GDPR - 6 ting å være oppmerksom på

Vi gjør oppmerksom på at dette er en eldre artikkel.

GDPR må inn i bedriftskulturen - “it’s here to stay”

Personvernforordningen og den nye personopplysningsloven har nå vært gjeldende ett års tid. Jobber du med lønn- og personal er sannsynligheten stor for at du behandler personopplysninger og derved omfattes av disse reglene.

Fastsett formål med behandling av personopplysninger

En virksomhet kan ikke behandle personopplysninger uten et formål.
Personopplysninger skal kun benyttes for spesifikke, uttrykkelige, angitte og legitime formål.

Les mer om formål i persovernforordningens artikkel 5 og hos Datatilsynet.

Har virksomheten behandlingsgrunnlag?

Før virksomheter kan behandle personopplysninger lovlig, må det foreligge et behandlingsgrunnlag. Aktuelle behandlingsgrunnlag er:
- Samtykke
- Nødvendig for å oppfylle en avtale
- Nødvendig for å oppfylle en rettslig plikt
- Nødvendig for å beskytte vitale interesser
- Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet
- Nødvendig for å ivareta legitime interesser - interesseavveining

Les mer om behandlingsgrunnlag i personvernforordningens artikkel 6 og hos Datatilsynet.

Informere kort og forståelig

Virksomheten plikter å behandle personopplysninger på en åpen måte. Informasjon og kommunikasjon skal gis på en kortfattet, lett forståelig og enkelt tilgjengelig måte. Informasjon til enkeltpersoner kan f.eks gis via en personvernerklæring.

Les mer om plikten til å informere i personvernforordningens artikkel 5, 12, 13 og 14 og hos Datatilsynet

Dokumentasjon

Virksomheter skal kunne dokumentere at behandling av personopplysninger skjer i overensstemmelse med kravene i GDPR, og at det er gjennomført organisatoriske og tekniske tiltak for å sikre personopplysningene.

Ved å ha dokumentasjon på plass vil virksomheten redusere risikoen for å bryte personvernreglene og unngå sanksjoner. Dokumentasjon er ofte det første Datatilsynet vil be om ved et tilsyn. Datatilsynet har laget en samling av maler, eksempler og støtteverktøy som kan være et utgangspunkt og hjelpe til med å få dette på plass - du finner disse verktøyene her.

Rette og slette

Virksomheter plikter å sørge for at personopplysningene som behandles er oppdaterte og korrekte.

Personopplysninger skal som hovedregel slettes når de ikke er nødvendige for formålet de opprinnelig ble samlet inn for.

Virksomheten plikter å ha rutiner som sikrer at retting og sletting blir gjennomført.

Les mer om kravet til å rette og slette i personvernforordningens artikkel 16 og 17 og hos Datatilsynet.

Lykke til med GDPR arbeidet!