Nytt
Nå haster det med å tilpasse seg
De nye europeiske personvernreglene skjerpes dramatisk. 25. mai til neste år går fristen ut for å tilpasse seg de nye reglene. - Mange virksomheter ligger veldig bakpå, sier seniorkonsulent i Acando.
Kristin Vidhammer
17.11.2017
De nye personvernreglene, General Data Protection Regulation (GDPR), skal beskytte personers grunnleggende rettigheter og friheter i behandling av personopplysning. 25. mai går fristen ut for å tilpasse seg de nye reglene.
- Det er viktig å få et bevisst forhold til dette. Man må ha en oversikt over hvilke personopplysninger man har og hva man gjør med dem. Mange bedrifter er svært dårlige på dette - de mangler rutiner, har feil rutiner eller de følger ikke rutinene, sier Peder Songedal, seniorkonsulent i Acando.
Nå begynner det virkelig å haste.
- Norge er veldig bakpå her. Vi ser at norske virksomheter ligger halvannet år etter Sverige på dette området for eksempel.
Reglene gjelder for offentlige og private virksomheter og foreninger, og disse må nå formulere formålet med enhver behandling, oppfylle nye vilkår for samtykke og den registrertes interesser.
Virksomheter har nå kun lov å lagre dataene så lenge de har legitim bruk for dem.
- Hovedutfordringene for virksomhetene er samtykke, sikkerhet og behandling av opplysningene, sier Songedal.
Prinsippet i de nye reglene er at man som person blir eier av sine personopplysninger. For enkeltpersoner betyr de nye reglene at man har rett til innsyn og retting, rett til begrenset behandling, rett til å motsette seg behandling og profilering, rett til sletting av opplysninger og rett til portabilitet av opplysninger (dvs. at vedkommende kan be om at opplysningene flyttes fra en bank (og slette disse) til en annen bank eller forsikringsselskap f.eks. Mottakeren skal også enkelt kunne importere dataene).
Å gi personopplysninger skal være frivillig, der er samtykke viktig. Det skal også være like lett å trekke et samtykke, som å gi et samtykke. For å gi et konkret eksempel: Til og med for å sende nyhetsbrev, må man ha fått et godkjent samtykke på fra mottakeren. Det må også kunne være lett å melde seg av mottak av nyhetsbrev.
- Jeg tror ikke at det blir store bøter til å begynne med, men at det i stedet skjer en opptrapping over litt tid. Har virksomhetene gjort en undersøkelse av status og har en plan for å implementere de nye reglene når de trer i kraft, har Datatilsynet signalisert at de i mange tilfeller vil akseptere dette. De vil i starten derfor være mest opptatt av de virksomhetene som ikke bryr seg, sier han.
Derfor er det nå viktig for virksomheter å gjøre kartlegging, analyser, tiltak og opplæring for å kunne tilpasse seg reglene.
- Dette trenger ikke å være advokatmat, mye kan man antakelig gjøre selv. Men jo raskere man tar grep, jo billigere vil tiltakene bli, for eksempel dersom man likevel planlegger å bytte datasystem. Ved GAP-undersøkelser kan man også finne forenklingsmuligheter, bedre rutiner og bedre innsyn og bruk av personopplysninger.
Alle offentlige virksomheter og veldig mange private bedrifter og organisasjoner, må også oppnevne en personvernrådgiver i sin organisasjon. Reglene sier også at databrudd skal meldes til Datatilsynet innen 72 timer.
- Det er viktig å få et bevisst forhold til dette. Man må ha en oversikt over hvilke personopplysninger man har og hva man gjør med dem. Mange bedrifter er svært dårlige på dette - de mangler rutiner, har feil rutiner eller de følger ikke rutinene, sier Peder Songedal, seniorkonsulent i Acando.
Nå begynner det virkelig å haste.
- Norge er veldig bakpå her. Vi ser at norske virksomheter ligger halvannet år etter Sverige på dette området for eksempel.
Reglene gjelder for offentlige og private virksomheter og foreninger, og disse må nå formulere formålet med enhver behandling, oppfylle nye vilkår for samtykke og den registrertes interesser.
Personopplysninger omfatter mye
Reglene går ut på å beskytte enkeltindivider. En personopplysning omfatter svært mye, og er alle typer informasjon som direkte eller indirekte kan identifisere en fysisk person som er i live, inkludert postadresse og epost-adresse, for å nevne noe.Virksomheter har nå kun lov å lagre dataene så lenge de har legitim bruk for dem.
- Hovedutfordringene for virksomhetene er samtykke, sikkerhet og behandling av opplysningene, sier Songedal.
Prinsippet i de nye reglene er at man som person blir eier av sine personopplysninger. For enkeltpersoner betyr de nye reglene at man har rett til innsyn og retting, rett til begrenset behandling, rett til å motsette seg behandling og profilering, rett til sletting av opplysninger og rett til portabilitet av opplysninger (dvs. at vedkommende kan be om at opplysningene flyttes fra en bank (og slette disse) til en annen bank eller forsikringsselskap f.eks. Mottakeren skal også enkelt kunne importere dataene).
Å gi personopplysninger skal være frivillig, der er samtykke viktig. Det skal også være like lett å trekke et samtykke, som å gi et samtykke. For å gi et konkret eksempel: Til og med for å sende nyhetsbrev, må man ha fått et godkjent samtykke på fra mottakeren. Det må også kunne være lett å melde seg av mottak av nyhetsbrev.
Kan få store bøter ved brudd på reglene
Selskaper som ikke oppfyller loven, trues med bøter på opp til 4 prosent av global, årlig omsetning, eller maks. 20 millioner Euro.- Jeg tror ikke at det blir store bøter til å begynne med, men at det i stedet skjer en opptrapping over litt tid. Har virksomhetene gjort en undersøkelse av status og har en plan for å implementere de nye reglene når de trer i kraft, har Datatilsynet signalisert at de i mange tilfeller vil akseptere dette. De vil i starten derfor være mest opptatt av de virksomhetene som ikke bryr seg, sier han.
Derfor er det nå viktig for virksomheter å gjøre kartlegging, analyser, tiltak og opplæring for å kunne tilpasse seg reglene.
- Dette trenger ikke å være advokatmat, mye kan man antakelig gjøre selv. Men jo raskere man tar grep, jo billigere vil tiltakene bli, for eksempel dersom man likevel planlegger å bytte datasystem. Ved GAP-undersøkelser kan man også finne forenklingsmuligheter, bedre rutiner og bedre innsyn og bruk av personopplysninger.
Alle offentlige virksomheter og veldig mange private bedrifter og organisasjoner, må også oppnevne en personvernrådgiver i sin organisasjon. Reglene sier også at databrudd skal meldes til Datatilsynet innen 72 timer.
Hovedutfordringene for virksomhetene er samtykke, sikkerhet og behandling av opplysningene
Publisert: 17.11.2017 12:59
Sist oppdatert: 10.02.2021 14:16