Når er man GDPR-compliant?

Å være GDPR-compliant innen 25. mai 2018 er et krav som alle selskaper må forholde seg til. Å være «compliant» vil si at man overholder lover og regler, og å være «GDPR-compliant» innebærer da at reglene i personvernforordningen overholdes. Men siden personvernforordningen er et meget omfattende og komplisert sett med regler som er langt fra klare, hva vil det si å være GDPR-compliant?

Å si at man er GDPR-compliant når alle regler i personvernforordningen overholdes, gir ikke mye veiledning. For å konkretisere noe mer, så kan det sies at man er GDPR-compliant når personopplysninger behandles lovlig. Dette er også veldig generelt, men kan deles inn i følgende (også overordnede krav):

Det er lovmessig grunnlag for all behandling av personopplysninger. Behandling av personopplysninger er ulovlig (!) om det ikke foreligger et grunnlag for behandlingen. De vanligste grunnlagene (også kalt behandlingsgrunnlag – du finner alle i artikkel 6 i GDPR – og kun her) er at det foreligger en avtale med de registrerte som skal oppfylles, og det kreves behandling av personopplysninger for å oppfylle avtalen. Eller så kan samtykke være et lovlig grunnlag. Andre grunnlag kan være at det foreligger grunnlag i andre lover enn personopplysningsloven for å behandle opplysningene, eller at den som behandler personopplysningene har en interesse av behandlingen som overstiger inngrepet i de registrertes personvern (interesseovervekt).

Å være sikker på at man har et grunnlag for all behandling av personopplysninger i virksomheten, krever at man har oversikt over alle personopplysninger som behandles. I tillegg må det vurderes om grunnlagene er tilstrekkelige, slik at det ikke behandles personopplysninger som ikke er nødvendig for å oppfylle avtale, som ikke dekkes av samtykke, hvor det ikke foreligger interesseovervekt osv. I denne vurderingen kommer det om samtykkene er tilstrekkelige, dvs. at samtykkene er frivillig avgitt, er tilstrekkelig dekkende for behandlingen, og er avgitt av de registrerte på en aktiv og uttrykkelig måte.

Det er også et krav etter GDPR at det kun skal behandles personopplysninger som omfattes av det formål som opplysningene opprinnelige ble innsamlet for. Det må derfor kontrolleres at alle opplysninger som behandles er innenfor det opprinnelige formålet. For hva som anses som personopplysningerse denne artikkelen.

De registrertes rettigheter følges. Etter GDPR har de registrerte, dvs. de som det foreligger personopplysninger om, mange rettigheter. Den registrerte skal informeres om behandlingen når det samles inn personopplysninger om vedkommende. Og kommer registrerte med krav etter reglene, som krav om innsyn i eller utlevering av personopplysninger, sletting av personopplysninger, endringer og reduksjon i behandlingen osv., så krever det at man vet hvordan dette skal håndteres. Da må det foreligger prosedyrer og rutiner, som sikrer etterlevelsen og som må kunne dokumenteres bl.a. dersom Datatilsynet foretar tilsyn.

Personopplysningene tilstrekkelig sikret. Dette innebærer at man har gjennomført en risikovurdering, og basert på vurderingen har man iverksatt tiltak både på teknisk side, samt innenfor organisasjonen sin. Her vil det ofte kreves teknisk ekspertise for å undersøke om informasjonsikkerheten for it-systemer mv. er tilstrekkelig. Nøkkelordene er at personopplysningene skal sikres konfidensialitettilgjengelighet og integritet. Det må også foreligge prosedyrer for dersom det oppstår brudd på sikkerheten, som at personopplysninger kommer på avveie, og prosedyrer for å varsle Datatilsynet og eventuelt de registrerte, om dette skal gjøres etter reglene.

Overføring av personopplysninger skjer kun lovlig. Dette innebærer at det ikke overføres (eller gis tilgang til) personopplysninger uten at det er anledning til det. Overføres det personopplysninger til andre, må det foreligge et lovgrunnlag for overføringen (se ovenfor om behandlingsgrunnlag). Benyttes det databehandler, stilles det krav til databehandleren og det må foreligge en databehandleravtale som er dekkende for lovens krav. Overføres det personopplysninger utenfor EU/EØS, må det foreligge et lovgrunnlag for overføring (normalt Privacy Shield til USA, bruk av EUs standardavtaler for overføring eller samtykke fra de registrerte).

Det behandles ikke mer/flere personopplysninger enn man trenger. Dette innebærer bl.a. at det personopplysninger som ikke lenger skal behandles slettes på en betryggende måte, og at det ikke behandles mer personopplysninger enn nødvendig.

Det er tilrettelagt for lovlig behandlingSom nevnt i enkelte av punktene ovenfor, må det foreligge prosedyrer og rutiner som sikrer at reglene etterleves. I forordningen omtales dette som at det må foreligge internkontroll, men dette innebærer egentlig bare at man har rutiner for å behandle personopplysninger lovlig, og det kan også være nødvendig å lære opp ansatte i hvordan reglene skal følges. I tillegg må it-systemer og andre it-løsninger støtte etterlevelse av regelverket.

En virksomhet vil aldri etterleve punktene ovenfor fullstendig, men målet er ikke å være fullstendig i overensstemmelse med kravene. Enkelte krav er «binære», dvs. de må etterleves fullstendig, som at det må foreligge et behandlingsgrunnlag. Mens andre krav er mer glidende; og har man gjort det man kan, innhentet den ekspertisen som er nødvendig og gjort de tiltakene som man etter en forsvarlig vurdering mener er riktig, så vil man i de fleste tilfelle være «compliant».

Men det er ikke tilstrekkelig å etterleve personvernforordningen når denne får virkning 25. mai 2018. GDPR-compliance er ikke et engangsprosjekt, men en kontinuerlig oppgave. Det vil skje utvikling innenfor regelverket; det vil komme nye krav til, enkelte krav vil bli klarere og mer utdypet, teknologien og rammebetingelser vil endre seg, og kravene som en følge av dette endre seg etter. Man må derfor bli compliant til mai neste år, og så sikre at man er compliant fremover også. Det krever at man har prosedyrer og rutiner for å sikre at etterlevelse skjer selv om regler, teknologi, behandling og rammebetingelser endrer seg. Spesielt når det skal påbegynnes en ny behandling, bør man vurdere behandlingen etter ovennevnte: Registrere behandlingen, sikre at det er behandlingsgrunnlag, foreta risikovurdering (om nødvendig), sørge for prosedyrer og rutiner for behandlingen og for de registrertes rettigheter, påse at overføring er lovlig, ikke behandle mer enn man skal osv. I tillegg kan det være særskilte krav for visse typer behandling, som kan medføre spesielle krav (som behandling av særskilte kategorier (sensitive) opplysninger).

Ovennevnte er som nevnt kun en oversikt, men etterlever din virksomhet disse punktene vil det i stor grad kunne sies at virksomheten er «GDPR-compliant». Det kan imidlertid være spesielle krav for virksomheten som man må være klar over, som om man skal ha personvernombud. Det kan også være nyttig å være klar over de vanligste bruddene på personvernreglene, se mer her. Punktene ovenfor er også i stor grad de sammen som gjennomgås ved et GDPR-prosjekt, se mer om slike prosjekter i denne artikkelen.