Hva er GDPR?

Nå skjer nesten alt digitalt. Vi sender e-post, deler dokumenter, betaler regninger og handler varer, og hver gang oppgir vi personopplysninger på Internett. Dette er grunnen til at det i mai 2018 trer i kraft en ny lov for personvern, GDPR (General Data Protection Regulation), som vil endre måten vi samler inn, bruker, håndhever og lagrer persondata for å beskytte forbrukeren.

GDPR kommer til å implementeres i alle lokale personvernlover i hele EU og EØS. Den vil gjelde for alle selskaper som selger til- og lagrer personlig informasjon om europeiske statsborgere, inkludert selskaper på andre kontinenter.

Loven omfatter all informasjon som kan relateres til en person, f.eks. navn, bilde, e-postadresse, bankopplysninger, innlegg i sosiale medier, informasjon om din nåværende og/eller tidligere plasseringer, helseinformasjon eller IP-addressen (cookies) til datamaskinen din. 

Ifølge GDPR har enkeltpersoner:

1. Det må gis samtykke

Virksomheter kan ikke behandle personopplysninger om enkeltindivider med mindre hver enkelt fritt har gitt en spesifikk, informert og klar indikasjon på samtykke, enten via en erklæring eller via en tydelig «bekreftende handling». Dette gjelder både B2B og B2C forhold.

2. Rett til tilgang

Loven gir enkeltpersoner rett til å kreve tilgang sine personopplysninger og til å vite hvordan informasjonen brukes av selskapet etter at den er samlet inn. Selskapet skal kunne levere ut en kopi av personopplysningene, uten kostnad og i elektronisk format, dersom enkeltpersonen ber om dette.

3. Rett til å bli glemt

Hvis forbrukere ikke lenger er kunder, eller hvis de trekker tilbake samtykket de har gitt et selskap for å bruke vedkommendes personopplysninger, har forbrukeren rett til å få informasjonen slettet.

4. Rett til å overføre data

Individer har rett til å overføre opplysninger fra en tjenesteleverandør til en annen. 

5. Rett til å bli informert

Dette dekker alle typer innsamling av personopplysninger av selskaper, og enkeltpersoner må informeres før opplysningene samles inn. Forbrukerne må godkjenne at personopplysninger samles inn, og samtykke skal gis aktivt, ikke være underforstått.

6. Rett til å korrigere informasjon

Dette sikrer at enkeltpersoner kan oppdatere informasjonen hvis den er utdatert, ufullstendig eller feilaktig.

7. Rett til begrenset behandling

Enkeltpersoner kan be om at deres opplysninger ikke brukes i databehandling. Informasjonen kan fortsatt lagres men den skal ikke brukes.

8. Rett til å motsette seg behandling

Dette inkluderer retten til å motsette seg behandling av personopplysninger til bruk i direkte markedsføring. Det er ingen unntak for denne regelen, og all behandling må stoppes så fort denne forespørselen er mottatt. Denne rettigheten må kommuniseres tydelig til enkeltpersoner i starten av enhver kommunikasjon.

9. Rett til å bli varslet

Hvis det har vært datainnbrudd som kan få følger for enkeltpersoners opplysninger, har personen rett til å få vite dette i løpet av 72 timer etter at innbruddet ble oppdaget.

GDPR er EUs måte å gi individer, enten de er prospekter, kunder, leverandører eller ansatte mer oversikt og kontroll over sine egne personopplysninger og redusere makten til organisasjonene som samler inn og bruker dataen for egen fortjeneste.

Hvilke konsekvenser har GDPR for bedrifter i Norge?

Den nye personvernloven gir forbrukeren mer makt, og arbeidet med å overholde forordningen legges på bedriftene som samler informasjonen. Kort sagt gjelder GDPR for alle selskaper og organisasjoner som er etablert i EU. Også organisasjoner som ikke er etablert i EU vil bli underlagt GDPR dersom de tilbyr varer eller tjenester til EU-statsborgere.

Strenge straffer for de som ikke overholder GDPR

Det er strenge straffer for selskapene og organisasjonene som ikke overholder GDPR. Bøtene er på opptil 4 % av årlig global omsetning eller 20 millioner euro, det av alternativene som utgjør den høyeste summen.

Forberedelser til 25. mai 2018

En viktig komponent i GDPR-forordningen er innbygd personvern. Innbygd personvern krever at alle avdelinger i et selskap grundig gjennomgår personopplysningene de innehar og hvordan de håndterer dem. Det er mange endringer selskaper må foreta for å oppfylle kravene for GDPR. Her er noen første steg for å komme i gang:

1. Kartlegg selskapets personopplysninger

Få oversikt over hvor alle lagrede personopplysninger i hele selskapet stammer fra, og dokumenter hva du bruker opplysningene til. Identifiser hvor opplysningene finnes, hvem som har tilgang til dem og om de utsettes for noen risiko ift deling etc.

2. Bestem hvilke personopplysninger du må beholde

Ikke behold mer informasjon enn du behøver, og fjern alle opplysninger som ikke brukes. Hvis selskapet samler inn masse data uten noe bestemt formål vil du ikke kunne fortsette med dette når GDPR trer i kraft. GDPR oppfordrer til en mer disiplinert behandling av personopplysninger.

I oppryddingsprosessen bør du spørre deg selv:

  • Nøyaktig hvorfor lagrer vi disse opplysningene i stedet for å slette dem?
  • Hvorfor lagrer vi alle disse opplysningene?
  • Hva forsøker vi å oppnå ved å samle inn alle disse kategoriene av personopplysninger?
  • Er den økonomiske vinningen ved å slette denne informasjonen større enn ved å kryptere den?

3. Få på plass sikkerhetstiltak

Innfør og iverksett tiltak for å sikre infrastrukturen og forhindre datainnbrudd. Dette innebærer å få på plass rutiner for raskt kunne varsle enkeltpersoner og myndigheter dersom det blir innbrudd, som f.eks. et HR-system eller CRM-system.

Outsourcer du dette har du ikke fritak, så sørg også for å kontrollere at dine leverandører har de rette sikkerhetsrutinene på plass.

4. Se gjennom dokumentasjonen din

Under GDPR må enkeltpersoner gi aktivt samtykke til kjøp og behandling av sine egne personopplysninger. Dette medfører at et forhåndsavkrysset felt ikke er tilstrekkelig til at det skal kunne sies å foreligge et gyldig samtykke. Du må gå gjennom alle personvernerklæringer og opplysninger og justere dem der det er nødvendig.

5. Etablere prosesser for håndtering av personopplysninger

Som tidligere nevnt har enkeltpersoner flere grunnleggende rettigheter ifølge GDPR.b Du må etablere retningslinjer og prosedyrer for hvordan du skal håndtere hver av disse situasjonene.

For eksempel:

  • Hvordan kan enkeltpersoner gi et juridisk samtykke?
  • Hva er prosessen hvis en enkeltperson ønsker å slette personopplysninger?
  • Hvordan kan du være sikker på at dette gjøres i alle plattformer og at informasjonen virkelig slettes?
  • Hvis en enkeltperson ønsker å overflytte sine personopplysninger, hvordan gjennomfører du dette?
  • Hvordan kan du bekrefte at personen som ba om å få personopplysningene overflyttet er den han eller hun utgir seg for?
  • Hva er kommunikasjonsplanen dersom dere skulle utsettes for et datainnbrudd?

 

Kilder: 

  • https://www.superoffice.no/ressurser/artikler/hva-er-gdpr/ 
  • https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/
  • https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/

The General Data Protection Regulation (GDPR) applies to all companies processing and holding the personal data of data subjects residing in the European Union. Amesto is no exception and have a clear strategy to be compliant  within the regulation enforced May 25th, 2018.