Artikkel 5 (2) GDPR
Databeskyttelsesprinsippet om ansvarlighet
Kort sagt betyr prinsippet om ansvarlighet at den behandlingsansvarlige (selskapet) er ansvarlig for å sikre at selskapet overholder databeskyttelsesprinsippene ved behandling av personopplysninger. De syv prinsippene for databeskyttelse gjennomsyrer hele GDPR. Prinsippene danner grunnlaget for alle bestemmelser i lovteksten.
GDPR – ansvarlighetsprinsippet
Bedrifter har en forpliktelse til å kunne demonstrere overholdelse av bestemmelsene i GDPR, også kjent som GDPR. Det er med andre ord ikke datasubjekter eller databeskyttelsesmyndigheter som trenger å bevise at selskaper gjør det.
Dette følger av det grunnleggende prinsippet om ansvarlighet, som er kjernen i GDPR. Artikkel 5 (2) i GDPR regulerer prinsippet om ansvarlighet.
Tilsynsmyndigheten kan anmode om dokumentasjon
Vær oppmerksom på at tilsynsmyndigheten kan kreve innsyn i hele eller deler av selskapets dokumentasjon, registerliste mv.
Her er noen eksempler på tiltak selskaper kan ta
Informere
Selskaper som behandler personopplysninger, skal informere de registrerte før behandlingen. Opplysningene skal være klare. For eksempel hvem den behandlingsansvarlige er, formålet med behandlingen, hvor lenge selskapet trenger å behandle personopplysningene og hvilke risikoer behandlingen utgjør for de registrerte, etc.
Dokumentasjon
Bedrifter bør dokumentere sine behandlingsoperasjoner, begrunnelser for beslutninger og annen informasjon som kan vise at selskapet overholder GDPR. Dersom et foretak for eksempel anser at det har en berettiget interesse, må det gjennomføre og dokumentere en interesseavveining. I tillegg må selskapene utføre konsekvensutredninger for visse behandlinger.
Prosedyrer og retningslinjer
Bedrifter bør ha interne prosedyrer for databeskyttelse og retningslinjer som skal følges av ansatte. Eksempelvis maler for hvordan ansatte skal svare på spørsmål om behandling av de registrertes personopplysninger. Et annet eksempel er interne prosedyrer for ansatte for å overholde de registrertes rettigheter i henhold til GDPR. Eller prosedyrer for ansatte for å slette personopplysninger som selskapet ikke lenger trenger å behandle.
Flere eksempler
Utdannelse
Personalet kan trenge opplæring i GDPR for å gjøre det mulig for organisasjonen å overholde regelverket. Det er vanlig praksis for bedrifter å sende enkelte ansatte til opplæringskurs. I tillegg har noen større selskaper flere ansatte i for eksempel ulike avdelinger i selskapet som trenger kunnskap om GDPR og derfor har lov til å delta på kurs.
Dokumentasjon av brudd på personopplysningssikkerheten (artikkel 33(5) GDPR)
Et brudd på personopplysningssikkerheten er et sikkerhetsbrudd som for eksempel oppstår når uvedkommende får tilgang til personopplysninger. I tillegg utgjør tap eller uautorisert endring av personopplysninger et brudd på personopplysningssikkerheten. Ved brudd på personopplysningssikkerheten skal selskapet dokumentere bruddet og søke å minimere innvirkningen. Dette gjelder uavhengig av om bruddet må meldes til tilsynsmyndigheten eller ikke.
Publisere personvernerklæringer på nettstedet (artikkel 12 GDPR)
Det er vanlig for bedrifter å publisere sin personvernerklæring på nettstedet. En personvernerklæring inneholder informasjon og en beskrivelse av behandlingen av personopplysninger. For eksempel informasjon om formålet med og det lovlige grunnlaget for behandlingen. I tillegg inkluderer selskaper som har en DPO vanligvis kontaktinformasjonen til DPO i personvernerklæringen. Selskaper bør ikke inkludere personvernerklæringen i sine vilkår og betingelser, men bør ha dem separat.
Konsultasjonsboks (artikkel 7 GDPR)
Bedrifter som behandler personopplysninger på grunnlag av det juridiske grunnlaget for samtykke, kan samle inn samtykke på forskjellige måter. I noen tilfeller kan dette gjøres ved å krysse av i en boks i form, form eller lignende. Det er viktig å huske på at samtykkeboksen ikke må krysses av. Dette er fordi det ikke er et aktivt samtykke, og derfor blir det ikke gyldig.
Gyldig samtykke og tilbakekalling
Bedrifter må kunne dokumentere at de har innhentet gyldig samtykke, dersom det er det rettslige grunnlaget for behandlingen av personopplysningene. I tillegg skal det være enkelt for de registrerte å trekke tilbake det avgitte samtykket. I motsatt fall er heller ikke samtykket gyldig.
Dokumentasjon
Foretaket skal også dokumentere de samtykker som er innhentet for å kunne bevise dem, i samsvar med prinsippet om ansvarlighet.
Vurdering av personvernkonsekvenser (artikkel 35 GDPR)
Selskapene skal i visse tilfeller foreta en vurdering av personvernkonsekvenser. Dette gjelder der behandlingen sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter. I slike tilfeller skal foretaket gjennomføre og dokumentere konsekvensutredningen før behandlingen starter.
Opprettelse av et register (artikkel 30 GDPR)
En annen måte å overholde prinsippet om ansvarlighet er å opprettholde et register. Den skal inneholde informasjon om enhver behandling av personopplysninger. For eksempel formål, oppbevaringsperiode, mottakere av personopplysninger, etc. Artikkel 30 i GDPR gir informasjon om hva et register skal inneholde for å oppfylle minimumskravene.
Flere prinsipper i GDPR
Prinsippet om lovlighet, rettferdighet og åpenhet
Dette grunnleggende databeskyttelsesprinsippet består av tre elementer: lovlighet, regelmessighet og gjennomsiktighet; Lovlighet innebærer at selskapene må ha et rettslig grunnlag for å behandle personopplysninger. For eksempel samtykke eller kontrakter med registrerte. Nøyaktighet betyr at selskapet ikke skal behandle personopplysninger uforholdsmessig i forhold til behandlingen. Åpenhet krever at selskaper informerer de registrerte om behandlingen på en gjennomsiktig måte. Det bør med andre ord ikke være uklart for de registrerte å forstå for eksempel formålet med behandlingen.