• Facefirst

GDPR 2018: Hva betyr dette og hvordan vil det påvirke din bedrift?




Hva er EUs Personvernreform?

EUs Personvernreform 2018 er en fornying av regelverket fra 1995, med formålet om å møte de nye utfordringene til personvern som har oppstått på grunn av (blant annet) sosiale medier, økt grad av behandling av personopplysninger på tvers av landegrenser og «big data» (svært store og komplekse datasett, f. eks norske sosiale mediebrukere sin aktivitet (likes, delinger, kommenteringer, søk) i ulike plattformer som Facebook eller Instagram).

De nye reglene vil innebære flere regler som angår lagring og behandling av personopplysninger i moderne tid (dette angår saker som er aktuelle for året 2018 og ikke 1995) og et bredere geografisk virkeområde for reglene (reformen gjelder ikke bare bedrifter i EU, men bedrifter som befinner seg fysisk sett utenfor EU som driver med sin virksomhet i EU). Det vil også innføres strengere krav til behandling av personopplysninger, og brudd på disse reglene kan resultere i en bot opptil 20 millioner Euro/ 4% av global omsetting. Verdt å merke seg er også nå at vi som brukere har retten til å klage til vårt datatilsyn, dersom vi opplever brudd på personvernsrettigheter fra både offentlige og private virksomheter.

Hvorfor behøver vi EUs Personvernreform?

Vi lever i en digital tidsalder med stadig økende globalisering, teknologisk innovasjon og bruk av internett for både private og forretningsmessige grunner. Per dags dato er Norges lovgivning for behandling av personvern basert på EUs personverndirektiv fra Oktober 1995. Hvis man ser med grovt blikk over den teknologiske utviklingen siden begynnelsen av 2000-tallet ser man at behovet for sterkere beskyttelse av personopplysninger har endret seg i takt med hvor mye informasjon man oppgir og lagrer på internett.

I 1995 var fenomener som «sosiale medier» og lagring av informasjon i «cloud-systemer» åpenbart ikke noe den vanlige mannen i gata tenkte på, dessuten ble internett bare benyttet av omtrentlig 1% av verdens befolkning. På grunnlag av hvordan myndigheter, virksomheter og liknende tjenester behandler og skaffer seg vår personlige informasjon i dag ser både Datatilsynet og EU seg nødt til å tilpasse seg dagens digitale virkelighet. Derfor vil EUs Personvernreform tiltre i alle land i EU (inkl. EØS-land og land som deltar i Schengen-samarbeidet) fra 01. juli 2018.

Hvordan vil dette påvirke din bedrift?

Til å begynne med bør dette avsnittet definere «personopplysninger» slik Personvernreformen gjør så vi vet nøyaktig hva som blir lagret om oss:

Personopplysninger kan defineres som all informasjon om en person, som kan direkte eller indirekte identifisere personen ved navn, bilde, e-mail adresse, bankinformasjon, poster i sosiale nettverk på internett, helseopplysninger eller IP-adresse.

I dag livnærer mange virksomheter seg på å behandle personopplysninger. For bedrifter som driver med annonsering og markedsføring kan dette ha betydningsfulle konsekvenser, men det er også en gyllen mulighet for å bevise hvor tillitsfulle man er ovenfor sine kunder.

Enkelt sagt betyr det at du som bruker skal få mer innflytelse over hvordan sosiale medier behandler din data.

Det er bedriftens ansvar å klargjøre med deg om hvordan dine personopplysninger og nettaktivitet blir behandlet (f.eks lagring av cookies og hva det brukes til). Videre, betyr dette at sosiale medier må kunne slette din personlige informasjon lettere og mer effektivt dersom du ønsker dette, hvis du for eksempel ønsker å fjerne den informasjonen du tidligere har gitt f.eks Facebook (se https://slettmeg.no/). Når det kommer til «opt-in marketing» (markedsføring over e-post som angår nyhetsbrev, tilbud, kampanjer etc.) må sosiale medier nå tilby dette til sine brukere, uavhengig av samtykke («terms of agreement») til deres tjeneste. Dette betyr at brukere kan selv bestemme til hvilken grad bedrifter kan kontakte en, sånn sett vil vi kunne redusere det vi mener er «spam».

Når det kommer til «terms of agreement» (vanligvis et svært langt dokument med svært komplisert juridisk ordbruk) krever de nye reglene, fra dets iverksettelse at dette dokumentet skal være formulert kortere og lett forståelig, uten komplisert ordbruk. Dette angår også tjenester på nett som retter seg mot barn, her skal også dokumentet være såpass enkelt formulert at barn kan forstå hva de faktisk samtykker til. Hvor mye vet du om hva du samtykker til ved å være en bruker på Facebook, for eksempel?

Hva kan vi gjøre før Personvernreformen tiltrer?

Svaret på dette avhenger av hva slags type bedrift man er, hva slags personinformasjon som behandles og hvordan det behandles. Uavhengig av dette, er det veldig viktig at bedrifter begynner å gjøre tiltak allerede nå (og forhåpentligvis før dette innlegget) slik at man er forberedt på den kommende endringen. Norge har generelt et godt regelverk for behandling av personopplysninger, men vi vil fortsatt være nødt til å skjerpe enkelte felter. For bedrifter kan disse fem punktene være passende tiltak å begynne med:

1) Kartlegg personopplysninger (Kartlegg hvor personopplysninger kommer fra, hva gjør virksomheten med personopplysningene og hvem som har tilgang til dem)

2) Hva slags informasjon er det egentlig vi trenger? (Ikke lagre eller behold mer informasjon enn hva som er nødvendig, begynn å tenk på hvordan man kan gjøre mest mulig med minst mulig)

3) Iverksett beskyttelse av personopplysninger, dersom dette ikke allerede er gjort (Hvordan beskytter din bedrift de verdifulle personopplysningene dere samler inn fra deres kunder? Kan dere beskytte denne informasjonen fra hacking og vet deres kunder om hvordan dere gjør dette?)

4) Revurder dokumentasjon (Personvernreformen ønsker at vi brukere skal bli enda mer bevisst på hva vi faktisk samtykker til når vi bruker en tjeneste som krever personopplysninger. Bedrifter blir nødt til å revurdere om det kommer tydelig frem til deres kunder om de vet hva deres opplysninger faktisk brukes til)

5) Hva er bedriftens prosedyre for å behandle personopplysninger?

Har bedriften din en plan for følgende punkter:

  1. Få samtykke fra brukere på gyldig juridisk grunnlag?

  2. Hvordan sletter dere opplysninger dersom brukeren ønsker det?

  3. Hvordan blir informasjonen slettet på tvers av alle plattformer dere bruker informasjonen på?

  4. Hvordan overfører dere opplysninger om ønskelig fra brukeren (f.eks informasjon fra Facebook til Instagram)?

  5. Hvordan bekrefter dere som bedrift at personen som ønsker å slette sin informasjon faktisk er den personen han/hun utgir seg for å være?

  6. Hva er planen for kommunikasjon med brukere/kunder dersom databasen blir f.eks hacket?

Datatilsynet har forberedt en punktliste vi virkelig anbefaler å titte på for å kontrollere ens nåværende status. Klikk på bildet under.