Feil og unøyaktigheter om GDPR

Det er mange påstander og uttalelser om GDPR som ikke stemmer, også fra norske selskaper. Det mest ille er når det er de som selger tjenester eller råd for å hjelpe selskaper å etterleve GDPR (personvernforordningen) som bommer på regelverket. Her er noen eksempler på feil og unøyaktigheter om GDPR for å søke å oppklare noe av det som blir sagt om GDPR som ikke helt stemmer.

Les merFeil og unøyaktigheter om GDPR

Hva kreves av dokumentasjon etter GDPR?

At det er et krav til dokumentasjon etter GDPR er noe de fleste har fått med seg, men hva ligger det i dette? Med dokumentasjon menes at det må foreligge skriftlige dokumenter som viser at man etterkommer de ulike kravene etter GDPR. Kravene til dokumentasjon er ikke klare i GDPR, så her er det lett å overse kravene. Her gis det en oversikt over dokumentasjon som bør foreligge.

Les merHva kreves av dokumentasjon etter GDPR?

Når er man GDPR-compliant?

Å være GDPR-compliant innen 25. mai 2018 er et krav som alle selskaper må forholde seg til. Å være “compliant” vil si at man overholder lover og regler, og å være “GDPR-compliant” innebærer da at reglene i personvernforordningen overholdes. Men siden personvernforordningen er et meget omfattende og komplisert sett med regler som er langt fra klare, hva vil det si å være GDPR-compliant?

Les merNår er man GDPR-compliant?

Veiledning for vurdering av personvernkonsekvenser (DPIA) fra Artikkel 29-gruppen

Tidligere denne måneden kom Artikkel 29-gruppen med en veiledning for vurderinger av personvernkonsekvenser eller såkalte DPIA (Data Protection Impact Assessments), dvs. risikovurderinger for databehandling. Veiledningen er nyttig, siden den gir ytterligere veiledning for når det skal gjennomføres DPIA.

Les merVeiledning for vurdering av personvernkonsekvenser (DPIA) fra Artikkel 29-gruppen

Hvordan gjennomføre et GDPR-prosjekt?

Siden den nye personvernforordningen (GDPR) og den nye personopplysningsloven vil få betydning for alle virksomheter, vil alle virksomheter måtte gjennomføre et prosjekt for å få virksomheten i overensstemmelse med de nye reglene. Et slikt prosjekt er et felles prosjekt som spesielt HR, IT og de ansvarlige for forretningsdriften må ta stor del i, men ofte er det én person som blir ansvarlig, som internadvokaten (for det handler jo om juss…), IT-avdelingen (dette er vel noe med data…), HR eller andre. Her er en enkel oversikt over hva den som blir ansvarlig kan gjøre for å gjennomføre et GDPR-prosjekt.

Les merHvordan gjennomføre et GDPR-prosjekt?

Er din virksomhet forpliktet til å ha personvernrådgiver (personvernombud) og hva innebærer det?

EUs personvernforordning (GDPR) blir norsk rett gjennom ny personvernlov senest 25. mai 2018. Det er et omfattende regelsett som følger med de nye reglene (se her for oversikt), og for virksomheter som bl.a. behandler spesielt mye personopplysninger, er det en plikt til å ha kompetanse på personvernreglene internt ved å ha en personvernrådgiver (personvernombud). Gjelder dette din virksomhet?

Les merEr din virksomhet forpliktet til å ha personvernrådgiver (personvernombud) og hva innebærer det?

Nye krav til databehandleravtaler etter GDPR og ny personopplysningslov

Dagens personopplysningslov inneholder enkelte krav til databehandleravtaler. I den nye personopplysningsloven trer i kraft 25. mai 2018, blir kravene langt mer omfattende. Innen denne datoen må alle databehandleravtaler være oppdatert etter de nye kravene, og for mange behandlingsansvarlige og databehandlere vil derfor tiden være knapp. Her er en kort oversikt over kravene til databehandleravtaler etter GDPR og den nye loven.

Les merNye krav til databehandleravtaler etter GDPR og ny personopplysningslov