Oppstart i praksis
I oppstartsperioden (Jan-Mars) handler det om å legge tilrette for møter og systemer for resten av året.
Dette vil si at du blant annet ser om det er nye retningslinjer i forhold til GDPR-lovverket. Du som har et abonnement på GDPR fra Romerike Internett kan da gå gjennom på www.gdprsystem.no under siste oppdateringer.
For deg som ønsker litt mer utfyllende informasjon har vi forsøkt å oppsummere regelverket for oppstart i punkter under. Hvis du er inne for første gang kan det være lurt å gå gjennom kurset på www.gdprsystem.no
Personvernsprinsipper
Her snakkes det litt om de 3 grunnprinsippene i personvern.Disse trenger du ikke å kunne utenat, men er juridisk bindende, og derfor viktige å ha i bakhodet når du arbeider med personvern.
Det forventes ikke at du skal kunne disse fra før av, men de er lurt å vite om, ettersom de veldig generelt forklarer hvordan innstillingen din mot databehandling burde være.
Til å begynne med er noe av det lureste å undersøke og prøve å forstå grunnlaget for GDPR: Hvorfor lovene ble opprettet.
Et godt sted å starte med dette er, med det første punktet på sjekklisten, nemlig grunnprinsippene. Disse forteller generelt ideen av lovverket og er juridisk bindende, og dermed viktige å være kjent med.
Det første prinsippet er at: "Behandlinger av personopplysninger må være lovlig"
Det vil si at det må være et rettslig grunnlag for å behandle personopplysninger.
Hva de forskjellige behandlingsgrunnlagene er, går vi over på neste side.
Det andre prinsippet sier: "Behandling av personopplysninger må skje rettferdig"
Med andre ord må all behandling respektere rettene, og ønskene til individet det gjelder, der det gjelder. Et eksempel på dette er at du ikke kan tvinge, eller manipulere, noen til å gi samtykke til innsamling av personopplysninger.
Det siste prinsippet er: “Behandling av personopplysninger skal være gjennomsiktig”
At behandlingen skal være gjennomsiktig betyr at den som det samles informasjon om skal være informert om at det samles opplysninger. Det må være helt klart for individet hva som skjer med informasjonen så de kan bruke rettighetene sine, som for eksempel rett til sletting av informasjon.
Protokoll ved databehandling
I dette klippet er det snakk om protokoll ved databehandling. Denne kan være ganske vanskelig å forstå til å begynne med, men er ikke altfor komplisert når det blir forklart ordentlig.
"Vet du at du har plikt til å føre protokoll av databehandlingene dine?"
Protokollen er heller ikke noe som kanskje alle vet så mye om, men gjelder nesten alle bedrifter. Det finnes unntak, men unntakene er veldig sjeldent oppfyllt, derfor er det viktig å vite om den.
Som Eva sier så går dette gjerne via databehandler, hvis bedriften har en (noe vi snakker mer om senere), men dette gjelder også data ansvarlige i bedriften. Dette er fordi alt en databehandler gjør, gjør dem på vegne av data ansvarlig i din bedrift.
Med andre ord, en databehandler fyller dette ut for deg, men er fortsatt deres ansvar.
Å føre protokoll ved databehandling vil si at når du lager en ny database med personopplysninger, skal det følgende være dokumentert:
- Navnet, og kontaktopplysninger til behandlings-, og alle relevante ansvarlige.
- Kategoriene av registrerte individer.
- Kategoriene av opplysninger.
- Kategoriene av mottakere opplysninger har blitt sendt til.
- Hvis det er relevant, utlevering av opplysninger til tredjestater eller internasjonale organisasjoner.
- Hvis det er mulig, frist for sletting av kategoriene av opplysninger.
- Hvis det er mulig, en beskrivelse av sikkerhetstiltakene brukt.
Det er ingen bestemt form for hvordan protokollen skal føres. Uansett hvordan du fører det på ark er det viktig at alle kravene til innhold er oppfylt, og at dokumentene er både skriftlig og elektronisk tilgjengelig. Datatilsynet har laget en enkel mal for å føre protokoll på Excel. Du kan finne malen på bunnen av Datatilsynets egen nettside
