Dessverre vet vi ikke med sikkerhet hvordan dette vil utarte seg, men det finner vi snart ut av.
Selv ikke små virksomheter slipper unna de nye reglene. Derfor er det viktig at alle tar seg tid til å sette seg inn i regelverket, og dets implikasjoner for virksomheten din. Ikke gjør den feilen å tro at dette ikke vil være relevant for deg, da bøtene for å ikke følge de nye reglene kan resultere i store økonomiske tap.
Å effektivisere og beskytte dataen du behandler vil ikke kun gi trygghet til de det måtte gjelde, men det kan være vel så viktig for relasjonene du har til journalister. Å være transparent men hva du samler inn, samt at du viser til at du tar beskyttelse av persondata på alvor, kan styrke forhold og bygge sterkere tillit mellom deg og journalister.
Hva skal du så gjøre for å være klar for GDPR? Du kan starte med vår sjekkliste:
1. Oppdater personvernregler
- Sørg for å få oppdatert virksomhetens personvernregler. De bør da inneholde følgende informasjon:
- Lagringstid
- Tydeliggjør hvem som behandler persondataen
- Formålet med databehandling
- Hvem som kommer til å ha tilgang til dataen
- Retningslinjer for overføring av data
- En oversikt over retten til innsyn
- Tilbaketrekking av samtykke
- Hvordan man klager
- Sørg for at det ligger lett tilgjengelig på dine nettsider, slik at besøkende ikke vil ha noen problemer med å finne frem.
2. Definer det juridiske grunnlaget du benytter for databehandling
Sørg for å definere det juridiske grunnlaget du benytter for databehandling. Det være seg samtykke eller legitim interesse. Sørg også får å ha dette dokumentert i tilfelle du trenger å bevise at samtykket er gitt. Hvis du går for legitim interesse, sørg for å utføre en såkalt Legitimate Interest Assesment (LIA), og at alle innad i organisasjonen skal kunne referere til denne. Ta likevel høye for at en LIA kanskje ikke vil være relevant for din virksomhet. Det må du nesten undersøke selv.
3. Håndter forespørsler om sletting av data
Dersom et individ ber om at persondataen deres skal slettes, er det viktig å ha en formell prosess for dette på plass. Vær også tydelig innad i organisasjonen om hvem som har ansvar for å slette persondata.
4. Følg opp tredjeparter
Er de klare for GDPR? Det holder ikke å anta at tredjeparter er klare, du må faktisk følge opp at de opererer i henhold til det nye lovverket.
5. Forbered de ansatte
Tren opp de ansatte og informer dem om best practice hva gjeller GDPR. Sørg også for at de er kjent med virksomhetens personvernregler, og spesielt hvordan de skal dele og lagre data. De bør også bli informert om hvordan GDPR kommer til å påvirke deres arbeidsdag. Det er viktig at de forstår at selv rutinemessige oppgaver som større e-postutsendelser kan trenge en større gjennomgang før de kan gå ut.