Heng med videre så skal vi gjøre deg litt klokere på hvordan du etterlever GDPR-kravene:
1. Lær deg personvernsprinsippene
Dette er det første steget du må ta for å etterleve GDPR-kravene. Kjenner du til de grunnleggende prinsippene er du godt på vei. Det er nemlig disse prinsippene som legger grunnlaget for lovene og reglene som medfølger GDPR. For å enklere forstå hvordan du og din bedrift skal forholde dere til personopplysninger og personopplysningsloven, kan du ta utgangspunkt i deg selv som enkeltindivid og se på hvilke rettigheter du har.
Les også: 6 viktigste prinsippene du må vite om for å etterleve GDPR-kravene her.
2. Få en oversikt over hvilke personopplysninger din bedrift behandler
Hvis du ikke har oversikt over hvilke personopplysninger dere samler inn bør du virkelig ta en runde på dette. Husk at det er bedriften sitt ansvar til enhver tid å ha oversikt over, samtidig som dere skal kunne dokumentere, hvilke opplysninger dere behandler og hva formålet bak innsamlingen er. Behandler du både alminnelige og sensitive opplysninger? Da må du for eksempel vite at behandling av de sensitive opplysningene krever behandlingsgrunnlag i artikkel 9 i personvernforordringen.
3. Hvorfor samler dere inn personopplysninger - hva er formålet?
Du må ha det helt klart for deg hva bedriften din benytter personopplysningene til. Altså, hva grunnen til at virksomheten din samler inn de dataene dere har om et gitt individ. Hvis dere sitter på masse opplysninger dere egentlig ikke trenger eller kan dokumentere for hvorfor dere besitter, kan dere få problemer i senere tid. Konsekvensene kan være store bøter, men kanskje det mest kritiske: tap av kunder grunnet tapt tillitt. For å holde både kundene og myndighetene fornøyd, bør din virksomhet ha et godt system for hvordan dere skal behandle persondata.
Les også: Hva betyr egentlig kravet om innebygd personvern?
4. Har dere juridisk grunnlag?
For å kunne behandle personopplysninger kreves det at man har juridisk grunnlag. GDPR har seks grunnlag som alene, eller i kombinasjon kan gi dette grunnlaget. Disse er: Samtykke fra personen, rettslig forpliktelse, oppfylle en avtale, berettiget interesse, offentlig interesse og vitale interesser. Dekker dere ikke noen av disse er altså behandlingen av personopplysningene ikke lovlig.
Les mer om juridisk grunnlag og andre vanskelige begreper om GDPR her.
5. Informer og vær åpen
Informasjonsplikten er helt sentral i GDPR. De som er registrert skal bli informert på en enkel, tydelig og forståelig måte om hva som skjer med deres data. Så tydelig og enkelt at selv en 12 åring skal forstå hva som skjer. I tillegg skal informasjonen være lett tilgjengelig for vedkommende den er samlet inn om.
6. Hvilke rettigheter har enkeltindividet?
Ta deg et steg tilbake og tenk: hvilke rettigheter har jeg faktisk som enkeltindivid? Selv om du kanskje har fått GDPR i fanget og sitter med ansvaret for at din bedrift skal etterleve disse kravene, så vil det alltid være en hjelp for deg å tenke på deg selv som enkeltindivid. Hvilke rettigheter har du faktisk? Når du først ser det fra enkeltindividets perspektiv kan det bli enklere å se det fra et bedriftsperspektiv og forstå hvorfor det er viktig å behandle opplysninger på en riktig måte.
Les Datatilsynet sin oversikt over enkeltindividets rettigheter her.
For å oppsummere:
Sett deg inn i hvilke plikter virksomheten din har når du skal behandle personopplysninger og lær deg personvernsprinsippene. Har du gjort deg en oversikt over dette er du et steg nærmere å etterleve GDPR-kravene. Lytt til datamyndighetene og les deres sjekkliste for virksomhetens plikter her.
Husk alltid på at GDPR-kravene er til for å hjelpe enkeltindividet. Bruk derfor deg selv som eksempel når det kommer til rettighetene du har. Dette kan bidra til at du får en bedre forståelse av hva GDPR-kravene innebærer, i tillegg til at du enklere kan se for deg hvorfor det er så viktig at du etterlever disse.
Les også: Hva er GDPR?
