GDPR, DPIA og internkontroll
Hvilke krav er det for små bedrifter ?
GDPR arbeidet er lurt å sammenligne med internkontroll arbeidet som bedrifter i Norge er godt kjent med. Selv om GDPR dreier seg om personopplysninger er det også endel av det generelle HMS arbeidet man er nødt til å gjøre i alle bedrifter.
Arbeidstilsynet gir råd i HMS arbeidet og noe av dette kan også brukes i arbeidet med GDPR gjennom de 4 fasene oppstart, planlegging og kartlegging, gjennomføring og oppfølging.
Gjennom dette arbeidet vil bedriften finne frem hvilke krav som finnes til dokumentasjon og krav som GDPR loven setter til arbeidet med personopplysninger. Logg av arbeidet og avviksbehandling er sentralt i arbeidet sammen med risikoanalyser, handlingsplaner og rutiner. Arbeidet gjentas hvert år og skal behandles av ledelsen, som har hovedansvaret.
Strenge krav settes til bedrifter som har store mengder med persondata. DPIA er sentralt i dette arbeidet og er ikke i noe nytt, men en konkretisering av lover og regler som har eksistert fra 2018. DPIA er sjelden nødvendig for små bedrifter som selger varer eller tjenester lokalt etter en kundeliste via butikk eller bestillinger på telefon og på nett. Her har kunden gitt deg en lovlig grunn til å opprette en konto i din kundedatabase og annen samtykke er da ikke nødvendig.
I andre sammenhenger må DPIA vurderes for de som har mye sensitiv data, eller behandler store mengder data, eventuelt risikofylt behandling og innsamling. Se artikkel 35.
Uansett vil en god internkontrollprosess være svært viktig. Den vil føre frem til om det er nødvendig eller formålstjenelig å gjennomføre ytterlige analyser siden du allerede i første del av prosessen finner frem til hvilke persondata du skal behandle og hvilke formål du har for å lagre data.
PS: Mange tror det er nødvendig med samtykke, men det er det ikke hvis du er en liten bedrift som har en god grunn til å registrere kunden i din kundedatabase. Se vår nettside om personvern www.pvern.no hvor vi blandt annet fordyper oss i samtykke, men også går dypere inn i flere andre GDPR temaer.
Se gjerne datatilsynets sider om DPIA, men hvis du er i tvil så send oss en melding så skal vi forsøke å se om det er noe som skulle tilsie at du bør se nærmere på en DPIA.
( HUSK: Det er ikke tilstrekkelig å bare skumme gjennom reglementet, man må faktisk forstå dette noe vi kan hjelpe til med gjennom samtaler og konsultasjon som kan bestilles)
Anbefalingen er for DIN del å komme igang med å etablere et interkontrollsystem, enkelt og konkret slik vi tilbyr med å følge opp disse delene: internkontrolloversikten med datoer for møter, risikovurderinger, handlingsplan samt avvikskontroll og logg.
Andre ting som må på plass er ulike former for dokumentasjon
- personvernerklæring
- databehandleravtale
- oversikt over opplysninger du skal registrere samt formål med å lagre opplysninger ( behandlingsprotokoll)
- risikoanalyse for ulike områder hvor bedriften har personopplysninger (både fysisk og digitalt)
- system for å håndtere avvikshåndtering
- handlingsplan for aktiviteter, rutiner og nødvendige investeringer og endringer i organisasjonen
( Personvernombud og DPIA er normalt nødvendig kun i større bedrifter)
For å gjøre det litt lettere å forstå så er det nå lagt opp til 4 enklere nettsider for hvert av hovedpunktene
1: Beskrive,systematisere, igangsette
2: Kartlegge og vurdere
3: Vurdere Risiko,planlegge, prioritere tiltak
4: Vurdere tiltak og følge opp
(PS: Vil du lære mer om internkontrollsystemer kan du lese på https://www.arbeidstilsynet.no/hms/internkontroll/ )
Etter å ha gjennomført disse punktene så vil du som eier eller leder av bedriften vite om du eventuelt skulle trenge å jobbe videre med en DPIA eller om du tilfredstiller kravene gjennom ditt internkontrollsystem.
Send gjerne sms til 95751335 så jeg kan kontakte deg hvis du lurer på noe eller trenger mer hjelp. Vi har et fint opplegg med et hjelpeabbonement du kan bruke for å få hjelp til GDPR gjennom hele året.
Se vårt tilbud til deg.
Du får et internkontrollsystem som løser dine utfordringer og mye annen god hjelp.
Ragnvald Holst-Larsen, ragnvald@omsorgsverket.no
daglig leder Omsorgsverket AS
GDPR må dokumenteres
NB: DPIA er noe som bare skal gjennomføres når det er spesielle hensyn som kommer i artikkel 35 som utdrag av teksten viser:
Personvernforordningen artikkel 35 nr. 1
Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.
For å være sikker anbefaler at du nå setter deg inn i de 4 delene
1: Beskrive,systematisere, igangsette
2: Kartlegge og vurdere
3: Vurdere Risiko,planlegge, prioritere tiltak
4: Vurdere tiltak og følge opp