EUs persondataforordning (GDPR)

GDPR - The General Data Protection Regulation

Vi følger prinsippene for innebygd personvern i henhold til GDPR:EU 2016/679.

Som leverandør i IT bransjen har vi iverksatt tekniske og organisatoriske tiltak som effektivt ivaretar personvernprinsippene og som sørger for at vi følger forordningen.

Hva innebærer det at GDPR trer i kraft?

Først og fremst handler det om å ha et gyldig behandlingsgrunnlag (det juridiske grunnlaget for at man kan starte behandling om noens personopplysninger) og kontroll over hvilke opplysninger virksomheten behandler. Videre stilles det krav til hvordan opplysningene oppbevares i tillegg til omfattende dokumentasjonskrav ved for eksempel datainnbrudd.

GDPR gjelder absolutt alle som innhenter personlige opplysninger. Det vil si at uansett om du har en liten eller stor virksomhet så må du følge regelverket. Regelverket skal beskytte rettighetene til alle borgere innen EU/EØS, så det spiller ingen rolle om du er et fransk, amerikansk eller kinesisk selskap; skal du ha opplysninger så må du oppfylle kravene.

En ting er sikkert, det er ikke lurt å satse på snarveier. Å slurve kan bli dyrt, både i tapt omdømme og tapte inntekter. (Hvem vil vel egentlig handle med noen som ikke tar personvern på alvor?). I tillegg venter det skyhøye bøter og det varsles at disse VIL bli innkrevd.

Forordningen utvider virkeområdet for EUs personvernlovgivning ved at det også dekker alle utenlandske selskaper som behandler data om innbyggere i EU. Ved å skape et felles regelverk i EU blir det enklere for virksomheter å følge reglene. Det legges opp til et strengt vern, og brudd kan medføre strenge straffer på opptil 4% av en den samlede omsetningen til virksomheten.

Hvor starter man?

Det er noen tiltak du kan starte med allerede nå for å gjøre det enklere å oppfylle en del av de nye kravene. Som alltid er det best å starte med begynnelsen; få oversikt over hvilke opplysninger virksomheten behandler og et gyldig samtykke fra personen som gir deg opplysningene sine. Har du dette på plass er du et godt stykke på vei.

Hvem, hva, hvordan samtykke?

EU introduserer nå en artig vri ved at du må dokumentere at det faktisk er et individ som har avgitt sitt samtykke aktivt, utvunget og med forståelse av hva samtykket innebærer. Så farvel til alle forhåndsavhukede bokser og tekster med bitteliten skrift om at du vil ha nyhetsbrev fordi du kjøper et nytt batteri.

Dokumentasjonskravet betyr fortrinnsvis at samtykket er skriftlig og elektronisk. I enkelte tilfeller er det et krav om å kunne verifisere at samtykket er avgitt av den rette personen, som for eksempel gjennom BankID. Dokumentasjonskravene gjelder både til myndigheter (at du har orden på personvernet i henhold til forskriften) og til forbrukeren som skal få enkel og forståelig informasjon om hvordan personopplysningene behandles.

Samtykkeformularet blir noen av de viktigste tekstene du forfatter fremover! Er informasjonen diffus og uforståelig eller bruken av opplysningene for vid kan samtykket bli vanskelig å innhente.

GDPR er i stor grad et forbrukerregelverk. En personopplysning eies av den enkelte, og et samtykke skal kunne trekkes tilbake når som helst. Samtykket skal være like enkelt å trekke som å avgi, personen skal kunne ta med seg all sin informasjon videre og kunne stole på at alle opplysninger blir slettet.

Hva med de kundene jeg allerede har?

Du trenger ikke starte helt på nytt. Nye endringer i markedsføringsloven gir virksomheter adgang til å ta kontakt med kundene sine via telefon eller alminnelig post (les: Her regnes ikke epost som alminnelig, men den posten som krever porto) for å markedsføre tilsvarende varer eller tjenester som det eksisterende kundeforholdet bygger på. Men OBS: Også her gjelder at kunden har gitt deg opplysningene du bruker for å ta kontakt frivillig.

Generelle krav

Som en del av kravet om innebygd personvern, skal dere bruke personvern som standardinnstilling. Det betyr at det minst personverninngripende alternativet skal være standarden i alle systemer og løsninger. Forordningen nevner konkret at man skal ha standardinnstillinger for:

  • Mengden personopplysninger man samler inn
  • Omfang av behandlingen
  • Lagringstid
  • Tilgjengelighet

Det stilles også et eksplisitt krav om at det ikke skal være mulig å gjøre personopplysninger tilgjengelig for et ubestemt antall personer uten den registrertes medvirkning. Dette skal settes opp som en standard i løsningen.

Disse reglene finner man i artikkel 25.

Her er forordningen i sin helhet:

http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL