Avtaler og dokumenter
GDPR-relaterte kontrakter og dokumenter som bedrifter kan trenge
Det er flere GDPR-relaterte avtaler og dokumenter som selskaper kan trenge å utarbeide for å overholde EUs databeskyttelsesforordning, som ble gjeldende i mai 2018.
Her er eksempler på noen GDPR-relaterte kontrakter og dokumenter som bedrifter kan trenge under GDPR
GDPR gjelder for alle selskaper som opererer i EU som behandler personopplysninger. EU-forordningen stiller høye krav til selskaper som må kunne vise etterlevelse av GDPR. Bevisbyrden ligger hos selskapet, ikke hos den part som hevder at selskapet bryter forskriften. Dette betyr blant annet at selskapet må ha egnede GDPR-relaterte kontrakter og dokumenter. Jo større selskapet er, desto mer GDPR-arbeid er vanligvis nødvendig.
Opprette og publisere en personvernerklæring
Bedrifter må informere de registrerte om behandlingen av deres personopplysninger i henhold til artikkel 13 GDPR og artikkel 14 GDPR. Dette gjøres vanligvis ved hjelp av en personvernmerknad som blant annet skal inneholde informasjon om formålet med behandlingen, fristen for behandling, rettighetene til de registrerte, det juridiske grunnlaget etc. Personvernmerknaden skal publiseres på nettstedet og gjøres tilgjengelig ved hjelp av en lenke i alle andre digitale butikkvinduer i selskapet, for eksempel på slutten av e-post, ved siden av kontaktskjemaer, på sosiale medier, etc.
En vanlig feil på nettsteder
Mange bedrifter har et kontaktskjema på deres hjemmeside, hvor besøkende kan sende meldinger til selskapet eller bestille et produkt eller en tjeneste fra selskapet. Den besøkende må vanligvis fylle ut hans / hennes kontaktinformasjon i skjemaet, for å kunne sende meldingen. Dette innebærer behandling av personopplysninger, og derfor må selskapet informere om behandlingen før meldingen sendes. Det er derfor å foretrekke å ha en kort beskrivende tekst med en lenke til personvernerklæringen, som den besøkende bekrefter at han / hun har lest når du sender inn varselet via kontaktskjemaet.
Inngå en prosessoravtale
Når en behandlingsansvarlig engasjerer en databehandler, skal den inngå en databehandleravtale i henhold til artikkel 28 i GDPR. Det samme gjelder når en prosessor kobler inn en prosessor.
Eksempler på når det er vanlig å engasjere en prosessor:
Regnskap
Dersom et selskap engasjerer et regnskapsbyrå til å forvalte selskapets løpende regnskap og utbetaling av lønn til sine ansatte.
Markedsføring
Når et selskap engasjerer et markedsføringsbyrå for å administrere markedsføring og statistikk på sine vegne.
Databehandleravtalen må være skriftlig for å være gyldig
De fleste kontraktene kan være muntlige, men har samme gyldighet som en skriftlig kontrakt. På den annen side er det lettere å bevise skriftlige kontrakter i tilfelle en tvist eller å bevise overholdelse av en bestemt lov. Noen kontrakter må imidlertid være skriftlige for å være gyldige, da dette er et formelt krav etter loven. Databehandlerkontrakter og databehandlerkontrakter er de typer formelle kontrakter som må være skriftlige i henhold til loven for å være gyldige. Kravet til transkripsjon er fastsatt i artikkel 28 (3) i GDPR.
Bedrifter kan ha behov for å utarbeide en registerliste
Noen selskaper må opprette et register i henhold til artikkel 30 i GDPR. Dette gjelder både visse kontrollører og prosessorer. Registeret skal være skriftlig og tilgjengelig elektronisk. I tillegg skal den holdes à jour over tid og gjøres tilgjengelig for tilsynsmyndigheten på anmodning.
Ikke alle selskaper trenger å ha en registerliste
Noen selskaper er pålagt å opprettholde et register i henhold til GDPR. Dette gjelder hvis selskapet har mer enn 250 ansatte. På den annen side kan noen selskaper med færre ansatte også trenge å ha et register. For eksempel, hvis selskapet utfører behandling av sensitive personopplysninger, eller hvis behandlingen er svært sannsynlig å resultere i en høy risiko for de registrertes rettigheter og friheter, eller i gjentatte behandlingsoperasjoner (dvs. behandlingen er ikke midlertidig). Som et resultat er det bare et lite antall selskaper som ikke er pålagt å utarbeide et register.
Datadelingsavtale innenfor konsernet under GDPR for selskaper innenfor samme konsern (IGA)
Bare det faktum at selskaper er en del av samme gruppe selskaper betyr ikke at de kan overføre personopplysninger mellom hverandre i alle fall. Det er derfor viktig å etablere en konsernintern datadelingsavtale, der partene regulerer sine roller, rettslige grunnlag for behandling, ansvar mv. En slik konsernintern avtale er en omfattende og kompleks avtale, men viktig innenfor grupper. Som et resultat er det ikke nødvendig å inngå mange forskjellige separate databehandleravtaler, datadelingsavtaler osv. mellom partene, da enhver datadeling som kan finne sted mellom selskapene i konsernet i stedet er regulert i en konsolidert konsernavtale.
Datadelingsavtaler (DSA) når selskaper deler personopplysninger seg imellom
Når minst to selskaper deler personopplysninger seg imellom, men er selvstendige behandlingsansvarlige, er det nyttig at de etablerer og inngår en datadelingsavtale. Datadelingsavtalen regulerer blant annet hvorfor delingen finner sted, hvilke kategorier av personopplysninger som deles, hvilke sikkerhetstiltak selskapene har truffet, ansvarsfordelingen mellom partene i utøvelsen av de registrertes rettigheter osv. Dette kan i sin tur redusere risikoen for at hver part behandler de delte personopplysningene i strid med GDPR.
Forretningskontinuitetsplan for å håndtere kriser
Det er bra for selskapene å være forberedt på mulige kriser. En forretningskontinuitetsplan beskriver de kritiske prosessene som selskapet har og trenger for å fungere for at selskapet skal fortsette sitt arbeid. Bedrifter må kunne håndtere kriser effektivt og sikre kontinuitet i driften, også under kriser. Det er derfor nyttig å legge til rette for ansatte ved å utvikle en skriftlig forretningskontinuitetsplan for å gjøre dem i stand til å håndtere kriser i praksis.
Utarbeidelse av interne konfidensialitetsavtaler for ansatte
Et selskap som arbeidsgiver bør utarbeide skriftlige taushetsavtaler og inngå dem med ansatte. Det er også vanlig for arbeidsgivere å inkludere en konfidensialitetsklausul i arbeidsavtalen. I noen tilfeller er selskapet forpliktet ved lov eller kontrakt å bli enige om konfidensialitet med sine ansatte. Derfor er inngåelsen av en separat taushetserklæring en fordel, i stedet for å være innebygd som en kontraktsklausul i ansettelseskontrakten, da det er mindre personvernpåtrengende å presentere taushetspliktavtalen om nødvendig.
Retningslinjer for å overholde GDPR-regler
Det finnes en rekke forskjellige retningslinjer som kan være nyttige for bedrifter å sette på plass, for å hjelpe ansatte med å overholde GDPR-regler. For eksempel:
Det sikkerhetspolitikk
En IT-sikkerhetspolicy er et overordnet policydokument som omhandler selskapets databeskyttelsesregler. Med andre ord gir en IT-sikkerhetspolicy et rammeverk for de tekniske og organisatoriske tiltakene som skal tas av selskapet for å beskytte personopplysninger.
Retningslinjer for personvern
En personvernerklæring er ikke det samme som en personvernerklæring. En personvernerklæring er et eksternt informativt dokument adressert til de registrerte, mens en personvernpolicy er et internt selskapsstyringsdokument for de ansatte i selskapet. Den beskriver blant annet databeskyttelsesprinsippene som gjelder for behandling av personopplysninger, hvordan ansatte skal fungere riktig med behandling av personopplysninger, etc.
Forskjellen mellom politikk og prosedyrer
Mange forveksler politikk og praksis. Politikk er et mer omfattende policydokument som er strategisk med en visjon og retning. I motsetning til skriftlige prosedyrer, som består av mer praktiske instruksjoner til personalet om hvordan man skal oppnå målene fastsatt i politikken. Prosedyrene tar derfor sikte på å regulere mer operasjonelle og konkrete tiltak og instrukser.
Prosedyrer er praktiske skriftlige instruksjoner til ansatte
For å sikre at medarbeiderne arbeider i samsvar med GDPR, er det nyttig å etablere skriftlige prosedyrersom de kan følge. En god tommelfingerregel er at jo flere ansatte og avdelinger et selskap har, jo flere prosedyrer kan være hensiktsmessige å etablere og implementere. Prosedyrer gjør de ansattes arbeid mer effektivt og kan føre til større praktisk etterlevelse av GDPR-reglene.
Tynning
Virksomheter må samle inn personopplysninger regelmessig. Ved å ha en screeningprosedyre på plass, sikrer selskapet at de ikke behandler personopplysninger lenger enn nødvendig for det formålet de ble samlet inn for.
Rettigheter for registrerte
Bedrifter må respektere de registrertes rettigheter, for eksempel retten til korrigering, retten til å bli glemt, retten til informasjon om behandlingen, etc. I tillegg må behandlingen finne sted innen visse tidsrammer. Derfor er en av rutinene som de fleste bedrifter bør ha på plass, rutinene for å kunne tilfredsstille de registrertes rettigheter.
Onboarding og offboarding
Det er nyttig for et selskap å ha skriftlige prosedyrer og instruksjoner for oppstart av nye ansatte, slik at de er kodet i selskapets databeskyttelsesarbeid (onboarding prosedyrer). For eksempel kan prosedyrene regulere tildeling av tillatelser, brukerkontoer, utstyr, viktige sikkerhetsregler, etc. Når en ansatt slutter å jobbe i selskapet, er det godt å ha prosedyrer for å tilbakekalle tillatelser, regulere retur av utstyr, for eksempel en arbeidsdatamaskin, etc.
Intern deling av data
Ansatte i et selskap deler vanligvis personopplysninger internt. Det er viktig at deling av data skjer i samsvar med GDPR. Særlig skal bare ansatte ha tilgang til personopplysninger i den grad det er nødvendig for at de skal kunne utføre sine oppgaver. Kort sagt bør selskapet og dets ansatte ta utgangspunkt i prinsippet om «trenger å vite», ikke «godt å vite». Dette er spesielt viktig når det gjelder behandling av sensitive personopplysninger.
Innhenting og tilbaketrekking av samtykke
For at samtykke skal være gyldig, må det innhentes på riktig måte. Dette innebærer blant annet at samtykke skal gis fritt og aktivt, og at den registrerte skal informeres om behandlingen. I tillegg må tilbaketrekking av samtykke være like enkelt som å gi det. Å ha prosedyrer på plass for å innhente og trekke tilbake samtykke øker sjansene for at det gjøres riktig.
Sosiale medier ledelse og fotografering
Mange selskaper publiserer personopplysninger på sosiale medier, både relaterte ansatte og i noen tilfeller også kunder. For eksempel en restaurant som tar bilder på stedet, hvor gjestene kan identifiseres på bildene. Eller når et meglerbyrå publiserer profilbilder på sine meglere på nettstedet. Det er viktig å ikke glemme at dette utgjør behandling av personopplysninger og derfor faller innenfor rammen av GDPR.
Ulike vurderinger som bedrifter kan måtte gjøre under GDPR
Selskaper som omfattes av GDPR, må kanskje utføre visse vurderinger før en viss behandling av personopplysninger utføres. Det samme kan gjelde ved løpende behandling som endres på en slik måte at det er hensiktsmessig å foreta vurderingene. Nedenfor er eksempler på ulike vurderinger som bedrifter kan måtte gjøre under GDPR.
Risikovurdering før behandling
Bedrifter må kanskje gjennomføre en risikovurdering før de begynner å behandle personopplysninger. Med andre ord, analyser risikoen som behandlingen kan utgjøre for de registrertes rettigheter og friheter. Selskapene skal gjennomføre en risikovurdering før de innfører nye systemer, behandlinger eller tar i bruk ny teknologi. Etter at selskapet har foretatt en risikovurdering, kan de bli bedre informert om hvilke tekniske og organisatoriske tiltak selskapet bør treffe for å redusere risikoen mest mulig.
Vurdering av personvernkonsekvenser (DPIA)
Når en behandlingsoperasjon utgjør en høy risiko for de registrertes rettigheter og friheter, kan det være nødvendig å gjennomføre en vurdering av personvernkonsekvenser (DPIA). Dette er nærmere regulert i artikkel 35 i GDPR. For eksempel, hvis et selskap behandler sensitive personopplysninger i stor skala eller tar beslutninger som er helautomatiserte. Konsekvensutredningen skal påvise de risikoer som foretaket har identifisert, samt de garantier som er truffet for å redusere risikoen mest mulig. Hvis risikoen vedvarer etter å ha iverksatt tiltak, må selskapet be om en forhåndskonsultasjon med den nasjonale databeskyttelsesmyndigheten før behandlingen starter, i henhold til artikkel 36 GDPR.
Konsekvensanalyse av dataoverføringer (DTIA)
Hvis et EU/EØS-selskap overfører personopplysninger til et tredjeland, dvs. et land utenfor EU/EØS, kan det være nødvendig å gjennomføre en dataoverføringskonsekvensanalyse (DTIA). Hovedproblemstillingen er å analysere om mottakerlandet har et tilstrekkelig beskyttelsesnivå.
Konsekvensvurdering av dataoverføringer kan være en hensiktsmessig tilleggssikkerhet
Hvis tredjelandet har et tilstrekkelig beskyttelsesnivå som bestemt av EU-kommisjonen, trenger ikke selskapet å gjennomføre en konsekvensanalyse av dataoverføringer i tilfelle overføringer der. Det kan imidlertid være hensiktsmessig å gjøre det uansett, da det kan være nødvendig med ytterligere garantier. Hovedfokuset i konsekvensutredningen er på analyse av mottakerlandet. For eksempel, deres lovgivning, de midler som er tilgjengelige for offentlige myndigheter for å få tilgang til personopplysninger behandlet av selskaper, de juridiske midler som er tilgjengelige for de registrerte for å håndheve sine rettigheter, etc.
Interesseavveining for å avgjøre om selskapet har en berettiget interesse (LIA)
Vurderingen av legitim interesse er en vanlig behandling som mange bedrifter trenger å gjøre. Dette gjøres hvis selskapet bruker det juridiske grunnlaget «legitim interesse» i henhold til artikkel 6 (1) (f) GDPR for å støtte behandlingen av personopplysninger. Vær oppmerksom på at det ikke er tillatt å hevde en legitim interesse, med mindre det foreligger en dokumentert interesseavveining. Det er derfor viktig å gjennomføre og dokumentere interesseavveiningen før behandlingsstart.
Forutgående samråd med den nasjonale personvernmyndigheten
Dersom risikoen for de registrertes rettigheter og friheter fortsatt er høy etter at selskapet har gjennomført en personvernkonsekvensanalyse (DPIA) i henhold til artikkel 35 GDPR, skal selskapet be om forhåndskonsultasjon med den nasjonale personvernmyndigheten. Dette følger av artikkel 36 i GDPR. DPA-en kan deretter foreta en vurdering og konkludere med at den aktuelle behandlingen er godkjent eller forbudt. Tilsynsmyndigheten kan også gi anbefalinger om hva foretaket må gjøre for at behandlingen skal kunne tillates. Vær oppmerksom på at selskapet må gjennomføre og dokumentere en konsekvensutredning før de ber om en forhåndskonsultasjon.
Mer informasjon
Overføringer fra tredjestater
Ifølge GDPR er et tredjeland et land utenfor EU/EØS. Når et EU/EØS-selskap overfører personopplysninger til et tredjeland, er reglene strengere enn når det er datadeling mellom aktører i to land i Unionen. Hvis det tredjelandet sikrer et tilstrekkelig beskyttelsesnivå, trenger ikke selskapet å innføre ytterligere sikkerhetstiltak for å overføre personopplysninger der. Eksempler på ytterligere garantier kan være konklusjonen av vedtatte standard kontraktsklausuler (SCC) av EU-kommisjonen. Vær oppmerksom på at bare EU-kommisjonen kan avgjøre om et tredjeland sikrer et tilstrekkelig beskyttelsesnivå. Det er derfor ikke opp til selskapet å bestemme.