GDPR Prosjektgjennomføring Sjekkliste

Transkript

1 GDPR Prosjektgjennomføring Sjekkliste DIGFO.no Org nr / Contact@DIGFO.no Side 1 av 6

2 1 Samtykke (Consent) Kunder må gi sitt samtykke for behandling av personopplysninger. Det er mulig man må ha nytt samtykke hvis ikke tidligere gitt samtykke er godt nok. Samtykker for alle behandlinger må vurderes. Følgende er krav til samtykke: Samtykke må være: Frivillig avgitt, dvs. ingen fordeler eller ulemper knyttet til samtykket Spesifikt, dvs. må være konkret for behandlingen det samtykkes til Utvetydig, dvs. at det må gis en tydelig bekreftelse på samtykket Informert ved at det må fremgå klart alt hva det samtykkes til Viljesytring ved erklæring eller tydelig bekreftelse for behandling Samtykket må: Gis i en forståelig og lett tilgjengelig form på et klart og enkelt språk Kunne dokumenteres, som innhold i samtykket, når gitt og hvem ga Skilles tydelig fra andre skriftlige forhold Fritt kunne trekkes tilbake, like enkelt som det ble gitt (må informeres om i samtykket) Andre behandlingsgrunnlag enn samtykke er også mulig: Oppfylle avtale med den registrerte Oppfylle en rettslig forpliktelse (dvs. pålegges en plikt etter lov) DIGFO.no Org nr / Contact@DIGFO.no Side 2 av 6

3 Verne fysisk persons vitale interesser Utføre oppgave i allmennhetens interesse eller utøve offentlig myndighet Eller det foreligger en berettiget interesse for behandlingen hvor ikke personverninteressene til den registrerte går foran (interesseavveining) 2 Personvernerklæring (Privacy policy) En personvernerklæring forklarer hvordan bedriften samler inn og bruker personopplysninger. Denne må publiseres lett tilgjengelig på nettsiden og må inneholde: Hvem er behandlingsansvarlig Hva er formålet Hva er det rettslige grunnlaget Hvilke personopplysninger behandles Hvor hentes opplysningene fra Er det frivillig å gi fra seg opplysningene Utleveres opplysningene til tredjeparter Hvordan slettes og arkiveres opplysningene Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder Hvordan sikres opplysningene Kontaktinformasjon DIGFO.no Org nr / Contact@DIGFO.no Side 3 av 6

4 3 Informasjonskapselerklæring (Cookie policy) En Informasjonskapselerklæring inneholder en liste over informasjonskapsler som brukes på nettsiden, en forklaring på hva dette er samt en beskrivelse på hvordan man kan deaktivere og blokkere disse. Dette må publiseres på nettsiden Hvilken kapsel/cookie som blir brukt Hvilke opplysninger som blir lagret og hvor lenge Hva formålet med disse opplysningene er Hvem som bruker disse opplysningene 4 Behandlingsoversikt (Processing activities) Lag en oversikt som viser hvilke personopplysninger som behandles, hvor de er lagret samt hvem som er innvolvert. Behandlingsaktivitet Internt ansvarlig Behandlingsansvar Felles behandlingsansvar Beskrivelse av behandling Formålet med behandling Behandlingsgrunnlag Behandlingssted Personopplysninger Opphav DIGFO.no Org nr / Contact@DIGFO.no Side 4 av 6

5 5 Databehandleravtale (Data processing agreement) 6 Personvernkonsekvensanalyse (Data Privacy Impact Assesment) Forholdet mellom en behandlingsansvarligvirksomhet og databehandleren skal være regulert i en databehandleravtale. Avtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger. Noen leverandører har oppdatert sine avtaler ihht GDPR, denne må signeres og lagres. Kontroller tilstand hos leverandørene, signer og arkiver avtalen. Eventuelt send egen avtale med egne vilkår og krav. Vurdering av personvernkonsekvenser. Fylles ut etter behandlingsoversikt. Her vurderes risiko for tap/skade osv på personopplysninger. Både internt og eksternt. 1 Opplæring Alle ansatte må informeres om ny personvernlov, om deres og kunder sine nye rettigheter. Å få innsyn i egne opplysninger, hva som blir lagret At uriktige, ufullstendige eller opplysninger kan rettes og slettes Å kunne bestride behandling av data Å kunne trekke tilbake gitt samtykke Retten til dataportabilitet. I den grad det er relevant, å kunne overføre data som har blitt samlet inn under samtykke, til en annen løsning 2 Intern informasjonssikkerhet og rutiner Prosesser rutiner og policyer må gjennomgås og settes. Følgende må dokumenteres: Informasjonssikkerhet og rutiner for å ivareta sikkerheten for personopplysninger Brudd på personopplysningssikkerheten og utbedringstiltak Rutiner for informering av registrerte Rutiner for overføring av personopplysninger, herunder til land utenfor EU/EØS DIGFO.no Org nr / Contact@DIGFO.no Side 5 av 6

6 Rutine for oppstart og opphør av behandling av personopplysninger, herunder at behandlingen skal inntas i behandlingsoversikten Rutiner for å sikre personopplysninger. riktighet, dvs. hvordan personopplysningene oppdateres, rettes, endres og slettes (når relevant) Rutiner for hvordan lagringsbegrensning, herunder når sletting, psedonymisering og anonymisering skal gjøres og hvordan dette skal gjøres Egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med regelverket, herunder risikovurdering Rutiner for overholdelse av adferdsnormer og sertifisering Rutiner for dataportabilitet Rutiner for hvordan behandlingens lovlighet sikres, som lovlig behandlingsgrunnlag (herunder sikring av samtykke, interesseavveining mv.), samt for særlige kategorier opplysninger, og sikring av at behandlingen kun skjer innenfor og så lenge formålet for innsamlingen av opplysningene foreligger Rutiner for bruk av datahandlere Rutine for innsyn i arbeidstakers e-postkasse Rutiner for utpeking, stilling og oppgaver for personvernrådgiver Rutine for varsling ved brudd på personopplysningssikkerheten Rutiner for at rettighetene til de registrerte blir fulgt, som retten innsyn, retting og sletting, og hvordan krav om begrensning av behandling, innsigelsesrett og dersom de registrerte motsetter seg automatiserte individuelle avgjørelser, herunder profilering. DIGFO.no Org nr / Contact@DIGFO.no Side 6 av 6