Gå til Hovedinnhold Gå til Navigasjon
Ill_fugler

Er din virksomhet klar for den nye personvernforordningen?

Kluge har stor pågang fra både private og offentlige klienter om dagen når det gjelder ulike utfordringer knyttet til personvern. Klientene ønsker både mer kunnskap om regelverket samt bistand for å få på plass relevante interne retningslinjer for etterlevelse i egen virksomhet. Den nye personvernforordningen trer i kraft 25. mai 2018, og alle virksomheter bør før dette sette seg inn i hva regelverket vil bety for dem og vurdere nødvendige tiltak.
Arbeidsrett/personvern

Hvorfor ny lovgivning?

Siden dagens personvernlovgivning ble vedtatt i 1995 har det skjedd en rivende teknologisk utvikling. Daglig bruk av eksempelvis internett, mobil-apper og bankkort legger igjen store mengder digitale spor som medfører at personopplysninger som navn, telefonnummer, e-postadresser og IP-adresser mv. innhentes og spres i en rekke sammenhenger. Det samles informasjon om hvor og hva du som privatperson handler, hva du søker opp på internett og hvor du beveger deg. Opplysningene blir tilgjengelige og brukes på en rekke måter som dagens regelverk ikke har forutsett. Personvernforordningen (i EU kalt GDPR – General Data Protection Regulation) er bygget på de samme prinsipper som dagens regelverk, men er mer detaljerte og omfattende nettopp for å fange opp og regulere bruken av personopplysninger i dagens og fremtidens teknologiske landskap.

Så godt som alle virksomheter registrerer og behandler personopplysninger om ansatte, kunder, leverandører og kontakter. Det nye regelverket gir et styrket vern for de registrerte, og stiller dermed større krav til bevissthet, system og rutiner hos virksomhetene. De som ikke oppfyller forordningens krav, kan bli ilagt bøter inntil 4 % av brutto global omsetning, og det kan dermed bli en dyr affære om man tar for lett på regelverket.

Hva innebærer forordningen?

Personvernforordningen vil gjelde for alle virksomheter som behandler personopplysninger knyttet til borgere i EU og EØS. Dette innebærer at det nå innføres et ensartet regelverk for alle land i EU/EØS, men også leverandører utenfor EU/EØS som opererer på det europeiske markedet vil være underlagt de samme reglene.

Det rettslige utgangspunktet for behandling av personopplysninger endres i liten grad, men vi vil nevne enkelte av innstrammingene som får praktisk betydning:

  • Kravene til samtykke ved innhenting av opplysninger skjerpes. Eksempelvis vil det å krysse av i en samtykke-boks før en kan benytte en tjeneste, som er vanlig i dag, ikke lenger være tilstrekkelig. Det kreves et aktivt og frivillig samtykke, der det fremgår tydelig og lett forståelig hva en faktisk samtykker til.
  • Alle virksomheter som behandler personopplysninger skal ha en klar og forståelig personvernerklæring, som gir oversikt over formål med innhenting, hvilken type opplysninger som registreres og hvordan de behandles.
  • De registrerte kan allerede kreve å få informasjon om opplysninger som er registrert om dem og hvordan disse behandles, og alle data som ikke er nødvendig for formålet med registreringen skal slettes. I tillegg innføres rett til å motsette seg behandling, profilering og automatiserte avgjørelser.
  • Virksomhetene får større ansvar for å vurdere personvernkonsekvenser og ivareta personvernet, og det vil sjeldnere være behov for konsesjon fra Datatilsynet. Dette medfører skjerpede krav til internkontroll samt at virksomhetene til enhver tid må kunne dokumentere at forordningen etterleves. Det kreves dekkende og oversiktlige rutiner for håndtering av henvendelser fra registrerte, for sletting og håndtering av sikkerhetsbrudd mv.
  • Alle nye digitale løsninger skal ha innebyggede personverninnstillinger (privacy by design).
  • Private virksomheter som har behandling av personopplysninger som sitt kjerneområde, for eksempel forsikringsselskaper og banker, samt alle offentlige virksomheter, blir pålagt å ha et eget personvernombud. Ombudet skal ha særskilt kompetanse på personvern, ansvar for tilsyn med overholdelse av forordningen, og skal være en kontaktperson for kunder, publikum og tilsynsmyndighetene.

Hva må virksomheten gjøre for å forberede seg?

Alle virksomheter som behandler og lagrer personopplysninger bør sette seg inn i hva personvernforordningen vil bety for deres virksomhet. Dersom virksomheten ikke allerede har gode rutiner for internkontroll i henhold til dagens lovgivning, er første punkt å begynne med dette arbeidet. God internkontroll gir et godt utgangspunkt for tilpasning til de nye reglene.

Mange virksomheter vil måtte endre sine rutiner for å tilpasse seg de skjerpede kravene. Det bør også vurderes om det er behov for tilpasninger i eksisterende avtaler med databehandlere eller andre som behandler personopplysninger på vegene av virksomheten.

Det er imidlertid verdt å merke seg at forståelse for det nye regelverket også kan åpne for nye muligheter. God kontroll på personopplysninger vil kunne gi fortrinn. Sikkerhet for etterlevelse av personvernforordningen vil i seg selv kunne bli et kvalitetsstempel overfor kunder, leverandører, brukere m.fl. Det vil dessuten kunne gi et konkurransefortrinn overfor andre virksomheter. God orden og oversikt over innsamlede data vil også kunne åpne for en mer målrettet og effektiv bruk av de opplysningene virksomheten har. I en verden preget av stadig større grad av digitalisering, er det all grunn til å tro at de som også klarer å ivareta personvernhensyn vil være fremtidens vinnere.

Kluge vil avholde ulike foredrag og kurs om personvernforordningen i tiden frem mot forordningens ikrafttredelse. Vi tilbyr videre virksomhetstilpassede kurs i grunnleggende personvern, i tillegg til juridisk rådgivning og bistand. Ta gjerne kontakt med oss!

DN.no: Norske ledere uvitende om ny personvernlov