GDPR-sjekkliste: 10 ting din bedrift må ha på plass

Personvernforordningen (GDPR) stiller strenge krav til hvordan bedrifter behandler personopplysninger. Her er de 10 viktigste punktene din bedrift må ha på plass for å være i samsvar.

1. Behandlingsprotokoll (Art. 30) — Alle virksomheter som behandler personopplysninger skal dokumentere alle behandlingsaktiviteter med formål, rettslig grunnlag, datakategorier og lagringstid.

2. Rettslig grunnlag — For hver behandlingsaktivitet må du identifisere riktig rettslig grunnlag: samtykke, avtale, rettslig forpliktelse, vitale interesser, allmennhetens interesse eller berettiget interesse.

3. Personvernerklæring — En klar og tilgjengelig personvernerklæring som forklarer hvilke personopplysninger bedriften samler inn, hvordan de brukes, og hvilke rettigheter de registrerte har.

4. Databehandleravtaler — Har du leverandører som behandler personopplysninger på dine vegne? Da trenger du databehandleravtaler med alle disse.

5. Rutiner for registrertes rettigheter — Systemer for å håndtere forespørsler om innsyn, sletting, retting og dataportabilitet innen 30 dager.

6. Informasjonssikkerhet — Tekniske og organisatoriske tiltak for å beskytte personopplysninger mot uautorisert tilgang, tap og endring.

7. Rutiner for personvernbrudd — Prosedyrer for å oppdage, rapportere og håndtere brudd innen 72-timersfristen til Datatilsynet.

8. DPIA ved behov — Personvernkonsekvensvurdering (DPIA) er påkrevd for behandlingsaktiviteter som kan medføre høy risiko for de registrertes rettigheter.

9. Opplæring — Ansatte som behandler personopplysninger må ha tilstrekkelig opplæring i personvern og datasikkerhet.

10. Dokumentasjon — All dokumentasjon skal være oppdatert og tilgjengelig for Datatilsynet ved forespørsel.