Personvernforordningen, også kjent som GDPR, er en Europeisk personvern lov som tredde i kraft juli 2018 og GDPR erstatter personverndirektivet i EU.

GDPR Oversikt

Formålet med GDPR er å beskytte personlig informasjon og gi personer mer kontroll over deres personlige data. Under GDPR er personopplysninger definert som all informasjon som enten er direkte eller indirekte identifiserbar med et individ. Dette inkluderer personnumre, plasseringsdata, elektroniske identifikatorer (slik som IP adresser), pseudonymdata og genetiske og biometriske data. Det som er definert som Personlig data er altså strengere definert en hva du kanskje er vant til i fra før av under GDPR.

Viktig

Ikke noe av informasjonen i denne artikkelen skal tolkes som juridiske råd, men informasjonen er ment som et hjelpemiddel i behandlingsansvarlig (dere som kunde) sitt GDPR-arbeid. Ta kontakt med deres juridiske rådgiver for råd rundt GDPR.

Nøkkelkrav for GDPR

Bedrifter som omfattes av GDPR vil bli pålagt å gjøre en rekke tilpasninger av måten de får tilgang til og behandler personopplysninger for å være GDPR-kompatible.

Identifikasjon av behandlingsansvarlige og databehandlere er viktige komponenter for å tilrettelegge for GDPR.

Hva er en behandlingsansvarlig?

Behandlingsansvarlig (data controller) er et selskap eller en organisasjon som bestemmer formålet med og hvordan personopplysninger behandles. Behandlingsansvarlige kan også være databehandlere, hvis dere eksempelvis drifter systemet selv, eller har det lokalt på pc, et intranett etc.

Hva er databehandlere? 

Databehandlere (data processor) tar informasjon behandlingsansvarlige har akkumulert og behandler den personlige informasjonen. RecMan er databehandler på all data, dere som kunde legger inn i RecMan. Alt som ikke ligger i Recman er ikke RecMan databehandler for, og dere må da identifisere hvem som er databehandler for dataen som ligger utenfor Recman systemet.

Det skal også foreligge en databehandleravtale som en del av kundeforholdet mellom leverandør (databehandler) og kunde (behandlingsansvarlig).

Ansvaret for GDPR-overholdelse er tungt pålagt behandlingsansvarlig. Behandlingsansvarlig er ansvarlig for GDPR-samsvar i behandling av personopplysninger, selv i tilfeller der de har outsourcet behandlingsaktiviteter til et annet selskap. Likevel er databehandler også forpliktet til å være GDPR-kompatible i henhold til loven, noe som RecMan er.

Individets rettigheter under GDPR

GDPR gir følgende nøkkelrettighetene til personopplysninger: 

Retten til tilgang: Du som behandlingsvansvarlig (data controller) vil måtte utføre forespørsler fra personer som ønsker tilgang til sine personopplysninger eller informasjon om hvordan den brukes. I RecMan så kan både kandidater og kontaktpersoner få tilgang til en egen profil, hvor de kan se data som ligger på kandidaten, og du som kunde har også mulighet til å å eksportere kandiatinformasjon ut i både PDF og JSON format.

Behandlingsansvarlige og databehandler (data processor) vil også måtte forklare i detalj hvordan informasjonen ble oppdrevet, hvordan og hvorfor den brukes samt hvem de deler informasjonen med. For databehandler sin del, er delingen av dataen med underleverandører o.l regulert i databehandleravtalen som foreligger mellom kunden og RecMan. For kundens del, må det lages rutiner og beskrivelse på dette, som kan deles med kontaktperson og kandidat.
Ref: Article 15 – Right of access by the data subject

Retten til å få oppdatert og korrigert persondata som er uriktig eller ufullstendig: Behandlingsvansvarlig vil måtte utføre forespørsler fra personer som ønsker å korrigere/ utbedre informasjon behandlingsansvarlig har om personen.

Dersom kandidater eller kontaktpersoner har innlogging til deres profil, vil de selv kunne oppdatere sin persondata. Hvis de ikke har det, eller trenger bistand, kan dette redigeres fra kandidatkortet, kundekortet eller kontaktpersonkortet av medarbeidere som har tilgang til disse kortene hos kunden.
Ref: Article 16 – Right to rectification

“Retten til å bli glemt”: Personer kan bestemme at de ikke lenger vil at personopplysningene skal behandles og/eller om at all informasjon skal slettes. En prosess for å håndtere slike prosesser burde utarbeides. Kandidater som har en profil i systemer har også mulighet til å slette seg selv via sin profil. Disse vil i så fall havne på en slette liste i GDPR kandidatbasen, slik at du som behandlingsansvarlig også har mulighet til å sikre at kandidatinformasjonen ikke ligger i andre systemer også. Hvis de ligger i andre systemer må det også vurderes om det skal slettes derifra (avhengig om du er lovpålagt til å holde på deler av informasjonen eller ikke). Personer kan også be om at brukeransvarlig slutter å prosessere deres data.
Ref: Article 17 – Right to erasure (‘right to be forgotten’)

Ref: Article 18 – Right to restriction of processing

Dataportabilitet: Personer kan be om å få ut sine personopplysninger fra et selskap på forespørsel, uten opposisjon fra behandlingsansvarlig. Denne informasjonen skal være i et maskinlesbart format. Du som kunde har mulighet til å å eksportere kandiatinformasjon ut i både PDF of JSON format, hvor JSON er et maskinlesbart format. Det kan også være fint å legge ved en PDF sammen med JSON filen ettersom det er enklere å lese for personer enn JSON.
Ref: Article 20 – Right to data portability

Samtykke

Samtykket til behandling av data er et viktig fokus under GDPR.

En klar og forståelig erklæring: Sørg for at personvernerklæringen er klar og forståelig, med et enkelt språk. Dersom teksten ikke er klar og forståelig, kan det resultere i at erklæringen ikke er bindende. Det er også viktig å forklare grunnen til behandlingen av personopplysningene. RecMan systemet kommer med en tekst som kan brukes som utgangspunkt for en slik erklæring, men det er viktig at teksten tilpasses deres bruk.

Deres systemadministrator kan redigere på teksten vi systemet ved å gå til Systeminnstillinger -> Selskaper -> velg selskap og deretter trykk på knappen Personvern.

Det er også viktig å informere personene om eventuelle oppdateringer av personvernerklæringen. Informasjonen burde også inkludere hvilke endringer som er gjort.
Ref: Article 7.2 – Conditions for consent

Ref: Article 6 – Lawfulness of processing

Spør om samtykke: Det er viktig å innhente samtykke før du begynner å prosessere personens informasjon. Her bør man på websiden ha en synlig lenke til personvernerklæringen, men også når en kandidat registrerer seg er det viktig å innhente samtykke. Samtykket må også kunne bevises av behandlingsansvarlig i etterkant.
Ref: Article 7 – Conditions for consent

Eksempel på maltekst på innhenting av samtykke finner du her.

Kunne trekke tilbake samtykket: Det skal også være mulig å trekke tilbake samtykket.
Ref: Article 7.3 – Conditions for consent

Kartlegging av data

Oversikt over personopplysninger som samle inn: For å kunne vurdere GDPR sine krav om behandling av data, er det viktig at du som behandlingsansvarlig også kartlegger hva slags personopplysninger deres organisasjon samler inn, hvem som har tilgang til informasjonen, hva du gjør med informasjonen og hvor lenge den lagres.
Ref: Article 30 – Records of processing activities

Eksempelskjemaer som kan brukes som utgangspunkt til en slik kartlegging:

Medium versjon – Norsk (link til excel nederst i artikkelen)
Avansert versjon – Engelsk

Oversikt over hvor personopplysninger lagres: Kartlegg hvor personopplysninger lagres (i hvilke systemer), og hvordan dataflyten er mellom systemene. Å ha oversikt over hvordan dataen flyter mellom systemene er spesielt viktig for å kunne forsikre seg om at all personopplysninger om en person er slettet (når det er meningen at det skal slettes). Husk også å inkludere steder hvor dere lagrer informasjon som ikke er en del av et system. F.eks på skrivebordet lokalt på PC etc.
Ref: Article 30 – Records of processing activities

Forvaltning av personopplysninger

Det er viktig å lage gode prosesser og rutinger for forvaltningen av personopplysninger som organisasjonen din samler inn.

Utnevn eller ansett et personvernombud: Bedrifter som har innsamling eller behandling av personopplysninger i sin kjernevirksjomhet vil bli pålagt å utnevne et personvernombud (Data Protection Officer, DPO), som skal ha inngående kunnskap om personvern. Dersom dere ikke har kompetansen på dette internt kan dere også vurdere å innhente en ekstern rådgiver med kompetanse på dette.
Ref: Article 37 – Designation of the data protection officer

Kunnskap i organisasjonen: Sørg for at både ledelsen og medarbeidere har kunnskap om retningslinjene til GDPR, samt internt prosesser som omhandler GDPR-retningslinjene.
Ref: Article 25.2 – Data protection by design and by default

Sikkerhet: Implementer informasjonssikkerhet som en standard og som en del av systemets design. Databeskyttelse skal bygges inn i produkter og tjenester i de tidligste utviklingsstadiene. Dette har alltid vært et stort fokus for RecMan, også før GDPR eksisterte. Pass på at eventuelle støttesystemer o.l. også har fokus på dette. Merk at sikkerhetspunktet her også overlapper med kunnskap i organisasjonen punktet, ettersom sikkerhetshull også kan inkludere å lure til seg tilgang til et system via en medarbeider (social engineering). Sørg derfor for at medarbeidere i din organisasjon er klar over risikoen og hva som kan gjøres for å redusere den.
Ref: Article 25 – Data protection by design and by default

Ved sikkerhetsbrudd: Individer må bli varslet om sikkerhetsbrudd som påvirker deres personopplysninger innen 72 timer.

Tilsynsmyndigheter må informeres om brudd på sikkerheten som utgjør en risiko for individers rettigheter og frihet innen 72 timer. Dersom det oppstå en slik situasjon er det viktig å jobbe sammen med RecMan (databehandler) hvis dette er data som er oppbevart i Recman. I Norge er tilsynsmyndigheten for dette Datatilsynet.
Ref: Article 33 – Notification of a personal data breach to the supervisory authority
Ref: Article 34 – Communication of a personal data breach to the data subject

Hvor skal jeg begynne arbeidet med å tilrettelegge for GDPR?

Skap en GDPR handlingsplan

Behandlingsansvarlige og databehandlere som håndterer personlig informasjon må lage en GDPR handlingsplan som omfatter alle de nye kravene. For å lage en slik handlingsplan kan dere ta utgangspunkt i sjekklisten nedenfor.

GDPR sjekkliste for å sikre krav:

  • Utfør kartlegging for å finne ut hvilken informasjon organisasjonen samler inn og hvordan den overføres, behandles og lagres.
  • Identifiser databehandler(e).
  • Sørg for at databehandleravtale(r) med dine databehandlere.
  • Sørg for at leverandører er GDPR-kompatible.
  • Identifiser behandlingsansvarlig (typisk er det dere selv).
  • Kurs medarbeidere i personvern og GDPR-krav, slik som individets rettigheter.
  • Utnevn eller hent inn et personvernombud (om nødvendig).
  • Ha prosesser på plass for å innhente samtykke
  • Informer individer som lagres i deres system(er) om deres rettigheter under GDPR, og sørg for å ha en oppdatert personvernerklæring.
  • Opprett en varslings- og handlingsplan for sikkerhetsbrudd.
  • Legg en plan for regelmessig gjennomgang av deres GDPR prosesser, og gjør en vurdering av effektiviteten og om noe kan forbedres. Sjekk også hvordan deres prosesser samsvarer med lover og regler som kan ha endret seg underveis. Vurder også jevnlig om sikkerhetstiltakene er tilfredsstillende.
Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig