Etter lengre tids varsling ble i juli EUs personvernforordning (GDPR) en del av personopplysningsloven. Personvernet er styrket gjennom rettigheter for hver enkelt av oss. For at vi skal ha en reell mulighet til å bruke rettighetene, skal alle virksomheter som registrerer personopplysninger, gi informasjon om hvordan de blir behandlet. Informasjonsplikten er omfattende. Som daglig leder har du ansvaret for at den blir oppfylt.
Lovendringene innebærer at virksomhetene selv har ansvar for at kravene i GDPR oppfylles. For å sikre at det blir gjort, pålegges virksomhetene flere plikter. Informasjonsplikten er en viktig del av dem. Noen av de øvrige er
- Fastsette formål
- Legge til rette for brukernes rettigheter
- Rutiner for retting og sletting
- Vurdering av personvernkonsekvenser
- Innebygd personvern
- Etablere internkontroll
- Informasjonssikkerhet
- Protokoll over behandlingsalternativer
- Håndtering av avvik
For å etterleve disse pliktene må det utarbeides tiltak for å hindre trusler mot personvernet. Datatilsynet har til hjelp laget en veileder om pliktene.
Rettigheter
Når personopplysninger registreres, får de registrerte flere konkrete rettigheter. Disse er
- Rett til innsyn
- Rett til korrigering
- Rett til sletting
- Begrensning av behandlingen
- Innsigelse mot behandlingen
- Rett til å trekke tilbake samtykke gitt tidligere
- Rett til å ta med seg personopplysningene fra en virksomhet til en annen
For å oppfylle dem pålegges virksomhetene en informasjonsplikt. De registrerte skal få vite hvordan personopplysningene behandles, hvor lenge de lagres, hva formålet og det rettslige grunnlaget er, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter den registrerte har i den forbindelse og hvordan de kan ivareta disse rettighetene.
Informasjonen skal gis skriftlig og helst være tilgjengelig elektronisk. Helt sentralt er at den skal ha en form som gjør at de registrerte forstår rettighetene sine. Fristen for å informere er senest en måned etter innsamling.
Samtykke
I tillegg til denne generelle informasjonsplikten skal det også gis informasjon når personopplysningene registreres. For å foreta denne registreringen kreves det at virksomhetene har et behandlingsgrunnlag. Vanligvis vil behandlingsgrunnlaget være at man innhenter samtykke fra de som skal registreres. I tillegg til andre krav skal dette samtykket være informert. Det vil si at man skal informere om
- hvem den behandlingsansvarlige er
- formålet for hver av behandlingene som virksomheten ber om samtykke til
- hva slags personopplysninger som vil samles inn
- informasjon om retten til å trekke tilbake samtykke
- informasjon om eventuelle automatiserte individuelle avgjørelser hvis det er relevant
- informasjon om risiko og tiltak ved eventuell overføring utenfor EU/EØS-området
Sikker makulering
Tiltakene som følger av de nevnte pliktene, skal inngå i et system for internkontroll. Hovedansvaret for at et slikt system er på plass, har ledelsen.
Det er viktig å huske på at GDPR også gjelder for papirdokumenter som inneholder personopplysninger. Internkontrollen må derfor ha rutiner for sletting av dem. Løsninger for sikker makulering må være på plass. Hvis du er i tvil om løsningene deres er gode nok, kan du ta sikkerhetstesten vår.
Vil du ta en ekstra sjekk på om rutinene dere har lagt opp til oppfyller de kravene og pliktene som følger av den nye personopplysningsloven, kan sjekklisten vi har utarbeidet forhåpentligvis være til hjelp.