Hva er GDPR og hvorfor?

Global Data Protection Regulation!

I 2011 klaget unge Max Shrems Facebook inn for det Irske Datatilsynet da han ikke fikk tilgang på sine personopplysninger. Han mente det var han som eide opplysningene om seg selv, Facebook mente det motsatte. Max vant frem og fikk 1222 A4 sider om seg selv. Juli 2018 trådde den nye forordning i kraft i Norge.  Det er altså du som eier opplysningene om deg selv og det er du som bestemmer hvordan disse skal brukes. Dette er viktig for oss å huske, mange tenker; er det så nøye da, men vi bare låner våre kunders personopplysninger så lenge det er hensiktsmessig for kunden. Det er heller ikke vi som bestemmer om dette er "så nøye" eller ikke. Det er kunden selv. Da får vi gi de den respekten ved å følge personvernloven.

 

Mange tenker at GDPR er "noe" som står nederst på en nettside, det stemmer i en hvis grad, men det som står nederst på nettsiden er et sammendrag av hva du har gjort forut og en informasjon til kunden om hvilke rettigheter de har og hva du må bistå kunden din med. Husk da at alle bedrifter er forskjellige og det som ser fint ut på en nettside kan fort bli helt feil på din egen side. 

Du kan faktisk bli straffet dersom du velger å la være å følge GDPR. 2.654 nye saker ble registrert hos Datatilsynet i 2018 og trenden er økende. Bøtene kan være 4% av den årlige globale omsetningen dersom du trår feil. Det bør uansett ikke være bøtene som gjør at du følger lovverket, men som nevnt; respekt og hensyn til dine kunder.

Hva trenger jeg?

 

Alle bedrifter er forskjellige, hvilke type kunder har man, hvilke type varer og hvordan man ønsker å markedsføre seg for å nevne noen. For noen bedrifter vil GDPR være en enkel og grei affære, men hos noen vil det kreve mer arbeid. Uansett begynner alle oppdrag med et kartelggnigsmøte. Du kan lese mer om dette her

 

Nedenfor finner du moduler innenfor GDPR. Moduler merket grønn er de som er minstekrav. Så dersom du har noe av dette fra før så trenger du altså færre moduler. Er du usikker på om det du har gjort fra før er korrekt så sjekker vi dette ved kartleggningsmøte. Husk at GDPR er et levende dokument, så endringer i bedriften er endringer i GDPR. Uansett er målet til Råder at du skal bli selvhjulpen og bruke dette som et verktøy på en enkel og god måte. 
 

Moduler

Minstekrav

Protokoll  
Artikkel 30

Dersom du får beskjed fra Datatilsynet om at de ønsker innsyn i din bedrift er det aller første de spør etter en protokoll. Det er ikke noe krav til hvordan en protokoll skal se ut, men det er krav til hva den skal inneholde. Det er her du argumenterer for hvilke personopplysninger du bruker, hvordan du bruker de og hvilken artikkel eller paragraf du har hjemmel for å bruke de slik du gjør. For å kunne gjøre dette må du faktisk kunne ganske mye om personvernloven. Det kan fort bli dyrt og feil dersom du velger å gjøre dette selv. Ta kontakt med Råder så får du hjelp til nettopp dette. 

Minstekrav

Databehandleravtale
Artikkel 28 & 29

Du har garantert en leverandør i din bedrift som du sender dine kunders personopplysninger til. Det kan være mailprogrammet ditt som går gjennom en server, et regnskapsprogram etc. For å sørge for at du ivaretar dine kunders personopplysninger skal disse sikres med en avtale som du setter opp med din leverandør. Det er krav til hva en slik avtale skal inneholde. De største bedriftene har satt opp en standardavtale som du kan laste ned. Det er ikke sikkert du er helt enig i hva Microsoft skriver i sin avtale, men det er det du får. dessverre, men det er ikke alle som har standardavtaler og da må du sette opp en selv. Dette kan fort bli litt krevende så her burde du også søke støtte hos Råder slik at dette blir riktig. Dersom din leverandør har hatt et brudd, eller solgt dine kunders personopplysninger videre så har du i alle fall gjort det du kunne og vil i dette tilfelle slippe bøter selv. 

Minstekrav

Risikovurdering

Artikkel 32

Hva skjer dersom personopplysninger havner på avveie og hvilke konsekvenser får dette for kunden. Dette er sentrale spørsmål i en risikoanalyse. Det er heller ikke her noe krav til hvordan denne skal se ut, og googler du vil du finne mange fancy varianter med tall og farger for stor og liten risiko. Husk at dette er dokument du skal bruke for nye ansatte, kanskje noen skal arve det etter deg, så hold det enkelt. Det viktigste er at du går gjennom hvordan bedriften sørger for at man behandler personopplysninger. Har man skjermbeskytter, er passordet bra nok eller tar man med seg arbeidet hjem og har papirer med personopplysning der? Dette må du gå gjennom. Det er ingenting i veien for at du gjør dette arbeidet selv. Det kan være greit at noen ser over det etterpå og stiller neon kontrollspørsmål, du kan selvsagt bruke Råder til dette. 

Minstekrav

Personvernerklæring
Artikkel 12

Det er ikke noe krav om at man må ha en personvernerklæring, men et krav om at man skal informere kunden om rettigheter, så dette er det beste stedet å legge denne informasjonen. Her syndes det mye. En personvernerklæring er en tekst som forteller hvordan du behandler dine kunders personopplysning og opplyser om hvilke rettigheter de har. Dette er altså et sammendrag av alt arbeidet som ligger forut. Mange kopierer en tekst de synes ser grei ut og legger den inn på sin side. Ikke gjør det. Din bedrift må stå inne for budskapet og lovnaden den har gitt og ikke minst forstå hva det innebærer. Keep it simple. Dette er ikke en lovtekst, alle skal kunne forstå og ikke minst orke å lese budskapet ditt. Dette er en hjelpetekst og skal skape trygghet for dine kunder. Det er derfor de velger deg og ikke noen som begraver alle opplysninger i side på side med tvetydig lovtekst du må pløye gjennom. Det er en god følelse og sette personvernerklæring inn på din nettside og vite at nå er bedriften GDPR-Compliant. Du har en lovlig bedrift!

DPIA
Artikkel 35

DPIA er for tungvekterne. Dette arbeidet er krevende for hele bedriften. Driver du en vanlig bedrift er det lite sannsynlig at du noengang vil høre om DPIA, men driver du en teknologi som opererer med overvåkning i stor grad, spesielt ny teknologi. Eller at du sitter med svært mange opplysninger om en særlig sårbar gruppe kan det være du trenger å utføre en DPIA. Ta kontakt så ser vi hvorvidt behovet er der. Denne konsultasjonen er også gratis. 

Markedspakke

Det er krevende å få fatt i nye kunder og å holde på gamle kunder. Råder setter deg opp med en Mailchimpkonto slik at du kan sende nyhetsbrev og holde kontakt med dine kunder. Arbeidet med å gjøre dette lovlig starter i arbeidet med GDPR. Vi finner en kommunikasjonsplattform som retter seg mot dine kunder og ditt/dine produkter. Trenger du nytt design, nettsider og annet finner vi selvsagt løsninger på dette også.

 

Det anbefales å velge denne modulen sammen med grunnpakken til GDPR (de grønne)

Timebaserte tjenester

Har du kjøpt inn en nytt program, skal du iverksette nytt markedsføringstiltak, installere kamera osv. trenger du kanskje bistand i forbindelse med GDPR. Ønsker du en revisjon, eller en sjekk at GDPR i din bedrift fortsatt er iht. personvernloven er dette en god mulighet til å benytte seg av tjeneste pr. time. Normal timepris er kr. 750.-

Har du hatt et sikkerhetsbrudd hos deg eller din underleverandør og dine kunders personopplysninger er på avveie. Husk at du må rapportere bruddet til Datatilsynet som en avviksmelding innen 72 timer. Ring direkte 901 08 125 for umiddelbar bistand. 

Husk at Råder ikke er et advokatbyrå, men jobber utelukkende med personvern. Trenger du advokatbistand har vi kontakter som kan hjelpe deg med dette. 

Det kan være vanskelig å si eksakt når man har behov for et personvernombud, men er det en offentlig organisasjon, en bedrift som driver overvåkning i stor grad, eller at du behandler informasjoner om særlige utsatte grupper som nevnt i art. 9 og 10 kan det være at du burde ha et personvernombud. Et personvernombud sin oppgave er å påse at personvernloven blir fulgt, være en rådgivende part og bistå i opplæring for å nevne noen. Mange ganger kan det faktisk være en fordel at denne personene ikke er ansatt i bedriften, men allikevel er tilgjenglig for alle

Personvernombud

Råder

Rådhusgaten 1

3126 Tønsberg

Org. nr. 924 647 175

post@raader.no