GDPR

GDPR står for General Data Protection Regulation. Formålet er å beskytte enkeltpersoners rett til privatliv og kontroll over egne opplysninger.

Personopplysninger er enhver informasjon som kan knyttes til en identifiserbar person – for eksempel:

• Navn, e-post og telefonnummer
• IP-adresse og bruksmønster på nettsider
• Lønn, sykefravær og personaldata
• Helseopplysninger og andre sensitive data

De fleste virksomheter behandler personopplysninger daglig – ofte uten å ha full oversikt.

Alle virksomheter – små og store – som behandler personopplysninger, må følge regelverket. Det gjelder både private selskaper, organisasjoner og offentlige virksomheter.

GDPR krever blant annet at virksomheten:

• Har et rettslig grunnlag for behandlingen
• Dokumenterer hvilke opplysninger som behandles og hvorfor
• Har databehandleravtaler med leverandører
• Sørger for tilfredsstillende informasjonssikkerhet
• Har rutiner for sletting og avvikshåndtering

Mange tror GDPR primært gjelder store konsern. Det stemmer ikke. Små og mellomstore virksomheter er like fullt omfattet – og ofte mer sårbare ved tilsyn.

Schrems II-dommen fra EU-domstolen i 2020 endret praksis for overføring av personopplysninger til tredjeland, særlig USA.

Dette påvirker bruk av:

• Skytjenester
• Analyseverktøy
• Internasjonale IT-leverandører

Det er ikke lenger tilstrekkelig å vise til standardkontrakter alene. Virksomheten må gjøre en konkret risikovurdering og eventuelt iverksette supplerende tiltak.

GDPR gir den registrerte sterke rettigheter, blant annet:

• Rett til innsyn
• Rett til retting
• Rett til sletting
• Rett til begrensning av behandling
• Rett til dataportabilitet
• Rett til å protestere

Virksomheter må ha rutiner for å håndtere slike krav innen lovens frister.

Et personvernbrudd kan være:

• Uautorisert tilgang til data
• Feilsending av e-post med sensitive opplysninger
• Manglende sletting
• Ulovlig bruk av personopplysninger

Konsekvensene kan være betydelige:

• Administrative gebyrer fra Datatilsynet
• Erstatningskrav
• Tap av tillit i markedet

I tillegg krever regelverket at alvorlige brudd meldes innen korte frister.

Arbeidsgivere behandler store mengder personopplysninger om ansatte. Dette gjelder blant annet:

• Personalmapper
• Lønn og HR-systemer
• E-post og IT-logging
• Kameraovervåkning

Feil håndtering kan føre til både tilsyn og arbeidsrettslige konflikter. En gjennomgang av rutiner og avtaler kan redusere risiko betydelig.

Mange virksomheter opplever at de:

• Mangler full oversikt over behandlingsaktiviteter
• Bruker leverandører uten tilstrekkelige databehandleravtaler
• Har utdaterte personvernerklæringer
• Ikke har vurdert overføringer til tredjeland
• Mangler dokumentasjon ved kontroll

Slike forhold blir ofte først avdekket ved klage eller tilsyn.

GDPR er et komplekst regelverk med både juridiske og tekniske sider. Mange virksomheter tror de har kontroll – helt til det oppstår en klage, et tilsyn eller et brudd.

En advokat med kompetanse innen personvern kan:

• Gjennomgå rutiner og systemer
• Kartlegge risiko og sårbarhet
• Utarbeide eller kvalitetssikre databehandleravtaler
• Bistå ved tilsyn og tvister
• Håndtere erstatningskrav

Jo tidligere juridiske vurderinger gjøres, desto mindre er risikoen for kostbare feil.

GDPR handler ikke bare om etterlevelse. Det handler om tillit, forretningskritisk risikostyring og ansvarlig drift.

Er du usikker på om din virksomhet oppfyller kravene?

Ta kontakt med oss. Vi hjelper deg med en konkret vurdering av din situasjon – og sørger for at personvernarbeidet er juridisk forankret og praktisk gjennomførbart.