Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. – Folk vegrer seg, akkurat som de gjorde da HMS var nytt, men det er like greit å sette seg inn i de nye kravene med en gang, sier Ketil Fjell fra Adaptiva.
(Fagbladet Gull&Ur nr. 3 2018, s. 4)
TEKST OG FOTO: EVA ALNES HOLTE
Fjell er senior it-rådgiver og sertifisert personvernombud. Han var nylig invitert til Norges Urmakerforbund for å informere om de nye personvernreglene som trer i kraft i mai i år. –Detaljistene må forholde seg til personopplysninger på en annen måte enn en vanlig bedrift fordi de har personkunder, påpekte han. – I praksis betyr dette fastsatte rutiner knyttet til kunderegister og kontaktinfo ved reparasjoner. Om en stund vil folk flest bli så vant til dette at ingen som må gi deg personopplysninger vil kjøpe varer hos deg dersom du ikke kan dokumentere at du håndterer personopplysninger i henhold til GDPR. Reglene er slik at så lenge det er mulig å identifisere en person ut fra opplysninger, så er man underlagt GDPR.
– Akkurat det med personopplysninger i forhold til reparasjoner lar seg lett løse ved at du ikke skriver kundens navn og telefonnummer på servicelappen til leverandørene, kommenterte Thor Erik Olsen fra Urmaker’n i Torggata og fikk medhold fra Fjell på dette.
– Leverandørene trenger jo ikke å vite personopplysninger om våre kunder.
Thor Erik Olsen og de andre kursdeltakerne lyttet oppmerksomt og stilte mange spørsmål til Fjell. Forvirringen var stor og Fjell mente Datatilsynet hadde gjort et slett arbeid med å nå ut med informasjon til folket. – Dette har vært planlagt lenge, arbeidet med GDPR skriver seg helt fra mars 2016. Likevel – en marsundersøkelse i år avdekket at hele 41 prosent av norske bedrifter ikke aner hva GDPR er, opplyste Ketil Fjell. – I Irland har myndighetene egne folk som reiser rundt til bedriftene og forteller om GDPR.
Reglene for GDPR er like for alle EU- og EØS-land. Bedriftene skal ha dokumentert oversikt over hva som er lagret, hvem som har tilgang og hvor de har tilgang fra. Man er også pliktig å dokumentere at de leverandørene man bruker, også følger reglene. Ber en person som er registrert hos deg om innsyn, er du pliktig til å overlevere alt som er registrert.
Blir det oppdaget brudd på reglene skal det meldes avvik til Datatilsynet innen 72 timer. Ut fra avvikets alvorlighet og bedriftens størrelse blir det ilagt bøter. Den registrerte kan også kreve erstatning.
– Data er den nye oljen og kan gi enorme salgsmuligheter, sa Ketil Fjell. – Men hvis folk skal gi deg dataene sine, vil de ha noe tilbake i form av skreddersydde produkter, tjenester, informasjon for å gjøre livet enklere og kanskje spare noen penger.
Med muligheter følger også plikter i form av høye krav til den som behandler personopplysningene. Hensikten med GDPR er å styrke rettighetene til personer som gir fra seg personopplysninger. De har rett til innsyn i hvordan du behandler opplysningene og du som har informasjonen må kunne vise til samtykke. – Et sterkt personvern er en forutsetning for digitaliseringen av samfunnet. Forhåndsutfylte skjema om nyhetsbrev vil ikke lenger være lovlig. Personlig rettet reklame forutsetter samtykke. Er dokumenter kommet på avveie, må det meldes.
– Etter hvert vil GDPR bli like naturlig og selvfølgelig for folk som røykeloven, regler om bilbelte og HMS, sa Ketil Fjell. Han anbefalte kursdeltakerne å besøke datatilsynets nettsider som informerer utførlig om de nye reglene og også har maler for skjemaer til utfylling og så videre.
I Advokatspalten på side 23 redegjør advokat Aleksander Ryan for det nye GDPR-regelverket.