“GDPR” har i tre år vært det nye, store, stygge og ukjente “trollet” for norske bedriftsledere. Du verden som vi har lurt og diskutert hva dette egentlig betyr – spesielt for oss småbedriftseiere. Selv om mange har gjort mye allerede, er det kanskje fortsatt noen der ute som er i tvil: Er det egentlig noe særlig forskjell fra tidligere? Dette gjør vi forsøk på å svare på i denne artikkelen. Samtidig gir vi deg noen forhåpentlig nyttige tips og kontaktpunkter.
Å lese denne artikkelen kan være en god start ditt arbeid med personvern. Men straks iler vi til og innrømmer at heller ikke vi i SMB Accounting er noen eksperter på GDPR. Derfor kjøper vi oss eksperthjelp. Om du ikke vil lese hele artikkelen, men bare gå rett på «action» og innhente profesjonell hjelp, kan du klikke her og få kontakt med dem vi med hell har benyttet.
Hovedtrekk i den nye loven
Ny lov om behandling av personopplysninger ble vedtatt i Stortinget 15. juni 2018 og trådte i kraft 20. juli 2018. Den nye loven gjennomfører EUs personvernforordning (GDPR – General Data Protection Regulation 2016/679.) i Norge og gjør personvernforordningen til norsk lov.
EU-direktiv 95/46, personverndirektivet, og personopplysningsloven fra 2000, ble samtidig opphevet.
Den nye personopplysningsloven inneholder grovt fortalt bestemmelser som er nødvendige for å gjennomføre personvernforordningen i norsk rett. Den supplerer forordningen på områder der forordningen overlater til landene å fastsette nasjonale regler.
Innledningsvis inneholder personopplysningsloven regler om lovens og forordningens saklige og geografiske virkeområde. Dessuten en bestemmelse om forholdet til ytrings- og informasjonsfrihet.
Dernest inneholder loven bestemmelser som presiserer adgangen til å gjennomføre behandlinger av personopplysninger. Det vil si «All bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter».
Forordningen regulerer også kravene til gyldig samtykke til behandling av personopplysninger (artikkel 7) tydeligere enn det som fremgikk av direktiv 95/46 og personopplysningsloven 2000.
Innføring av GDPR i Norge gjelder også for små bedrifter
Mange har tenkt at «personvern» og spesielt «GDPR» er noe som gjelder for «de store».
Men dessverre, hadde jeg nær sagt: Alle næringsdrivende plikter å følge GDPR på samme måte som vi må følge andre generelle lover for å drive bedrift: som bokføringsloven for regnskap, markedsføringsloven for markedsføring, merverdiavgiftloven for moms, og så videre.
Hvis du driver en bedrift, gjelder GDPR for deg. Så langt, så enkelt og klart!
I personopplysningsloven § 2 (og GDPR artikkel 2-1) står det at Loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register.
- GDPR gjelder for deg, uansett om du driver ENK eller AS, i privat eller offentlig sektor, kommersielt eller frivillig, er blogger eller influencer, retter deg mot forbrukere eller kun andre bedrifter.
- GDPR gjelder for personopplysninger du behandler på nettsiden din, i rekruttering av nye ansatte, i nyhetsbrevet ditt, i kundeforhold.
- GDPR gjelder for leverandører, samarbeidspartnere, ansatte, medlemmer, pasienter, klienter, elever og alle andre personer du behandler personopplysninger til.
For deg som bedriftseier betyr dette i praksis stort sett alt du gjør med personopplysninger i virksomheten din, enten det er digitalt eller på papir.
Personopplysning er en opplysning eller vurdering som kan knyttes til deg som enkeltperson. (Datatilsynet) Begrepet tolkes svært bredt og mange blir overrasket når de skjønner hvor mye som egentlig regnes som personopplysninger. For eksempel er kredittopplysninger om et enkeltpersonforetak også personopplysninger, fordi eieren kan identifiseres direkte med foretaket, som igjen er direkte knyttet til eierens privatøkonomi.
I GDPR defineres du som en behandlingsansvarlig, altså den som definerer formålet med og er ansvarlig for behandlingen av personopplysninger. Pliktene dine som behandlingsansvarlig er definert i GDPR artikkel 24.
Er GDPR-reglene noe nytt?
Egentlig ikke.Vi har hatt regler for personvern i Norge i mange tiår allerede og det er faktisk ikke så mye nytt med GDPR. Men den forrige personopplysningsloven var fra år 2000 og var moden for en oppdatering.
Hvorfor er det så mye styr med GDPR, om det ikke er noe nytt?
Særlig på to felt er det endrede krav: informasjon og dokumentasjon. Individet har større krav til å være opplyst, gi samtykke og kunne se, endre eller slette sine opplysninger. Og bedriften må dokumentere mye sterkere enn før hvordan personvern håndteres og hvilke rutiner som er på plass for å sikre personopplysningene og individenes rettigheter.
Mange opplever personopplysningsloven som noe nytt. Det henger nok også sammen med at lovverket ikke har blitt håndhevet så strengt for små bedrifter (vår påstand). I Norge har Datatilsynet gått etter store offentlige organisasjoner, de større selskapene, helseforetakene og offentlig sektor, kundeklubber og store nettbutikker. – Der det er store mengder personopplysninger som behandles. Men Datatilsynet varsler at det vil bli gjennomført flere tilsyn i tiden fremover, og at dette gjelder både små og store private selskaper i tillegg til offentlige virksomheter. Heller ikke små organisasjoner som idrettslag og foreninger slipper unna.
Siden brudd kan meldes inn av alle som du behandler personopplysningene til, også utenfor Norge, er det nå en annen hverdag for oss alle. Ikke bare har bøtene blitt betydelig større, men risikoen for å «bli tatt» (inkludert klaget inn til Datatilsynet) er også betydelig høyere enn før.
Har du gjort det mest nødvendige og kan vise at du i det minste er i gang med forbedring av dine rutiner rundt personvern, så reduserer du sjansen for å få en heftig GDPR-bot.
Så hva må jeg gjøre?
Rett på sak: GDPR i praksis betyr blant annet at du må:
- vite hvilke personopplysninger du behandler (i hele bedriften din)
- ha definert hvorfor du behandler personopplysningene (formål)
- ha et rettslig grunnlag (behandlingsgrunnlag) for å gjøre det
- vite hvor du lagrer personopplysninger, både digitalt og på papir
- beskrive hvordan de oppbevares, og om de er sikret (godt nok)
- ha definert hvor lenge du skal/kan ta vare på dem
- slette dem når du skal
- bare be om og behandle personopplysninger som er nødvendige
- vite hvem du deler personopplysninger med
- inngå avtaler med alle som behandler personopplysninger på dine vegne (databehandlere og databehandleravtaler)
- innhente nødvendige garantier for overføring utenfor EU/EØS
- gjennomføre risikovurdering(er), både for selve behandlingen av personopplysningene, men også av systemene og leverandørene du benytter i behandlingen
- informere alle du behandler personopplysninger til (personvernerklæringer)
- etablere – og dokumentere! – gode rutiner for innsynskrav, sletting, tilsynskontroll fra Datatilsynet, oppdatering av behandlingsprotokollen, sikkerhetstiltak, avvikshåndtering (databrudd – brudd på personopplysningssikkerheten), og mer, slik at du løpende tilfredsstiller lovkravene.
Ditt hovedansvar er å sikre at bedriften din behandler personopplysninger etter alle GDPR-kravene, på en ansvarlig og sikker måte.
Om Datatilsynet kommer og banker på døren, må du kunne redegjøre for hvordan du gjør dette. Du må også kunne svare på henvendelser om innsyn, endring og sletting som kan komme fra dem du behandler personopplysningene til.
OK – og hvor starter jeg?
Nederst i artikkelen finner du en sjekkliste på 12 punkter. Den starter med å forstå, og å kartlegge situasjonen.
Du kan starte her; med å laste ned to dokumenter; et dokument til hjelp for kartlegging av relevante arbeidsprosesser og et regneark til logging av datasystemer og datamottakere.
Før du går lenger enn dette, kan det være lurt å prate med noen proffe veiledere:
Bør jeg betale for å få hjelp med GDPR?
Det kommer naturligvis helt an på bedriften og budsjettet ditt, men ofte er svaret «ja».
På samme måten som du setter bort regnskapsføringen til oss i SMB Accounting, kan du tjene mye på å få hjelp på GDPR-siden også – av noen som kan dette: vi har gode erfaringer med å få hjelp og gode råd av Erik Horn i PDS AS (PersonDataSupport). PDS driver aktiv GDPR-rådgivning i Skandinavia og leverer webløsning og implementerings- og driftsrutiner som gjør din GDPR-oppfølging enkel og grei.
Så, altså, etter å ha lest denne artikkelen og kanskje lastet ned litt inspirasjon, er vårt beste tips at du inviterer Erik Horn (+47 4141 3821, https://www.linkedin.com/in/erik-horn-pds/) i PDS Norge til å gi en kort og uforpliktende demo/presentasjon av GDPR-Portalen. Den guider deg gjennom prosessen og sparer deg for mye arbeid i strukturerings- og kartleggingsfasen. OG, riktig satt opp, er GDPR-Portalen en god plattform for løpende kontroll og ajourføring (Internkontroll).
Vår erfaring er at vi selv og mange kunder har brukt og stadig bruker enormt med tid på å få til GDPR og vedlikeholde. Med profesjonell hjelp kan du få etablert og til dels automatisert GDPR-arbeidet, få redusert antall timer betydelig og heller fokusere på det DU er god på – kjernevirksomheten som du tjener penger på.
Som daglig leder (og behandlingsansvarlig) må du fortsatt kunne et minimum. Men hvis du forslagsvis setter av en hel dag til kun å jobbe med GDPR og gjør det sammen med en profesjonell rådgiver på feltet, kan mye være gjort. En god start og forberedelse til et møte kan være å gå gjennom en sjekkliste som for eksempel denne under og finne ut selv hva du faktisk kan svare på og ikke:
GDPR sjekkliste for en liten bedrift
- Forstå grunnprinsippene i hva GDPR er.
- Kartlegg alle personopplysningene du behandler, i hele bedriften din, og før dem (og systemene du bruker) inn i en behandlingsprotokoll
- Finn ut hvor personopplysningene du behandler, lagres
- Innhent nødvendige garantier for lagring av personopplysninger utenfor EU/EØS
- Inngå databehandleravtale med hver enkelt databehandler
- Vurder sikkerhetstiltakene både til databehandlere du bruker, og dine egne, interne tiltak for å hindre databrudd
- Dobbeltsjekk at du har definert et formål, et rettslig grunnlag (behandlingsgrunnlag), kriterier for lagring/sletting og hvem du deler personopplysningene med, for hver enkelt behandling av personopplysninger du gjør
- Gjennomfør en risikovurdering av personopplysningene du behandler
- Få på plass og innfør interne GDPR-rutiner (og vurder GDPR-kurs for de ansatte)
- Lag og distribuer GDPR-klare personvernerklæringer med alle lovpålagte punkter
- Publiser en generell personvernerklæring på nettsiden din, og sikre at nettsiden ellers er i tråd med kravene i GDPR (inkludert informasjon om og samtykke til bruk av cookies)
- Dokumentér det hele, så du har noe å vise fram når tilsynsmyndighetene plutselig dukker opp.
Legg til slutt inn årlig GDPR-revisjon i kalenderen din for å sikre at du driver i samsvar med GDPR-reglene også fremover.
Lykke til. Og husk at det kan bli svært dyrt å ha sluntret unna GDPR-arbeidet dersom Datatilsynet banker på døren.