[et_pb_section fb_built=\u00a0\u00bb1″ _builder_version=\u00a0\u00bb4.27.2″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb][et_pb_row _builder_version=\u00a0\u00bb4.27.2″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb][et_pb_column type=\u00a0\u00bb4_4″ _builder_version=\u00a0\u00bb4.27.2″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb][et_pb_text _builder_version=\u00a0\u00bb4.27.2″ _module_preset=\u00a0\u00bbdefault\u00a0\u00bb global_colors_info=\u00a0\u00bb{}\u00a0\u00bb]<\/p>\n
N\u00e5r et selskap mottar et brev fra den nasjonale kommisjonen for informasjonsteknologi og friheter (CNIL) som ber om forklaringer p\u00e5 sin praksis ang\u00e5ende behandling av personopplysninger, st\u00e5r det overfor en \u00f8mfintlig situasjon som krever en rask, streng og i samsvar med kravene i General Data Protection Regulation (GDPR). En utilstrekkelig respons kan faktisk f\u00f8re til alvorlige konsekvenser, inkludert administrative sanksjoner p\u00e5 opptil 20 millioner euro eller 4 % av global \u00e5rlig omsetning (artikkel 83 i GDPR). Denne artikkelen unders\u00f8ker trinnene som m\u00e5 f\u00f8lges n\u00e5r du st\u00e5r overfor et slikt brev, risikoene involvert, muligheten til \u00e5 sende inn en databeskyttelseskonsekvensvurdering (DPIA), samt de tre n\u00f8kkelelementene som m\u00e5 gis i svaret for \u00e5 unng\u00e5 en tvist.<\/strong><\/p>\n CNIL, som tilsynsmyndighet som er ansvarlig for \u00e5 sikre overholdelse av lover om personvern, kan sende et brev til selskaper for \u00e5 f\u00e5 informasjon om behandlingen av personopplysninger som de utf\u00f8rer. Dette brevet kan ha ulike motivasjoner: en klage fra en enkeltperson, en planlagt inspeksjon eller en bekreftelse knyttet til en rapport. Uansett \u00e5rsak, er det viktig \u00e5 behandle foresp\u00f8rselen seri\u00f8st og raskt.<\/p>\n Det f\u00f8rste trinnet er \u00e5 lese s\u00f8knadsskjemaet n\u00f8ye. CNIL<\/a>. Brevet kan be om spesifikk informasjon om visse databehandlinger, begrunnelsen for deres rettslige grunnlag, sikkerhetstiltakene som er iverksatt, eller til og med detaljer om interne prosedyrer som gj\u00f8r det mulig \u00e5 ut\u00f8ve rettigheter<\/a> av de det gjelder. Det er avgj\u00f8rende \u00e5 tydelig forst\u00e5 hva som forventes, de angitte responstidene og dokumentene som skal leveres.<\/p>\n Etter \u00e5 ha identifisert den forespurte informasjonen, m\u00e5 det utarbeides en fullstendig og dokumentert fil. Denne filen m\u00e5 inneholde:<\/p>\n Hvis selskapet har utnevnt en databeskyttelsesansvarlig (DPO), er det viktig \u00e5 involvere dem i prosessen med \u00e5 svare p\u00e5 CNIL. DPO spiller en n\u00f8kkelrolle i<\/p>\n <\/p>\n <\/p>\n bistand til organisatorisk etterlevelse og i h\u00e5ndtering av forhold til tilsynsmyndigheten. Dens oppgave inkluderer \u00e5 overv\u00e5ke databehandling, \u00f8ke bevisstheten til ansatte og gi r\u00e5d om svar p\u00e5 foresp\u00f8rsler fra myndigheter. Konsultasjonen er derfor en garanti for god tro og aktsomhet i forbindelse med dialog med CNIL.<\/p>\n Et utilstrekkelig svar eller manglende svar p\u00e5 en foresp\u00f8rsel om forklaringer fra CNIL kan resultere i ulike risikoer for selskapet, alt fra \u00f8konomiske sanksjoner til restriksjoner p\u00e5 databehandling.<\/p>\n Artikkel 83 i GDPR gir administrative b\u00f8ter i forhold til alvorlighetsgraden av bruddet. Brudd p\u00e5 grunnleggende databeskyttelsesprinsipper, registrerte rettigheter eller sikkerhetsforpliktelser kan resultere i b\u00f8ter p\u00e5 opptil 20 millioner euro eller 4 % av selskapets globale \u00e5rlige omsetning, det h\u00f8yeste bel\u00f8pet beholdes.<\/p>\n Dersom CNIL mener at databehandlingen ikke er i samsvar med kravene i GDPR, kan den sende selskapet en formell melding<\/a> \u00e5 overholde innenfor en bestemt tidsramme. I mangel av regularisering kan myndigheten treffe tvangsmidler som for eksempel p\u00e5legg om \u00e5 stanse behandlingen eller begrense form\u00e5let.<\/p>\n I de mest alvorlige tilfellene kan CNIL beordre midlertidig eller permanent stans av behandlingsaktiviteter, noe som kan p\u00e5virke selskapets aktivitet betydelig. For eksempel kan et e-handelsselskap bli forhindret fra \u00e5 bruke sine kundedatabaser, noe som direkte vil skade inntektene.<\/p>\n1. Trinn som skal f\u00f8lges som svar p\u00e5 et brev fra CNIL<\/strong><\/h2>\n
har. Analyser innholdet i e-posten n\u00f8ye<\/em><\/h3>\n
b. Opprett en komplett fil for \u00e5 svare p\u00e5 foresp\u00f8rselen<\/em><\/h3>\n
\n
c. R\u00e5df\u00f8r deg med databeskyttelsesansvarlig (DPO)<\/em><\/h3>\n
2. Risikoer ved manglende overholdelse eller utilstrekkelig respons<\/strong><\/h2>\n
har. Risiko for administrative sanksjoner<\/em><\/h3>\n
b. Risiko for formell varsel eller forf\u00f8yning for overholdelse<\/em><\/h3>\n
c. Suspensjon av databehandling<\/em><\/h3>\n
3. Send inn en AIPD: n\u00e5r og hvorfor?<\/strong><\/h2>\n