De fem vanligste bruddene på GDPR

Fem personvernfeil det er lett å avdekke

GDPR EU Personal Data Protection

Finn fem feil: Advokat Jan Sandtrø i DLA Piper avdekker de vanligste bruddene på EUs nye personvernregler, GDPR. FOTO: DLA Piper

GDPR-ekspert og advokat Jan Sandtrø i DLA Piper lister opp de fem punktene bedrifter vanligvis gjør feil rundt EUs nye personvernlov, GDPR.

 

Innen 25. mai 2018 må alle selskaper i Norge (og Europa) følge reglene i personvernforordningen (GDPR) og i den nye personvernloven.

DLA Piper hjelper selskaper i å vurdere om de behandler personopplysninger etter de nye reglene, og her er de fem vanligste bruddene på de nye personvernreglene advokatene avdekker.

 

1. Virksomheten har ikke oversikt over all behandling av personopplysninger.

DLA Piper erfarer at selskaper ikke har god nok kontroll på og oversikt over alle personopplysninger de behandler. Dermed vil man ikke få en vurdering av om all behandling er i overensstemmelse med reglene, og om det foreligger grunnlag for behandlingen. Dette gjelder både personopplysninger som behandles i virksomheten, og som databehandlere (leverandører av IT-/datatjenester) forestår. Spesielt gjelder dette også om personopplysninger overføres til tredjeparter, som da vil bli nye behandlingsansvarlige. Noe av utfordringene skyldes manglende forståelse av hva "personopplysninger" og "behandling" er, og at disse begrepene er meget vide – de omfatter det meste som involverer opplysninger som kan kobles til enkeltpersoner.

 

2. Manglende vurderinger og tilhørende dokumentasjon.

Når man har oversikt over all behandling i selskapet, må det vurderes om behandlingen av personopplysninger er lovlig, det vil si at det foreligger et behandlingsgrunnlag etter personvernforordningen. Det er forekommer at det er behandlinger som det ikke er vurdert behandlingsgrunnlaget på, og selskapene er derfor ikke sikre på om behandlingen er lovlig. Ofte foreligger det heller ikke dokumentasjon på at slik vurdering er foretatt. Er det usikkerhet ved behandling eller grunnlag, bør det dokumenteres at det i hvert fall er foretatt en vurdering. Benyttes samtykke fra de registrerte som grunnlag for behandling, må det dokumenteres at samtykke er innhentet. Slik dokumentasjon mangler også ofte.

 

3. Manglende rutiner og prosedyrer.

Det er en del rutiner og prosedyrer som skal være på plass for at man skal overholde kravene til internkontroll etter personvernforordningen. Dette gjelder spesielt manglende rutiner for å gi informasjon til de registrerte enten personopplysninger samles inn fra den registrerte eller opplysninger innhentes eller mottas fra tredjeparter. Det skal også være rutiner på plass for varsling av brudd på sikkerheten for opplysningene, håndtering av innsynskrav fra registrerte, registrering og dokumentasjon av ny behandling, osv.

 

4. Manglende databehandleravtale.

Overlates det personopplysning for behandling hos en annen virksomhet, for eksempel at man bruker skytjenester til lagring, så skal det foreligge en databehandleravtale. Etter personvernforordningen stilles det også klarere krav til hva databehandleravtaler skal inneholde. Mange selskaper har ikke inngått databehandleravtaler med databehandlere, og dersom avtale er inngått, så er det ikke kontrollert at avtalen dekker lovens krav. Se mer om de nye kravene til databehandleravtale her.

 

5. Overføring av personopplysninger til tredjeland uten lovlig grunnlag.

Personopplysninger kan ikke overføres til (de fleste) land utenfor EU/EØS uten at det foreligger et lovlig grunnlag. Dette gjelder også for skytjenester hvor personopplysninger lagres utenfor EU/EØS. Lovlig grunnlag kan være samtykke fra de registrerte (og det stilles strenge krav til innholdet av samtykket), herunder avtale, bruk av standardavtaler fra EU, overføring til USA etter Privacy Shield-avtalen, eller bruk av Binding Corporate Rules. Foreligger ingen av de nevnte, så er det ikke lovlig å overføre data til land utenfor EU/EØS.

 

De fem punktene over er brudd som det er forholdsvis enkelt å avdekke, og forholdsvis enkelt å utbedre dersom de oppdages. Ulempen er at bruddene også er enkle å avdekke av Datatilsynet ved en kontroll, og de kan føre til bøtelegging. Men har man dekket punktene over, så har man unngått de feilene som forekommer oftest.

 

Jan Sandtrø er advokat og partner i DLA Piper. De fem vanligste bruddene ble først publisert på hans LinkedIn-profil. Her er det flere gode artikler rundt temaet lovgiving og databehandling.

 

Annonse
Annonse

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Andre leser også
Annonse