Lær mer om GDPR
Styret og ledelsen er ansvarlige for overholdelse av GDPR
Styret og ledelsen er ansvarlige for overholdelse av GDPR og skal være involvert i arbeidet med GDPR. Styret har det overordnede ansvaret, det strategiske og det juridiske. Ledelsen er operativt ansvarlig for gjennomføringen på bakken.
Prioritere arbeidet med databeskyttelse
Et grunnleggende spørsmål som styret og ledelsen må ta hensyn til i sitt arbeid, er ”Hva er formålet med dette?”. Det er flere fordeler med å prioritere personvernarbeid, som bør kommuniseres internt.
For å skape best mulig forutsetninger for at alle i et selskap skal kunne etterleve GDPR, er det viktig at styret og ledelsen signaliserer at de prioriterer personvernarbeidet.
Positiv til å klargjøre arbeidet med databeskyttelse
Det er nyttig å skape verdi for de registrerte, både internt (ansatte og konsulenter) og eksternt (klienter, kontaktpersoner, etc.). Å sørge for å få på plass tilstrekkelige tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysningene til de registrerte er et positivt skritt for dem. I tillegg er det nyttig å gjøre dette klart for de registrerte, da dette kan føre dem til å sette pris på selskapet enda mer.
Arbeide smidig med GDPR-arbeid
Det er positivt å starte med en smidig tilnærming i stedet for tradisjonell målstyring i det interne GDPR-arbeidet. En smidig tilnærming handler om å sette en visjon og jobbe sammen mot den i faser eller sykluser. Etter hvert trinn er muligheten for forbedringer og endringer gitt. GDPR-arbeidet er noe kontinuerlig, og det er derfor nyttig å tilpasse arbeidsmåten for å kunne gjøre endringer enkelt om nødvendig.
Datasubjekter blir stadig mer klar over GDPR
Det er nyttig å huske på at et økende antall registrerte, enten kunder, partnere eller ansatte, er klar over deres rettigheter og selskapers forpliktelser med hensyn til behandling av personopplysninger. Dette innebærer blant annet en høyere risiko for en melding til den nasjonale databeskyttelsesmyndigheten hvis selskapet ikke overholder alle reglene i GDPR. I tillegg har registrerte som er klar over disse reglene ofte en høyere forventning om at selskapet vil overholde GDPR og behandle andres personopplysninger som om de var deres egne.
Har DPOer behov for å rapportere til ledelsen og styret?
Ja, DPO vil rapportere til ledelsen og styret i henhold til reglene fastsatt i artikkel 39 GDPR. Rapporter med andre ord til høyeste og nest høyeste ledelsesnivå i organisasjonen. Overholdelse av GDPR er styrets og ledelsens ansvar. Vær oppmerksom på at ikke alle selskaper trenger å utnevne en databeskyttelsesansvarlig (DPO) i samsvar med artikkel 37 GDPR.
Prinsippet om databeskyttelse ved design
Alle selskaper, uavhengig av størrelse, må ha databeskyttelse som design og som standard i henhold til artikkel 25 i GDPR. Med andre ord, tilpasse deres produkt, tjeneste eller system til å være databeskyttelsesvennlig fra begynnelsen. Styret og ledelsen er ansvarlige for å overholde GDPR og må ha dette i bakhodet når de utvikler sine produkter, tjenester og systemer. Ved å ha denne regelen i tankene i sitt strategiske arbeid, kan ledelsen og styret redusere byrden av det interne GDPR-arbeidet.
Et praktisk eksempel
Tilbaketrekking av samtykke skal være like enkelt som å gi samtykke. Dette betyr at det skal være enkelt for den registrerte å finne ut hvordan han eller hun trekker tilbake samtykket.
Jo større selskapet er, jo mer arbeid
Jo større et selskap er, desto mer internt databeskyttelsesarbeid er vanligvis nødvendig. I tillegg er det viktigere å skape en sterk databeskyttelsesstruktur og kultur, jo større er selskapet. Godt personvernarbeid drives av styret og ledelsen. Større selskaper har også en tendens til å ha flere GDPR-relaterte kontrakter og dokumenter enn mindre selskaper.
Styret og ledelsen er ansvarlige for overholdelse av GDPR og bør få relevant opplæring
Styret og ledelsen bør ha kunnskap om GDPR, da det er vanskelig å sette opp en strategi for å overholde et regelverk som ikke er forstått. Derfor kan det være nyttig å organisere noen form for opplæring for medlemmer av styret og ledelsen. Styret og ledelsen er ansvarlige for å sikre etterlevelse av GDPR i organisasjonen.
GDPR-opplæring for andre ansatte
I tillegg er det også viktig å lære opp andre ansatte i GDPR og riktig behandling av personopplysninger. Det er de som behandler flest personopplysninger i løpet av sitt arbeid. Noen ansatte kan ha spesifikke roller i databeskyttelsesarbeid, for eksempel å være en del av en databeskyttelseskomité, være databeskyttelsesstøtte eller dataintelligensambassadør. Disse personene bør også få relevant opplæring i GDPR i henhold til sine oppgaver, noe som er bra for styret og ledelsen å ta hensyn til.
Bedrifter som bryter GDPR kan ha stor innvirkning
Hovedoppgaven til ledelsen og de som har overordnet ansvar for styring og kontroll, er å handle i selskapets beste interesse. Selskapets brudd på GDPR er ikke i selskapets interesse. De økonomiske konsekvensene kan være ødeleggende for selskapet. I tillegg kan brudd på GDPR føre til en negativ innvirkning på varemerket. I verste fall kan GDPR-overtredelser føre til bøter på opptil 20 millioner euro eller 4 % av den globale årsomsetningen (den høyeste av alternativene).
Mer informasjon
Oppnevne en databeskyttelseskomité i et større selskap
I et større selskap er det godt å oppnevne et databeskyttelsesutvalg. Det består vanligvis av en person fra hver avdeling i selskapet, for eksempel salg, produksjon, teknologi, kundeservice, lov, markedsføring, etc. Personalet har ofte forskjellig erfaring og kunnskap om GDPR, og det er nyttig å dele informasjonen i organisasjonen. En databeskyttelseskomité bør møtes regelmessig for å diskutere det interne GDPR-arbeidet. I noen tilfeller kan de også ta mindre strategiske beslutninger om databeskyttelsesarbeid.