Logg inn

Logg inn med ditt passord for å redigere hjemmesiden!

Skriv inn epostadressen din (må være den som er registrert på Mekke), og trykk på "Send meg passord" for å bli tilsendt nytt passord på epost.

Hopp til innhold

2: Kartlegge og vurdere 

Nå skal vi ta for oss ditt neste møte som skal handle om kartlegging. Dette er et veldig viktig møte. Alle bedrifter er forskjellige, vi har forskjellige oppgaver, kunder, leverandører, ansetter, systemer osv. Det vil si at hver sin bedrifter har ulike behov i forhold til GDPR. Derfor er kartlegging en veldig viktig skritt, gjennom dette møte og kartleggingsarbeid kan dere finne ut av hva dere trenger å gjøre med GDPR. 

Når dere er samlet for møtet må dere finne et kartleggingsskjema. Hvis du er en kunde hos Omsorgsverket så kan du gå inn på ditt område nå for å finne kartleggingsskjema. Hvis du ikke er det enda kan du kjøpe et abonnement på dette til kun 950 kr pr år. 

Kartlegging av personopplysninger er den viktigste jobben du har i GDPR arbeidet. Du må finne frem personalmapper, kundelister, dataprogram du bruker for ordre og bestillinger samt se på hvilke opplysninger du samler inn på nettskjemaer eller via eposter. Her er det lurt å spørre flere personer i bedriften - ikke bare de som jobber med data. Det viser seg ofte at ordremottakeren skriver ned peronopplysninger i notatbøker eller på papirer som ligger fremme. Dette er også personopplysninger som skal hånteres på riktig måte iforhold til GDPR loven.

De fleste bedrifter finner fort ut at de samler inn mer enn bare firmanavn, adresse, tlfnr og varer som kunden bestiller. De aller fleste har navn på personen som bestiller i firma, hans telefon nr og gjerne info om en epostadresse eller noen andre informasjoner som er viktig for kundeforholdet.

Det er mange små firmaer som samler inn store mengder med informasjon som er personlige og som man ikke har god sikkerhet på. Her finner du det skjema som vi skal se på og som dere skal fyller inn på dette møtet.

Det er mange ledere i bedrifter som ikke tenker på all informasjon man samler inn om ansatte - om sykdommer m.m. - det er opplysninger som er sensitive og må behandles ekstra strengt. Vi anbefaler bruk av tostegs autentisering via SMS eller epost i tillegg til passord når du skal lagre disse.

Sensitive personopplysninger

Datatilsynet sier dette om sensitive opplysninger;

“I loven er det definert en rekke kategorier av opplysninger som det skal mer til å kunne behandle enn andre opplysninger (artikkel 9 og 10 i forordningen):

  1. opplysninger om rasemessig eller etnisk opprinnelse

  2. opplysninger om politisk oppfatning

  3. opplysninger om religion

  4. opplysninger om filosofisk overbevisning

  5. opplysninger om fagforeningsmedlemskap

  6. genetiske opplysninger

  7. biometriske opplysninger med det formål å entydig identifisere noen

  8. helseopplysninger

  9. opplysninger om seksuelle forhold

  10. opplysninger om seksuell legning”

Opplysninger i disse kategoriene krever mer enn vanlige opplysninger. Derfor er det veldig viktig å markere dem i skjemaet slik at dere kan håndtere dem riktig når dere utføre GDPR arbeidet. Det er i utgangspunkt ulovlig å behandle disse opplysninger, men det finnes i praksis mange unntak som gjøre det lovlig. Det betyr at det er veldig viktig å indentifisere disse opplysninger og sørge for at du ha et rettslig grunnlag for å behandle dem. Sensitive opplysninger som mange bedrifter behandler kan være, for eksempel, sykemeldinger fra ansatte og rettslige grunnlaget for å behandle det hadde vært at det er nødvendig for å oppfylle et rettslig plikt.

Grunnlag

Under GDPR loven må virksomheter ha en rettslig grunnlag for å behandle personopplysninger. Dette er en viktig del av informasjonsplikten- et enkelt person kan spørre hvorfor du har eller bruker en opplysning om dem og du må kunne begrunne det med ett av disse rettslig grunnlag.

 Listen inneholde;

  1. Samtykke

  2. Nødvendig for å oppfylle en avtale

  3. Nødvendig for å oppfylle en rettslig plikt

  4. Nødvendig for å beskytte vitale interesser

  5. Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet

  6. Nødvendig for å ivareta legitime interesser - interesseavveiing

For de fleste bedrifter er det samtykke, avtale, rettslig plikt og legitime interesser som gjelder.

Samtykke er det alle enkleste, hvis et enkelt person gir samtykke for at du behandle en opplysning om dem så kan du gjøre det. Samtykke gjelder kun når personen forstår hvilke informasjon du skal behandle, på hvilket måte og med hvilken grunn. 

Hvis opplysningen trengs for å oppfylle en avtale så kan det behandles og de som har inngått avtalen har, på den måten, gitt samtykke. Hvis du trenger den for å oppfylle en rettslig plikt, for eksempel regnskapsføring eller forsikring for ansatte, så er det et gyldig grunnlag.

Hvis det har med kunder å gjøre, for eksempel med markedsføring, så kan det hende at legitime interesser gjelder. Datatilsynet sier;

“En virksomhet kan behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.”

Dette kalles også for interesseavveiing fordi det går ut på at interessen veier tyngre enn hensyn til personvern. Det vil si at, for den enkelte, er det mer viktig å ha den interessen varetatt enn å oppholde personvern. Dette er selvfølgelig ganske subjektivt men hvis det er gjennomtenkt så kan du bruke dette grunnlaget for en del markedsføring.

Så hvis en kunde har kjøpt en produkt av deg, for eksempel, kanskje du trenger e postadressen dems for å gi dem informasjon om nye oppdateringer som de kan få. Da kan man sier at de har et interesse i den informasjonen og det å lagre e postadressen har lite påvirkning på den enkeltes personvern.

Risiko analyse

Etter at du ha en oversikt over hvilke opplysninger din virksomhet behandle, den neste skritt er å utføre en risikoanalyse. Hvis du er kunde hos Omsorgsverket så finne du skjemaet på din GDPR side.

Nå at vi vet hvilke opplysninger vi behandler må vi vurdere hva vi må gjøre for å forbedre vår personvern og vi må også vurdere hvilke oppgaver som skal prioriteres. Det er sannsynlig at det er ganske mye som dere må gjøre for å oppfyller GDPR lovens krav men er ikke nødvendig å gjøre alt med en gang. Derfor vurdere vi risiko med alle opplysninger vi behandler og deretter kan vi begynne med de som har største risiko.

Når du nå har fullført del 2, så gjelder det å gå igang med å lage risikoanalyser planlegg og prioritere tiltak i del 3 

PS: Personopplysninger har de fleste bedrifter mye av. Kunder og leverandører har kontaktpersoner. Husk at en personopplysning kan være en deltaker på et kurs du arrangerer m.m.

Oppgaver:
1: Hvilke personopplysninger samler dere inn i bedriften ?

2: Har dere noen sensitive personopplysninger lagret ?

3: Hvilket grunnlag bruker dere for å samle inn personopplysninger?

4: Hvilke risikoanalyser har dere gjennomført for å sikre at data dere samler inn blir tatt godt vare på og at det ikke er noe fare for sikkerheten til data ?

 

Del denne siden med andre!

Share on FacebookShare on Twitter

Personvernerklæring

Logg inn