Choose language

Innhold

  • Hvem GDPR gjelder for
  • Hva reglene innebærer
  • Hvordan du kan dokumentere etterlevelse
  • En enkel måte å få hjelp med GDPR
  • Spørsmål og svar om GDPR


Hva er personvernforordningen (GDPR) og hvem gjelder den for?

GDPR gjelder for:

  • Alle virksomheter som behandler personopplysninger i EU/EØS
  • Alle som tilbyr varer eller tjenester til, eller overvåker personer i EU

Det gjelder både offentlige myndigheter, private selskaper og frivillige organisasjoner. Unntakene er få – GDPR berører de fleste.


 

GDPR-regler i praksis: Hva kreves og hvordan kommer du i gang?

For å følge GDPR trygt og enkelt må virksomheten:

  • Ha full oversikt over hvilke personopplysninger dere behandler
  • Sørge for et gyldig rettslig grunnlag for hver behandling
  • Dokumentere hvordan dere følger regelverket
  • Gi ansatte opplæring og etablere rutiner for sikkerhet, risikovurderinger og internkontroll

Det handler ikke bare om å unngå sanksjoner – men om å bygge tillit, redusere risiko og sikre en robust, etterrettelig virksomhet.

Men å få kontroll på alt krever mer enn gode intensjoner. Det krever tid, kompetanse og struktur.

Med vår løsning får dere akkurat det – uten å måtte bygge alt selv. Personvern as a Service gir dere tilgang til praktiske verktøy, klare retningslinjer og støtte fra erfarne eksperter.

Se hvordan dere kan få full kontroll på personvernet, enklere og raskere ved å booke en demo. 

 

Har du kontroll på GDPR-kompetansen i virksomheten?

GDPR handler ikke bare om å vite hva regelverket sier – det handler om å kunne bruke det i praksis. For å sikre etterlevelse må både ledelse og ansatte ha oppdatert kunnskap, praktiske ferdigheter og klare rutiner.
Still dere selv disse spørsmålene:

  1. Har ansatte fått opplæring – og vet de hva det betyr i praksis?
  2. Forstår de hvordan GDPR påvirker hverdagen i deres rolle?
  3. Kan dere dokumentere opplæringen overfor Datatilsynet?
  4. Har dere en plan for å holde kompetansen oppdatert?
  5. Er personvernombudet involvert i det daglige arbeidet?

Manglende forståelse og rutiner kan føre til feil som koster – både økonomisk og omdømmemessig.

Ta en titt på vår sjekkliste for GDPR, og se hvordan dere raskt kan komme i gang med mer systematisk og kompetansebasert personvernarbeid.

God kompetanse er grunnmuren – men den må følges opp med struktur og dokumentasjon. Neste steg er å sikre at all behandling av personopplysninger er oversiktlig og dokumentert i en behandlingsprotokoll.

 

Er personopplysningene deres dokumentert i en behandlingsprotokoll?

De fleste virksomheter er etter artikkel 30 i GDPR forpliktet til å føre en protokoll over behandling av personopplysninger. Dette kalles gjerne en behandlingsprotokoll.


Protokollen skal gi oversikt over:

  • Hvilke personopplysninger dere behandler
  • Formålet med behandlingen
  • Hvilket rettslig grunnlag dere bruker
  • Hvem som er ansvarlig
  • Eventuelle databehandlere eller overføringer til tredjeland

En oppdatert og fullstendig behandlingsprotokoll er ikke bare et lovkrav – den er også et viktig styringsverktøy. Den hjelper dere med å:

  1. Få bedre intern kontroll
  2. Dokumentere etterlevelse overfor Datatilsynet
  3. Jobbe systematisk med personvern og risikoredusering


For mange kan det være tidkrevende og tungvint å holde protokollen oppdatert manuelt. 

Med en digital løsning blir det enklere å holde oversikten, inkludere riktig informasjon og oppdatere ved endringer.

Vil du se hvor enkelt det kan være i praksis?

Kontakt oss og se hvordan en digital behandlingsprotokoll kan forenkle arbeidet. 

Lær mer: 

5 smarte tips for å lage en god protokoll behandlingsprotokollen
Slik holder du protokollen oppdatert over tid

 

Når må dere gjøre en konsekvensvurdering (DPIA)?

Når dere planlegger en ny behandling av personopplysninger – for eksempel ved bruk av ny teknologi eller endring av formål – må dere vurdere risikoen for enkeltpersoners rettigheter og friheter. Dette gjøres gjennom en vurdering av personvernkonsekvenser, også kjent som en DPIA (Data Protection Impact Assessment).

En DPIA er ikke valgfri – den er pålagt i GDPR artikkel 35 når:

  • Det er høy risiko for de registrerte

  • Det brukes ny teknologi

  • Det skjer systematisk overvåking

DPIA er et verktøy for å avdekke og håndtere risiko før personopplysningene begynner å flyte – og for å vise at dere har kontroll.

Noen typer behandling krever en DPIA, mens andre situasjoner bør vurderes med samme grundighet.

Kom i gang med DPIA (konsekvensvurderingen) i dag. 

Hvilket rettslig grunnlag har dere for å behandle personopplysninger?

For at det skal være lovlig å behandle personopplysninger, må dere ha et rettslig grunnlag – også kalt behandlingsgrunnlag. Det betyr at minst ett av vilkårene i GDPR artikkel 6 må være oppfylt. Dette er en helt grunnleggende forutsetning for at virksomheten i det hele tatt skal kunne behandle personopplysninger.

De rettslige grunnlagene i GDPR artikkel 6 er:

  • Samtykke – Den registrerte har gitt samtykke til behandling for ett eller flere spesifikke formål.

  • Avtale – Behandlingen er nødvendig for å oppfylle en avtale med den registrerte, eller for å gjennomføre tiltak før en avtale inngås.

  • Rettslig forpliktelse – Behandlingen er nødvendig for å oppfylle en juridisk forpliktelse.

  • Vitale interesser – Behandlingen er nødvendig for å beskytte liv eller helse til den registrerte eller en annen person.

  • Allmenn interesse eller offentlig myndighet – Behandlingen skjer som del av en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet.

  • Berettiget interesse – Behandlingen er nødvendig for en berettiget interesse, med mindre den registrertes rettigheter og friheter veier tyngre – særlig hvis det gjelder barn.

Forskjellige situasjoner krever ulike grunnlag. Det viktigste er at grunnlaget passer til formålet, og at det er riktig fra start. Du kan nemlig ikke bare bytte grunnlag i etterkant uten å informere den registrerte – derfor er det avgjørende å gjøre en grundig vurdering før dere setter i gang.

For å sikre at vurderingen av rettslig grunnlag blir grundig, dokumentert og konsekvent, kan det være lurt å bruke et verktøy som hjelper dere gjennom prosessen steg for steg. Med riktig støtte er det enklere å ta informerte valg, dokumentere dem korrekt og unngå risiko for feil eller mangler i etterkant.

Lær mer:

Guide: Er berettiget interesse et passende rettslig grunnlag?

 

Hva kreves for et gyldig samtykke?

Et samtykke innebærer kort sagt at en person selv har sagt ja til at vedkommendes personopplysninger blir behandlet. En vanlig misforståelse er at det alltid kreves samtykke for å behandle personopplysninger, men i mange tilfeller er det ikke passende eller engang mulig å basere behandlingen på samtykke.

Et samtykke skal ifølge GDPR være en «frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende» (artikkel 4 (11) i GDPR).

En av forutsetningene for et gyldig samtykke er at den behandlingsansvarlige kan vise at den registrerte har fått tydelig informasjon og har gjort et fritt, aktivt valg om å samtykke.

 

Alt du trenger for å lykkes med GDPR – på ett sted

Med Visma Draftits løsning får du den optimale kombinasjonen av digitale verktøy, faglig veiledning og strukturert metodikk. Det er mer enn bare støtte – du får en langsiktig partner i personvernarbeidet.

Vi tilbyr:

  • Digitale verktøy for enkel og effektiv etterlevelse
  • E-læring og opplæring som bygger intern kompetanse
  • Juridisk rådgivning når det kreves ekstra trygghet

Book en demo i dag, så viser vi deg hvordan vi kan hjelpe deg og din virksomhet å holde regelverket.

 

Ofte stilte spørsmål om personvernforordningen og GDPR

 

Hva betyr det at GDPR bygger på prinsippet om ansvarlighet?

Ansvarlighet betyr at virksomheten ikke bare skal etterleve regelverket – men kunne vise og bevise at de gjør det. Dette prinsippet, forankret i artikkel 5 (2) i GDPR, gjennomsyrer hele forordningen og stiller krav til dokumentasjon, struktur og kontroll.

Hva er de grunnleggende prinsippene i GDPR?

De grunnleggende prinsippene i artikkel 5 utgjør kjernen i GDPR og er grunnlaget for all behandling av personopplysninger:

  • Lovlighet, rettferdighet og åpenhet
  • Formålsbegrensning
  • Dataminimering
  • Riktighet
  • Lagringsbegrensning
  • Integritet og konfidensialitet
  • Ansvarlighet

Brudd på disse prinsippene anses som alvorlige og kan gi sanksjoner i den høyeste gebyrkategorien.

Hvilket rettslig grunnlag behandler dere personopplysninger på?

Enhver behandling av personopplysninger må ha et rettslig grunnlag i bunn. De rettslige grunnlagene i artikkel 6 i GDPR er:

  • Samtykke: Den registrerte har gitt sitt samtykke for ett eller flere spesifikke formål.
  • Avtaleforhold: Nødvendig for å oppfylle en avtale med den registrerte.
  • Rettslig forpliktelse: Nødvendig for å oppfylle en lovpålagt plikt.
  • Vitale interesser: For å beskytte liv eller helse.
  • Offentlig myndighetsutøvelse / allmennhetens interesse.
  • Berettiget interesse: Når virksomheten har en legitim interesse som ikke overstyres av den registrertes rettigheter.

Du kan ikke bytte rettslig grunnlag i ettertid uten å informere de registrerte. Derfor er det avgjørende å velge riktig fra start.

Lær mer:

Hva regnes som et brudd på personopplysningssikkerheten?

Et brudd betyr at personopplysninger har blitt utsatt for risiko som følge av en sikkerhetshendelse – enten med vilje eller ved uhell. Eksempler på brudd:

  • Data er slettet eller ødelagt ved et uhell
  • Data er endret eller tapt
  • Data er lekket, publisert eller tilgjengeliggjort for uvedkommende

Et faktisk brudd må meldes til Datatilsynet, og i noen tilfeller til de registrerte.

Lær mer:

Trenger dere et personvernombud?

Dere må utnevne et personvernombud dersom virksomheten:

  • Er en offentlig myndighet eller organ
  • Driver systematisk og omfattende monitorering av personer
  • Behandler sensitive personopplysninger i stor skala (f.eks. helseopplysninger)

Ombudet skal være uavhengig, ha relevant kompetanse og registreres hos Datatilsynet.

Når er det lov å overføre data til tredjeland?

Overføring til land utenfor EU/EØS (tredjeland) er kun lovlig hvis:

  • EU-kommisjonen har gitt en adekvansbeslutning
  • Det brukes standard personvernbestemmelser (SCC)
  • Det iverksettes supplerende tiltak der det er nødvendig

Hensikten er å sikre at beskyttelsesnivået for personopplysninger ikke svekkes når data krysser landegrenser.

Gjør personvern enkelt – med støtte hele veien

Personvern kan være komplisert, men det trenger ikke å være det. Med Privacy as a Service får dere alt på ett sted: verktøy, e-læring og konsulenthjelp – satt i system. Våre jurister og personvernspesialister lager en tydelig plan og jobber tett med dere for å sikre at dere etterlever kravene i GDPR.Vi tar en aktiv rolle i prosessen, og sørger for at dere ikke bare kommer i mål – men står trygt på egne bein videre. Mange virksomheter har allerede valgt denne løsningen, blant annet Klepp kommune.

Draftit sine verktøy for personvern, kombinert med prosjektledelsen fra deres personvernspesialister, gjorde at vi endelig fikk kontroll i jungelen av registreringer i ulike excel ark.

Irja Marie Stenby

Personvernombud, Klepp Kommune