Fra mai neste år tilpasses personopplysningsloven til EUs personvernforordning (GDPR). Da vil det for de fleste ikke være nødvendig å søke om konsesjon eller forhåndsgodkjenning for behandling av personopplysninger. Til gjengjeld utvides virksomhetens plikt til selv å vurdere personvernkonsekvensene, og det blir nye krav om å melde fra om avvik.
Skal virksomhetene slippe å søke om forhåndsgodkjennelse, må de oppfylle de nye pliktene og det økte ansvaret som GDPR pålegger dem. Klarer de ikke å gjøre det internt, må de fortsatt søke om forhåndsgodkjennelse. Det vil si at det blant annet må etableres internkontroll, foretas vurdering av personvernkonsekvenser, gjennomføres risikovurdering, utarbeides personvernerklæring og lages en plan for tiltak for å avverge trusler mot personvernet.
Skjer det likevel brudd eller avvik, skal det meldes umiddelbart til datatilsynet. Det er også regler om når berørte skal varsles.
GDPR innebærer med andre ord at norske virksomheter får et større ansvar fra mai neste år. Avvikshåndtering er et av områdene. Nedenfor finner du lenker til informasjon om flere av de endringene som skjer:
- Kan få millionbot
- Større ansvar
- Internkontroll
- Åpenhet og klart språk
- Rett til å bli glemt
- Tiltak mot personverntrusler
Husk at GDPR også gjelder papirdokumenter, og at det er viktig med et opplegg for sikker makulering!
Alle nye rutiner må være på plass før mai. Her er noen tips om hvordan du kan komme i gang med dette arbeidet. Vi har også laget en huskeliste, som kan lastes ned gratis.