GDPR-rutiner du bør (må) ha i personvernarbeidet

GDPR-rutiner

⚠️ Hvis dette er første gangen du leser om GDPR, eller ikke har gjort noe annet i arbeidet, da er ikke dette innlegget for deg.

Dette er for deg som har kommet litt lenger ned i løypa. Du har:

  1. På plass en grunnleggende forståelse om hva GDPR er
  2. Fylt ut behandlingsprotokollen (eller i alle fall startet på den)
  3. Sjekket hvor databehandlerne holder til, for å vite om du kun trenger databehandleravtaler, eller også nødvendige garantier
  4. Gjennomført en risikovurdering
  5. Og kanskje til og med fått ut en personvernerklæring på nettsiden din (som faktisk har alle lovpålagte punkter sånn at du unngår en bot på €15 000…!)

Fantastisk jobba! Du er nå klar for å ta fatt på GDPR-rutinene. 💪

Og når du er klar kan du investere i nettkurset som inkluderer både malverk og steg-for-steg videoinstrukser for utfylling. Se "GDPR-rutiner" i nettbutikken.

Innlegget kort oppsummert:

  • Du må ha på plass noen rutiner i GDPR-arbeidet, uansett hva slags type virksomhet du har
  • De må være nedskrevet/dokumentert
  • Det stilles ingen krav til innhold, form eller farge (men det er greit å unngå post-it-lapper)
  • Du kan fint lage de selv (hvis du har tid til overs, men tenk gjennom hvor mange timer det vil ta deg vs. å kjøpe ferdige, kvalitetssikrede tekster - se neste punkt)
  • Du bør spare deg mye tid (og frustrasjon) på å investere i et ferdig malverk, enten du har en liten bedrift eller en stor virksomhet
  • Du må sørge for at du faktisk etterlever rutinene – en rutine er ikke verdt papiret den er skrevet på hvis den ikke følges (ID Design i Danmark fikk f.eks. en bot på 1,5 millioner danske kroner selv om de hadde rutiner - men ikke fulgte dem)

Hvor mange rutiner trenger du?

Hvor mange rutiner du trenger, avhenger helt av hvilken virksomhet du har.

I utgangspunktet er reglene i GDPR i stor grad like uansett hvor liten eller stor bedrift du har, om det er for et idrettslag, frivillig forening, om du går i minus, omsetter for millioner, eller bare selger e-bøker til 49 kroner.

Heldigvis kan vi bruke sunn fornuft!

Mitt råd er å se på GDPR som en prosess/prosjekt, der du starter ett sted, og bygger sten på sten i arbeidet.

Og det er mye viktigere at du faktisk kommer i gang, enn at du blir overveldet hver gang du prøver å få dette til, og bare gir opp. Bare start. Gjør noe.

Og, igjen, hvis du ikke har verken protokoll eller personvernerklæring på plass, er ikke dette innlegget for deg. Gå tilbake til start.

Oversikten i behandlingsprotokollen viser deg nemlig hva slags personopplysninger du behandler, i hvilke systemer, om det er «ufarlige» opplysninger som navn og e-post, eller som har et særskilt vern i lovverket, f.eks. relatert til helse, hva slags databehandlere du bruker, og mer.

Når du har denne oversikten, kan du også vurdere risikoen knyttet til den behandlingen du gjør av personopplysningene. Og da kan du avgjøre hvor omfattende rutiner du trenger.

En virksomhet med 550 ansatte trenger for eksempel rutiner for onboarding og opplæring av nye ansatte, håndtering av personopplysninger i rekrutteringsprosesser, separate personvernerklæringer for hhv. jobbsøkere, ansatte og andre, deling av personopplysninger mellom interne avdelinger, osv.

Den lokale, familieeide elektrobedriften med fire ansatte, trenger derimot ikke så mye rutiner og dokumentasjon.

Eller deg som driver et enkeltpersonforetak (eller, som meg, et «enkeltperson-AS» med meg som (foreløpig) eneste ansatt).

Ansatte er ikke alt.

En raskt voksende tech start-up har kanskje fortsatt bare to gründere, men behandler store mengder helseopplysninger i en ny kostholdsapp. De bør prioritere en grundig juridisk kvalitetssikring og teknisk risikovurdering og sikring av appen.

Slike tech-løsninger kan være et minefelt (les: Smittesporingsappen), og da er en GDPR risikovurdering svært viktig.

Disse GDPR-rutinene bør du starte med

Uansett må du starte et sted.

Følgende rutiner anbefaler jeg til alle virksomheter, uansett hvor liten eller stor den er:

  • Overordnet rutine for personvernarbeidet og hvordan en skal overholde GDPR løpende (holde seg «GDPR-compliant»)
  • Rutine for å sikre personopplysninger
  • Rutine for å slette personopplysninger
  • Rutine for oppstart av ny behandling (inkl. kvalitetssikring av databehandlere)
  • Rutine for å dokumentere samtykker
  • Rutine for å håndtere avvik (f.eks. databrudd)
  • Rutine for markedsføring og GDPR (f.eks. for nyhetsbrev eller bruk av CRM-system)
  • Rutine for å onboarde nye ansatte (for alt som gjelder sikkerhet og personvern)

Husk at dette forutsetter at du har etablert en skikkelig grunnmur i personvernarbeidet ditt (se første avsnitt).

Den første rutinen handler nemlig om hvordan du skal opprettholde det gode arbeidet du allerede har lagt ned. For, hvis du ikke har på plass en behandlingsprotokoll, er det heller ikke noe å følge opp.

Rutiner henviser ofte til annen, intern dokumentasjon, som protokoll, personvernerklæringer, risikovurderinger, IT-/sikkerhetspolicy, internkontroll, styringssystem, HMS osv. Derfor starter du ikke med rutiner først når du skal sikre at du driver i tråd med GDPR, du starter med grunnmuren.

En rutine trenger ikke å være et selvstendig dokument og en rutine kan fint inngå i en annen.

F.eks. kan rutinen for sletting inngå i rutinene for hvordan du skal generelt tenker å overholde GDPR. Rutine for avvikshåndtering kan være en del av sikkerhetsrutinene. Rutinen for onboarding av nye ansatte kan (bør) inngå i én felles rutine for alt som gjelder for nyansatte.

Ikke gjør det mer komplisert enn det trenger å være

Det viktigste er at du har tenkt gjennom, kan vise til skriftlige rutiner for de ulike delene i personvernarbeidet og kan bevise at du følger rutinene, hvis du får tilsynskontroll av Datatilsynet.

Du må også ha kunnskapen og innsikten rundt GDPR selv.

For det nytter ikke om du bare har skriftlige rutiner, om du, som behandlingsansvarlig, ikke er i stand til å forklare disse til tilsynet, eller, verre, de finner ut at du/dere ikke følger egne rutiner.

Som var tilfellet i Danmark, der en møbelkjede fikk GDPR-bot på 1,5 millioner danske kroner for ikke å ha fulgt egne sletterutiner…

Dette er også grunnen til at du ikke kan outsource hele GDPR-arbeidet til en ekstern konsulent, eller bare kjøpe et system eller abonnement og tro at du er «GDPR-klar». Du, som bedriftseier, er den som til syvende og sist blir holdt ansvarlig for eventuelle brudd – og får den sviende boten.

Det er flere rutiner og dokumentasjon i personvernarbeidet vi bør ha på plass, og det kommer vi tilbake til i et annet innlegg.

Hvordan skrive egne rutiner

Det er ikke veldig vanskelig å skrive egne rutiner, men det tar tid. Hvis du vil gjøre alt selv, har Datatilsynet et forslag til spørsmål du kan ta utgangspunkt i:

  1. Hvorfor skal rutinen utarbeides, hva er hensikten med den?
  2. Hvem er ansvarlig for å utføre de ulike aktivitetene?
  3. Hva skal utføres av de ulike ansvarlige?
  4. Hvordan skal aktivitetene utføres?
  5. Når skal de ulike aktivitetene utføres, eller under hvilke betingelser?
  6. Hva er forventet resultat ved utførelse av rutinen?

Spar (mye) tid og hodebry på å investere i malverk med steg-for-steg beskrivelser til hva du gjør ved innsynskrav, tilsynskontroll og mer. Få ferdige tekster med videoinstrukser for hvordan du skreddersyr malene til din bedrift.

Jo, du må ha skriftlige GDPR-rutiner

Lovteksten, enten det er personopplysningsloven eller personvernforordningen (altså, GDPR), sier sjelden i klartekst at du skal ha den og den skriftlige rutinen.

👉 Men, mye er implisitt, antydet eller kan ikke bevises uten at du har dem skriftlig.

For eksempel står det i artikkel 5 (en av de mest grunnleggende artiklene i GDPR) at den behandlingsansvarlige (altså du), er ansvarlig for og skal kunne påvise at nr. 1 overholdes. «Nr. 1» i denne artikkelen oppsummerer egentlig alt du trenger å gjøre under GDPR, så den bør du lese.

Og hvis du har valgt samtykke som behandlingsgrunnlag, står det i artikkel 7 at du skal kunne påvise at den registrerte har samtykket.

Ordet «påvise» går igjen hele 24 ganger i lovteksten. Så selv om det ikke står at noe må være skriftlig, ligger bevisbyrden på deg.

Tenk om Datatilsynet varsler tilsynskontroll av bedriften din. Hva kommer de til å sette sin lit til; a) at du sier at du har alle rutinene i hodet ditt og at du har planlagt sletting i desember, eller b) at du kan vise dem den skriftlige rutinen som beskriver når, hvordan, av hvem, hvor etc. sletting gjøres, for å sikre at dere overholder GDPR?

Jo mer tillitsvekkende du er i ditt første møte med en tilsynsmyndighet, jo større sjanse er det for at de får et positivt inntrykk, noe som kan resultere i mildere tilsyn, en advarsel istedenfor en bot, eller lavere bot om du først får det.

Husk også å gjøre jevnlige GDPR-revisjoner for å holde deg løpende GDPR-klar.

Og når du er klar kan du investere i nettkurset som inkluderer både malverk og steg-for-steg videoinstrukser for utfylling. Se "GDPR-rutiner" i nettbutikken.