2018 var året hvor mange ble oppmerksomme på personvern og GDPR. Det var stadig artikler i media, bransjearrangementer og gode råd på hvordan man skulle angripe utfordringene som det nye regelverket introduserte.
GDPR - et overveldende komplisert regelverk?
Også mindre bedrifter og organisasjoner tar dette på alvor, men finner det vanskelig og tidkrevende å orientere seg i all informasjonen. Uten godt med ressurser og i en ellers hektisk hverdag blir det derfor lett å skyve dette foran seg.
Men, det er loven og den som har fått tildelt ansvaret internt i en organisasjon er ofte usikker på hvordan gripe det an. 
Så hva er det som er så utfordrende?
Vi er flere som opplever at GDPR virker omfattende, og at det oppfattes som et regelverk rettet mot de store aktørene. Men, det er like aktuelt for mindre bedrifter. Som person er jeg jo ikke veldig opptatt av størrelsen på bedriften som behandler mine opplysninger, men at opplysningene blir behandlet iht loven.
Så, hvis du har fått ansvaret for GDPR og er litt usikker, er det viktig at du forstår hva personopplysninger er og hvordan dette kan påvirke din bedrift.
Så snart du har oversikt over omfanget er det lurt å sette seg inn i GDPR, i litt større detalj uten å måtte engasjere en jurist. Ofte ser vi at prinsippene bak GDPR åpner øynene og senker skuldrene, fordi det er i stor grad selvforklarende.
Litt forenklet så skal personopplysninger:
- Behandles på lovlig vis, med åpenhet og rettferdighet («lovlighet, rettferdighet og åpenhet»)
- Behandles med et klart formål, og opplysningene skal ikke benyttes til noe annet enn det som er beskrevet («formålsbegrensning»)
- Være relevante og begrenset til det som er nødvendig for å oppfylle formålet («dataminimering»)
- Være korrekte («riktighet»)
- Ikke lagres lenger enn nødvendig for å oppfylle formålet de ble samlet inn for («lagringsberensing»)
- Beskyttes slik at de ikke kommer på avveie, eller at uvedkommende får tilgang etc. («integritet og konfidensialitet»)
Samtidig har organisasjonen som behandler opplysningene ansvaret for å kunne påvise at prinsippene overholdes («ansvar»). Enn så lenge er det ikke etablert noe formalkrav rundt hvordan dette skal dokumenteres, men det finnes noen relevante veiledere. For eksempel datatilsynets guide til protokoll over behandlingsaktiviteter.
Er det tilstrekkelig med sunn fornuft?
Mange har synspunkter om tolkning av prinsippene og hva som må gjøres for å etterleve de. For de fleste er det tilstrekkelig å bruke sunn fornuft. For eksempel, har du en god grunn til å behandle opplysningene har du sannsynligvis lov (berettiget interesse), men du må dokumentere hvorfor.
Et annet eksempel er åpenheten. Er informasjonen som er gitt slik at den som er registrert forstår hva dataene blir brukt til? Åpenhetsprinsippet er helt sentralt i implementeringen av GDPR. Den varslede boten til Google er nettopp knyttet til brudd på informasjonsplikten.
Som personer skal vi bli informert på en klar og lett forståelig måte om hva formålet for behandling er, hvilke data som samles inn, hvor lenge de vil lagres og om de behandles utenfor Europa. Vi skal også vite hvem dataene deles med, samt rettighetene for innsyn, sletting, kunne protestere på behandlingen og rett til å klage. Datatilsynet har skrevet om informasjonsplikten her.
De som har fått ansvaret for GDPR arbeidet har ofte behov for litt løpende støtte. Ønsker du en kort og uforpliktende samtale med rådgivere fra ICONFIRM, kontakt oss her.
