Personopplysninger – GDPR – sjekkliste

Lov om behandling av personopplysninger – LOV-2018-06-15-38 –(personopplysningsloven) trådte i kraft 20.07.2018, og er den norske oppfølgningen av EUs GDPR-forordning av 25.05.2018. Påpasselighet i forhold til de kravene som følger av denne lovgivningen, må følges opp kontinuerlig. Vi har derfor laget GDPR-sjekklisten nedenfor:

Sjekkliste GDPR, personopplysninger:

  1. Kartlegging: Finn ut hvilke personopplysninger som håndteres, hvilke systemer (IT eller manuelle) opplysningene behandles i, hvordan de samles inn og hvem som har tilgang til dem.
  2. Hva er formålet med personopplysningene virksomheten lagrer?
    Husk at formålet må være spesifikt og legitimt, og ikke mer omfattende enn nødvendig for formålet.
  3. På hvilken måte har vi fått samtykke fra de opplysningene gjelder til å bruke og lagre dem? Konkret innhentet aksept, gjennom avtale (f.eks. arbeidsavtale), annen lov eller berettiget interesse? Ref. GDPR §6.1 a-f.
  4. Har vi rutiner for sletting av personopplysningene?
    Når opplysninger vi ikke lenger har et legitimt behov for, skal disse slettes ,eller når de opplysningene gjelder, krever det?
  5. Har vi rutiner for å gi innsyn i personopplysninger vi har lagret dersom de opplysningene gjelder ber om det?
  6. Har vi rutiner for dataportabilitet; dvs. den enkeltes rett til å få utlevert personopplysningene sine og å lagre disse på en privat enhet til videre og personlig bruk, og den enkeltes rett til å flytte, kopiere eller overføre personopplysningene sine fra en virksomhet til en annen.
  7. Har vi rutiner og sikringstiltak som kan forhindre at personopplysninger kommer på avveie eller utilsiktet endres?
    Alle virksomheter har plikt til å vareta informasjonssikkerhet og ha rutiner for internkontroll med innsamling, lagring og bruk av personopplysninger.
  8. Har vi avtaler med virksomheter som driver databehandling for oss? Virksomheter som utfører IT- tjenester som f.eks. regnskap, reisebyrå, datalagring, e-post osv. skal ha en databehandler avtale med sine oppdragsgivere.
  9. Er daglig leder og andre i virksomhetens ledelse kjent med kravene i GDPR?
    Daglig leder er behandlingsansvarlig, dvs. har det øverste ansvaret for at virksomheten drives i samsvar med personopplysningsloven og GDPR.
  10. Har virksomheten satt i gang arbeid med å tilpasse seg til GDPR?
    Kartlagt virksomhetens innsamling av personopplysninger, hvilke krav som gjelder for dette i GDPR og avdekket avvik mellom dagens praksis og kravene.
  11. Har virksomheten utpekt en medarbeider til å ta ansvar for arbeidet med å tilpasse virksomheten til den nye lovgivningen og til å følge opp løpende?
    Må eller bør vår virksomhet ha personvernombud?

Uansett om virksomheten er stor eller liten, håndterer liten eller stor mengde personopplysninger, vil det være behov for løpende å følge opp de kravene som følger av GDPR/personopplysningsloven.

 

Albaran, 17.09.2018

For ytterligere informasjon, kontakt gjerne:

Anders Dahl, Tore Amundsen, Tor Wilhelm Seim, Tor Mundal