We're using cookies. When you click through to the next page, you're accepting that we're setting cookies. Read more here about the purpose.

Close

Sjekkliste for overholdelse av den nye personvernlovgivingen fra EU

Av Sidsel Manich,

EUs nye personvernlovgivning trer i kraft i 2018. Loven skal sikre personer bedre kontroll over deres egne personopplysninger, blant annet gjennom:

  • Enklere tilgang til egne personopplysninger.
  • Rett til å kunne overføre personopplysninger; det vil bli lettere å overføre personopplysningene dine mellom tjenesteleverandører.
  • “Retten til å bli glemt”: Personopplysninger kan slettes, forutsatt at det ikke er noen legitime grunner til å bevare dem.
  • Rett til å vite om personopplysningene dine har blitt hacket.

Den nye personvernlovgivningen vil kreve store endringer når det gjelder hvordan de fleste virksomheter i dag håndterer sine data, og det er viktig at dere allerede nå begynner å danne dere et overblikk over hvilke konkrete utfordringer den nye personvernlovgivningen representerer for deres virksomhet.

Sørg for å involvere ledelsen i prosessen og sikre at eierskap plasseres hos de rette personene. Det kan være arbeidskrevende å få styr på behandlingen av personopplysninger, og derfor er det viktig å sette i gang allerede nå.

Behandlingen av personopplysninger i forbindelse med markedsføringen av deres produkter og tjenester krever særlig omtanke. Hold dere oppdatert på reglene, slik at alt er på plass før lovgivningen trer i kraft. 

Listen er utarbeidet av advokat Torsten Hylleberg fra advokatfirmaet Lund Elmer Sandager. 

  1. Sørg for ledelsesforankring – Inkluder den ansvarlige for regelverksetterlevelse (compliance) og deres eventuelle Data Privacy Officer (DPO). Prosessen bør forankres på ledelsesnivå.
  2. Kartlegging av data – Hvilke personopplysninger behandles? Vedrører personopplysningene ansatte, kunder, leverandører eller eventuelt kunders kunder?
  3. Behandlingsgrunnlag – Hva er det rettslige grunnlaget for behandlingen av personopplysninger? Er det rettslige grunnlaget samtykke og ivaretakelse av et kontraktsforhold, eller anvender dere interesseavveiing som rettslig grunnlag?
  4. Hvem deles personopplysninger med? – Overføres personopplysninger til tredjeparter, herunder til selskaper internt i konsernet?
  5. Hvem er dataansvarlig/databehandler? – Det er viktig å fastsette hvem som – alene eller sammen med andre – bestemmer til hvilke formål og med hvilke hjelpemidler personopplysninger skal behandles.
  6. Overføringer til tredjeland – Overføres data til “usikre” tredjeland? Hva er det rettslige grunnlaget for overføring til tredjeland?
  7. Skal virksomheten ha en Data Privacy Officer (DPO)? – Vurder om virksomheten skal ansette en Data Privacy Officer som kan sikre at organisasjonen har den nødvendige teoretiske og praktiske kunnskapen om behandling av personopplysninger.
  8. Databehandlere – Behandler dere data på vegne av andre? Har dere inngått databehandlingsavtaler, overholder dere kravene i disse, og har dere prosedyrer for overholdelse av personvernlovgivningen?
  9. Regelverksetterlevelse (compliance) – Finnes det en personvernpolicy (relevant, forståelig og oppdatert), en prosedyre for håndtering av datasubjektets rettigheter, tredjepartskontrakter (due diligence), hensiktsmessige sikkerhetstiltak, revisjoner osv.?
  10. “Privacy by design” / “Privacy by default” Eksisterende IT-systemer: Understøtter de “privacy by design” / “privacy by default”, hva slags arbeid/omkostninger er forbundet med dette, og hva er den gjeldende IT-løsningens levetid? Nye IT-løsninger: Dere må sørge for at fremtidige IT-løsninger understøtter “privacy by design” / “privacy by default”. Kontroller at dette fremgår av kravspesifikasjon/løsningsbeskrivelse.

Listen bør bare brukes som inspirasjon og må ikke anses som juridisk eller forretningsmessig rådgivning.