Jan Sandtrø er advokat og partner hos DLA Piper og bistår klienter i forholdet mellom juss og teknologi.
Innen 25. mai 2018 må alle selskaper i Norge (og Europa) følge reglene i personvernforordningen (GDPR) og i den nye personvernloven. Vi i DLA Piper bistår selskaper i å vurdere om de behandler personopplysninger etter de nye reglene, og her er de 5 vanligste bruddene på de nye personvernreglene vi avdekker.
1: Virksomheten har ikke oversikt over all behandling av personopplysninger Vi erfarer at selskaper ikke har god nok kontroll på og oversikt over alle personopplysninger de behandler. Dermed vil man ikke få en vurdering av om all behandling er i overensstemmelse med reglene, og om det foreligger grunnlag for behandlingen. Dette gjelder både personopplysninger som behandles i virksomheten, og som databehandlere forestår. Spesielt gjelder dette også om personopplysninger overføres til tredjeparter, som da vil bli nye behandlingsansvarlige. Noe av utfordringene skyldes manglende forståelse av hva «personopplysninger» og «behandling» er, og at disse begrepene er meget vide så de omfatter det meste som involverer opplysninger som kan kobles til enkeltpersoner. (Sender du meg en melding i LinkedIn, sender en epost på jan.sandtro@dlapiper.com eller legger inn en kommentar under artikkelen, så sender jeg deg et regneark til hjelp for å få oversikt over personopplysninger som behandles.)
2: Manglende vurderinger og tilhørende dokumentasjon Når man har oversikt over all behandling i selskapet, må det vurderes om behandlingen av personopplysninger er lovlig, dvs. at det foreligger et behandlingsgrunnlag etter personvernforordningen. Det er forekommer at det er behandlinger som det ikke er vurdert behandlingsgrunnlaget på, og selskapene er derfor ikke sikre på om behandlingen er lovlig. Ofte foreligger det heller ikke dokumentasjon på at slik vurdering er foretatt. Er det usikkerhet ved behandling eller grunnlag, bør det dokumenteres at det ihvertfall er foretatt en vurdering. Benyttes samtykke fra de registrerte som grunnlag for behandling, må det dokumenteres at samtykke er innhentet. Slik dokumentasjon mangler også ofte.
3: Manglende rutiner og prosedyrer Det er en del rutiner og prosedyrer som skal være på plass for at man skal overholde kravene til internkontroll etter personvernforordningen. Dette gjelder spesielt manglende rutiner for å gi informasjon til de registrerte enten personopplysninger samles inn fra den registrerte eller opplysninger innhentes eller mottas fra tredjeparter. Det skal også være rutiner på plass for varsling av brudd på sikkerheten for opplysningene, håndtering av innsynskrav fra registrerte, registrering og dokumentasjon av ny behandling, osv.
4: Manglende databehandleravtale Overlates det personopplysning for behandling hos en annen virksomhet, f.eks. at man bruker skytjenester til lagring, så skal det foreligge en databehandleravtale. Etter personvernforordningen stilles det også klarere krav til hva databehandleravtaler skal inneholde. Mange selskaper har ikke inngått databehandleravtaler med databehandlere, og dersom avtale er inngått, så er det ikke kontrollert at avtalen dekker lovens krav. Se mer om de nye kravene til databehandleravtale her.
5: Overføring av personopplysninger til tredjeland uten lovlig grunnlag Personopplysninger kan ikke overføres til (de fleste) land utenfor EU/EØS uten at det foreligger et lovlig grunnlag. Dette gjelder også for skytjenester hvor personopplysninger lagres utenfor EU/EØS. Lovlig grunnlag kan være samtykkefra de registrerte (og det stilles strenge krav til innholdet av samtykket), herunder avtale, bruk av standardavtaler fra EU, overføring til USA etter Privacy Shield-avtalen, eller bruk av Binding Corporate Rules. Foreligger ingen av de nevnte, så er ikke overføring til land utenfor EU/EØS lovlig.
Ovennevnte er forholdsvis enkle brudd på reglene å avdekke, og forholdsvis enkelt å utbedre dersom bruddene avdekkes. Ulempen er at dette også er forhold som er enkle å avdekke av Datatilsynet ved en kontroll, og som kan føre til bøtelegging dersom Datatilsynet avdekker brudd på reglene. Men har man dekket punktene over, så har man unngått de feilene som forekommer oftest.
Om artikkelforfatteren Jan Sandtrø er advokat og partner hos DLA Piper og bistår klienter i forholdet mellom juss og teknologi. Han har lang erfaring med teknologirett, herunder it-kontrakter og personvern. DLA Piper er det eneste globale advokatfirma i Norge, og det eneste advokatfirma som har kontorer i både Danmark, Finland, Norge og Sverige. DLA Piper har 500 advokater spesialisert i IP og teknologi blant sine nær 4 500 advokater over hele verden. Jan Sandtrø kan kontaktes på jan.sandtro@dlapiper.com, telefon +47 997 31 934 eller via LinkedIn
