I dette innlegget skal vi ta for oss GDPR og hvordan det påvirker deg som person og bedriften du jobber i. GDPR er EUs forordning for personvern og står for «The General Data Protection Regulation». GDPR erstatter EU's regelverk fra 1995 og trer i kraft 25. mai 2018.
Datatilsynet, som både er ombud i personvernspørsmål og tilsynsmyndighet etter personopplysningsloven, har i Norge som oppgave å overvåke overholdelse av personopplysningsloven. De har laget og publisert en punktliste som ligger på nett og denne tar for seg de viktigste punktene du må sette deg inn i før loven trer i kraft i mai 2018. Den bygger på de 7 personvernprinsippene og samsvarer også med de nye personvernreglene. Sjekk ut videoen under for en kort oppsummering av innlegget.
Se videoen her i denne linken eller i avspilleren nedenfor.
Reglene for behandling av personopplysninger bygger på grunnleggende prinsipper i europarådskonvensjonen, retningslinjer fra OECD og EUs personverndirektiv. Kjernen i prinsippene er at alle har rett til å bestemme over opplysninger om seg selv.
For å enkelt forklare hva GDPR vil bety for deg, så får bedriften nye plikter å forholde seg til og personene du behandler personopplysninger om får nye rettigheter. Det blir i dette innlegget referert til Datatilsynet, som har publisert en foreløpig norsk oversatt versjon av den nye forordningen. De har også summert opp de viktigste punktene du som bedrift du må forholde deg til.
I dag har bedriften krav til å ha rutiner for å etterleve personopplysningsloven. Når loven nå endres, må også bedriften endre rutinene. Det er ledelsen i bedriften som har ansvaret for å utforme de nye rutinene, men alle i bedriften må kjenne til og følge de nye reglene. Å lage nye rutiner, lære opp ansatte og sette seg inn i nye regler og rutiner, krever tid og ressurser. Det er derfor viktig å starte forberedelsene så tidlig som mulig!
Det nye lovverket stiller strengere krav til informasjonens form, språk og innhold enn dagens lovgivning. Informasjonen skal være skrevet på en forståelig måte og være lett tilgjengelig. Dersom bedriften din behandler personvernopplysninger om barn, må informasjonen utformes slik at også barna kan forstå den.
Med GDPR skal bedriften mer enn tidligere gi god informasjon om personopplysningene du behandler, hvor disse opplysningene ligger og hvorfor du må ha de. Mer om hva du må gi informasjon om kan du finne på Datatilsynet sine sider eller du kan ta kontakt med oss for veiledning.
Hvis et tiltak utgjør en stor risiko for personvernet og personenes rettigheter, må bedriften utrede hvilke personvernkonsekvenser det kan ha. Det må i disse tilfellene utføres en konsekvensanalyse. Dersom utredningen viser at risikoen er stor og at dere selv ikke kan utrede den, må Datatilsynet involveres. Datatilsynet kan gi råd og ilegge sanksjoner som å for eksempel forby den aktuelle handlingen.
Når den nye personvernloven trer i kraft, blir alle bedrifter som behandler personopplysninger pliktet til å følge prinsipper for innebygd personvern. Innebygd personvern omhandler det å ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning og den mest personvernvennlige innstillingen skal være standard i alle systemer.
Et annet viktig krav er at det ikke skal være mulig å gjøre personopplysninger tilgjengelig for et ubestemt antall personer uten at den registrerte medvirker til dette.
Den nye personvernloven krever at flere bedrifter må utnevne personvernombud. Dette er i dag frivillig, men medfører nå at flere blir pliktet til å følge ordningen. De bedriftene som nå må utnevne personvernombud er:
Når bedriften velger personvernombud må det velges ut fra faglig kvalitet, ekspertise innen personvernrett og evne til å utføre oppgavene som kreves. Fagkunnskap er viktig i rollen som personvernombud. Ombudet må være ansatt eller en profesjonell tredjepart og skal være bundet av taushetsplikt eller konfidensialitet under utførelse av pliktene de innehar. Personvernombudet blir bedriftens personvernsekspert og blir et bindeledd mellom den registrerte, ledelsen og Datatilsynet. Mer om personvernombudet oppgaver finner du i lovverket.
GDPR gjelder primært innenfor EU, men dersom du tilbyr varer og tjenester til EU og EØS borgere, eller om du kartlegger atferden til europeiske borgere på nett, blir også du påvirket av GDPR. Dersom bedriften er etablert i flere land i Europa, skal det primært være personvernmyndigheten i landet der de har sitt europeiske hovedkontor de trenger å forholde seg til.
For å først forklare hva en databehandler er, så er det en bedrift som behandler personopplysninger på vegne av en annen bedrift, såkalt behandlingsansvarlig. I dag følger den behandlingsansvarliges plikter av loven, mens databehandlerens plikter følger av en databehandleravtale mellom databehandler og behandlingsansvarlig. Databehandler er pålagt å ha rutiner for innsamling og bruk av personopplysninger.
Nytt med GDPR er at databehandler også skal si ifra til behandlingsansvarlig om de får instrukser som er i strid med loven og behandlingsansvarlig har loven på sin side til å godkjenne databehandlerens underleverandører.
Den behandlingsansvarlige har fremdeles hovedansvaret for behandlingen av personopplysningen, men dersom det foreligger brudd på reglene som medfører tap for den registrerte, vil både behandlingsansvarlig og databehandleren være erstatningsansvarlige.
De nye reglene oppfordrer til at bedrifter innenfor samme sektor går sammen om utforming av retningslinjer og bransjenormer. Bransjenormer er retningslinjer for hvordan en bestemt bransje eller sektor skal behandle personopplysninger på. Disse bransjenormene skal godkjennes av Datatilsynet og om bedriften følger disse vil de viktigste rutinene være på plass.
Med de nye reglene blir kravene for håndtering av sikkerhetsbrudd strengere. Alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet innen 72 timer. Dersom avviket ikke medfører en risiko for den registrertes rettigheter eller personvern, kan det gjøres unntak fra å melde ifra. Bedriften må ha dokumentasjon på alle avvik og hvilke tiltak de har iverksatt. Hva avviksmeldingen skal inneholde kan du finne i lovverket.
Dersom det er sannsynlig at et avvik vil medføre en høy risiko for personvernet til de som er berørt, vil den nye forordningen også gi nye regler for når de berørte skal varsles.
Med GDPR kommer flere nye rettigheter til de registrerte. Bedriftene må sette seg inn i de nye rettighetene og legge til rette for å følge disse. Rutiner for å vurdere krav fra de registrerte skal lages og disse må oppfylles. En ny regel er blant annet at den registrerte nå skal besvares innen en mnd fra tilsendtes krav. Det er derfor svært viktig at du har rutiner for å håndtere dette. Det er foreløpig ikke kjent hvor mange dager en mnd består av, men ta i det minste utgangspunkt i 28 dager så er du innenfor lovverket.
Den enkeltes rett til å kreve at personopplysninger blir slettet blir styrket, også kjent som «retten til å bli glemt». Dersom den registrerte ønsker å ta med seg personopplysningene sine fra en behandler til en annen, kan de nå kreve å få med seg dette i et strukturert, allment brukt og maskinlesbart filformat.
I enkelte tilfeller kan også de registrerte motsette seg fra profilering. Dette avhenger av hva behandlingsgrunnlaget er eller hva formålet er.
Det er nå viktig å være klar når GDPR trer i kraft 25. mai 2018, da det i utgangspunktet er for sent 26.mai. Dersom du ikke følger det nye lovverket kan du bli ilagt bøter som avhenger av omsetning og nivå på sikkerhetsbrudd.
Først og fremst må du få en oversikt over hvilke personopplysninger dere behandler, hvor de kommer fra og det rettslige grunnlaget for behandlingen. Deretter er det viktig å sette seg inn i det nye regelverket og lage nye rutiner for behandling av personopplysninger.
Å lage nye rutiner, lære opp ansatte og sette seg inn i nye regler og rutiner, krever tid og ressurser. Det er derfor viktig å starte forberedelsene så tidlig som mulig! Det er du som må implementere dette i bedriften din. Vi kan bistå dere med de teknologiske hjelpemidlene som bør ligge til grunn for håndtering av personopplysninger.
Få en brukervennlig og enkel One-Stop-Shop for alt du trenger av IT-løsninger, skytjenester, support og IT-sikkerhet.