Når en virksomhet behandler personopplysninger, må behandlingen skje i tråd med en rekke personvernprinsipper. Virksomheten må dokumentere at de har en internkontroll som sikrer at prinsippene etterleves. Ved et eventuelt tilsyn må virksomheten fremlegge denne dokumentasjonen for Datatilsynet. Å kunne fremvise dokumentasjon for Datatilsynet, bør ikke være den eneste grunnen til at en virksomhet tar kravet om internkontrollen på alvor. Dersom virksomheten har en skikkelig internkontroll, viser virksomheten at de tar personvern på alvor overfor ansatte, brukere, kunder og samarbeidspartnere.
I denne artikkelen skal vi gi en oversikt over den viktigste personverndokumentasjonen en virksomhet må ha på plass.
Protokoll over behandlingsaktiviteter
Alle virksomheter med mer enn 250 ansatte skal føre en protokoll over alle personopplysninger de behandler. I protokollen skal formål og behandlingsgrunnlag være ført opp for hver enkelt personopplysning. Selv om virksomheter med under 250 ansatte ikke har plikt til å føre en slik protokoll, skal de som ledd i internkontrollen kartlegge personopplysningene de behandler. Det er derfor et godt råd at alle virksomheter, uavhengig av hvor mange ansatte de har, lager en protokoll over alle personopplysninger de behandler hvor formål og behandlingsgrunnlag anføres.
Et sentralt punkt i protokollen er hvilket behandlingsgrunnlag virksomheten har for behandlingen, eksempelvis om det er avtale, samtykke, lov, interesseavveining eller annet grunnlag. For behandlingsgrunnlagene samtykke og interesseavveining, må behandlingsansvarlig dokumentere at vilkårene for å bruke disse grunnlagene er oppfylt. Når samtykke er brukt som grunnlag, skal virksomheten blant annet dokumentere at samtykke er gitt. Dersom virksomheten bruker interesseavveining som grunnlag, må den bevise at de faktisk har foretatt en vurdering av hensynet til virksomhetens behov for å bruke personopplysningen sett opp mot den registrertes personvern.
Risiko- og sårbarhetsanalyse og rutiner
Et viktig element i internkontrollen er at alle virksomheter som behandler personopplysninger skal gjøre en risiko- og sårbarhetsanalyse, (ROS-analyse), av hva som er risikoen for uønskede sikkerhetshendelser på personvernområdet og hvilken konsekvens slike hendelser har for de registrerte.
Sticos har nettkursene du trenger innen personvern
ROS-analysen skal resultere i en handlingsplan med tiltak som er nødvendig for å sikre personvernrettighetene til de registrerte. For å sikre etterlevelse av GDPR må virksomheten lage en rekke skriftlige rutiner.
Her er eksempler på rutiner virksomheten bør utarbeide:
- rutiner for sletting av personopplysninger,
- retningslinjer for hvordan behandling av personopplysninger skjer, eksempelvis hvordan virksomheten sikrer at virksomheten har formål og behandlingsgrunnlag,
- sjekkliste når ansatte slutter, (tilgangsstyring, sletting av personopplysninger virksomheten ikke lenger kan beholde, sletting av e-postkasse m.m.)
- årlig gjennomgang av personalmappe og
- rutiner for innsynsbegjæringer.
Informasjonssikkerhet
En sentral plikt etter GDPR er at virksomhetene må sørge for tilstrekkelig informasjonssikkerhet for personopplysningene de behandler. Virksomheten må sikre at uvedkommende ikke får tilgang til opplysningene, at opplysningene ikke blir utilsiktet endret eller slettet, samtidig som opplysningene skal være tilgjengelig når virksomheten trenger de.
For å sørge for at dette sentrale kravet blir etterlevd, må virksomheten lage en rekke rutiner for informasjonssikkerhet. Eksempler på slike er; retningslinjer for tilgangsstyring, rutiner for kryptering av visse typer personopplysninger, sjekkliste for informasjonssikkerhet hos leverandør og rutiner for innsyn i ansattes e-postkasse og private filer. En annen sentral rutine på dette området er IT-sikkerhetsrutine. Eksempelvis kan slik rutine omhandle bruk av sikre IT-løsninger, tips til hvordan lage sikkert passord, privat bruk av virksomhetens tekniske løsninger m.m.
Databehandleravtale
Dersom en virksomhet lar en annen virksomhet behandle personopplysninger på vegne av virksomheten, eksempelvis en regnskapsfører, IT-systemleverandør eller leverandør av HR-tjenester, skal det foreligge en databehandleravtale mellom partene og avtalen skal dokumenteres.
Avvik
Som ledd i internkontrollen må virksomheter ha et avvikssystem som fanger opp brudd på personvernforordningen, rutiner for avviksbehandling og eventuelle personvernbrudd må dokumenteres.
Personvernerklæring
Den registrerte skal ha informasjon om hvilke personopplysninger virksomheten behandler, hva som er grunnlaget for behandlingen og hvilke rettigheter den registrerte har. I praksis løses dette informasjonskravet ofte med en skriftlig eller digital personvernerklæring, men informasjonen kan også gis i video, illustrasjon m.m.
Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Meld deg på vårt nyhetsbrev og følg Sticos på Facebook og LinkedIn