Fristen for GDPR kan bli utsatt til juli 2018
Det er mye som tyder på at at fristen for GDPR utsettes til juli 2018. Dette skyldes ikke norske forsinkelser, men konstitusjonelle forhold i Liechtenstein som kan forsinke EØS-avtalen i følge Aftenposten. Årsaken er at GDPR kan ikke bli en del av avtalen før alle EFTA-landene har godkjent den, og i miniputtlandet med 37.000 innbyggere gjelder en måneds frist for den som vil kreve folkeavstemning.
Mange bedrifter stresser for å nærme seg den tidligere omtalte fristen 25. mai. Men den er altså utsatt – og den mest sannsynlige datoen er 1. juli, heter det i Aftenpostens oppslag. De siterer også Gry Hvidsten som er Specialist Councel i advokatfirmaet Wikborg Rein som påpeker at reglene kommer uansett tidspunkt, og at det ikke er noen grunn til å utsette arbeidet. Hun sier videre: – Det har vært mye og til dels motstridende informasjon knyttet til utsatt implementering av personvernforordningen – GDPR – i norsk rett. Vi mener det er viktig å avdramatisere situasjonen for virksomhetene. Det er en ting som er sikkert, og det er at dette regelverket kommer, og at det uansett nå er rundt hjørnet. Uavhengig om det formelt sett får anvendelse i Norge fra 25. mai eller 1. juli, så er dette et regelverk som virksomheten må forholde seg til og gjennomføre i sin organisasjon. Det er ingen grunn til til å utsette arbeidet med å få dette på plass eller tenke noe annerledes.
Hvordan syreteste din virksomhet?
GDPR står for General Data Protection Regulation. General Data Protection Regulation (GDPR) skal gi brukerne bedre personvern, og nye regler for brukerdata, informasjon og samtykke. GDPR har den siste tiden fått mye oppmerksomhet i media og via E24.no uttaler partner og advokat Petter Bjerke i advokatfirmaet DLA Piper følgende:
«Det er bare å glemme å si at dette ikke gjelder deg og din virksomhet. Slik unngår du trøbbel når de nye personvernreglene innføres – allerede i sommer. Syretesten jeg benytter når jeg møter ledere som er usikre på om de nye personvernreglene gjelder deres virksomhet, er veldig enkel.
Da spør jeg: Hvis du får en henvendelse fra en kunde eller ansatt som sier: «jeg vil vite hvilke opplysninger dere har lagret om meg», hva svarer du da?»
Saken er at hvis du ikke har systemer for å håndtere en slik anmodning etter at GDPR trer i kraft, så har du problemer. Så det er bare å glemme å si at GDPR ikke gjelder deg og din virksomhet, slår Bjerke fast. Hele artikkelen finner du her.
Og hvis du er den lederen som får et krav om innsyn i eller utlevering av opplysninger – enten fra kunder, ansatte eller fra andre registrerte – så må du være forberedt.
Dette er bare noe du av det du skal kunne svare på:
- hvilke opplysninger du har samlet inn
- hvilke hjemler du har
- når du må ha eksplisitt samtykke
- hva opplysningene kan brukes til
- hvor lenge de kan lagres
– Som å føre regnskap, jeg bruker gjerne en sammenligning opp mot det å føre regnskap, sier Bjerke. På samme måte som du har regnskapsplikt over inntekter og utgifter i en bedrift, får du nå plikt til å dokumentere behandlingen av personopplysninger.
Hva skal du gjøre?
– Reglene omfatter alle virksomheter – i ulik grad alt etter hvilken type og hvor mye personopplysninger man behandler, forklarer partner og advokat Jan Sandtrø i DLA Piper til E24.no.
Modellen i bildet er hentet fra E24.no og er laget av DLA Piper og beskriver en fin metode og prosess som kan anbefales.
Men selv om det er kort tid til de nye reglene trer i kraft, er det fortsatt mange som er usikre på hva GDPR betyr for deres virksomhet. Sandtrø anbefaler at man begynner med å se for seg HR, IT og kundeforhold – som er de tre områdene hvor de fleste bedrifter og virksomheter i dag foretar en eller annen form for innsamling og lagring av personopplysninger.
- Innen HR er personopplysninger kort sagt alle opplysninger som en bedrift lagrer om egne ansatte. Det vil blant annet si lønn, notater fra medarbeidersamtaler og timelister, for å nevne noe.
- Innen IT handler det om virksomheters systemer for databehandling av personopplysninger.
- På kundesiden gjelder det opplysninger som er knyttet til virksomhetens kunder eller brukere, samt opplysninger om kundens kunder via bedriftsrelasjoner.
Når GDPR innføres i slutten i sommer, strammes regelverket kraftig inn på alle disse områdene.
– Så ikke bare skal du ha rutiner som sikrer at du behandler personopplysninger i overensstemmelse med de nye reglene, men du får også plikt til å kunne bevise at du har disse rutinene, sier Sandtrø. Dette er et godt regelverk som faktisk har betydning for oss alle som enkeltpersoner, mener han.
Advokatfirmaets team har utviklet en enkel metodikk som passer både små og større bedrifter:
- Kartlegging – her får man blant annet oversikt over hvilke personopplysninger virksomheten behandler i dag, hvorfor de samles inn og hvor lenge de lagres.
- Evaluering – har får man svar på om man kan fortsette på samme måte, eller om det noe i selve behandlingen som må endres.
- Dokumentering – her tilpasser man enten eksisterende rutiner, eller man oppretter nye slike rutiner, for å dokumentere behandlingen av personopplysninger.
– Vi har veldig nyttige og gode dialoger med bedriftene. De fleste vi jobber for får blant annet hjelp med en utvidelse av internkontrollen de har på andre områder. Der de har håndbøker for regnskap, HMS, IT og personal, så lager vi egne kapitler om personvern. Ofte utarbeider vi også en egen personvern-policy overfor bruk av opplysninger om ansatte, forteller Bjerke.
Hvor begynner du?
Start med kartleggingen, her kan du laste ned en sjekkliste som gir en del svar på om du må foreta deg og denne kan senere benyttes som en erklæring og dokumentasjon på at kartlegging er gjennomført.