Av Ulrika Ersman, General Counsel i Aditro

I mai 2018 trår EUs General Data Protection Regulation (ofte referert til som «GDPR») i kraft, direkte til anvendelse i alle medlemslandene i EU. Reglene vil også bli innført i Norge og andre EØS-land.

Dette direktivet vil erstatte dagens personopplysningslov («POL»). Det viktigste med GDPR er å (1) styrke borgernes friheter og rettigheter, (2) øke harmonisering i EU-landene, og (3) oppdatere lovverket til dagens digitaliserte verden med økende bruk av både skytjenester og sosiale medier.

GDPR gjelder både bedrifter og offentlige virksomheter. Den bygger på de samme grunnleggende prinsipper og definisjoner som finnes i POL, men den inneholder også en rekke nyvinninger.

Fire vesentlige endringer

1. Betydelige administrative bøter ved brudd (opp til maksimalt fire prosent av årlig omsetning, eller 20 millioner euro, avhengig av hva som er det høyeste). Dette betyr at risikoen for ikke å følge reglene øker betydelig og tvinger effektivt alle bedrifter og organisasjoner til å øke sitt fokus på behandling av personopplysninger, som er den del av intensjonen til de nye bestemmelsene.

2. Rettighetene til den registrerte styrkes, blant annet i form av:

  • Mer detaljerte krav til informasjon
  • Hvordan samtykke skal utformes og forvaltes
  • Økte rettigheter for tilgang til sine personlige data, sammen med detaljert informasjon om bruken av dataene   
  • Rett til å begrense bruken av data
  • Rett til å begrense behandlingen
  • Rett til å ha personlige data slettet og til å overføre personopplysninger fra en behandler til en annen (dataportabilitet)

3. Den behandlingsansvarlige (den som bestemmer objektet og formålet med bruken av data, for eksempel arbeidsgiver) må kunne dokumentere overholdelse av GDPR. Dette betyr at det vil være nødvendig å ha på plass hensiktsmessige retningslinjer, dokumenterte prosesser og annen dokumentasjon.

4. Datatilsynet skal varsles når det har skjedd en uautorisert utlevering av personopplysninger som krever konfidensialitet. Den behandlingsansvarlige i virksomheten skal rapportere inn avvik så snart som mulig etter at avviket er oppdaget. Både behandlingsansvarlig og databehandler plikter å melde avvik. Det er akseptabelt og hensiktsmessig med en felles avviksmelding fra behandlingsansvarlig og databehandler dersom de er enige om dette og har en lik forståelse av hendelsen.

Individuell vurdering

Som leverandør av produkter og tjenester innen HR og lønn, forbereder Aditro kurs aktivt for å sikre at vi kan overholde Data Protection Regulation innen mai 2018. Den første fasen ble gjennomført i sommeren 2016 med en gap-analyse av produktene og tjenestene vi tilbyr våre kunder.

Vi er nå i gang med å definere tiltak som er nødvendige og mulige behov for produktutvikling, handlingsplaner, retningslinjer, prosesser og annen relevant dokumentasjon. I løpet av 2017 vil de definerte tiltak iverksettes, samt nødvendig opplæring innen kommunikasjon, for å oppnå GDPR-samsvar for alle produkter og tjenester før mai 2018.

Hver organisasjon eller bedrift må vurdere virkningen av GDPR i sin virksomhet og iverksette nødvendige tiltak. Vi oppfordrer alle våre kunder til å starte sine egne forberedelser nå. Ettersom at betydelige ressurser kan være nødvendig, er det viktig å være tidlig ute!

For å hjelpe deg i gang, har vi i Aditro satt sammen en enkel sjekkliste:

  1. Identifiser hvilke personlige data du behandler, og til hvilket formål.
  2. Vurder det rettslige grunnlaget for behandling av data (for eksempel kontrakter, balanse av interesser, samtykke).
  3. Evaluer tekniske evner og prosesser for å håndtere rettigheter (for eksempel for å korrigere unøyaktige data, slette data, tilgang til data, flytte data).
  4. Gå gjennom informasjonen som gis til de registrerte.
  5. Utvikle en rutine for håndtering av personlig datainnbrudd.
  6. Utpek en person som er personvernombud.
  7. Prosess for databeskyttelse konsekvensutredninger.
  8. Intern opplæring.
  9. Gå igjennom databehandlingsavtaler med leverandører som behandler personopplysninger på vegne av organisasjonen.