GDPR-etterlevelse som går i bakgrunnen, ikke i kalenderen din.
Gratis, ingen registrering kreves for kartleggingen.
- 01Enhver virksomhet etablert i EU/EØS som behandler personopplysninger, uavhengig av størrelse.
- 02Virksomheter utenfor EU som tilbyr varer eller tjenester til EU-borgere, eller som overvåker atferden deres.
- 03Alle som håndterer ansattdata for EU-borgere, selv uten eksterne kunder i EU.
- 04Databehandlere som behandler personopplysninger på vegne av andre, med egne plikter atskilt fra behandlingsansvarlige.
- 05Felles behandlingsansvarlige må fordele ansvaret skriftlig.
Hva kreves
Klart språk, ikke juridisk sjargong. Kildehenvisninger lenker til selve regelverket.
Behandlingsgrunnlag for hver behandlingsaktivitet
Dokumenter det konkrete behandlingsgrunnlaget etter artikkel 6 (samtykke, avtale, rettslig forpliktelse, vitale interesser, oppgave i allmennhetens interesse, berettiget interesse) for hver aktivitet.
Artikkel 6, GDPR →Transparent personvernerklæring
Opplysninger etter artikkel 13/14: identitet, formål, behandlingsgrunnlag, lagringstid, mottakere, overføringer, rettigheter og kontaktinformasjon til personvernombud.
Artikkel 13 og 14, GDPR →Rettighetene til den registrerte
Drift en dokumentert arbeidsflyt for innsyn, retting, sletting, begrensning, portabilitet og innsigelse, med én måned som standard svartid.
Protokoll over behandlingsaktiviteter (RoPA)
Før et skriftlig register etter artikkel 30 som dekker formål, kategorier av registrerte og data, mottakere, overføringer og sikkerhetstiltak.
Artikkel 30, GDPR →Databehandleravtaler
Avtaler etter artikkel 28 med alle databehandlere som behandler personopplysninger på dine vegne.
Varsling om brudd
Varsling til tilsynsmyndigheten innen 72 timer ved ethvert brudd som sannsynligvis medfører risiko for de registrerte.
Viktige datoer
- 25. mai 2018GDPR ble anvendelig
- LøpendeKontinuerlig håndheving. Den hittil største enkeltsanksjonen overstiger €1,2 milliarder.
- LøpendeOverføringsregler etter Schrems II, utviklingen av EU-US DPF
Sanksjoner
Inntil 20 millioner euro eller 4 % av global omsetning, det høyeste av de to.
Utover sanksjoner kan manglende etterlevelse blokkere enterprise-salgsavtaler, eksponere ledelsen personlig og utløse rapporteringspliktige hendelser under tilgrensende regelverk.
Slik hjelper Skarpix
RoPA-generator
Bygg og vedlikehold protokollen din over behandlingsaktiviteter etter artikkel 30.
DPIA-maler
Gjennomfør personvernkonsekvensvurderinger (DPIA) for behandling med høy risiko.
Arbeidsflyt for innsynsforespørsler
Spor og besvar forespørsler fra de registrerte innen lovbestemte frister.
Leverandørregister for databehandleravtaler
Kataloger databehandlere og deres signerte databehandleravtaler.
Plan for bruddhåndtering
Maler for varselrekken på 72 timer til tilsynsmyndighetene.
Klar for å se hvor du står på GDPR / Personvern?
Ofte stilte spørsmål
Er vi unntatt fra GDPR som småbedrift?+
Nei. GDPR gjelder uavhengig av størrelse. Det eneste unntaket er behandling som utelukkende er privat eller hjemmebasert, og det utelukker enhver forretningsaktivitet.
Trenger vi et personvernombud?+
Du trenger personvernombud hvis du er en offentlig myndighet, kjernevirksomheten din innebærer systematisk overvåking i stor skala, eller du behandler særlige kategorier i stor skala. Mange SMB-er trenger det ikke, men å utnevne et ombud likevel er et tydelig modenhetssignal.
Hva regnes som «personopplysninger»?+
Enhver informasjon som kan knyttes til en identifisert eller identifiserbar fysisk person: navn, e-postadresser, IP-adresser, cookie-ID-er, atferdsdata, personalmapper og mer.
Hvordan spiller GDPR sammen med NIS2?+
Betydelig overlapp: NIS2 krever tekniske og organisatoriske tiltak som overlapper med sikkerhetspliktene i GDPR artikkel 32. Skarpix lar deg gjenbruke dokumentasjon på tvers av begge moduler.
Hva med overføringer til USA?+
Bruk EU-US Data Privacy Framework med sertifiserte amerikanske importører, eller standard kontraktsvilkår med dokumenterte risikovurderinger av overføringen.
Hvilken myndighet fører tilsyn med GDPR i Norge?+
I Norge gjelder GDPR gjennom personopplysningsloven, og håndheves av Datatilsynet. Et brudd meldes til Datatilsynet innen 72 timer (artikkel 33). Overtredelsesgebyr kan komme opp i 20 millioner euro eller 4 % av global årsomsetning.