GDPR fyller 5 år – Har din virksomhet kontroll over behandlingen av personopplysningene?
GDPR trådte i kraft 25. mai 2018 i EU. Personvernet ble satt i fokus og fikk økt beskyttelse, til gode for oss alle sammen. Riktignok har GDPR skapt en del hodebry for virksomheter flest. Da regelverket kom, fikk mange hastverk med å få på plass dokumentasjon og rutiner som sikrer at personopplysningene blir håndtert på en trygg og lovlig måte. Disse rutinene skal imidlertid ikke kun være dokumenter i en skuff. De skal være levende og i bruk av virksomheten. Kan det være på tide å ta en ny gjennomgang av behandlingen av personopplysninger i din virksomhet?
Siden 2018 kan det ha skjedd endringer i hvordan personopplysninger behandles i din virksomhet. For eksempel kan dere ha investert i et nytt CRM-system som gir dere oversikt over kundene deres, eller nye IT-leverandører som sørger for at tjenestene deres har blitt enda bedre. 5-årsjubileet til GDPR er en god anledning til å kontrollere at dere har tilstrekkelig dokumentasjon og rutiner på plass.
I Berngaard bistår våre advokater jevnlig små og mellomstore virksomheter med å holde kontroll over innsamling, lagring og bruk av personopplysninger. I anledning 5-årsjubileet gir vi fem råd som skal hjelpe dere på veien:
1. Sjekk og oppdater behandlingsprotokollen
Behandlingsprotokollen skal vise en oversikt over all behandling av personopplysninger i virksomheten gjør. Kanskje har dere noen nye formål med behandlingen? Eller dere har tatt i bruk nye IT-systemer? Dette skal beskrives i behandlingsprotokollen. Dersom behandlingen er avsluttet, kan den fjernes fra protokollen.
2. Oppdater personvernerklæringen
Hvis gjennomgangen av behandlingsprotokollen viser at det har skjedd endringer i behandlingen av personopplysninger, må også personvernerklæringen oppdateres. Dette er praktisk å gjøre i sammenheng med oppdateringen av behandlingsprotokollen.
3. Skal noe slettes?
Bruk behandlingsprotokollen eller rutiner for sletting til å kontrollere at personopplysninger som skulle blitt slettet, faktisk har blitt det. Husk også på papirversjoner!
4. Gjennomgå databehandleravtaler
Er databehandleravtalene oppdatert for alle leverandørene man har inngått avtale med? Er det noen leverandøravtaler som mangler databehandleravtale? Bruk denne gjennomgangen som en fin mulighet til å få oversikt over alle avtalene i virksomheten.
5. Oppfriskningskurs for de ansatte
Virksomheten er avhengig av at de ansatte kan følge rutinene man har vedtatt for å håndtere personopplysninger. Et kurs for de ansatte frisker opp kunnskapene om rutinene og hjelper til å bygge generell kompetanse om forsvarlig håndtering av personopplysninger.
