GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

GDPR-samsvar

Bedrifter bør etablere skriftlige prosedyrer

Bedrifter bør etablere skriftlige prosedyrer for å overholde GDPR-reglene enklere og mer effektivt. 

Bedrifter må være i stand til å demonstrere overholdelse av GDPR

Etter ansvarlighetsprinsippet må bedrifter kunne vise at de overholder GDPR i praksis. Med andre ord, verken registrerte eller tilsynsmyndigheter trenger å bevise at selskaper bryter med GDPR. I stedet ligger bevisbyrden for overholdelse hos selskapet, som er kontrolleren. Av denne grunn må bedrifter blant annet ha visse GDPR-relaterte avtaler og dokumenter, for eksempel ulike rutiner. 

What breaches of the GDPR can lead to an administrative fine?

Prosedyrer skaper struktur og reduserer risikoen for feil

Bedrifter bør etablere skriftlige prosedyrer for å skape en klar struktur for ansatte. I tillegg reduseres risikoen for feil hvis prosedyrene er klare og enkle for personalet å følge. Det er derfor flere fordeler med å lage skriftlige prosedyrer.

Hva er de gode prosedyrene for selskaper å sette opp?

De eksakte prosedyrene som hvert enkelt selskap trenger, kan ikke besvares på en standardisert måte, da behovene varierer avhengig av situasjonen. Et godt utgangspunkt er at jo større selskapet er, inkludert antall avdelinger og ansatte i selskapet, desto bedre er det med flere prosedyrer for å skape en klar struktur og redusere risikoen for feil. 

Prosedyrer for tynning av personopplysninger

Bedrifter må kaste bort personopplysninger når de ikke lenger er nødvendige for å behandle for det formålet de ble samlet inn for. Det samme gjelder hvis den registrerte ber om sletting av hans eller hennes personopplysninger. Selskaper kan imidlertid i noen tilfeller anonymisere personopplysningene i stedet for å slette dem. I tillegg er det tilfeller der personopplysninger ikke bør slettes. For eksempel, hvis enheten har en juridisk forpliktelse til å fortsette behandlingen, det vil si en lov krever at personopplysningene skal behandles.

Prosedyrer for å sikre de registrertes rettigheter

De registrerte har en rekke rettigheter i henhold til GDPR. Bedrifter må kunne tilfredsstille dem, og det er derfor nyttig å etablere prosedyrer for ansatte. Det er åtte (8) grunnleggende rettigheter regulert i artikkel 15 til 22 i GDPR, men det er flere. Selskapet må blant annet håndtere forespørselen innen en angitt frist og varsle de registrerte om håndteringen. 

Prosedyrer for onboarding og offboarding

Det er nyttig å ha prosedyrer for når nye ansatte starter i et selskap og når noen forlater. Med andre ord,prosedyrer for onboarding og offboarding. Dersom et foretak ikke har slike prosedyrer, er det mer sannsynlig at et brudd på personopplysningssikkerheten vil inntreffe. Det er i overgangsperioder (det vil si når et nytt medarbeider påtar seg sine plikter eller når et medarbeider går av) at sårbarheten er størst. 

Prosedyrer for deling av data internt

Deling av personopplysninger mellom ansatte i et selskap er vanlig. I tillegg er det lett å gjøre feil med mindre det er klare prosedyrer som er enkle å følge. Det er nyttig å definere hvilke personopplysninger som kan deles internt og gjennom hvilke kommunikasjonskanaler. Jo viktigere personopplysninger er, desto sikrere kommunikasjonskanaler kreves. 

Prosedyrer for innhenting og tilbaketrekking av samtykke

Bedrifter må kunne dokumentere at de har fått gyldig samtykke. Dette innebærer blant annet at samtykke skal gis fritt og aktivt. I tillegg har de registrerte rett til å trekke tilbake samtykke når som helst. Tilbaketrekking av samtykke skal være like enkelt som å gi samtykke. Etter tilbakekallingen skal personopplysningene slettes og den registrerte underrettes. Det er derfor nyttig å ha prosedyrer på plass for disse prosessene slik at de blir riktig administrert av ansatte. 

Vær oppmerksom på at muntlig samtykke ikke er forbudt, men er vanskelig å bevise, noe selskapet må kunne gjøre for at det skal være gyldig.

Prosedyrer for håndtering av sosiale medier og fotografering

Det kan være lett å glemme at personopplysninger behandles på sosiale medier som selskapet kan være behandlingsansvarlig for. Med andre ord har ikke bare plattformleverandøren et ansvar, men også selskapet som har en brukerkonto der og behandler personopplysninger gjennom plattformen. For eksempel dersom foretaket har en form for kundeservice på sosiale medier eller legger ut bilder av ansatte på sosiale medier. Bedrifter må blant annet regelmessig slette personopplysninger fra innboksen sin på sosiale medier, ettersom personopplysninger behandles der. 

Mer informasjon

Vurderinger som virksomheter kan ha behov for å gjøre

Det kan være ulike vurderinger som selskaper må gjøre i henhold til GDPR-reglene, enten før de starter visse behandlingsoperasjoner for personopplysninger eller i noen tilfeller under en pågående behandlingsoperasjon. For eksempel balanseringsinteresser (LIA) for å vurdere om foretaket har en legitim interesse i en bestemt behandling. De to andre er Data Protection Impact Assessment (DPIA) og Data Transfers Impact Assessment (DTIA). Vær oppmerksom på at selskaper i noen tilfeller må be om forhåndskonsultasjon med den nasjonale personvernmyndigheten, men før dette må selskapet ha gjennomført en konsekvensutredning. 

Lyst til å lære mer?

Les mer
Skroll til toppen