Individuelle rettigheter - og dine plikter - når den nye personvernforordningen trer i kraft

Ny personvernforordning fokuserer på individuelle rettigheter

Enkeltpersoner som får sine personopplysninger registrert og behandlet, har fått utvidede, styrkede og spesifiserte rettigheter i den nye personvernforordningen (GDPR) sammenlignet med den gamle personopplysningsloven (PUL). Med den nye personvernforordningen har behandling av personopplysninger betyr enhver bruk av disse opplysningene. Rettighetene til den enkelte er som følger:

1. Rett til informasjon - Den som har personopplysninger registrert, har rett til å få et utdrag av dem og informasjon om når personopplysningene behandles, hvis han eller hun ber om det.
2. Rett til retting - Retten til å få uriktige opplysninger rettet og/eller utfylt.
3. Rett til sletting ("rett til å bli glemt") - opplysningene skal slettes på anmodning fra den registrerte.
4. Rett til begrensning av behandling - muligheten til å kreve (i visse tilfeller) at behandlingen av personopplysninger begrenses, dvs. at de kun behandles for visse begrensede formål.
5. Dataportabilitet - muligheten (i noen tilfeller) til å overføre personopplysninger, for eksempel fra en sosial medietjeneste til en annen.
6. Rett til å protestere - Retten til å protestere (i visse tilfeller) mot behandling av personopplysninger.
7. Automatiserte avgjørelser - Retten til ikke å bli gjenstand for en avgjørelse som utelukkende er basert på en eller annen form for automatisert beslutningstaking, hvis avgjørelsen sannsynligvis vil få rettsvirkninger (eller tilsvarende).
8. Klager - Alle som får personopplysninger behandlet, kan sende inn en klage til Datatilsynet, som deretter vurderer om det skal iverksettes tilsyn.
9. Erstatning - En person som har lidd skade som følge av behandling av personopplysninger i strid med personverndirektivet, kan ha rett til erstatning.

Etterlevelse av den nye personvernforordningen krever tydelig kartlegging av personopplysninger.

En forutsetning for at du og din bedrift skal kunne oppfylle alle disse forpliktelsene, er først og fremst at du har innsikt i den aktuelle behandlingen av personopplysninger. Hvis du for eksempel ikke vet hvor eller hvilke personopplysninger som behandles, kan du ikke slette eller endre dem på forespørsel.

En datakartlegging bør omfatte hvilke data som finnes, hvilke systemer de er lagt inn i og eventuelle tredjeparter som dataene deles med. I tillegg må alle prosessene som er involvert i håndteringen av dataene, kartlegges - helt fra innsamlingen av dataene til kunden ikke lenger er kunde hos deg.

Hvor søkbare er personopplysningene dine?

Det største (og ofte første) problemet som mange støter på i denne fasen, er at det er vanskelig å søke etter og identifisere personopplysningene som er lagret. Det kan skyldes at dokumentene og filene som inneholder personopplysninger, er lagret på en slik måte at de ikke er søkbare - på USB-minnepinner, lokalt på skrivebordet på noens datamaskin, eksterne harddisker og så videre. Eller systemene som dataene er lagret i, har ikke tilstrekkelige søkemuligheter. Systemene bør være strukturert på en slik måte at de oppfyller kravene i personvernforordningen - det som er kjent som innebygd personvern.

Ny personvernforordning - ikke en Y2K-feil?

Når personopplysningene først er kartlagt, ligger problemene ofte i utformingen av prosedyrer og prosesser i tilfeller der den registrerte motsetter seg bruk av personopplysningene, ønsker å bli glemt eller motta utdrag osv. Problemet her er altså hvordan dette skal gjennomføres i praksis.

At det er en jungel å finne ut hvordan prosessene skal implementeres, er bare fornavnet. Her ser det veldig forskjellig ut fra selskap til selskap når det gjelder hvor langt de har kommet i arbeidet med å forberede seg på GDPR. Dette avhenger i sin tur ofte av om man tar konsekvensene av innføringen av personvernforordningen på alvor eller ikke. Noen tror fortsatt at dette er en slags "millennium bug" - en dommedagsprofeti som aldri vil slå til. Sannheten er imidlertid at personvernforordningen vil innebære større endringer enn de fleste er klar over. EU har krevd lovendringer i medlemslandene, noe som innebærer at rundt 100 svenske lover må skrives om til fordel for personverndirektivet.

Innhente hjelp utenfra

Kartlegging og implementering er ikke enkelt, og de færreste selskaper har eksperter med inngående kunnskap om den nye personvernforordningen i staben som kan sikre at ingen deler av arbeidet blir oversett. Derfor er opplæring selvsagt en god start for å skape en oversikt over hva som kreves for å overholde GDPR.

Neste skritt kan være å diskutere dagens situasjon i detalj med en ekstern part for å finne ut hva som må gjøres, for eksempel gjennom en workshop. En slik workshop bør munne ut i en rapport eller sjekkliste som tydelig viser hvilke deler som i dag fungerer i henhold til GDPR, og hva som gjenstår for å oppfylle forordningen fullt ut. Den bør også angi i hvilken rekkefølge arbeidet med å få de resterende delene på plass bør gjøres, og foreslå hvilke løsninger som er tilgjengelige.

Mange leverandører som påstår at de kan hjelpe deg med GDPR, tilbyr ingen konkrete løsninger. I stedet handler det ofte om å få deg og dine kolleger til å forstå omfanget av arbeidet. Hvis du henter inn ekstern hjelp, bør du derfor sørge for at løsningene er praktiske og ikke bare rådgivende. Finn for eksempel ut om leverandøren kan tilby tekniske løsninger som kan integreres med IT-plattformen dere allerede bruker. Sørg for at løsningene er oversiktlige og skalerbare - ikke betal for mer enn du faktisk trenger. Sørg også for at leverandøren tydelig kan vise hva som er det forventede resultatet av et samarbeid.