Tre gode råd hvis du har utsatt jobbingen med personvern i virksomheten

Tre gode råd hvis du har utsatt jobbingen med personvern i virksomheten

GDPR er en oppgave som bør prioriteres. Sanksjonene er høye og omdømmetapet kan gi fatale konsekvenser for virksomheten.

Ranveig Fjellheim Tunaal, rådgiver i Sticos

Nye og strengere EU-regler for behandling av personopplysninger trådte i kraft 20. juli 2018. Dersom virksomheten har avventet, og kanskje håpet at dette skulle gå over, så er det på tide å komme i gang. Sanksjonene er høye og omdømmetapet kan gi fatale konsekvenser for virksomheten. Det er også viktig å rette fokuset mot at det er noens personlige opplysninger dere har, om egne ansatte, kunder eller kanskje samarbeidspartnere. Som ansatte eller kunde må vi kunne stole på at nettopp din virksomhet tar dette på alvor.

LES OGSÅ: Ta vårt kurs om personvernregler - en gjennomgang for regnskapsbyrå

Hva må du så gjøre?

  1. Start med å kartlegge hvilke personopplysninger dere har, bli bevisst på hva dere har. Hvilke konkrete opplysninger har dere om ansatte eller kunder? Dere har sikkert både navn, e-postadresser, mobilnummer, kontonummer etc. Lag en liste over dette

  2. Det neste steget er å finne ut om dere har et formål med alle personopplysningene dere nå har kartlagt. Alle de personopplysninger som dere har må dere ha et konkret formål med, og kun bruke til de formål dere har samlet de inn til. Du skal ikke ta vare på opplysninger som bare er «kjekke å ha». Hva skal du med sykmeldinger som er mange år gamle? Rydd opp i de personopplysninger dere ikke har et formål med å lagre. Disse skal du slette. Dere må heller ikke bruke personopplysningene til andre formål enn det de opprinnelig ble samlet inn for. Dersom dere har fått e-postadresser fra kunde for å ivareta en bestilling, er det ikke gitt at dere har lov til å bruke opplysningene til markedsføring. Dere må derfor avdekke om dere bruker personopplysningene til andre formål enn det de opprinnelig er samlet inn for. Dere må også sjekke hvilken informasjon personene det gjelder har fått om din virksomhets bruk av personopplysningene.

  3. Kartlegg hvem dere har som underleverandører. Det vil si om det er noen som har tilgang til personopplysninger på deres vegne. Underleverandører som behandler personopplysninger på deres vegne kalles databehandlere. Dere har ansvar for å sørge for at dere har valgt noen sikre leverandører.  De underleverandører som dere bruker må dere ha en databehandleravtale med. Dersom databehandlerne befinner seg utenfor EU, gjelder det egne regler for hva som må til for at overføringen av personopplysninger skal være lovlig.

Sticos har hjulpet over 130 virksomheter i Norge med å etterleve GDPR-regelverket. Vi kan hjelpe deg hvis du er på tynn is. Se mer her!

Print

Navn:
E-post:
Emne:
Din melding:
x

Hold deg oppdatert

Motta aktuelle nyheter og relevant fagstoff på epost.

MELD PÅ NYHETSBREV

TEMA

Digital GDPR-compliance

Hva er GDPR

Personvernforordningen eller General Data Protection Regulation - forkortet GDPR - ble iverksatt 25. mai 2018 og erstattet det tidligere personverndirektivet. Reglene gir Datatilsynet muligheten til å gi opptil 20 millioner Euro i bot, eller enda mer for selskaper med stor global omsetning, til de som bryter loven. Mange virksomheter frykter dette og synes det virker omfattende, mye styr og at de kanskje får lite igjen for det. Det høye bøtenivået gjør at de fleste som ønsker å drive virksomhet innser at de må forholde seg til de nye reglene.

Bakgrunnen for forordningen er et ønske om å bedre enkeltpersoners mulighet for å kontrollere opplysninger registrert om dem selv. Personvern handler om retten til privatliv og retten til å bestemme over egne personopplysninger. Personvern skal sikre behandlingen av personopplysninger, slik at individers integritet og privatliv ikke krenkes.

Her kan du lese mer om hvorfor personvern er viktig for din virksomhet