Personvern og HyperSys

Personvernforordningen (GDPR) erstatter dagens personopplysningslov. Forordningen er et felles europeisk lovverk som regulerer behandling av personopplysninger. Vi i Unicornis jobber aktivt med personvern, og har gjort det siden selskapet ble stiftet i 2008, og nå holder vi på med forberedelser til å møte nye krav som kommer med GDPR. I tillegg vet vi at mange av våre kunder er i full gang med å bli klar for det nye lovverket. Vi får en del spørsmål om GDPR og HyperSys, og i denne artikkelen har vi samlet noen tips om å bli klar for GDPR, og ressurser for videre lesing.

Den 5. juni holdt vi kurs om temaet, hvor vi gikk mer i detaljer om personvern og HyperSys. Klikk her for å finne presentasjonen fra kurset.

Fra forhåndsgodkjenning til etterkontroll

En av de viktigste endringene som kommer med GDPR er at det nå legges mer ansvar på virksomheter som behandler personopplysninger. Disse må gjøre selvstendige vurderinger og dokumentere rutiner, og sørge for at arbeidet med personopplysninger gjøres i tråd med lovverket. Behandlingsansvarlige og databehandlere må selv vurdere hva som er behandlingsgrunnlag for behandling av personopplysninger, og gjøre en rekke andre vurderinger i utarbeidelse av rutiner og kontrolltiltak. Det er dessverre få fasiter når det kommer til den nye personvernforordningen, og alle organisasjoner må selv gjøre og dokumentere vurderinger knyttet til behandling av personopplysninger i egen organisasjon. Men det betyr heldigvis ikke at det ikke er hjelp å få! Det kan være vanskelig å orientere seg og å vite hvor man skal begynne i arbeidet med GDPR, og vi har derfor noen tips om viktige punkter dere må gå gjennom.

• Skaff dere oversikt over hva dere behandler av personopplysninger
• Hva er grunnlaget for behandling av personopplysninger?
• Ha gode rutiner for informasjonssikkerhet, kontroll og avvik

Datatilsynet har laget en startpakke for nye virksomheter som er en liste over punkter man må gå gjennom før man behandler personopplysninger, og den anbefales for ytterligere informasjon. Startpakken finner dere her.

Skaff dere oversikt!

Det første dere bør gjøre er å ta en gjennomgang av hvilke personopplysninger dere behandler, hvorfor, og hvordan opplysningene blir behandlet. Alt fra personopplysninger fra medlemmer, til opplysninger om ansatte, og potensielle medlemmer, skal føres i en protokoll over behandlingsaktiviteter. De samme opplysningene kan behandles på ulike måter, adresser kan for eksempel både brukes til å sende kontingentkrav, og til å lage statistikk over geografisk fordeling av medlemmer. Dette er to ulike behandlinger.

Datatilsynet har laget en mal for behandlingsprotokoll og denne er et godt startpunkt i dette arbeidet. Mal for protokoll over behandlingsaktiviteter finner dere her.

Grunnlag for behandling av personopplysningene?

Utgangspunktet i loven er at det ikke er lov å behandle personopplysninger, med mindre man har et grunnlag for behandlingen. Disse behandlingsgrunnlagene finner man i Art. 6 i personvernforordningen. Alle behandlingene dere gjør må altså begrunnes med et av disse grunnlagene, hvis dere gjør behandlinger som ikke vil falle inn under et av disse grunnlagene er behandlingen ulovlig og må opphøre. For organisasjoner som behandler sensitive personopplysninger (kalt særlige kategorier i GDPR) må behandlingen også hjemles i et av grunnlagene i Art 9, dette er altså et tilleggskrav for særlige kategorier av opplysninger. Det er et eget grunnlag for behandling i ideelle organ, dette finner man i Art 9. 2. d).

Ikke bare samtykke

Samtykke er et av behandlingsgrunnlagene, og det som de fleste av oss er best kjent med. Men dette er et av flere behandlingsgrunnlag som kan være aktuelt for de behandlingene dere gjør, og man skal kun bruke samtykke dersom det er det riktige å bruke. Hvis behandlingen i realiteten er nødvendig for oppfyllelse av avtale er det bedre å begrunne behandlingen med dette. I GDPR er det stilt tydelige krav til hva som regnes som samtykke, og for en innføring i disse kravene er det mulig å lese Artikkel 29-gruppen sin veileder om samtykke, denne er på engelsk, og finnes her.

Blant kravene er at samtykke skal kunne trekkes tilbake når som helst, og være reelt frivillig. Har dere en plan på plass for å håndtere et trukket samtykke? Har dere vurdert at det er frivillig, informert og uttrykkelig? Kan det bevises? Det er viktig å gjøre en vurdering av hva som er grunnlaget for behandlingen, og ikke automatisk velge samtykke fordi det er det man er mest kjent med, ettersom kravene til samtykke skjerpes i personvernforordningen. 

Vi vet at flere organisasjoner vurderer om medlemskap er en avtale mellom medlem og organisasjon, og at behandling av medlemsinformasjon som gjøres for å oppfylle avtalen, som for eksempel utsending av årsmøteinnkalling, og informasjon om hva som skjer i organisasjonen, har oppfyllelse av avtale som behandlingsgrunnlag. Om dette er dekkende må dere vurdere selv.

Det finnes ingen fasit for hva som er riktig behandlingsgrunnlag for en type behandling, ettersom kontekst for behandlingen er avgjørende for hvilket grunnlag man har for å gjøre den. Innsamling av de samme type opplysningene, som navn og adresse, kan gjøres av vidt forskjellige grunner. Og det er årsaken til behandlingen som avgjør hva slags behandlingsgrunnlag man har. Dette er altså vurderinger hver organisasjon må ta, og dokumentere!

Hvem behandler opplysningene for dere?

I personvernforordningen er det et skille mellom de som har ansvar for behandlingen som gjøres (behandlingsansvarlig) og de som gjennomfører behandlingen (databehandler). Databehandlere gjør sine behandlinger på instruks fra behandlingsansvarlig, og har ikke lov til å behandle data uten instruks. Forholdet mellom behandlingsansvarlig og databehandler reguleres av en databehandleravtale. I GDPR er det en rekke rettigheter og plikter for begge parter som nevnes, og som skal reguleres gjennom en databehandleravtale. En slik avtale må på plass mellom Unicornis og alle våre kunder. I tillegg har dere kanskje andre som behandler data for dere? Dere må ta en gjennomgang over hvilke databehandlere dere bruker og inngå databehandleravtale med alle disse. Det er behandlingsansvarlig sitt ansvar at databehandler handler i tråd med personvernforordningen, og at databehandleravtale er på plass. I mange tilfeller vil likevel databehandler lage utkastet til avtale. Datatilsynet har laget en veileder for databehandleravtale som dere kan finne her.

Rutiner og kontroll

Når man har oversikt over hvilke personopplysninger man behandler, og hvordan, kan man gå over til å lage rutiner for kontroll og avvik. Arbeidet med GDPR slutter ikke den dagen forordningen er innført, men er en kontinuerlig prosess for å sikre forsvarlig behandling av personopplysninger. Det er derfor viktig at man har rutiner for kontroll av behandling, at man for eksempel en gang i året tar en større gjennomgang av behandlingsprotokollen og ser om noe har endret seg. Ved oppstart av en ny behandling, for eksempel at dere går i gang med et nytt prosjekt for kommunikasjon med medlemmer, sørger dere for at personvern er en del av vurderingen. Det hender også at det skjer avvik i behandling av personopplysninger, og da må disse meldes til Datatilsynet.

Ressurser:

Datatilsynet har en rekke veiledere til det nye regelverket, som er samlet her.

LNU har laget en håndbok i personvern, den finner du her.

Frivillighet Norge gir tips om personvern her.