(GDPR)
Jeg har fått med meg at det skjer endringer når det gjelder personvernlovgivningen, og at det er mye snakk om dette.
Kan du si noe om det nye GDPR-regelverket, særlig i forbindelse med butikkdrift og personopplysninger vi innhenter på kunder, både knyttet til markedsføring, salg og reparasjoner.n.n
(Fagbladet Gull&Ur nr. 3 2018, s. 22)
General Data Protection Regulation (GDPR) er en EU-forordning som trer i kraft som norsk lov den 25. mai 2018. GDPR vil gjelde for alle virksomheter i alle land i EU/EØS, og forordningen tar i Norge over for den nåværende personopplysningsloven.
I det følgende vil vi redegjøre for enkelte hovedtrekk i GDPR som kan tenkes relevante for deg og din bedrift.
GDPR vil få konsekvenser for alle norske bedrifter, og stiller nye krav til hvordan bedriftene samler inn, lagrer og gjør bruk av personopplysninger, for eksempel knyttet til kunde- eller ansettelsesforhold. Videre stilles det strengere krav enn tidligere til den informasjon som skal gis til de personer (for eksempel kunder eller ansatte) det innhentes personopplysninger om. I tillegg vil de personene det registreres personopplysninger om få utvidede rettigheter, deriblant rett til innsyn, retting, sletting og overføring av personopplysninger.
En personopplysning er noe som kan knyttes til en enkeltperson, for eksempel navn, adresse, personnummer, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder og fingeravtrykk. Opplysninger om personers atferdsmønstre er også å regne som personopplysninger, for eksempel hva man handler, hvilke butikker man går i, hvilke tv-serier man ser på, hvor man beveger seg i løpet av en dag og hva man søker etter på nettet. Noen personopplysninger regnes også som sensitive som det stilles spesielle krav til lagring av, blant annet at personopplysningene skal lagres kryptert.
GDPR innebærer at du som bedrift må kunne dokumentere hvilke personopplysninger du lagrer om hvem, hvor du lagrer opplysningene, at sikkerheten knyttet til lagring er ivaretatt og at tilstrekkelige samtykker er innhentet. Deretter må du til enhver tid kunne fortelle en gitt person (for eksempel en kunde eller ansatt) hvilke opplysninger du har lagret om dem. Dersom en registrert henvender seg til bedriften knyttet til spørsmål om personopplysninger knyttet til ham/henne, er svarfristen én måned. En registrert kan for eksempel kreve sletting, begrensning, overføring (dataportabilitet) eller utlevering av personopplysninger.
GDPR oppstiller som et hovedvilkår at den enkelte skal samtykke til at det lagres personopplysninger om han/henne. Dersom du for eksempel ønsker å bruke kundens e-postadresse til markedsføring, må du be om kundens samtykke til at e-postadressen lagres og brukes til nettopp markedsføring. Dersom e-postadressen skal brukes til noe annet enn markedsføring, må det innhentes ytterligere samtykke til dette. Det er bedriften som har bevisbyrden for at nødvendig samtykke er innhentet.
Det gjelder likevel ikke noe samtykkekrav dersom det åpenbart er nødvendig å lagre personopplysningene for å oppfylle forholdet. Dette betyr at det for eksempel ikke er nødvendig med samtykke for å lagre navn og adresse til kunder hvis det skal betales etterskuddsvis etter faktura. Uten disse opplysningene kunne ikke kundeforholdet blitt etablert, det hadde ikke vært mulig å sende faktura.
GDPR krever med stor sannsynlighet nye rutiner i bedriften din, noe som vil være ledelsens ansvar å implementere. I det følgende vil vi anføre fire forhold som bør gjennomføres.
For det første bør det gjennomføres en kartlegging og vurdering av hvilke personopplysninger bedriften har lagret per i dag.
For det andre bør det vurderes om det er gitt tilstrekkelig samtykke for å ha de aktuelle personopp-lysningene lagret, inkludert hvordan personopplysningene blir benyttet (for eksempel markedsføring).
For det tredje må det sørges for at bedriften har tilstrekkelig datasikkerhet knyttet til lagring, tilgang og rettmessig sletting av personopplysninger. Dersom din virksomhet har satt ut driften av datasystemene må det inngås en databehandleravtale med dataleverandøren. Det er krav om at personvernet skal «bygges» inn i bedriftens IKT-systemer (innebygd personvern).
For det fjerde må det utarbeides en personvernerklæring som dokumenterer bedriftens personvernsystem og overholdelse av GDPR. En slik personvernerklæring bør inneholde:
–Hva slags persondata som lagres i bedriften med fokus på de registrertes rettigheter
–Redegjørelse for at behandling av opplysninger er basert på samtykke fra de registrerte
–Redegjørelse for nødvendig datasikkerhet i interne og eksterne IT-systemer (inkl. databehandleravtaler)
–Redegjørelse for risikoanalyser av eksisterende rutiner og konsekvensanalyser ved nye behandlingsformer av personopplysninger
–Beskrivelse av hvordan avviksregistrering og varsling gjennomføres
–Beskrivelse av revisjoner av kritiske rutiner
I markedsføringsøyemed er det særlig viktig å være bevisst på hvordan GDPR spiller inn, for eksempel knyttet til annonsering på Facebook, bruk av kundelister og utsendelse av nyhetsbrev, annonser, kampanjer o.l. til kunder.
Brudd på GDPR kan medføre sanksjoner i form av bøter, og alvorlige brudd kan føre til høye bøter.
Skal virksomheten din være sikker på at GDPR overholdes må du altså ha en plan, gjøre noen kontrete undersøkelser og tiltak, dokumentere rutiner og få på plass riktig avtaleverk.
