General Data Protection Regulation – EUs nye forordning for personvern – trer i kraft 25. mai 2018, og endringene vil få store konsekvenser for store deler av norsk næringsliv.
Regelverket EU har i dag er fra 1995. Altså ett år etter at Norge sa Nei til EU. Gro var statsminister og Norge vant Melodi Grand Prix med sangen Nocturne, mens Coolio dominerte hitlistene med «Gangstas Paradise». Mel Gibson var Braveheart på kino, internett var for spesielt interesserte og mobiltelefoner hadde kun talltaster.
Personvern i tråd med teknologien
Mye har skjedd siden. Bakgrunnen for endringene er å ha et regelverk for personvern som er i tråd med tiden og teknologien. Loven gjelder alle bedrifter som driver virksomhet innen EU eller rettet mot EU-borgere og håndterer personopplysninger.
Norge vil som EØS-medlem også få det samme regelverket, men det gjenstår enda noe arbeid før den vil vedtas i EØS-komiteen. I Norge er det Justis- og beredskapsdepartementet og Kommunal- og regionaldepartementet som er ansvarlig for å implementere forordningen i norsk rett. Datatilsynet er i gang med et tverrfaglig prosjekt for å sikre en smidig overgang fra vårt eksisterende lovverk til en ny lov i 2018.
Strengere sanksjoner dersom du bryter
Den nye loven om personvern er ment å beskytte forbrukernes integritet, samtidig vil det føre til merarbeid for næringslivet. Datatilsynet får også mulighet til å gi langt strengere sanksjoner mot bedrifter som ikke følger lovverket. Der Datatilsynet i dag har mulighet til å gi maksimalt 900 000 i dagsbøter vil det nye regelverket åpne for å bøtelegge opp til 4 % av global brutto omsetning!
Store endringer
Noen sentrale punkter bedrifter må forholde seg til når det nye lovverket innføres:
- Samtykke - Du må alltid innhente samtykke fra personen du registrerer opplysninger om, uansett hva slags type informasjon det dreier seg om.
- Tilgang - Personen har rett til tilgang til opplysningene som er registrert om vedkommende. Du har også ansvar for at det er rett person du gir informasjonen til ved forespørsel.
- Rettelser- Personen har krav på å få eventuell feilaktig informasjon korrigert
- Sletting - Personen har rett til å bli slettet fra dine registre, selv om den tidligere har godkjent å være registrert.
- Portabilitet - Personen har alltid rett til å kreve at informasjonen du har registrert kan overleveres til en annen part, for eksempel en konkurrent, dersom personen ønsker å bytte leverandør.
- Sikkerhetsbrudd - Selskaper som opplever sikkerhetsbrudd, som stjålne data, må informere offentligheten innen 72 timer.
Hvordan kan du forberede deg?
Stefan Ericson er ansvarlig for enheten som håndterer kredittinformasjon i Svea Finans Sverige, og sitter tett på problemstillingen. Endringene vil påvirke de fleste bedrifter og være omfattende og tidkrevende – og dersom du ikke allerede er godt i gang begynner det å haste!
Blant spørsmålene alle organisasjoner må stille seg er:
- Hvilke og hvor mange av våre system inneholder personopplysninger?
- Hvordan håndterer vi tredjeparter, eksterne leverandører og eventuelle sky-tjenester?
- Hvilke avdelinger må vi engasjere – IT, compliance, produksjon?
- Fungerer det for oss om vi avidentifiserer opplysninger og i stedet pseudonymiserer dem?
Tre tips for å lykkes:
1.Sørg for forankring i toppledelsen
Å tilpasse seg det nye lovverket vil bli en av de viktigste oppgavene for ledergrupper i større bedrifter i 2017.
2.Sett ned en prosjektgruppe
Brett opp ermene og sette igang med en grundig gjennomgang av hvordan akkurat deres organisasjon må forholde dere til endringene.
3.Start nå
Mai 2018 er ikke lenge til, dette blir en stor endring for mange – begynn nå!
Hovedendringene fra dagens lovverk:
- Virksomheter får større ansvar for personvernet.
- Virksomhetene skal vurdere konsekvensene for personvernet og når det er nødvendig drøfte med Datatilsynet på hvilken måte risikoen for personvernet kan minimeres. Dette må de gjøre før behandlingen av personopplysninger starter.
- Virksomhetene skal bruke prinsippene for innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.
- Hvis du skal bruke personopplysninger til andre formål enn det de ble samlet inn for, må du vurdere om det nye formålet er forenelig med det opprinnelige. Med det nye lovverket får vi retningslinjer for hvilke momenter som skal tas med i denne vurderingen.
- Det blir obligatorisk for alle offentlige og mange private virksomheter å utnevne personvernombud.
- Borgere får nye rettigheter, som at de skal kunne ta med seg data fra en virksomhet til en annen (dataportabilitet).
- Borgere får også rett til å motsette seg noen typer profilering, der deres personopplysninger blir brukt til å analysere og forutse deres adferd.
- Det stilles krav til forståelig språk og åpenhet.
- Den gjelder for større geografisk område.
- Datatilsynets praksis blir mer påvirket av praksis i andre europeiske land.
Kilde: Datatilsynet