Løsninger

GDPR-sjekkliste

GDPR Sjekkliste for behandlingsansvarlige/bedriftseiere

Er du oppdatert med GDPR? Vår GDPR-sjekkliste kan hjelpe deg med å sikre organisasjonen din, beskytte kundenes data og unngå dyre bøter for manglende overholdelse.

For å forstå GDPR-sjekklisten er det også nyttig å kjenne til noe av terminologien og lovens grunnleggende struktur. Du finner denne informasjonen på vår side «Hva er GDPR?» Vær oppmerksom på at ingenting på denne siden utgjør juridisk rådgivning. Vi anbefaler at du snakker med en advokat som spesialiserer seg på GDPR-overholdelse og som kan anvende loven på dine spesielle forhold.

GDPR Checklist NN

Lovgrunnlag og åpenhet

(Organisasjoner som har minst 250 ansatte eller utfører databehandling med høy risiko er pålagt å holde en oppdatert og detaljert liste over sine behandlingsaktiviteter og være klare til å vise denne listen til tilsynsmyndighetene på forespørsel. Den beste måten for å demonstrere GDPR-samsvar er Organisasjoner med færre enn 250 ansatte bør også foreta en vurdering, da det vil gjøre det lettere å overholde GDPRs andre krav tilgang til den i organisasjonen din, eventuelle tredjeparter (og hvor de befinner seg) som har tilgang , hva du gjør for å beskytte dataene (f.eks. kryptering) og når du planlegger å slette dem (hvis mulig).

I følge GDPR skal alle organisasjoner som behandler personopplysninger ha et juridisk grunnlag for å gjøre det. Det er flere mulige rettslige grunnlag som kan rettferdiggjøre behandling av personopplysninger, f.eks. Samtykke: Hvis du har innhentet samtykke fra den registrerte til å behandle dataene deres for det spesifikke formålet, kan dette være lovlig

Du må informere folk om at du samler inn dataene deres og hvorfor. Du bør forklare hvordan dataene behandles, hvem som har tilgang til dem og hvordan du sikrer dem. Denne informasjonen må inkluderes i personvernreglene dine og gis til de registrerte på det tidspunktet du samler inn dataene deres. Den må presenteres «i en kortfattet, transparent, forståelig og lett tilgjengelig form ved bruk av et klart og enkelt språk, spesielt hvis informasjonen er spesifikt rettet til et barn.»



Datasikkerhet

Du må følge prinsippene for «databeskyttelse ved design og som standard», inkludert implementering av «passende tekniske og organisatoriske tiltak» for å beskytte data. Med andre ord må databeskyttelse nå være noe du alltid må vurdere når du behandler andres personopplysninger. Du må også sørge for at all behandling av personopplysninger er i samsvar med databeskyttelsesprinsippene beskrevet i artikkel 5 på gdpr.eu. Tekniske tiltak inkluderer kryptering, og organisatoriske tiltak inkluderer ting som å begrense mengden personopplysninger du samler inn eller slette data du ikke lenger trenger. Poenget er at det må være noe du og dine ansatte alltid er klar over.

Link til artikkel 5

De fleste produktivitetsverktøy som bedrifter bruker, er nå tilgjengelige med ende-til-ende-kryptering innebygd, inkludert e-post, meldingstjenester, notater og skylagring. GDPR krever at organisasjoner bruker kryptering eller pseudonymisering der det er mulig.

Selv om din tekniske sikkerhet er sterk, kan driftssikkerhet fortsatt være et svakt punkt. Lag en sikkerhetspolicy som sikrer at teammedlemmene dine er klar over datasikkerhet. Den bør inkludere retningslinjer for e-postsikkerhet, passord, tofaktorautentisering, enhetskryptering og VPN-er. Ansatte som har tilgang til personopplysninger og ikke-tekniske ansatte bør få ytterligere opplæring i GDPR-krav.

En databeskyttelsesevaluering (også kjent som personvernkonsekvensvurdering) er en måte å hjelpe deg med å forstå hvordan produktet eller tjenesten din kan true kundenes data og hvordan du kan minimere disse risikoene. UK Information Commissioner’s Office (ICO) har en sjekkliste for vurdering av databeskyttelse på nettsiden deres. GDPR krever at organisasjoner utfører denne typen analyser når de planlegger å bruke folks data på en måte som «sannsynligvis vil resultere i en høy risiko for deres rettigheter og friheter.» ICO anbefaler å gjøre det hver gang du skal behandle personopplysninger.

Link til konsekvensanalyse for databeskyttelse

Hvis det er et databrudd og personopplysninger avsløres, må du varsle tilsynsmyndigheten i din jurisdiksjon innen 72 timer. En liste over mange av EU-landenes tilsynsmyndigheter finner du på gdpr.eu. GDPR spesifiserer ikke hvem du må varsle hvis du ikke er en organisasjon basert i EU. For de som er i engelsktalende land utenfor EU, kan det være enklest å varsle Office of the Data Protection Commissioner i Irland. Du er også pålagt å umiddelbart informere de berørte registrerte om datainnbrudd, med mindre bruddet er usannsynlig å sette dem i fare (for eksempel hvis de stjålne dataene er kryptert).



Ansvarlighet og styring

En annen del av «databeskyttelse ved design og som standard» er å sikre at noen i organisasjonen din er ansvarlig for GDPR-overholdelse. Denne personen bør ha fullmakt til å evaluere retningslinjer for databeskyttelse og implementering av disse retningslinjene.

Dette inkluderer alle tredjepartstjenester som håndterer personopplysninger til dine registrerte, inkludert analyseprogramvare, e-posttjenester, skyservere osv. De fleste tjenestene har en standard databehandlingsavtale tilgjengelig på nettsidene deres som du kan se gjennom. Disse avtalene beskriver rettighetene og forpliktelsene til hver part i forhold til GDPR-overholdelse. Du bør kun bruke tredjeparter som er pålitelige og kan gi tilstrekkelige garantier for databeskyttelse.

Hvis du behandler data knyttet til enkeltpersoner i ett bestemt medlemsland, må du oppnevne en representant i det landet som kan kommunisere på dine vegne med datatilsynsmyndighetene. GDPR og dens offisielle støttedokumenter gir ikke veiledning i situasjoner der behandlingen påvirker EU-borgere på tvers av flere medlemsland. Inntil dette kravet er tolket, kan det være lurt å oppnevne en representant i et medlemsland som snakker ditt språk. Enkelte organisasjoner, for eksempel offentlige organer, er ikke forpliktet til å oppnevne en representant i EU.

Det er tre omstendigheter der organisasjoner er pålagt å ha en databeskyttelsesansvarlig (DPO), men det er en god idé å ha en selv om regelen ikke gjelder for deg. Databeskyttelsesansvarlig må være en databeskyttelsesekspert som har som oppgave å overvåke etterlevelse av GDPR, vurdere databeskyttelsesrisikoer, gi råd om databeskyttelsesevalueringer og samarbeide med tilsynsmyndigheter. Les mer om det her

Link til DPO



Personvernerklæring

Folk har rett til å se hvilken personlig informasjon du har om dem og hvordan du bruker den. De har også rett til å vite hvor lenge du planlegger å beholde opplysningene deres og årsaken til at de oppbevares i denne perioden. Du må sende dem den første kopien av denne informasjonen gratis, men du kan kreve et rimelig gebyr for påfølgende kopier. Sørg for at du kan bekrefte identiteten til personen som ber om dataene. Du bør være i stand til å imøtekomme slike forespørsler innen en måned.

Gjør ditt beste for å holde data oppdatert ved å etablere en datakvalitetsprosess, og gjør det enkelt for kundene dine å se og oppdatere deres personlige opplysninger for nøyaktighet og fullstendighet. Sørg for at du kan bekrefte identiteten til personen som ber om dataene. Du bør være i stand til å møte forespørsler innen en måned.

Link til artikkel 15
Link til artikkel 16

Folk har generelt rett til å be deg om å slette alle personopplysninger du har om dem, og du må etterkomme forespørselen deres innen omtrent en måned. Det er fem grunner til at du kan avslå forespørselen, for eksempel å utøve ytringsfrihet eller å overholde en juridisk forpliktelse. Du bør også prøve å bekrefte identiteten til personen som sender forespørselen.

Dine registrerte kan be om å begrense eller stoppe behandlingen av dataene deres hvis visse grunner gjelder, hovedsakelig hvis det er tvil om lovligheten av behandlingen eller nøyaktigheten av dataene. Du må etterkomme forespørselen deres innen omtrent en måned. Mens behandlingen er begrenset, har du fortsatt lov til å beholde dataene deres. Du må varsle den registrerte før du begynner å behandle dataene deres igjen.

Dette betyr at du må kunne sende personopplysningene deres i et vanlig lesbart format (f.eks. et regneark) enten til seg selv eller til en tredjepart som de utpeker. Dette kan virke urettferdig fra et forretningsperspektiv, siden du kanskje må overlevere kundenes data til en konkurrent. Men fra et personvernperspektiv er ideen at folk eier dataene sine, ikke du.

Hvis du behandler opplysningene deres for direkte markedsføringsformål, må du umiddelbart stoppe behandlingen for dette formålet. Ellers kan du kanskje utfordre deres innvendinger hvis du kan demonstrere «overbevisende legitime grunner.

Noen typer organisasjoner bruker automatiserte prosesser for å hjelpe dem med å ta beslutninger om mennesker som kan ha juridiske eller «like betydelige» konsekvenser. Hvis du mener at dette gjelder deg, må du sette opp en prosedyre for å sikre at du beskytter deres rettigheter, friheter og legitime interesser. Du må gjøre det enkelt for folk å be om menneskelig inngripen, si sin mening om beslutninger og utfordre beslutninger du allerede har tatt.

Suksess!

Gratulerer! Hvis du pliktoppfyllende har jobbet til bunnen av GDPR-sjekklisten, har du betydelig begrenset eksponeringen din for regulatoriske sanksjoner.

Til slutt vil vi igjen minne om at denne sjekklisten på ingen måte er juridisk rådgivning. Det er dusinvis av bestemmelser i GDPR som kun gjelder i sjeldne tilfeller, noe som ville være kontraproduktivt å dekke her. Du bør sjekke med en advokat for å sikre at organisasjonen din er fullstendig GDPR-kompatibel.

033-document-1.png
Kontakta oss

Samarbeta med oss ​​för att få ett omfattande IT-skydd

Vi svarer gjerne på alle dine spørsmål og hjelper deg med å finne de tjenestene som best dekker dine behov.

Min fordel:

Hva skjer videre?

1

Vi avtaler en samtale når det passer deg

2

Vi gjennomfører en funn og rådgivende undersøkelse

3

Vi utarbeider et forslag

Bestill en gratis konsultasjon

Contact NN
Først
Siste