De senere år har Datatilsynet ilagt overtredelsesgebyr i størrelsesorden 35.000 kroner til 65 millioner kroner for blant annet manglende protokoll over behandlinger, avviksmeldinger som sendes senere enn innen fristen på 72 timer, manglende internkontroll, dårlig informasjonssikkerhet og behandlinger som ikke hadde behandlingsgrunnlag.
Eksempler på hva vi bidrar med eller som virksomheter må ha på plass er:
Etablering og revisjon av behandlingsprotokoller: Alle virksomheter plikter å ha en oppdatert behandlingsprotokoll.
Berettigede interesseavveiing: Hvis du bruker berettiget interesseavveiing som behandlingsgrunnlag, istedenfor eksempelvis samtykke eller avtale, så må du dokumentere interesseavveiingen.
Risikovurdering av alle behandlinger: Alle behandlinger må vurderes i forhold til hvilken personvernrisiko de innebærer, og for de mest risikable må det gjennomføres en såkalt personvernkonsekvensvurdering (også kalt DPIA).
Informasjonsplikt og revisjon av retningslinjer, personvernpolicy og tilsvarende: Alle behandlingsansvarlige må gi de registrerte informasjon om behandlinger, og slik informasjon eller retningslinjer bør revideres og oppdateres jevnlig.
Personvernombud-som-tjeneste: Enkelte virksomheter plikter å ha et personvernombud, og Grette yter bistand til personvernombud eller bistår virksomheter der det ikke finnes et eget personvernombud.
Sikkerhetsbrudd og avvikshåndtering: Brudd skal som et utgangspunkt meldes til Datatilsynet innen 72 timer fra virksomheten ble kjent med bruddet. I 2022 fikk Datatilsynet over 2250 meldinger om brudd på GDPR men bare 17 resulterte i overtredelsesgebyr. Ved å melde avvik viser virksomheter at de har oversikt og internkontroll. Vi bidrar med å vurdere om det må sendes avviksmelding og bidrar med å sende melding til Datatilsynet.
Vurdering av overføring av personopplysninger til tredjeland: Overføring av personopplysninger til land utenfor EU/EØS er forbudt med mindre det foreligger et grunnlag for slik overføring eller tilgang fra utlandet. Vi bidrar med Transfer Impact Assessment for å vurdere om klienter kan bruke spesielt IT-tjenester som krever tilgang til personopplysninger fra land utenfor EU/EØS, slik som USA, Australia, India og andre ikke-godkjente land.
Databehandleravtale: Vi gjennomgår og kvalitetssikrer databehandleravtaler, samt lager maler for våre klienter.
Internkontroll: Hvordan sikres internkontrollen i din virksomhet; har du (i) styrende dokumentasjon, (ii) gjennomførende dokumentasjon og (iii) kontrollerende?
