Den enkeltes rettigheter – og dine plikter – når den nye databeskyttelsesforordningen trer i kraft

Den nye databeskyttelsesforordningen, GDPR, stiller helt nye krav til hvordan vi håndterer personopplysninger. Det betyr at alle personopplysninger som håndteres av virksomheter skal behandles med stor integritet, noe som betyr en stor endring for alle virksomheter – uansett størrelse. Så hva er rettighetene til personen hvis personopplysninger du og din bedrift håndterer – og hva er dine forpliktelser? Her ser vi nærmere på hva forskriften sier, og gir også konkrete eksempler på hva som skal til for at den skal overholdes.

Den nye databeskyttelsesforordningen fokuserer på individets rettigheter

Personer hvis personopplysninger registreres og behandles får utvidede, styrkede og spesifiserte rettigheter i den nye databeskyttelsesforordningen, GDPR, sammenlignet med den gamle personopplysningsloven, PUL. Med behandling av personopplysninger menes all type bruk av disse opplysningene. Rettighetene til den enkelte er som følger:

  1. Rett til informasjon - Den som har personopplysninger registrert har rett til å motta utdrag om dette samt informasjon om når hans eller hennes personopplysninger behandles dersom det blir bedt om det.
  2. Rett til retting – Rett til å få uriktige opplysninger rettet og/eller supplert.
  3. Rett til sletting («retten til å bli glemt») – opplysningene skal på forespørsel fra den personen hvis data er registrert, slettes.
  4. Rett til å begrense behandling - Muligheten til å (i noen tilfeller) kreve at behandlingen av personopplysninger begrenses, dvs. at de kun kan behandles for visse begrensede formål.
  5. Dataportabilitet – Å (i noen tilfeller) ha mulighet til å overføre personopplysninger, for eksempel fra en annen sosial medietjeneste til en annen.
  6. Rett til innsigelse – Retten til (i noen tilfeller) å protestere mot behandlingen av ens personopplysninger.
  7. Automatisert beslutningstaking - Retten til ikke å bli gjenstand for en beslutning basert utelukkende på en eller annen form for automatisert beslutningstaking, dersom avgjørelsen kan få juridiske konsekvenser (eller tilsvarende).
  8. Klager - Den som behandler personopplysninger kan sende inn en klage til Datatilsynet, som deretter vurderer om tilsyn skal settes i gang.
  9. Erstatning – En person som har lidd skade som følge av at hans personopplysninger er behandlet i strid med databeskyttelsesdirektivet kan ha krav på erstatning.

Overholdelse av den nye databeskyttelsesforordningen krever en tydelig kartlegging av personopplysninger

En forutsetning for at du og din bedrift skal kunne leve opp til alle disse forpliktelsene er i første omgang at du har innsikt i hvordan behandlingen av personopplysninger ser ut i dag. Hvis du ikke vet hvor eller hvilke personopplysninger som behandles, kan du for eksempel ikke slette eller endre dem på forespørsel.

En kartlegging av dataene bør inkludere hvilke data som er tilgjengelige, hvilke systemer de er inngått i og hvilke mulige tredjeparter dataene deles med. I tillegg skal alle prosesser rundt ledelsen kartlegges – hele veien fra innsamlingen av dataene til det punktet hvor kunden ikke lenger er din kunde.

Hvor søkbar er din personlige informasjon

Det største (og ofte første) problemet mange møter på dette stadiet er at det er vanskelig å søke etter og identifisere personopplysningene som er registrert. Dette kan skyldes at dokumentene og filene som inneholder personopplysninger er lagret på en slik måte at de ikke kan søkes i – på USB-pinner, lokalt på noens skrivebord, eksterne harddisker og så videre. Eller at systemene som dataene lagres i ikke gir tilstrekkelige søkefunksjoner. Systemene bør bygges opp på en slik måte at de samsvarer med kravene som stilles av GDPR – det som kalles privacy by design .

Ny databeskyttelsesforordning – ikke en Y2K-feil

Når personopplysningene først er kartlagt, ligger problemene ofte i hvordan rutiner og prosesser skal utformes i tilfeller der en registrert enkeltperson motsetter seg bruk av sine personopplysninger, ønsker å bli glemt eller å få utdrag og så videre. Problemet her ligger derfor i hvordan man implementerer det i praksis.

At det er kratt å komme frem til hvordan prosessene skal gjennomføres er bare fornavnet. Her ser det veldig forskjellig ut fra selskap til selskap med tanke på hvor langt de har kommet i arbeidet med å forberede GDPR. Dette avhenger igjen ofte av om konsekvensene av innføringen av personvernforordningen tas på alvor eller ikke. Noen tror fortsatt at dette er en slags «millennial bug» – en dommedagsprofeti som aldri vil spille sin rolle. Sannheten er imidlertid at GDPR vil bety en større justering enn de fleste kanskje forestiller seg. EU har stilt krav om lovendringer til medlemslandene, som betyr at rundt 100 svenske lover må omskrives til fordel for databeskyttelsesdirektivet.

Å ta hjelp utenfra

Kartlegging og implementering er ikke ukomplisert og svært få virksomheter har eksperter med inngående kjennskap til den nye databeskyttelsesforordningen i sine ansatte som kan sørge for at ingen deler av arbeidet blir oversett. Derfor er utdanning selvsagt en god start for å skape oversikt over hva som kreves for å overholde databeskyttelsesforordningen.

Neste steg kan være å diskutere på en uttømmende måte med en ekstern part hvordan dagens situasjon ser ut, for å finne ut hva konkret som må gjøres - for eksempel en workshop . Et slikt verksted bør resultere i en rapport eller sjekkliste som tydelig viser hvilke deler som for øyeblikket fungerer i henhold til GDPR, og hva som gjenstår å følge fullt ut i forskriften. Den skal også fortelle i hvilken rekkefølge arbeidet med å få på plass de resterende delene skal foregå og gi forslag til hvilke løsninger som finnes.

Mange tilbydere som hevder å tilby hjelp før GDPR kommer til kort med å tilby noen konkrete løsninger. Ofte er det i stedet et spørsmål om å få deg og dine kollegaer til å forstå hvor omfattende arbeidet er. Tar du hjelp utenfra bør du derfor sørge for at løsningene er til praktisk og ikke bare rådgivende hjelp. Finn ut om din leverandør for eksempel kan tilby en eller annen type tekniske løsninger som kan integreres med IT-plattformen du allerede bruker. Sørg for at løsningene er oversiktlig pakket og skalerbare – ikke betal for mer enn du faktisk trenger. Sørg også for at din leverandør tydelig kan vise hva det forventede resultatet av et samarbeid blir.

Robert Veberg
Robert Veberg

Teknisk leder - Microsoft Modern Workplace

040-626 75 81robertveberg@wesafe.se

Inspirasjon og kunnskap direkte til innboksen din

Meld deg på vårt månedlige inspirasjonsbrev som gir deg tips, innsikt og råd om nye måter å jobbe på, prosesser og sikkerhet knyttet til Microsoft 365, Azure og ulike verktøy i Microsofts skyplattform.

Gratis sikkerhetsanalyse av ditt Microsoft 365-miljø

Gratis sikkerhetsanalyse

Få konkrete og solide tips til hvordan du bedre kan beskytte organisasjonen din

Les mer og bestill

Interessert i andre bloggartikler fra WeSafe?

Vil du vite hvordan vi kan hjelpe din virksomhet med å vokse med Microsofts skytjenester? Ta kontakt så forteller vi deg mer!