Tema: Ledelse og utvikling
Også små virksomheter som innhenter persondata skal med GDPR foreta en gjennomgang av praksis og dokumentere at denne er gjennomtenkt for behandling og lagring av slike data. Jo mer avansert databehandling jo strengere blir kravene. Men det er enkle krav for enkle virksomheter.
Også små virksomheter, som innhenter persondata skal etter innføring av GDPR foreta en gjennomgang av sin praksis og dokumentere at denne er gjennomtenkt når det gjelder behandling og lagring av slike data. Jo mer avansert databehandling man driver jo strengere blir kravene til analysen.
Du kan knapt drive virksomhet i dag uten å samle inn personopplysninger. Standardopplysninger som du samler for å kunne utføre transaksjoner med kunder eller samarbeidspartnere, og evt. om egne ansatte som må til for å betale lønn, skatt, pensjon mv. har du lov til å samle inn og lagre. Samme gjelder for utdanning, autorisasjoner og andre kvalifikasjoner, samt fravær og timelister. Bruker du opplysninger i markedsføring eller profilering stilles det strengere krav til deg.
Noen opplysninger om ansatte og kunder er det forbudt å lagre. Dette gjelder opplysninger om rase, religion, politisk tilhørighet, sensitive opplysninger knyttet til helse, rus og kriminalitet, eller andre data som ikke er spesifisert i formålet. Datatilsynet har utarbeidet en egen veileder om behandling av slike særlige kategorier personopplysninger. Skillet mellom data der lovlig/ulovlig å samle inn er beskrevet og regulert mer i detalj i direktivets §6.
Selskapet skal ha en personvern-erklæring som skal være skriftlig. Den skal fortelle om formålet med datalagringen koplet opp mot virksomhetens formål og den skal også informere om den enkeltes rettigheter. Erklæringen bør også inneholde informasjon om behandling av personopplysninger som kan ha særskilt innvirkning på den enkelte eller fremstå som overraskende. Datatilsynet har veiledning i utforming av personvernerklæringer.
Alle har rett til å be om innsyn i data som er lagret om en. Å benytte seg av denne retten skal være gratis, men selskapet kan ta administrasjonsgebyr dersom den som ber om innsyn forlanger mer enn en kopi. Det finnes noen unntak for innsynsrett, men den er ikke viktig her. Datatilsynet har også informasjon om retten til innsyn.
Alle typer opplysninger skal spesifiseres i detalj. Alle personer skal informeres og gi sin tillatelse når det samles inn informasjon om dem. Alle personer eier sine egne data og kan når som helst forlange innsyn i dem og forlange dem slettet. Det skal dokumenteres at alle persondata oppbevares sikkert. Dersom personopplysninger kommer på avveie, skal personen og relevante myndigheter umiddelbart informeres. Det er forbudt å bruke opplysningene til andre formål enn de opprinnelig er innsamlet for og å kombinere informasjon innhentet for et formål til et nytt formål uten å innhente tillatelse fra personen det gjelder.
Dersom selskapet bare har standard opplysninger om egne ansatte og opplysninger som er nødvendig for kunne utføre transaksjoner med kunder og/eller samarbeidspartnere og har spesifisert personinnhentingen i henhold til kravene for generell innhenting er det meste på plass som kreves for å rapportere. Når det gjelder lagring er det i små virksomheter ok med lagring på PC eller i skyen. Rapporten skal verifiseres av «selskapets øverste ledelse», som kanskje er deg, og detaljene fra rapporten innarbeides i «selskapets styrende dokumenter». Vurderingen skal gjentas når det skjer endringer i formål og/eller datainnsamling. Men også i slike selskaper må data som ikke er nødvendige lenger slettes f.eks. data om ansatte som slutter, og data fra andre relasjoner som ikke lenger er aktive.
Driver selskapet ditt med mer avansert bruk av data blir rapporteringen mer krevende. Selskaper som arbeider med helserelaterte forhold i vid forstand og selskaper som driver tilsvarende innenfor markedsføring f.eks. som bruker data om bruks- og kjøpsmønstre, om personers og selskapers interaksjoner, om personers preferanser etc. må gjennomføre en GDPR-analyse. Denne skal gjennomføres av kvalifisert personale, som gis alle nødvendige tilganger til informasjon. Selskapets øverste ledelse skal være ansvarlig for analysen. Hvem som kan regnes som kvalifiserte GDPR-rådgivere er ikke helt klart. Offentlige instanser skal alle ha en personvernansvarlig og dette er oftest en advokat. Bedrifter og organisasjoner kan utnevne en person med dokumenterte kvalifikasjoner, oftest advokater, IT- personell el. De kan få disse registrert i Datatilsynets register og de vil da kunne motta tilbud om kursing, etc. Denne fremstillingen er basert på en presentasjon utarbeidet av styremedlem Reinert Seland i Tekna Egen bedrift. Han har fulgt kurs på BI.
Til grunn for GDPR-analysen skal ligge en DPIA, en utfylt sjekkliste som gir oversikt over hvilke data virksomheten forvalter og hvordan de brukes og lagres. Med denne som utgangspunkt skal man i analysen vurdere datasikkerhet, personvern, ansvarsdeling internt, leverandørkontrakter, tillatelser og innfrielse av myndighetskrav samt hvordan analysen skal inkorporeres i selskapets styringsdokumentasjon.
Har du behov for flere råd, eller kanskje en mentor, for å komme i gang, er du som Tekna medlem velkommen, uten forpliktelser, i fellesskapet Tekna Egen bedrift. Andre råd om det å etablere og drive egen virksomhet finner du i blogginnleggene «Bør du starte egen virksomhet?» , «Jobb smart» og «Egenkapital i virksomheten».
