Ny databeskyttelseregulering i EU - Global Data Protection Regulation (GDPR)

Personvernforordningen – dette må du vite

Den nye personvernforordningen i EU, The General Data Protection Regulation (GDPR), blir norsk lov i 2018. Det betyr at vi får nye regler for personvern i Norge. Her er en innføring av det nye regelverket.

EUs forordning for personvern, The General Data Protection Regulation (GDPR), blir norsk lov i 2018. Den nye personvernforordningen trer i kraft den 25. mai 2018, og er den største endringen på personvernfronten på 20 år.

Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter.

Personvernforordningen – nytt lovverk rundt personvern

General Data Protection Regulation (GDPR) vil påvirke samtlige organisasjoner i Europa som håndterer persondata i hvilken som helst form. Vel og merke, persondata tilknyttet EU-borgere. Den vil også påvirke bedrifter som driver handel med EU og EØS- land. I noen grad vil den også påvirke behandling av data som skjer utenfor EU eller overføring av personopplysninger ut av EU.

Forordning, ikke et direktiv
I motsetning til et direktiv, som har rom for tolkning og åpner for visse nasjonale tilpasninger, gjelder en forordning i sin originale tekst.

Personvernforordningen får direkte virkning i hele EU, og krever ikke nasjonal lovgivning i tillegg. Den påvirker også EØS-tilknyttede land, slik som Norge – og vil med dette redusere norske myndigheters handlingsrom på personvernområdet på lik måte som den utvider rettighetene til Norske borgere.

Hvorfor nytt lovverk?

Grunnen til at den nye personvernforordningen nå blir innført, er for å modernisere dagens lovverk, som ikke er myntet på de enorme datamengdene bedrifter behandler og vi brukere gir fra oss i dagens samfunn.

Hva er personopplysninger?
Personopplysninger er informasjon som kan knyttes til deg som enkeltperson som for eksempel:

  • navn
  • kjønn
  • adresse
  • telefonnummer
  • epost-adresse
  • IP-adresse
  • fødselsdato og -nummer
  • sosiale medier-kontoer

Dagens personverndirektiv er et resultat av EU-direktiv fra 1995 og blir avløst av personvernforordningen i mai 2018.

Både i Norge og i Norden generelt har vi lenge hatt en tradisjon på å ha sterke rettigheter rundt personvernet. Det er store ulikheter mellom de ulike landene i resten av EU, og det er derfor EUs nye forordningen nå skal tre i kraft unisont i hele EU.

Det nye lovverket viderefører mye av dagens grunnprinsipper, slik at bedrifter som i dag arbeider i tråd med dagens lovverk er godt rustet. De som ikke har inngående kjennskap til personvernlovgivningen i dag, er nødt til å ha et større fokus på dette frem mot innføringen av det nye regelverket.

Dette er formålet

  • Regulere og forbedre måten personopplysninger blir innhentet, behandlet, oppbevart og slettet.
  • Harmonisere regelverket på tvers av landegrensene, slik at dette blir mest mulig likt i alle land. “Ett kontinent – ett regelverk”.
  • Regelverket skal i større grad gjøre bedrifter og organisasjoner ansvarlige for hvordan personopplysninger behandles.
  • Regelverket skal gi enkeltindividet økt kontroll og enklere tilgang til personopplysningene sine.
  • Regelverket skal gjennom tydeligere krav til systemer og rutiner, gjøre behandlingen av personopplysninger enklere for bedrifter og organisasjoner.

Hva betyr personvernforordningen for deg som privatperson?

GDPR skal gi individer, enten de er kunder, underleverandører eller ansatte, mer oversikt og kontroll over sine egne personopplysninger og redusere makten til organisasjonene som samler inn og bruker slike opplysninger for egen vinning.

Formålet er å skape mer bevissthet og åpenhet rundt hvordan personopplysninger lagres og brukes. Dog, det er verd å ha i bakhodet at selv om den enkelte bruker får større makt, vil en påkrevd strukturering av data også kunne gi nye muligheter for bedrifter og organisasjoner. Struktur på person- og kundedata er noe som fort vil kunne åpne for nye måter å drive effektiv forretning på.

Personvernforordningen gir deg som privatperson en del rettigheter:

  1. Det må gis samtykke
    Virksomheter kan ikke behandle personopplysninger om deg med mindre du har gitt en spesifikk, informert og klar indikasjon på samtykke, enten via erklæring eller via en tydelig “bekreftende handling”. Ekstra strengt er kravet til innhenting av samtykke dersom det er barn og mindreårige det er snakk om. Det skal ikke lengre være tvil om brukeren har samtykket til avtalen eller ikke.
  2. Rett til tilgang
    Loven gir deg rett til å krev tilgang til dine personopplysninger og til å vite hvordan informasjonen brukes av selskapet etter at den er samlet inn. Selskapet skal levere ut en kopi av disse personopplysningene, uten kostnad og i elektronisk format, dersom du ber om dette. Det holder heller ikke å levere dataene i råform, de må kunne være lesbart for den som ber om innsyn i sine personopplysninger.
  3. Rett til å bli glemt
    Hvis du ikke lenger er kunde, eller trekker tilbake samtykket du har gitt til et selskap, har du rett til å få informasjonen knyttet til deg som person slettet.
  4. Rett til å overføre data
    Du har rett til å overføre opplysninger fra en tjenesteleverandør til en annen, og dette må skje i et vanlig og maskinlesbart format.
  5. Rett til å bli informert
    Dette dekker alle typer innsamling av personopplysninger av selskaper, og du må informeres før opplysningene samles inn. Forbrukerne må godkjenne at personopplysninger samles inn, og samtykket skal gis aktivt – ikke være underforstått.
  6. Rett til å korrigere informasjonen
    Dette sikrer at enkeltpersoner kan oppdatere informasjonen hvis den er utdatert, ufullstendig eller feilaktig.
  7. Rett til begrenset behandling
    Du kan be om at dine opplysninger ikke brukes i databehandling. Informasjonen kan fortsatt lagres, men den skal ikke brukes.
  8. Rett til å motsette seg behandling
    Dette inkluderer retten til å motsette seg behandling av personopplysninger til bruk i direkte markedsføring. Det er ingen unntak for denne regelen, og all behandling må stoppes så fort denne forespørselen er mottatt. Denne rettigheten må kommuniseres tydelig til enkeltpersoner i starten av enhver kommunikasjon.
  9. Rett til å bli varslet
    Hvis det har vært datainnbrudd som kan få følger for dine opplysninger, har du rett til å få vite dette i løpet av 72 timer etter at innbruddet ble oppdaget og det vanker strenge reaksjoner ved mislighold av et slikt varsel.

 

Det skilles ikke mellom personopplysninger for private, offentlige eller jobbmessige roller. I en B2B-situasjon er det også enkeltpersoner som deler informasjon med og om hverandre. Kundene i B2B-markedet er åpenbart selskaper – men relasjonene som håndterer forretningene består av enkeltpersoner.

GDPR - Right to be forgotten. Retten til å bli glemt står sterkt i den nye personvernforordningen.
Retten til å bli glemt står sterkt i den nye personvernforordningen.

 

Strenge sanksjoner og hyppigere rapportering

Reglene om avviksrapportering vil bli skjerpet. Alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet. Unntak fra dette gjelder hvis det er usannsynlig av avviket medfører en risiko for enkeltpersoners rettigheter eller personvern.

Det skal rapporteres oftere og raskere enn man gjør i dag. Et avvik må meldes til Datatilsynet innen 72 timer, og det stilles krav til innholdet i avviksmeldingen – de berørte skal varsles i klart språk. Mer om dette kan leses i Datatilsynets veiledere.

Avviksrapportene er offentlige og konsekvensene for omdømmet kan bli store. Derfor er det svært viktig for bedriftene å oppdatere sine rutiner for avvikshåndtering.

Per i dag har Datatilsynet mulighet til å ilegge overtredelsesgebyr med inntil ti ganger grunnbeløpet (kr 925.760,-). I det nye lovverket åpnes det for at det skal kunne ilegges bøter opp til 20 millioner euro – eller 4% av årlig global omsetning.

Alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet innen 72 timer.

Krav til eget personvernombud i virksomheten

Allerede i dag har mange selskaper et eget personvernombud – en ordning som er basert på frivillighet.

I den nye personvernforordningen er det påbudt med personvernombud for alle offentlige virksomheter (red: med unntak av domstolene), virksomheter som bedriver systematisk og regelmessig overvåkning av personer og virksomheter som behandler sensitive personopplysninger i stort omfang.

Et personvernombud skal velges ut fra faglig kvalitet, ekspertise innen personvernrett og evne til å utføre oppgavene. Personvernforordningen stiller altså krav til ombudets fagkunnskap.

Personvernombudet skal utpekes av en behandlingsansvarlig, men trenger ikke lenger å godkjennes av Datatilsynet (slik den frivillige ordningen fungerer i praksis i dag). I stedet vil det opprettes en registreringsordning der virksomheter selv kan registrere sitt personvernombud.

Konsern eller offentlige myndigheter med underliggende etater kan ha ett felles ombud, forutsatt at ombudet er lett tilgjengelig for alle konsernets etableringer.

Personvernombudet kan være ansatt i virksomheten eller en profesjonell tredjepart, og hovedoppgaven er å bidra til at den behandlingsansvarlige følger personvernforordningen.

Datatilsynets 8 steg til forberedelse

Datatilsynet oppfordrer alle virksomheter til å sette seg inn i disse forberedelsene før innføringen av personvernforordningen:

  1. Gjør deg selv, ledelse og medarbeidere kjent med den nye personvernlovgivningen
  2. Få oversikt over hvilke personopplysninger dere behandler, rettslig grunnlag på disse og hvem dere deler dem videre med
  3. Behandler dere opplysninger det knyttes særlig stor risiko til?
  4. Hvem er ansvarlig internt for ulike behandlinger? Opererer vi i flere land?
  5. Ikke vent med å opprette personvernombud
  6. Få på plass rutiner for å oppdage, rapportere og reparere avvik
  7. Bygges personvern inn i løsninger som dere utvikler nå?
  8. Legg til rette for de registrerte sine rettigheter:
    • Gir vi informasjon på et tilpasset, tydelig og enkelt språk?
    • Er rutinene for innhenting av samtykke OK?
    • Hvordan er det med den registrertes rett til innsyn, retting, sletting og sperring?
    • Tenk også på dataportabilitet, reservasjon mot profilering og automatiske beslutninger

GDPR - Personvernforordningen

Personvernforordningen for bedriften – det viktigste kort oppsummert

1. Alle norske virksomheter får nye plikter

Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.

2. Alle skal ha en forståelig personvernerklæring

Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.

3. Alle skal vurdere risiko og personvernkonsekvenser

Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.

4. Alle skal bygge personvern inn i nye løsninger

De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.

5. Mange virksomheter må opprette personvernombud

Alle offentlige og mange private virksomheter skal opprette et personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være ansatt eller en profesjonell tredjepart.

6. Reglene gjelder også virksomheter utenfor Europa

Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett.

De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter.

7. Alle databehandlere får nye plikter

Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger.

Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.

8. Alle bør samarbeide i egne nettverk og følge bransjenormer

De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.

9. Alle får nye krav til avvikshåndtering

Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si ifra raskere og oftere enn man gjør i dag.

10. Alle må kunne oppfylle borgernes nye rettigheter

Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt».

Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.

Kilde: Datatilsynet.no, EU GDPR

Kommentarer