GDPR

GDPR Behandlingsgrunnlag

Uheldigvis har det blitt at GDPR = samtykke for digital markedsføring. Dette er bare en liten bit, den røde tråden er at man skal sikre personopplysninger, opplyse om hva man behandler og at man har tillatelse til dette.

Enkelte i tidlig GDPR panikk mistet alle eller mange følgere/lesere av nyhetsbrev. Dette fordi man unødvendig spurte om samtykke på nytt, eller tok en beslutning om å slette alle kontaktpunkt og begynne på nytt for å følge nye krav. Spesielt perioden mai juni 2019 ble folk bombet med meldinger om å oppdatere samtykke.

Har man inngått en kontrakt (punkt 2 nedenfor) er dette et godkjent behandlingsgrunnlag og man kan behandle (bruke) personopplysninger som feks kontaktinformasjon o.l. Er det blitt solgt et produkt eller en tjeneste, så er man pliktig (punkt 3 nedenfor) til å oppbevare opplysningene om dette ifht regnskapsloven og mulig arkivloven.

Med andre ord, GDPR er mer enn samtykke. De andre behandlingsgrunnlagene er:

  1. Samtykke
  2. Nødvendig for å oppfylle en avtale
  3. Nødvendig for å oppfylle en rettslig plikt
  4. Nødvendig for å beskytte vitale interesser
  5. Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet
  6. Nødvendig for å ivareta legitime interesser – interesseavveiing
GDPR

GDPR Facebook

Personvern og Facebook stemmer ikke helt overrens, noe de siste artiklene i nyhetsbildet har vist. Er man bruker av Facebook har man akseptert hva de gjør med dine data, ikke alltid denne behandlingen er riktig og ofte har din data blitt gitt videre uten din viten.

Uheldigvis er Facebook svært implementert i samfunnet. For eksempel i foreninger og grupper hvor informasjon kun blir utgitt på denne kanalen.

Som bedrift må man nesten også nødt å ha en side for å nå ut. Visste du at man anses som behandlingsansvarlig hvis du har en bedriftside. Dette betyr at du er pliktet til å følge Personopplysningsloven dersom du skal markedsføre her. Med andre ord har alle som besøker din side på Facebook, krav på å få vite hvordan du behandler deres personopplysninger. Man må opplyse om:

  • identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant, og kontaktopplysningene til personvernombudet, dersom dette finnes i virksomheten, og
  • om det samles inn opplysninger via sidene, hva som er grunnlaget for behandlingen av opplysningene, og eventuelt om opplysningene vil bli overført til en annen behandlingsansvarlig

Forøvrig betyr ikke et slikt felles behandlingsansvarlig at du som oppretter Facebook-siden blir ansvarlig for hva Facebook gjør, Facebook vil være ansvarlig for personvernet på plattformen feks.

Så hvordan overholder man informasjonsplikten? Sett inn link til Personvernerklæringen din på Facebook.

  1. Logg inn på bedriftssiden på Facebook
  2. Øverst til høyre, klikk «innstillinger»
  3. Velg «sideinformasjon» i menyen på venstre
  4. Nederst «retningslinjer for personvern» legger du inn link til din personvernerklæring

 

gdprfb

Takk til Nordens fremste GDPR ekspert Jan Sandtrø, som deler sin kunnskap.

GDPR

GDPR Prosjektgjennomføring

Hvordan omstiller man en virksomhet til ny personvernlov.

GDPR er ikke et program/app man installerer også er alt på plass. Enkelte kjøper informasjonskapsler/cookie tjeneste til nettsiden sin, hvor besøkende kan gi samtykke til at dette brukes. Dette skal være unødvendig i Norge og vil ødelegge brukeropplevelsen, les tidligere innlegg. Enkelte har fått med seg at man må legge ut en personvernerklæring på nettsiden, men her er det krav til hvilken informasjon som skal ut. Les mer her. Har bedriften også en Facebook side må personvernerklæringen også legges ut her. Les mer om dette her.

GDPR er ikke en konsulent (personvernombud) som man leier inn også er alt på plass, vedkommende trenger fullstendig innsyn i alle rutiner prosesser systemer policyer og med dette gir man råd for det som bør korrigeres. Bedriften kan velge å ikke følge rådene, det er likevel bedriften som har det juridiske ansvaret for at personvernlovgivningen følges. Les mer om rollen til et Personvernombud her.

Praktisk eksempel: Konsulent sender Behandlingsprotokoll til utfylling. Dette med eksempler og forklaring til utfylling. Her listes systemer underleverandører med mer og hva disse behandler av personopplysninger. Dette dokumentet er avgjørende for hele prosjektet. Konsulent kontrollerer lovligheten av behandlingen og kontrollerer om leverandører er innenfor lovverket. En gjennomgang av Databehandleravtaler blir utført. Protokollen lagres og oppdateres videre av behandlingsansvarlig (bedriften).

Skulle man vært så uheldig å få et tilsyn, sender Datatilsynet en teknolog og en jurist. De vil ikke logge seg på nettverket for å kontrollere om best mulig sikringstiltak er implementert, eller sjekke om WordPress tillegg er konfigurert korrekt. De vil kontrollere at man har alt i orden via dokumentasjonskravene. Alle kan sende avvikmelding til tilsynsorganet og varsle om regler ikke blir fulgt. Loven er loven og alle skal følge loven. Uheldigvis får man ikke et godkjenningsstempel på at man følger loven, men det er mulig vi vil få noe slik på sikt. I Danmark har det danske datatilsynet gått sammen med det danske revisorforbundet (FSR) og utarbeidet en revisorerklæring som skal gi sikkerhet for at databehandlere etterlever kravene. Les mer her.

Med det sagt er Datatilsynet få (for få) ansatte, og de vil måtte prioritere. De er derimot pliktig til å følge opp. Har man ikke gjort noe for å følge nytt regelverk vil nok bøtesats bli større. Regner også med at vi vil se mer bøter i Norge fremover.

DIGFO leverer en dokumentasjonspakke som inneholder alle krav til dokumentasjon med mer. Sammen med bedriften fylles denne ut og bedriften blir i samsvar. Dokumentene må oppdateres ved endringer, bedriften kan gjøre dette selv eller ha en serviceavtale med oss.

Grunnet tidlig fase GDPR panikk og useriøse aktører har fokuset blitt samtykke, epost og digitalt markedsføring (remarketing). Dette er uheldig, GDPR er så mye mer, men husk at alt er lov hvis man har spurt om lov og fått lov. Resten bør anonymiseres eller pseudonymiseres. Det finnes forøvrig 5 andre behandlingsgrunnlag enn samtykke som ikke bør bli glemt, mulig en av disse passer mye bedre enn samtykke. Les mer om dette her.

EU og EØS er heldig med denne nye loven, endelig får vi mer kontroll over vår data og bedrifter blir stilt til ansvar. Det blir en kost for bedriftene å følge reglene, men ikke nødvendigvis så stor. Som privatpersoner har verden blitt et litt tryggere sted og loven blir nok den nye gullstandarden.

Et samsvarsprosjekt kan være omfattende og tidkrevende, alt etter størrelsen på
virksomheten og oppgavene deres, samt om man fulgte lovverket som var. Tid er derfor vanskelig å anslå

Våre utgitte verktøy som kan hjelpe med prosessen, send oss gjerne en epost for tilbud på assistanse, slik at du kan fokusere på din drift og det du er god på.

Presentasjon (GDPR forklaring)

Kartlegging (kontroll av status på omstilling)

Sjekkliste (liste over dokumentasjonskrav)

GDPR

GDPR Panda

I går skrev jeg om verktøy i Microsoft Office pakken som kan hjelpe med å følge personvernregelverket. Men hva med dem som ikke ønsker å oppgradere til E3 eller E5 lisensen, eller ikke har Office 365?

Da anbefaler jeg Panda Adaptive Defense 360 med Data Control modulen. Dette er så bra at vi ble Panda partner på dagen og nå videreselger deres produkter gjennom Sikkr.

Løsningen er genial. Man installerer en agent (program) som leter etter virus og skadevare på maskinen. Hva hvis man lette etter personopplysninger samtidig og setter dette i system for oversikt og kontroll. Dette er akkurat hva Panda har gjort.

Se skjermbilde, ta kontakt med oss lurer du på noe.

panda data control