logoRevisjon og regnskap

Logg på for å laste ned PDF
Selskapsrett

Advokatfullmektig

Carl Emil Bull-Berg

Wiersholm

Advokat

Line Helen Haukalid

Wiersholm

GDPR-arbeidet er ikke over

Artikkelen gir en statusoppdatering etter at GDPR nå har vært i kraft i rundt halvannet år. Vi ønsker å gjøre det klart at det er nå arbeidet starter. Overtredelsesgebyrer, internasjonal påvirkning og ikke minst oppfølgingsarbeid ligger foran oss.

GDPR står for General Data Protection Regulation, og er EUs nye personvernforordning. GDPR er gjennomført i personopplysningsloven og i skrivende stund er det ett år, seks måneder og ni dager siden GDPR trådte i kraft i Norge. I tiden før og etter 20. juli 2018 har det vært et enormt fokus på betydningen av det nye regelverket, både for virksomheter og enkeltindivider.

Mye av interessen og ikke minst bekymringen kan nok tilskrives tilsynsmyndighetenes adgang til å ilegge historisk høye overtredelsesgebyrer.

Interessen rundt GDPR har vært enorm. Som illustrasjon kan det nevnes at GDPR i sommermånedene 2018 var mer søkt på gjennom Google enn Kim Kardashian. I etterkant har imidlertid interessen dalt.

Etterlevelse av GDPR er et kontinuerlig arbeid

Å sørge for at virksomheten opptrer i samsvar med GDPR er ikke et engangsprosjekt, men et kontinuerlig oppfølgingsarbeid som først slutter når personopplysninger ikke lenger behandles.

Vi opplever at mange virksomheter har hatt fokus på å få på plass den nødvendige dokumentasjonen, som for eksempel rutiner for behandling av personopplysninger, databehandleravtaler og protokoller over behandlingsaktiviteter. Det er imidlertid først når dette er på plass at det virkelige arbeidet starter.

Mange virksomheter kan nok oppleve implementeringen av GDPR som utfordrende. Grunnen til dette er at behandling av personopplysninger foretas i alle ledd i en virksomhet, i alt fra anskaffelser til revisjon. Følgelig kan ikke virksomheten ha én avdeling som sørger for overholdelse av GDPR, alle må ta del i arbeidet. Alle ansatte som behandler personopplysninger, må ha et bevisst forhold til for eksempel sletting og oppbevaring, hvilke personopplysninger som skal samles inn og konfidensialitet. Virksomheten må derfor sørge for at de ansatte får tilstrekkelig opplæring.