Informasjon om GDPR
Tiltak som selskaper kan måtte ta for å overholde GDPR
Det er flere tiltak som bedrifter må ta for å overholde GDPR, også kjent som GDPR.
Informasjonssikkerhet
Bedrifter må beskytte personopplysningene de behandler, noe som kan skje på forskjellige måter. Derfor må selskapet etablere og implementere interne prosedyrer og gjøre annen informasjon tilgjengelig for ansatte slik at de kan beskytte personopplysninger. Jo viktigere personopplysningene er, desto sterkere beskyttelse trenger de. Jo bedre informasjonssikkerhet selskapet implementerer i sin virksomhet, desto lavere er risikoen forbundet med behandling av personopplysninger.
Brudd på personopplysninger i henhold til GDPR
Brudd på personopplysningssikkerheten kan ha stor innvirkning på de registrerte. For eksempel kan det føre til identitetstyveri eller økonomisk skade. I tillegg kan selskaper ha en betydelig innvirkning hvis de ikke tar tilstrekkelige organisatoriske og tekniske sikkerhetstiltak for å forhindre brudd på personopplysninger. Det samme gjelder dersom selskapet krenker GDPR på andre måter, for eksempel ved å unnlate å varsle om brudd på personopplysninger som må varsles i god tid.
Vanlige eksempler på brudd på personopplysninger:
- Ulovlig ødeleggelse av personopplysninger.
- Uautorisert utlevering av personopplysninger.
- Uautorisert tilgang til personopplysninger.
- Tap av personopplysninger.
- Uautorisert endring av personopplysninger.
Risikovurdering etter brudd på personopplysningssikkerheten
Selskaper skal alltid foreta en risikovurdering etter et brudd på personopplysningssikkerheten.Vurderingen vil vurdere hvilken risiko bruddet utgjør for de registrertes rettigheter og friheter. Eksempler på hva selskaper kan ha i tankene når de utfører risikovurderingen:
Hendelsen
Typen brudd på personopplysninger; For eksempel hvis det er en e-post sendt til feil mottaker som inneholder vanlige personopplysninger, for eksempel navn og telefonnummer, eller hendelsen innebærer lekkasje av sensitive personopplysninger om en persons helse.
Natur og følsomhet
Jo viktigere personopplysninger er, desto større er risikoen for de registrertes rettigheter og friheter. Derfor er det viktig å analysere betydningen av personopplysninger. Er det for eksempel en persons kredittkortopplysninger eller annen informasjon som fortjener ekstra beskyttelse?
Konsekvenser
De mulige konsekvensene av bruddet på personopplysningssikkerheten; For eksempel, hvis kredittkortdetaljer har lekket, kan dette føre til økonomisk skade.
Kjennetegn
Hvorvidt registrerte er en ekstra gruppe som fortjener beskyttelse, for eksempel barn, eldre eller personer med nedsatt funksjonsevne.
Volum
Antall personer som er berørt av bruddet på personopplysningssikkerheten, Ofte, jo mer det er, desto større blir effekten, men det trenger ikke alltid å være. Det er også nyttig å analysere mengden personopplysninger som er berørt av hendelsen, og ikke bare antall registrerte.
Forskriften krever dokumentasjon av brudd på personopplysningssikkerheten
Ethvert selskap som oppdager et brudd på personopplysninger i forhold til personopplysningene det behandler, må dokumentere det. Dette kravet om journalføring gjelder uavhengig av om bruddet på personopplysningssikkerheten er så alvorlig at det må meldes til den nasjonale personvernmyndigheten og de registrerte. Alle brudd på personopplysningssikkerheten skal dokumenteres, men ikke alle skal varsles. I tillegg er det nyttig å ha interne prosedyrer for hvordan medarbeiderne skal opptre i tilfelle brudd på personopplysningssikkerheten. Rask handling kan ha stor innvirkning på konsekvensene.
Bedrifter til å ta ulike hensiktsmessige forebyggende tiltak
I tillegg til å forhindre brudd på personopplysningssikkerheten, bør selskapene også søke å minimere konsekvensene når de oppstår. Det er et krav under GDPR for bedrifter å beskytte personopplysninger de behandler, som inkluderer implementering av ulike hensiktsmessige forebyggende tiltak.
Informere berørte registrerte om forekomsten
De registrerte skal informeres i tilfelle visse typer brudd på personopplysningssikkerheten som påvirker deres personopplysninger. På denne måten kan de også bidra til å minimere negative virkninger selv. For eksempel, hvis kredittkortnumre lekker, kan datasubjektet ta sine egne tiltak for å blokkere kortet.
I tillegg skal selskapet som er behandlingsansvarlig for de aktuelle personopplysningene, melde visse typer brudd på personopplysningssikkerheten til den nasjonale personvernmyndigheten. Meldingen skal gis innen 72 timer etter funnet.
Brudd på grenseoverskridende personopplysninger
Når et brudd på personopplysningssikkerheten er knyttet til flere land innenfor EU, er det et grenseoverskridende brudd på personopplysningssikkerheten. Selskaper som opererer i flere land i Unionen, må vurdere hvilken databeskyttelsesmyndighet som er ansvarlig. Dette er nødvendig for blant annet å vite hvem de skal varsle om eventuelle brudd på personopplysningssikkerheten til.
De registrerte kan imidlertid klage til den nasjonale personvernmyndigheten i sitt bostedsland, som igjen kan overføre saken til en annen tilsynsmyndighet dersom det er mer hensiktsmessig.
Organisatoriske sikkerhetstiltak for å beskytte personopplysninger
For å overholde reglene i GDPR, må selskapene ta ulike passende sikkerhetstiltak. Disse inkluderer organisatoriske sikkerhetstiltak for å beskytte personopplysninger, samt andre organisatoriske tiltak som de for å beskytte rettighetene til de registrerte.
Styrings- og tilgangsrettigheter
Det kan være hensiktsmessig for selskaper å kontrollere myndigheten over hvem som har tilgang til personopplysninger, for å sikre at uautoriserte personer ikke har det. Dette er spesielt viktig i større selskaper som behandler viktige personopplysninger, for eksempel sensitive personopplysninger. Nødvendighetsprinsippet er et godt utgangspunkt.
Kort sagt betyr dette at bare ansatte som trenger å behandle personopplysningene for å utføre sine oppgaver, bør ha slik tilgang. Andre ansatte bør derfor ikke ha tilgang til dem. I tillegg er det viktig å tilbakekalle tilgangsrettigheter når det ikke lenger er nødvendig. Kompetansekontrollen bør overvåkes og håndheves fortløpende.
Instrukser og prosedyrer for ansatte
Bedrifter bør etablere interne prosedyrer og instruksjoner for sine ansatte om hvordan de skal jobbe i praksis for å overholde GDPR-reglene. Faktisk vil enhver behandling av personopplysninger i praksis utføres av ansatte, selv om det er selskapet som er juridisk ansvarlig for behandlingen i henhold til GDPR.
Hvis et selskap har flere avdelinger, er det nyttig å lage skreddersydde instruksjoner for de respektive avdelingene. Dette skyldes at det ofte ikke er nødvendig for alle ansatte å kjenne alle reglene i GDPR for å kunne utføre sine oppgaver. I tillegg bør selskapet ha interne rutiner for håndtering av brudd på personopplysningssikkerheten mv.
Sikkerhetskultur og opplæring
Databeskyttelse er et viktig element for selskaper som behandler personopplysninger, som er det store flertallet av selskaper. For å ha et godt databeskyttelsesnivå er det viktig å skape en god sikkerhetskultur innenfor driften.
Dette kan blant annet gjøres ved å lære opp medarbeidere i den delen av GDPR som er viktig å kjenne til i deres oppgaver. I tillegg kan det være nyttig for store selskaper med flere avledninger å ha databeskyttelsesambassadører i hver avdeling som får spesifikk opplæring og blir en type kontaktperson i avdelingen.
Tekniske sikkerhetstiltak for å beskytte personopplysninger
Det er viktig at selskapet tar nødvendige tekniske sikkerhetstiltak for å beskytte personopplysninger i samsvar med GDPR. Jo viktigere personopplysningene er, desto sikrere sikkerhetstiltak må selskapet ta. I tillegg må bedrifter implementere andre tekniske tiltak for å overholde ulike regler i GDPR og andre lover. For eksempel må selskaper som driver en online markedsplass få på plass en teknisk løsning som lar brukerne rapportere falske og andre ulovlige varer.
Autentisering som del av identitetsprosessen
Det er vanlig at de registrerte må identifisere seg før de får tilgang til systemer som behandler personopplysninger. For eksempel må de logge inn med sitt registrerte brukernavn og passord. Dette er en form for autentisering. På den annen side kan det være hensiktsmessig å ha en sikrere autentiseringsprosess i visse tilfeller.
For eksempel, hvis en person kommer til å ta et lån fra hans eller hennes bank via hans eller hennes mobiltelefon. I slike tilfeller kan det være aktuelt for personen å måtte logge inn med en eID eller lignende, og ikke bare gjennom et passordbrukernavn. I selskaper som behandler svært sensitive personopplysninger, for eksempel helseopplysninger, kan et sikrere autentiseringsmiddel være bruk av fingeravtrykk eller et spesielt kort.
Kryptering av data under lagring og overføring
Kryptering av personopplysninger og annen informasjon er et vanlig teknisk tiltak for bedrifter å ta. For eksempel kan kryptering finne sted når selskapet sender en e-post som inneholder viktige personopplysninger. I tillegg kan kryptering være hensiktsmessig å implementere ved lagring av personopplysninger, for eksempel når lagringen gjelder personvernsensitive personopplysninger. Kort sagt betyr kryptering at en kombinasjon av en matematisk funksjon og krypteringsnøkkel sammen kan transformere data for å gjøre den lesbar.
Sikkerhetskopiering av personopplysninger og annen informasjon
For å unngå uautorisert ødeleggelse av personopplysninger, er det nyttig å sikkerhetskopiere dem. For eksempel ved å ta regelmessige sikkerhetskopier som deretter lagres i en sikker skytjeneste. Uautorisert forsvinning eller endring av data utgjør et brudd på personopplysninger som foretak må forhindre. Det er derfor nyttig å ha backup som en del av de tekniske sikkerhetstiltakene. Det er imidlertid viktig å huske på behovet for å beskytte kopiene, akkurat som selskapet må beskytte originalene. I tillegg må selskapet tynne sikkerhetskopiene etter en viss tidsperiode.
Nettverkssegmentering av datanettverk
Et teknisk sikkerhetsforanstaltning som kan redusere virkningen av mulige brudd på personopplysninger, er oppdeling av datanettverk i flere undernettverk. Dette kalles også nettverkssegmentering. I tillegg er det et middel for å forhindre uautorisert tilgang og utlevering av personopplysninger.
Overføringer fra tredjestater
Et tredjeland er et land utenfor EU/EØS. Når et selskap overfører personer dit, gjelder strengere regler. Eksempler på når overføring av personopplysninger til tredjestater er vanlig:
E-post
Når en person sender en e-post som inneholder personopplysninger. For eksempel ved å legge ved et dokument til en e-postmottaker i Asia.
Databehandling i skyen
Hvis et selskap lagrer personopplysninger på en skytjeneste som har sine servere i USA.
Avtale
Når et EU-selskap inngår en kontrakt med et afrikansk selskap som inneholder personopplysninger
Tilstrekkelighet vurdert av EU-kommisjonen
Hvis et land anses å ha et tilstrekkelig beskyttelsesnivå, er det tillatt å overføre personopplysninger der uten å måtte ta ytterligere garantier, for eksempel bindende bedriftsregler. På den annen side kan et selskap ikke selv avgjøre om et land har et tilstrekkelig beskyttelsesnivå. Dette er en avgjørelse tatt av EU-kommisjonen.
Særlige situasjoner og sporadiske overføringer
Selv om et tredjeland ikke anses å gi et tilstrekkelig beskyttelsesnivå i samsvar med en beslutning fra EU-kommisjonen, eller hvis selskapet gir ytterligere garantier, kan overføring av personopplysninger til tredjeland tillates i bestemte situasjoner og sporadiske overføringer. For eksempel, hvis den registrerte gir uttrykkelig samtykke til overføringen og kommuniserer det til selskapet. Vær oppmerksom på at personen må informeres om behandlingen og risikoen som er involvert før de gir sitt samtykke.
Ytterligere garantier ved overføringer til tredjestater
Et selskap kan anvende ytterligere sikkerhetstiltak som er hensiktsmessige ved overføring av personopplysninger til et tredjeland. I slike tilfeller kan overføringen godkjennes. Vær oppmerksom på at en registrert må ha rett til å motsette seg behandlingen. I tillegg skal personen ha rett til å få saken henvist til en domstol.
Les her anbefalingene fra European Data Protection Board om passende sikkerhetstiltak for overføring av personopplysninger til tredjeland.
Bindende selskapsregler
Det er mulig å etablere bindende selskapsregler som for eksempel en gruppe selskaper, som har selskaper i flere land, kan bruke ved overføring av personopplysninger til tredjeland. BCR-ene må være godkjent av en EU DPA for å være gyldige. I tillegg skal Personvernrådet avgi en uttalelse før beslutningen treffes.
Standard kontraktsklausuler
EU-kommisjonen har vedtatt standard kontraktsklausuler som selskaper kan bruke når de overfører personopplysninger til tredjeland. Med andre ord, selskaper som inngår en avtale med et tredjelandsselskap som ikke har et tilstrekkelig beskyttelsesnivå, kan inkludere de aktuelle klausulene fra EU-kommisjonen. Vær oppmerksom på at det ikke er tillatt å endre klausulene. I tillegg er det viktig å bruke riktig klausul for den spesifikke situasjonen.
Etiske retningslinjer eller sertifiseringsmekanismer
Hvis et selskap i et tredjeland abonnerer på en godkjent adferdskodeks, kan selskaper få lov til å overføre personopplysninger til selskapet. Det samme gjelder dersom de har sluttet seg til en godkjent sertifiseringsmekanisme. Det er vanlig for organisasjoner som representerer en bestemt bransje å vedta etiske retningslinjer som kan følges.
Denne siden gir deg veiledning fra European Data Protection Board om etiske retningslinjer for overføring av personopplysninger til tredjeland.
GDPR-relaterte kontrakter og dokumenter
Det er flere avtaler og dokumenter som bedrifter trenger og/eller bør utarbeide for å overholde GDPR-reglene. Bedrifter må kunne demonstrere overholdelse av GDPR i henhold til ansvarlighetsprinsippet, inkludert presentasjon av passende skriftlige dokumenter og kontrakter knyttet til GDPR. Nedenfor er en kort oppsummering av noen viktige GDPR-relaterte dokumenter og kontrakter som de fleste bedrifter trenger.
Personvernerklæring som inneholder informasjon om behandling av personopplysninger
Bedrifter bør gi informasjon om behandlingen av personopplysningene, helst før selskapet starter behandlingen eller på det tidspunktet personopplysningene samles inn. Dette gjøres vanligvis i en personvernerklæring som for eksempel er publisert på selskapets offisielle nettsted. Informasjonen i varselet skal blant annet dekke varigheten av behandlingen av selskapet, formålene med behandlingen og rettighetene til de registrerte. Artikkel 13 og 14 i GDPR regulerer minimumskravene til innholdet i en personvernerklæring.
Prosessoravtale mellom en prosessor og en kontroller, eller mellom to prosessorer
Når en behandlingsansvarlig engasjerer en databehandler, dvs. en annen aktør som utfører behandling av personopplysninger på vegne av behandlingsansvarlig, må de inngå en databehandleravtale. Dette reguleres av artikkel 28 i GDPR, som gir informasjon om minimumskravene til innholdet i databehandleravtalen.
Databehandleravtalen må være skriftlig for å være gyldig under GDPR. For eksempel bruker selskaper vanligvis skytjenester for sikkerhetskopiering. I slike tilfeller er selskapet som driver skytjenesten en prosessor.
I tillegg skal en databehandler inngå en databehandleravtale dersom de i sin tur engasjerer en annen databehandler til å utføre behandlingen av personopplysninger på vegne av den behandlingsansvarlige.
Register som inneholder opplysninger om behandling av personopplysninger
Noen selskaper må opprette en katalog som inneholder informasjon om behandling av personopplysninger som utføres av selskapet. Den skal utarbeides skriftlig, og den nasjonale personvernmyndigheten kan be om tilgang til listen. Etter en slik anmodning skal selskapet stille den til rådighet for dem. Vær oppmerksom på at ikke alle behandlingsoperasjoner nødvendigvis må inkluderes i registeret, men bare de som oppfyller kriteriene i artikkel 30 nr. 1 GDPR.
Særlig registerliste for databehandlere
Ikke bare kontrollerne trenger å etablere en katalog. Databehandlere må også opprette et bestemt register i henhold til artikkel 30 nr. 2 i GDPR. Den skal inneholde opplysninger om alle behandlingsaktiviteter som utføres av dem på vegne av en behandlingsansvarlig. Inkludert informasjon om identiteten til de behandlingsansvarlige, deres kontaktdetaljer og informasjon om behandlingsoperasjonene.
Forskjellige typer evalueringer
Bedrifter må kanskje foreta visse vurderinger før behandling av personopplysninger utføres. For eksempel en vurdering av personvernkonsekvenser eller legitim interesse med en dokumentert interesseavveining. Det er viktig at vurderinger dokumenteres skriftlig, da det er et krav for bedrifter å kunne vise at de overholder GDPR i praksis, i tråd med prinsippet om ansvarlighet. Ved tilsyn kan den ansvarlige DPA be om å få se vurderingene.
Vurdering av personvernkonsekvenser
Når selskaper skal utføre behandling av personopplysninger som kan medføre høy risiko for de registrertes rettigheter og friheter, skal selskapet gjennomføre en konsekvensanalyse av personvernet. Målet er å se hva risikoen ved behandlingen er og hva selskapet kan gjøre for å håndtere dem. For eksempel ved å utvikle hensiktsmessige prosedyrer og gjennomføre hensiktsmessige tekniske og organisatoriske sikkerhetstiltak.
Bøte for selskaper som ikke har gjennomført konsekvensutredning
I en av de tre beslutningene i dette tilsynet konkluderte den finske DPA-en med at selskapet burde ha gjennomført en konsekvensanalyse ved behandling av stedsinformasjon om sine ansatte ved å lokalisere kjøretøy gjennom et kjøredatasystem. Som et resultat av denne overtredelsen av reglene fastsatt i GDPR, måtte selskapet betale en bot på 16 000 euro.
Konsekvensutredning av dataoverføringer
Hvis et selskap har til hensikt å overføre personopplysninger til et tredjeland som ikke har et tilstrekkelig beskyttelsesnivå i henhold til en beslutning fra EU-kommisjonen, må det utføre en konsekvensvurdering av dataoverføringen. Dette må gjøres før overføringen utføres. Formålet er å analysere mottakeren av personopplysningene, inkludert mottakerlandet, for å finne ut om overføringen er tilstrekkelig sikker. Videre er det viktig å analysere databeskyttelseslovene og -reglene i mottakerlandet og rettighetene som de registrerte kan ha i mottakerlandet.
Interesseavveining og vurdering av berettiget interesse
Bedrifter kan ha en legitim interesse i å utføre en bestemt type behandling av personopplysninger. Selskapets interesser oppveier med andre ord de registrertes interesser. I tillegg må behandlingen være nødvendig for å oppnå formålet. For eksempel kan det være nødvendig for et selskap å utføre en viss behandling for å forhindre svindel eller andre straffbare handlinger. I slike tilfeller kan det utgjøre en legitim interesse.
Kort sagt betyr dette juridiske grunnlaget at personopplysningene kan behandles av selskapet uten samtykke fra den registrerte, uten at det er nødvendig for inngåelse eller gjennomføring av en kontrakt og uten at det er en juridisk forpliktelse til å utføre behandlingen.
Forutgående samråd med tilsynsmyndigheten
Dersom en høy risiko for de registrertes rettigheter og friheter vedvarer etter at selskapet har gjennomført en konsekvensanalyse og gitt hensiktsmessige garantier på grunnlag av denne vurderingen, skal selskapet anmode om et forutgående samråd med den nasjonale personvernmyndigheten. Vær oppmerksom på at selskapet må utarbeide en konsekvensanalyse før forhåndskonsultasjonen blir forespurt eller behandlingen starter.
Mer informasjon om GDPR
Behandling av personopplysninger i næringslivet
Det er vanlig å behandle personopplysninger i næringslivet i ulike sammenhenger. For eksempel behandler selskaper vanligvis personopplysninger når de rekrutterer ansatte, behandler ansattes personopplysninger som kontaktinformasjon, sykefravær og kontodetaljer, etc. I tillegg behandler selskaper som driver online-tjenester eller har et nettsted vanligvis personopplysninger om potensielle eller / og eksisterende kunder. Det er viktig å vite blant annet rollen til selskapet og rettighetene til de registrerte.