Sjekkliste for behandling av personopplysningar

Her er ei oversikt over noko av det du må gjera før du byrjar å behandla personopplysningar:

Sett deg inn i personvernprinsippa. Desse prinsippa er juridisk bindande, så du må alltid ha dei i bakhovudet.
Kva personopplysningar behandlar du? Identifiser dei ulike kategoriane opplysningar verksemda behandlar. Dette kan til dømes vera kontaktinformasjonen til dei tilsette, kontaktinformasjonen til kundar, opplysningar om banksambanda og skattetrekka til tilsette, kundars handlehistorikk, IP-adresser samla inn gjennom nettsida for verksemda, kundesegment osb. Ver nøye slik at du ikkje hoppar over noko.
Definer eit klart formål med kategoriane av personopplysningar. Éin kategori kan nokre gonger ha fleire formål, men du kan ikkje endra formålet i særleg grad når behandlinga har byrja. Formålet må ikkje vera for vidt eller ullent – ein skal alltid være konkret.
Identifisera kva behandlingsgrunnlag som passar best til dei ulike behandlingane. Kvar behandling kan berre ha eitt behandlingsgrunnlag, og ein kan normalt ikkje byta behandlingsgrunnlag undervegs. Dersom ingen av behandlingsgrunnlaga kan brukast, er behandlinga ulovleg.
Dersom du behandlar særlege kategoriar av personopplysningar (sensitive personopplysningar og biometri), må behandlingane også ha behandlingsgrunnlag i artikkel 9 i personvernforordninga.
Finn ut korleis du kan overhalda informasjonsplikta best mogleg.
Sett deg inn i kva for nokre andre rettar den enkelte har. Verksemda har plikt til å sørgja for system som sikrar at den enkelte faktisk får rettane sine innan tidsfristen. Det betyr til dømes at ein må ha gode rutinar, system og kompetanse til å vurdera krav frå den enkelte.
Det er viktig å tenkja personvern frå starten. Det gjer det mykje lettare og billigare å laga rutinar, system og ein organisasjon som varetek personvernet på ein god måte. Innebygd personvern er no ei plikt. Når rutinar og system blir utarbeidde, bør du derfor sjå på datatilsynet sin rettleiaren vår om innebygd personvern.
Skal ein databehandlar behandla personopplysningar på dine vegner? Hugs databehandlaravtale!
Vil personopplysningane forlata EØS-området? Les kva reglar som gjeld overføring til utlandet i personvernforordninga.
Vurder om du har plikt til å gjennomføra ei vurdering av personvernkonsekvensar.
Du må ha rutinar som gjer deg i stand til å etterleva alle pliktene etter lova. Du må derfor ha ein internkontroll. Du har også plikt til å verna personopplysningane, altså ha informasjonssikkerheit. Sjå meir på Datatilsynet si samleside om internkontroll og informasjonstryggleik når du planlegg kva tryggingstiltak verksemda di må ha.
Du må også leggja ein plan for korleis du skal overhalda pliktene til avviksbehandling når noko går gale. Sjå dei nye krava til avviksbehandling i personvernforordninga artikkel 33 og 34.
Hugs me har plikt til å føra protokoll over behandlingsaktivitetar.

Bruk protokollmal - hugs å sende kopi av protokoll til personvernombod når du gjer endringar.

-->

Her er ei oversikt over noko av det du må gjera før du byrjar å behandla personopplysningar:

Sett deg inn i personvernprinsippa. Desse prinsippa er juridisk bindande, så du må alltid ha dei i bakhovudet.
Kva personopplysningar behandlar du? Identifiser dei ulike kategoriane opplysningar verksemda behandlar. Dette kan til dømes vera kontaktinformasjonen til dei tilsette, kontaktinformasjonen til kundar, opplysningar om banksambanda og skattetrekka til tilsette, kundars handlehistorikk, IP-adresser samla inn gjennom nettsida for verksemda, kundesegment osb. Ver nøye slik at du ikkje hoppar over noko.
Definer eit klart formål med kategoriane av personopplysningar. Éin kategori kan nokre gonger ha fleire formål, men du kan ikkje endra formålet i særleg grad når behandlinga har byrja. Formålet må ikkje vera for vidt eller ullent – ein skal alltid være konkret.
Identifisera kva behandlingsgrunnlag som passar best til dei ulike behandlingane. Kvar behandling kan berre ha eitt behandlingsgrunnlag, og ein kan normalt ikkje byta behandlingsgrunnlag undervegs. Dersom ingen av behandlingsgrunnlaga kan brukast, er behandlinga ulovleg.
Dersom du behandlar særlege kategoriar av personopplysningar (sensitive personopplysningar og biometri), må behandlingane også ha behandlingsgrunnlag i artikkel 9 i personvernforordninga.
Finn ut korleis du kan overhalda informasjonsplikta best mogleg.
Sett deg inn i kva for nokre andre rettar den enkelte har. Verksemda har plikt til å sørgja for system som sikrar at den enkelte faktisk får rettane sine innan tidsfristen. Det betyr til dømes at ein må ha gode rutinar, system og kompetanse til å vurdera krav frå den enkelte.
Det er viktig å tenkja personvern frå starten. Det gjer det mykje lettare og billigare å laga rutinar, system og ein organisasjon som varetek personvernet på ein god måte. Innebygd personvern er no ei plikt. Når rutinar og system blir utarbeidde, bør du derfor sjå på datatilsynet sin rettleiaren vår om innebygd personvern.
Skal ein databehandlar behandla personopplysningar på dine vegner? Hugs databehandlaravtale!
Vil personopplysningane forlata EØS-området? Les kva reglar som gjeld overføring til utlandet i personvernforordninga.
Vurder om du har plikt til å gjennomføra ei vurdering av personvernkonsekvensar.
Du må ha rutinar som gjer deg i stand til å etterleva alle pliktene etter lova. Du må derfor ha ein internkontroll. Du har også plikt til å verna personopplysningane, altså ha informasjonssikkerheit. Sjå meir på Datatilsynet si samleside om internkontroll og informasjonstryggleik når du planlegg kva tryggingstiltak verksemda di må ha.
Du må også leggja ein plan for korleis du skal overhalda pliktene til avviksbehandling når noko går gale. Sjå dei nye krava til avviksbehandling i personvernforordninga artikkel 33 og 34.
Hugs me har plikt til å føra protokoll over behandlingsaktivitetar.

Bruk protokollmal - hugs å sende kopi av protokoll til personvernombod når du gjer endringar.