Den nye personvernforordningen skal ruste Europa for den digitale tidsalderen, men konsekvensene av feil behandling av persondata blir nå betraktelig større. Her er noe av det du trenger å vite om den nye forordningen.

I dag er det en del variasjoner i personvernlovgivningen i EU fra land til land. Med den nye personvernforordningen, som trer i kraft 25. mai 2018, vil tilsynsmyndighetene i alle landene følge samme regelverk og samarbeide mer. Dette betyr at det skal bli enklere å oppfylle lovverket og drive virksomhet i flere land. EU har anslått at harmoniseringen vil spare næringslivet omtrent 2,3 milliarder euro i året.

Tydeligere regler og ansvarliggjøring

Dagens melde- og konsesjonsplikter faller i stor grad bort. I stedet må virksomheter selv etablere systemer for risikovurdering, internkontroll og dokumentasjon. I noen tilfeller vil det være en konsultasjonsplikt med Datatilsynet, men i hovedsak er ansvaret lagt på virksomhetene. Samtidig vil det bli strengere straffer ved overtredelse, i ytterste konsekvens bøter opp til 20 millioner euro, eller 4% av selskapets globale omsetning.

Det skal ikke være tvil om hvem som har ansvaret for at personopplysninger behandles sikkert og korrekt. Det er alltid virksomheten som «eier» dataene som har ansvar for at personopplysninger forvaltes riktig. Dersom andre behandler personopplysninger på vegne av deres selskap, være seg i markedsføring, outsourcede backoffice-funksjoner eller lignende, er det likevel du som sitter med ansvaret dersom de skulle bryte loven. Det vil derfor være viktigere enn noen gang å ha solide avtaler på plass med underleverandører før dere sender fra dere dataene. Oppfølging og samarbeid blir også viktig.

«Privacy by design»

«Privacy by design» og «Privacy by default» er begreper fra forordningen som forteller at personvernhensyn skal ivaretas ved utvikling eller implementering av nye produkter, tjenester og systemer, samt at personvern skal være standardinnstillingen for brukerne. Den krever at virksomheter tenker informasjonssikkerhet og personvern i hele organisasjonen. Det skal gis tydelig informasjon om hva persondata brukes til og i mange tilfeller stilles krav om samtykke til denne bruken. Det skal også stilles strengere krav til om behandling av personopplysninger i det hele tatt er nødvendig, da innsamling av denne typen data skal ha et tydelig formål.

Hva betyr det for norske selskaper?

I en tid hvor persondata er lett tilgjengelig gjennom CRM-systemer, sosiale medier, kundeklubber, informasjonskapsler, nyhetsbrev, HR-systemer mv., og bruken av «big data» har kommet langt, er det naturlig for selskaper å se verdier knyttet til bruk av personopplysninger i blant annet markedsføring og forretningsutvikling.

Bruken av disse dataene forutsetter at det foreligger et samtykke til innhenting eller annet lovlig behandlingsgrunnlag, og det skal være tydelig kommunisert hva dataene skal brukes til. Det betyr at personvernspolicyer på nettsiden, avtaleverk med kunder, ansettelsesavtaler mv. bør revideres i god tid før forordningen trer i kraft.

Det er også svært viktig at dataene oppbevares sikkert, og at hvem som helst skal kunne be om å få sine egne data tilbakelevert/slettet. Det betyr at dersom ditt selskap benytter tredjeparter til behandling av dataene, om det er outsourcing av backoffice-tjenester, skytjenester, tilbydere av nyhetsbrev eller Facebook, skal dere ha en tydelig databehandleravtale som blant annet spesifiserer rutinene for sletting av data og legger til rette for at rettighetene til enkeltpersoner ivaretas.

Vil du lære mer om den nye personvernforordningen? Kom på frokostseminar hos oss den 15. februar, eller ta kontakt med vår fagekspert på personvern, Kari Gimmingsrud, for å se på hvordan din bedrift kan forberede seg på forordningen og legge til rette for bruk av persondata som en verdi for virksomheten.

–

Forordningen erstatter EUs personverndirektiv fra 1995, da internett fortsatt var i sin spede barndom. I dag er virkeligheten en annen, med sammensatte globale nettjenester, «big data» og tingenes internett. Det nye regelverket skal være bedre tilpasset den digitale verdenen vi lever i og utviklingen som vil skje i årene fremover. Forordningen trer i kraft 25. mai 2018, og trolig implementeres det også i Norge i 2018. Det ventes fortsatt på høringsutkast om lovendringene i Norge.