Hvilke plikter og rettigheter bør du være oppmerksom på i GDPR?

Nå som GDPR nærmer seg, er du sannsynligvis opptatt med å få på plass tekniske løsninger og utnevne personvernombud.

Vær bevisst over dine plikter og registranters rettigheter med GDPR

Det er likevel viktig at du bruker tid på å forstå hvilke krav og rettigheter som innføres med tanke på informasjon, innsyn og personopplysninger. Det er tross alt du og kollegaene dine som skal sørge for at virksomheten kan etterkomme de nye kravene.

Rett til informasjon og innsyn

Behandler du personopplysninger (noe vi går sterkt ut fra at du gjør) er du pliktig til å informere brukeren om dette.

Registrerte personer har rett til å få:

  • innsyn i hvilke opplysninger virksomheten behandler.
  • vite hvilke sikkerhetstiltak virksomheten har rundt bruken av personopplysningene – med forbehold om at denne informasjonen ikke svekker sikkerheten.

Får du en henvendelse på ovennevnte må du og virksomheten svare innen 30 dager, med mindre «særlige forhold» gjør det umulig. I så fall må du begrunne forsinkelsen til registranten. Her må du unngå å bruke teknisk sjargong for å forsikre deg om at registranten faktisk forstår informasjonen du gir.

Det er derfor åpenbart at du og virksomheten må ha prosesser og systemer på plass for å kunne tilrettelegge for disse kravene.

Retting og sletting av personopplysninger

Med GDPR innføres det krav til virksomhetene om å rette eller slette opplysninger som er feilaktige, mangelfulle eller unødvendige.

Registranten kan også kreve at du sletter personopplysningene fra dine systemer, uten å måtte oppgi særskilt grunn.

I tillegg kan også Datatilsynet pålegge deg sletting av personopplysninger, dersom personvernhensynet tilsier det. Handlinger som virksomheten gjør på vegne av registranten eller Datatilsynet, må kunne dokumenteres. Med andre ord må systemene dine ha støtte for retting og sletting av data innen mai 2018.

Du må behandle opplysninger basert på samtykke

Dersom du skal hente inn personopplysninger, må du ha samtykke fra registranten. Det er bare noen få virksomheter som er unntatt dette kravet, som for eksempel offentlige virksomheter som behandler skatt og trygd.

For at samtykket skal være gyldig, må informasjonen være såpass forståelig at personen forstår hva han eller hun faktisk samtykker til, og hvilke konsekvenser samtykket medfører.

I følge Datatilsynet, bør informasjonen inneholde:

  • Navn og adresse på virksomheten eller behandlingsansvarlig.
  • Hva opplysningene faktisk skal brukes til.
  • Om opplysningene skal utleveres til andre – i så fall, hvem.
  • Om det er frivillig å gi fra seg opplysningene.
  • Hva registranten trenger for å kreve innsyn, eller få rettet/slettet opplysninger.
  • Hvor lenge du har tenkt å ta vare på opplysningene.
  • Bekreftelse på at vedkommende kan trekke tilbake samtykket, når som helst.

Tar du i betraktning at alt ovenfor bare er en liten del av GDPR, skjønner du fort at forordningen er svært omfattende. Ikke bare skal det tekniske på plass, men hele virksomheten må ta GDPR inn som en del av arbeidskulturen, og bygge tillit til kunder og registranter gjennom å være transparent og behjelpelig. Blir du oppfattet som en seriøs aktør når det kommer til å verne om personopplysninger, kan du få et konkurransefortrinn over andre virksomheter som slurver.

Christian Holthe

Christian Holthe, 24. august 2017

Christian Holthe er VP Security & Operations hos CatalystOne Solutions. Med lang erfaring innen IT-sikkerhet og skyløsninger, har Christian en sentral rolle i sikkerhetsarbeidet hos CatalystOne - både internt i organisasjonen og for de programvareløsningene vi utvikler og leverer.