Hvordan håndtere GDPR i din virksomhet - gode tips

GDPR er et viktig tema som vi opplever mye usikkerhet rundt - da kan det være nyttig med konkrete tips og anbefalinger til hvordan man kan gjennomføre GDPR-initativer i egen virksomhet. Leadership Weekly har tatt en prat med en spesialist på området. 

 Advokat Kari Gimmingsrud i Haavind Advokatselskap

Advokat Kari Gimmingsrud i Haavind Advokatselskap

Hva er GDPR og hvorfor er det viktig å forberede seg før 25.mai? 
- GDPR er EUs nye og oppdaterte regelverk for personvern, som også skal gjennomføres i Norge. De nye reglene viderefører en del som gjelder i dag, men gir også virksomheter nye plikter og enkeltpersoner nye rettigheter. Regelverket trer i kraft i EU den 25. mai. EFTA-landene (herunder Norge) arbeider med å få på plass regelverket fra samme tidspunkt.

Hvordan bør bedrifter gå frem i henhold til GDPR?
- Det er viktig å sette seg inn i de nye reglene og forstå hvordan egen virksomhet behandler personopplysninger. Med dette som bakgrunn er det lettere å forstå hva bedriften må gjøre, eller slutte å gjøre, for å overholde reglene. Å følge GDPR gir også fordeler, blant annet ved å gi kundene trygghet for at personvern er ivaretatt.   

Hva må særlig HR-direktører og ledere tenke på i henhold til GDPR?
- Alle arbeidsgivere behandler personopplysninger om ansatte. Ved å følge regelverket åpner det seg også en mulighet for å bruke personopplysninger til å utvikle egen virksomhet. Data gir grunnlag for innsikt, men må brukes lovlig. Økt bruk av digitale tjenester gir mer data, men også større muligheter til å overvåke og følge opp ansatte. Arbeidstakerne må få informasjon om behandlingen av personopplysninger. Behandling skal ikke skje i det skjulte. Arbeidstakere har en rekke rettigheter, blant annet rett til å få informasjon og rett til innsyn i arbeidsgivers behandling av personopplysninger. Det finnes nyttig informasjon på Datatilsynets hjemmesider og mange organisasjoner har utarbeidet veiledere som kan være til hjelp.

Har du noen konkrete anbefalinger eller steg som man kan ta for å sikre at man overholder lovverket?
- Skaff deg oversikt over regelverket og hvilke forpliktelser som vil gjelde for din virksomhet. Sørg for tilstrekkelig forankring og forståelse i ledelsen og berørte deler av organisasjonen. Grunnlaget for all behandling av personopplysninger er et lovlig behandlingsgrunnlag – en rett til bruk. Det kan være en arbeidsavtale, kundeavtale, et samtykke, en lovbestemt forpliktelse mm. Før nytt regelverk trer i kraft er det viktig å forsikre seg om at behandlingen er lovlig. Bedriften er også ansvarlig for det underleverandører gjør. Sørg for å ha en skriftlig databehandleravtale. Mer informasjon kan du finne på Datatilsynet: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/.
Hva gjør Haavind internt i henhold til GDPR?
- Vi har som mange andre virksomheter gjennomgått og oppdaterte våre interne rutiner og avtaler for behandling av personopplysninger. Vi har i mange år hatt fokus på personvern og informasjonssikkerhet og jobber kontinuerlig med dette.

Hvordan opplever du at andre bedrifter forholder seg til GDPR?
- Det er naturligvis en del forskjeller avhengig av bedriftens størrelse og type virksomhet. Mange store selskaper har jobbet med dette i lang tid. Det er stor interesse for personvern.

Kari Gimmingsrud er partner i forretningsområdet Teknologi, Media og IPR, og er ansvarlig for fagområdet personvern i advokatbyrået Haavind. Hun er spesialist i personvern og arbeidsrett, og har omfattende erfaring med å bistå norske og internasjonale virksomheter innenfor disse områdene. Kari er også leder for Fagutvalget for personvern i Juristforbundet.


Abonner på Leadership Monthly

Leadership Monthly er et nyttig og inspirerende nyhetsbrev om ledelse og lederutvikling. Dersom du har et glødende engasjement for dette tema, så anbefaler vi deg om å registrere deg som abonnent. Da vil du fortløpende få siste utgave av Leadership Monthly gratis til din e-post på publiseringsdato.