GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Personopplysninger i virksomheten

Databeskyttelsesstruktur i et selskap

Det er viktig å skape en god databeskyttelsesstruktur i et selskap for å kunne overholde alle reglene i GDPR. I tillegg, jo bedre strukturen av databeskyttelse i virksomheten, jo mer effektivt arbeidet er for alle ansatte i selskapet. Derfor er det viktig å sikre en god databeskyttelsesstruktur i et selskap.

Utgangspunktet for å skape en god databeskyttelsesarkitektur i tråd med GDPR

Det er flere måter å skape en god databeskyttelsesstruktur i et selskap. Utgangspunktet bør imidlertid alltid være å tilpasse personvernarkitekturen til hele virksomheten. Det er med andre ord ikke alltid nødvendig å endre hele selskapsstrukturen i seg selv, for å tilpasse den til GDPR. 

For eksempel kan lederen for kundeservice også være en passende databeskyttelsesambassadør, ved å få ekstra opplæring i GDPR om saker som er relevante for kundeserviceavdelingen. Med andre ord bør selskapet bygge på støttefunksjonene og strukturene som allerede er på plass og gjøre de nødvendige tilleggene eller justeringene.

What breaches of the GDPR can lead to an administrative fine?

Desentralisert beslutningstaking i GDPR-saker

Ved å desentralisere beslutningstaking på GDPR-spørsmål, kan selskapet jobbe mer effektivt. For eksempel ved å gi databeskyttelsesambassadører mulighet til å ta noen mindre beslutninger, i stedet for å måtte henvende seg til ledelsen / styret, da dette kan være tidkrevende og noen ganger ineffektivt. 

Etablere styringsdokumenter for desentralisert beslutningstaking

For å ha et godt desentralisert beslutningssystem bør selskapet etablere klare styringsdokumenter, gi tilstrekkelig opplæring og skape en god personvernkultur. Andre ansatte kan også bli gitt makt til å ta visse beslutninger selv, for å gjøre arbeidet mer effektivt. For eksempel kan en kundeservicemedarbeider ha rett til å slette personopplysninger på forespørsel fra en registrert. 

Etablere nødvendige GDPR-relaterte avtaler og dokumenter

For å maksimere effektiviteten av GDPR og for å overholde regelverket, er det nyttig å utarbeide skriftlige modellkontrakter, prosedyrer, svarmaler, sjekklister, sammendrag og andre relevante støttedokumenter for alle ansatte. På denne måten blir ansatte gjort oppmerksom på for eksempel hvordan de skal handle i tilfelle brudd på personopplysninger, hva de skal svare hvis en registrert ber om å få sine rettigheter respektert eller lignende. 

Tilstrekkelig opplæring av personalet

Det er alle ansatte i foretaket, uansett deres rolle eller plikter, som i praksis kommer i kontakt med personopplysninger når de utfører sine oppgaver. Derfor må alle ansatte følge reglene i GDPR, ikke bare ledelsen. Av denne grunn er det nyttig å gi opplæring til ansatte om GDPR og riktig behandling av personopplysninger. På den annen side er det ikke nødvendig for alle ansatte å være klar over alle reglene som er fastsatt i GDPR. I stedet er det viktigere å gi personalet passende opplæring i GDPR-saker knyttet til deres spesifikke oppgaver og arbeidsområder.

Velkommen til å motta tilbakemeldinger fra kolleger

Ettersom ansatte på alle nivåer i selskapet vanligvis behandler personopplysninger i løpet av sitt arbeid, er det nyttig å få tilbakemeldinger fra dem som en del av selskapets forbedringsarbeid. Ansatte har ofte god innsikt i de praktiske sidene ved sine arbeidsoppgaver og kan derfor ha svært god kunnskap om forbedringsmuligheter. 

Sjekk valgbarheten

Det er sjelden nødvendig for alle ansatte å ha tilgang til alle personopplysninger som behandles av selskapet. I henhold til prinsippet om dataminimering bør personopplysninger eksponeres så lite som mulig, herunder eksponering internt i selskapet. Bare de ansatte som trenger personopplysningene for å utføre sine oppgaver, bør ha tilgang til dem. Det er derfor nyttig å ha hensiktsmessige IT-løsninger for tildeling og verifisering av tilgangsrettigheter. 

What is the definition of anonymised data?

Eksempler

En regnskapskonsulent trenger tilgang til alle personopplysninger i økonomisystemet for å kunne utføre sitt regnskapsarbeid. Selskapets innkjøper har derimot ikke behov for å få tilgang til alle disse personopplysningene, og bør derfor ikke ha de samme tilgangsrettighetene som regnskapskonsulenten.

Det er viktig å ha en god kultur for databeskyttelse i selskapet

Å skape en god databeskyttelseskultur betyr at selskapet skaper standarder og verdier blant sine ansatte, som er i tråd med GDPR og databeskyttelsesprinsippene. Dette er noe som utvikler seg over tid og er viktigere jo større selskapet er. 

Eksempel: 

  • Lag en vane blant ansatte til å alltid dobbeltsjekke den angitte mottakeren før du sender en e-post. 
  • Skap en kultur der ingen ansatte skammer seg over å be sine kolleger om hjelp til GDPR eller andre typer problemer.

Etablering av en personvernstruktur – Jo større selskapet er, desto viktigere er det

Jo større selskapet er, desto viktigere er det å skape en god databeskyttelsesstruktur for ikke å bryte GDPR. I tillegg har kravene en tendens til å være høyere for større selskaper. For eksempel kan et stort selskap må implementere en person for hver av rollene som er oppført i beskrivelsen nedenfor, mens et mindre selskap kan tildele oppgaver til en person på tvers av flere roller.

Eksempel på en databeskyttelsesstruktur i et større selskap

Toppledelsen og styret

  • Den øverste ledelsen og styret i selskapet har det endelige ansvaret for å administrere virksomheten og sikre at selskapet overholder GDPR. 
  • For at medarbeiderne skal overholde GDPR-reglene i sitt arbeid, må toppledelsen og styret skape en god databeskyttelseskultur. 
  • Toppledelsen og styret skal sørge for at medarbeiderne får hensiktsmessig opplæring og instrukser om hvordan de skal utføre sine oppgaver i samsvar med GDPR.

Personvernutvalget (Data Protection Committee)

  • Det er positivt å sette opp et personvernutvalg i virksomheten, med minst én person fra hver gruppe. Med andre ord, ett medlem av toppledelsen, ett medlem av støttepersonalet, databeskyttelsesansvarlig og databeskyttelsesambassadørene. 
  • Databeskyttelseskomiteen overvåker og tar de daglige strategiske beslutningene i henhold til selskapets behov. I tillegg følger de opp tiltakene.

Støtte for databeskyttelse

  • Dette inkluderer vanligvis en person fra juridisk avdeling i et selskap som arbeider i rollen som databeskyttelsesstøtte. Rollen til Data Protection Helpdesk er å gi veiledning, støtte, svare på spørsmål, etc. til de ulike avdelingene i selskapet.
  • Databeskyttelsesstøtte er også vanligvis kontaktpunktet for tilsynsmyndigheten, hvis selskapet ikke har en databeskyttelsesansvarlig.

Databeskyttelsesambassadører

  • Databeskyttelsesambassadører er koordinatorer som er kontaktpunkter i selskapet.
  • Hvis et stort selskap har flere avdelinger, kan det være nyttig å utnevne en databeskyttelsesambassadør per omdirigering. For eksempel, en for kundeservice, en for salgsavdeling, lagerstyring, etc. 
  • Ansatte bør kunne kontakte databeskyttelsesambassadører for eventuelle spørsmål de måtte ha om GDPR. Det samme gjelder dersom ledelsen/styret ønsker å endre noe i personvernarbeidet, da er det personvernambassadørene som gjennomfører tiltakene.Read 

Databeskyttelsesansvarlig

DPO skal blant annet:

  • Sjekk din virksomhets etterlevelse av GDPR. 
  • Være tilgjengelig for både ansatte og eksterne datasubjekter, for eksempel kunder, for spørsmål knyttet til håndtering av deres personopplysninger. 
  • Utføre passende opplærings- og bevisstgjøringsaktiviteter i selskapet. 
  • Bli registrert hos den nasjonale databeskyttelsesmyndigheten. 
  • Gi din mening til din bedrift når du utfører konsekvensutredninger. 

Annet personale

Ansatte i selskapet er faktisk involvert i behandlingen av personopplysninger. Det er derfor viktig å skape de rette forholdene for dem å gjøre det, i tråd med GDPR. Hvis de bryter GDPR, er selskapet ansvarlig for eventuelle konsekvenser, og ikke den ansatte personlig. 

Mer informasjon om GDPR

Forskjellige roller

Det er nyttig å forstå de ulike rollene som finnes i GDPR, for eksempel registrerte, behandlingsansvarlige, prosessorer og databeskyttelsesansvarlige, for å kunne håndheve sine rettigheter og overholde sine forpliktelser i henhold til GDPR. I tillegg er det nyttig å kjenne myndigheten til den nasjonale databeskyttelsesmyndigheten. Hvis en kontroller engasjerer en prosessor, er det viktig å regulere forholdet og vite forskjellen mellom roller, for å vite hvem som skal gjøre hva. I tillegg må databehandlernes avtaler være skriftlige for å være gyldige.

Lyst til å lære mer?

Les mer
Skroll til toppen