at GDPR virker omfattende og t det oppfattes som et regelverk rettet mot de store aktørene. Sakene som har vært oppe i media har primært handlet om globale selskaper som lever av våre data, som Facebook og Google.

Så, hvis du har fått ansvaret for GDPR og er litt usikker, er det viktig at du forstår hva personopplysninger er og hvordan dette kan påvirke din bedrift.

Hva er Personopplysninger

Så snart du har oversikt over omfanget er det lurt å sette seg inn i GDPR, i litt større detalj uten å måtte engasjere en jurist. Ofte ser vi at prinsippene bak GDPR åpner øynene og senker skuldrene, fordi det er i stor grad selvforklarende.

Litt forenklet så skal personopplysninger:

1. Behandles på lovlig vis, med åpenhet og rettferdighet («lovlighet, rettferdighet og åpenhet»)
2. Behandles med et klart formål og opplysningene skal ikke benyttes til noe annet enn det som er beskrevet («formålsbegrensning»)
3. Være relevante og begrenset til det som er nødvendig for å oppfylle formålet («dataminimering»)
4. Være korrekte («riktighet»)
5. Ikke lagres lenger enn nødvendig for å oppfylle formålet de ble samlet inn for («lagringsberensing»)
6. Beskyttes slik at de ikke kommer på avveie eller at uvedkommende får tilgang etc. («integritet og konfidensialitet»)

Samtidig har organisasjonen som behandler opplysningene ansvaret for å kunne påvise at prinsippene overholdes («ansvar»). Enn så lenge er det ikke etablert noe formalkrav rundt hvordan dette skal dokumenteres men det finnes noen relevante veiledere. For eksempel datatilsynets guide til protokoll over behandlingsaktiviteter.

Er det tilstrekkelig med sunn fornuft?

Mange har synspunkter om tolkning av prinsippene og hva som må gjøres for å etterleve de. For de fleste er det tilstrekkelig å bruke sunn fornuft. For eksempel, har du en god grunn til å behandle opplysningene har du sannsynligvis lov (berettiget interesse), men du må dokumentere hvorfor.

Et annet eksempel er åpenheten. Er informasjonen som er gitt slik at den som er registrert forstår hva dataene blir brukt til? Åpenhetsprinsippet er helt sentralt i implementeringen av GDPR. Den varslede boten til Google er nettopp knyttet til brudd på informasjonsplikten.

Som personer skal vi bli informert på en klar og lett forståelig måte om hva formålet for behandling er, hvilke data som samles inn, hvor lenge de vil lagres og om de behandles utenfor Europa. Vi skal også vite hvem dataene deles med samt rettighetene for innsyn, sletting, kunne protestere på behandlingen og rett til å klage. Datatilsynet har skrevet om informasjonsplikten her.

De som har fått ansvaret for GDPR arbeidet har ofte behov for litt løpende støtte. Ønsker du en kort og uforpliktende samtale med oss?