GDPR Norge - En forenklet guide

Som medlem av EØS har Norge sterk tilknytning til EU. Dette betyr også at en stor del av EUs regelverk gjelder for norske bedrifter. På våren 2018 må samtlige bedrifter som håndterer personopplysninger, både for EU- og norske borgere, innordne seg etter et helt nytt regelverk.

Forordningen heter GDPR og er en av de største omstillingene innen data- og personvern EUs medlemsland noensinne har sett. Den har vært under utvikling over flere år, men ble endelig godkjent i 2016. Det er over 20 år siden forrige personverndirektiv fra EU, og GDPR kommer dermed med omfattende endringer til det eksisterende lovverket.

Hurtigmeny
  • Viktig å vite om GDPR
  • Nøkkelendringer i GDPR: Generelt
  • Nøkkelendringer i GDPR: Rettigheter til datasubjektene
  • GDPR i Norge

gdpr norge

Hvis du ikke allerede har satt deg inn i GDPR og hvilken betydning denne forordningen vil ha for din virksomhet bør du lese videre. Vi gir deg en grundig gjennomgang av de viktigste nøkkelendringene i forordningen.

Å ikke implementere personvernsikkerhet i henhold til disse kan medføre store bøter – og potensielt mistillit fra kundene deres.

Viktig å vite om GDPR

For å forstå hvilke endringer GDPR kommer med er det først og fremst viktig å ta en titt på data- og personvern generelt sett. I tillegg bør du sette deg inn i hvordan det tidligere direktivet var strukturert.

Da dette har vært gjeldende siden 90-tallet er sannsynligheten stor for at din bedrift fortsatt følger det. Endringene som i så fall vil kreves når GDPR trer i kraft kan være betydelige.

Hva er egentlig data- og personvern?

Datavern defineres som den rettslige beskyttelsen et enkeltindivid har mot at opplysninger om personen som befinner seg i databaser eller lignende blir misbrukt eller kommer på avveie. Personvern er et mer omfattende begrep, som handler om personlighetens rettsvern, altså at du som individ er beskyttet mot misbruk av din person.

Dersom vi tar utgangspunkt i disse begrepene fra et forretningsmessig ståsted betyr dette altså at datavern og personvern handler om følgende:

  • hvordan en bedrift innhenter personopplysninger om kundene sine
  • hvordan en bedrift forvalter personopplysninger om kundene sine
  • hvordan en bedrift videresender personopplysninger om kundene sine
  • hvordan en bedrift sletter personopplysninger om kundene sine

Dersom din bedrift sitter med sensitiv informasjon om enkeltindivider vil virksomheten deres falle innunder personvernloven. Som medlem av EØS faller dere også innunder reglement fra EU med hensyn til data- og personvern. Tidligere har dette vært stipulert av EUs databeskyttelsesdirektiv (Data Protection Directive 95/46/EU).

Data Protection Directive 95/46/EU

EUs direktiv for databeskyttelse ble innført i 1995, altså for 22 år siden. Med tanke på den enorme teknologiske utviklingen som har foregått i tidsrommet mellom da og nå er det egentlig overraskende at EU ikke har fått på plass noe nytt tidligere.

Direktivet regulerer fortsatt databehandlingen av personopplysninger innen EU, og vil fortsette å gjøre det inntil GDPR trer i kraft. Ved implementeringen var formålet med direktivet at det skulle understøtte det sterke fokuset på retten til personvern som råder i EU.

I 1980 la OECD (Organisasjonen for økonomisk samarbeid og utvikling) fram sine anbefalinger til retningslinjer for personvern og flyt av personopplysninger over landegrenser. Disse var:

  • Underrettelse (datasubjekter skal få beskjed når opplysningene deres uthentes)
  • Formål (opplysningene skal kun brukes til det oppgitte formålet)
  • Samtykke (opplysningene skal ikke gjøres tilgjengelige uten datasubjektets samtykke)
  • Sikkerhet (opplysningene skal sikres mot misbruk)
  • Åpenhet (datasubjektene skal informeres om hvem som uthenter personopplysningene deres)
  • Tilgang (datasubjektene skal ha tilgang til personopplysningene sine og kunne gjøre endringer dersom noe er feil)
  • Ansvar (datasubjektene skal kunne stille uthenter av personopplysningene til ansvar for å ikke følge disse prinsippene).

Selv om det tok ytterligere 15 år ble disse anbefalingene i stor grad liggende til grunn for EUs 95-direktiv for databeskyttelse. I årene som har gått har imidlertid bestemmelsen vist seg å ha betraktelige mangler med hensyn til tydelige definisjoner av hva som er et brudd på direktivets retningslinjer.

Med utgangspunkt i dette har EU nå utviklet GDPR, som skal gjøre det enklere for europeiske bedrifter og stater å følge en felles lovgivning for data- og personvern. Vi skal ta en grundig titt på forordningen om litt. Men det er også viktig at du forstår forskjellen på en forordning og et direktiv fra EU.

Hva er forskjellen på en forordning og et direktiv?

Dette skillet vil fastsette i hvilken grad en norsk bedrift må følge den lovgivende bestemmelsen som kommer fra Brüssel. Det er helt spesifikke forskjeller på forordninger og direktiver.

Direktiv

Et direktiv, som den tidligere bestemmelsen fra 1995 faller innunder, er en lovgivende bestemmelse. Det inneholder imidlertid kun mål som landene i EU skal forsøke å oppnå. Hvordan målene skal oppnås i det enkelte medlemsland er imidlertid opp til den nasjonale og enkelte politikken.

Dermed er ikke et direktiv en fastsatt lov som alle tilknyttende land og medlemsland er pliktige å følge fra dagen det trer i kraft. Den enkelte regjering må selv implementere lovverk i henhold til direktivet for at det skal bli obligatorisk for bedrifter å følge det.

Forordning

En forordning er noe helt annet. Dette er en bindende lovgivende bestemmelse som gjelder for samtlige EU-land. Den enkelte regjering skal ikke gjennomføre egne implementeringsdebatter og –faser. Fra og med den dagen forordningen trer i kraft må den implementeres i sin helhet over hele EU.

Med dette i bakhodet er det viktig å presisere at GDPR er en forordning, og erstatter et direktiv. Altså vil GDPR bli gjeldende i samtlige tilknyttede land til og medlemsland i EU fra den dagen forordningen trer i kraft. For flere norske bedrifter betyr dette at man må implementere nye retningslinjer og organisatoriske strukturer for å følge forordningen i sin helhet.

General Data Protection Regulation

GDPR er altså forkortelsen for EU-forordningen General Data Protection Regulation. Denne ble endelig godkjent av EU-parlamentet i april i 2016. Da hadde dokumentet gjennomgått fire år med forberedelser og debatt, og vært innom alle tre av EUs autoritetsorganer. Forordningen er vurdert og godkjent av EU-kommisjonen, EU-parlamentet og Den europeiske unions råd.

Når GDPR trer i kraft 25. mai i 2018 vil den erstatte EUs direktiv om databeskyttelse fra 1995. Formålet med forordningen er å styrke beskyttelsen av enkeltindividers personopplysninger i EU, samt å skape en felles lovgivning som alle medlemsland kan følge.

Videre er GDPR designet for å ’harmonisere datavernlover over hele Europa, beskytte og bemyndige alle EU-borgeres personvern, og omforme måten europeiske organisasjoner tilnærmer seg data- og personvern på.’ GDPR skal fylle inn tomrommene fra 95-direktivet og styrke personvernet over hele Europa.

Start planleggingen av GDPR

Det er så vidt over et halvår til GDPR trer i kraft. Dersom bedriften din ikke allerede har implementert eller begynt å implementere systemer som tar høyde for retningslinjene er det på tide å komme i gang. Det er viktig at både ledelsen og bedriftens ansatte har forståelse for hvilken innvirkning GDPR kommer til å ha på organisasjonshverdagen.

En av de største endringene fra 95-direktivet til GDPR handler om hvilket omdømme forordningen får. Vi kommer til å kikke nøye på dette etter hvert, men det er verdt å nevne at lovverket gjelder for organisasjoner innenfor EU. Også organisasjoner som behandler eller sitter med sensitive personopplysninger om EU-borgere, uavhengig av hvor bedriften befinner seg hen.

Hva er forskjellen på en behandlingsansvarlig og en databehandler?

Det er også viktig å ta en titt på terminologien som brukes i GDPR. I motsetning til i 95-direktivet blir retningslinjene med denne forordningen eksplisitt gjeldende for både behandlingsansvarlige og databehandlere. Derfor må dere være klar over som menes med en kontrollør og hva som menes med en databehandler.

Artikkel 4

I henhold til artikkel 4 i GDPR defineres begrepene som følger:

En behandlingsansvarlig: er den naturlige eller juridiske personen, offentlige autoriteten, virksomheten eller annen organisasjon/bedrift som alene eller sammen med andre fastsetter formålene med og metodene for behandling av personlig data.

En databehandler: er en naturlig eller juridisk person, offentlig autoritet, virksomhet eller annen organisasjon/bedrift som behandler personlig data på vegne av den behandlingsansvarlige.

Og GDPRs retningslinjer vil altså bli gjeldende for begge disse partene. Det vil ha innvirkninger på bedrifter som eksempelvis bruker en tredjepart til å innhente, behandle, forvalte eller slette persondata på borgere innenfor EU.

Hvordan defineres personlig data?

GDPR og personlig data

Når det er snakk om persondata vil det gjerne trekkes et skille mellom sensitiv informasjon og generell informasjon. Det er imidlertid viktig å huske på at personlig data er personlig data. GDPR skiller ikke mellom sensitiv informasjon og generell informasjon. Denne forordningen gjelder for personlig data generelt sett.

Det er lett å tenke at personlig data kun er sensitiv informasjon. Men begrepet defineres faktisk som all informasjon tilknyttet en naturlig person, eller et ’datasubjekt’, som kan brukes direkte eller indirekte til å identifisere personen. Hvis man tar et steg tilbake og tenker på hvor tilknyttede vi er til omverdenen nå til dags, via teknologi og sosiale medier, er dette et forholdsvis omfattende begrep.

Definisjonen betyr i prinsippet at alt som kan knyttes til deg og din person anses som personlig data. Dette er ting som:

  • navn
  • bilde
  • epostadresse
  • bankdetaljer
  • innlegg på sosiale medier
  • medisinsk informasjon
  • en IP-adresse

Altså vil GDPR ha enorme dekningsområder. Bedriften din vil måtte følge retningslinjene fra forordningen dersom dere sitter på én eller flere av informasjonsbitene nevnt i listen over. Derfor vil en grundig gjennomgang av hva persondata er også være viktig når virksomheten skal omstille seg.

For å unngå bøter og mistillit fra kundene bør alle bedriftens ansatte være innforstått med hvilken verdi informasjonen de forvalter eller behandler har. Det er altfor enkelt å tenke at en epostadresse eller et innlegg fra sosiale medier er offentlig informasjon. Og selv om de kan være det vil de, såfremt de kan brukes til å identifisere en person, falle innunder regelverket til GDPR.

Så hvilke retningslinjer må dere egentlig følge når forordningen blir gjeldende? Her er en grundig gjennomgang av nøkkelendringene i GDRP, både generelt og med hensyn til datasubjektenes rettigheter. Husk at felles for samtlige regler er at de skal være implementert i sin helhet og følges fra og med 25. mai 2018.

Nøkkelendringer i GDPR: Generelt

Økt territoriell rekkevidde

Dette er den absolutt største endringen i EUs nye forordning for datavern. Det er også den som vil ha den mest omfattende innvirkning, både på bedrifter innen og utenfor EU. Den økte territorielle rekkevidden medfører at GDPR blir gjeldende for veldig mange flere enn bare medlemslandene i EU.

Forordningen vil nemlig også gjelde for de selskapene som prosesserer persondata til datasubjekter som bor i EU dersom driften er relatert til:

  • tilbud om varer eller tjenester til EU-borgere
  • overvåking av adferd som foregår innenfor EU

Disse retningslinjene vil være gjeldende uavhengig av hvor det aktuelle selskapet er registrert.

I 95-direktivet ble dataprosessering henvist til som ’i et selskaps kontekst’. Altså var det ingen geografisk lovbestemmelse som beskyttet EU-borgere mot misbruk av persondataen deres i utlandet. Dette har ført til en rekke krevende søksmål, da direktivet ikke har vært tydelig nok med hensyn til hvor dataprosesseringen kan foregå.

Nå blir imidlertid GDPR gjeldende for behandling av persondata av behandlingsansvarlige og databehandlere i EU, uavhengig av om behandlingen foregår i EU eller ikke. I praksis betyr dette at skytjenester ikke vil være unntatt fra forordningen. Dersom data behandles av en EU-borger, om dette er midt i unionen eller på andre siden av verden har ingenting å si. GDPR gjelder for behandling av all personlig informasjon om alle EU-borgere.

Bedrifter som ikke er registrerte i EU, men som behandler informasjon om EU-borgere vil også påvirkes av GDPR. Disse vil fra nå av bli pålagt å utnevne en representant innenfor EU, for å unngå misbruk av personlig data på EU-borgere.

I oppsummering kan man altså si om den økte territorielle rekkevidden til GDPR at forordningen vil blir gjeldende for organisasjoner innenfor EU og organisasjoner utenfor EU når disse tilbyr tjenester eller varer, eller monitorerer oppførsel/adferd til EU-borgere. Den gjelder for alle selskaper som behandler eller sitter med sensitiv informasjon om datasubjekter, uavhengig av hvor selve databehandlingen foregår.

Bøter

De som ikke innfinner seg med det nye regelverket må forberede seg på noen svært ubehagelige bøter. Med GDPR forsøker EU å gjøre det så lite attraktivt som mulig å ikke følge forordningens retningslinjer. Styreorganene ønsker å forsterke fokuset på person- og datavern for alle EUs borgere.

Den maksimale boten for å bryte en av GDPRs retningslinjer er 4% av årlig omsetning eller 20 millioner euro.

Her vil bedriften straffes med det beløpet som er størst av disse to tallene. For å bli pålagt en slik bot må man ha brutt regler som:

  • å ikke ha tilstrekkelig kundesamtykke for å behandle informasjon
  • å bryte med datasubjektenes retningslinjer
  • å overføre persondata internasjonalt
  • å ikke implementere eller følge prosessen for når et subjekt ber om tilgang på sine persondata

Etter denne maksboten, som vil være betraktelig for de aller fleste bedrifter, kan man også pålegges en mindre bot, på 10 millioner euro eller 2% av årlig omsetning (det beløpet som er størst). Denne vil gjelde for ting som:

  • å ikke implementere tiltak for å forsikre personvern i design (vi kommer tilbake til dette konseptet litt senere i denne guiden)
  • at en databehandler behandler data i henhold til en behandlingsansvarligs instruksjoner
  • å ikke rapportere avvik
  • å ikke ansette personvernombud der selskapet er pliktig å gjøre dette

Her er det viktig å huske at disse reglene gjelder for både behandlingsansvarlige og databehandlere. Som nevnt vil ikke skybaserte tjenester være unntatte fra GDPR-retningslinjer.

Samtykke (personvernerklæringen)

Den nye forordningen fra EU stiller også veldig mye strengere krav til bedrifter rundt hvordan samtykke skal skaffes. Dersom dere har vært vant til å ha en lang, juridisk kontrakt med mulighet for avhuking ved spørsmål om samtykke må dere sannsynligvis gjøre noe med dette når GDPR trer i kraft.

Spørsmål om samtykke skal nå legges frem i et forståelig og lett tilgjengelig format. Personen som blir presentert med samtykkekontrakten skal altså kunne forstå den enkelt og greit. Det skal heller ikke være vanskelig for vedkommende å finne bedriftens juridiske retningslinjer for samtykke.

Videre må man opplyse personen om formålet med databehandlingen, i tilknytning til samtykkevilkårene. Det holder ikke at man informerer på en generell basis – her må bedriften på en tydelig og forståelig måte informere om hva personinformasjonen skal brukes til. GDPR krever at formålet med databehandlingen skal uttrykkes helt entydig i tilknytning til samtykket.

Her ser man altså klart og tydelig at hovedfokuset bak utviklingen av GDPR har vært personvern for privatkunder over hele EU. Det skal ikke lenger være mulig å uthente og sitte på personopplysninger med et utydelig og diffust samtykkeregelverk. Nå skal kunden forstå hvorfor en bedrift forsøker å uthente personopplysningene deres ved samtykkestadiet.

Regelverket i GDPR sier også at det skal være like enkelt å trekke tilbake samtykke som det er å gi det. Det kreves dermed at virksomheter legger til rette for at kundene deres kan melde seg ut fra eventuelle medlemslister, eller be om å få personopplysningene sine slettet. Det skal ikke være en vanskeligere prosess for vedkommende å få informasjonen fjernet fra selskapets database enn å legge den til.

Med hensyn til samtykke er det viktig å også være klar over hvilke krav GDPR stiller til foreldresamtykke. I utgangspunktet må det gis foreldresamtykke for å behandle personinformasjon om barn under 16 år. Medlemslandene kan imidlertid fastsette en lavere alder, men denne kan ikke være på under 13 år.

Nøkkelendringer i GDPR: Rettigheter til datasubjektene

Det generelle grunnlaget for EUs regelverk om data- og personvern har altså endret seg betraktelig. Det kommer til å være en hel del strengere, og bedrifter må også være oppmerksomme på de enorme bøtene brudd på regelverket kan medføre.

Som nevnt tidligere har personvern alltid vært et stort fokus innenfor EU. Derfor er det også naturlig at det kommer en del endringer med hensyn til datasubjektene, altså privatpersonene, hvis personinformasjon uthentes. Her er en gjennomgang av rettigheter til datasubjektene under den nye forordningen.

Underrettelse om avvik

GDPR kommer til å ta avvik på alvor. Det betyr at alle bedrifter som sitter med sensitiv personinformasjon, eller personinformasjon generelt, må være oppmerksomme på de nye retningslinjene. Fra og med mai neste år vil det være tidsrammer for underrettelse om avvik til datasubjektene.

Forordningen gjør det nemlig obligatorisk å gi kundene informasjon og beskjed om avvik i samtlige medlemsstater. Dette vil gjelde der det aktuelle databruddet ’medfører en risiko for rettighetene og frihetene til individer’ – altså for privatpersonene, eller datasubjektet.

Si for eksempel at din bedrift sitter med personopplysninger som direkte eller indirekte kan identifisere 500 personer. Dere blir ofre for et databrudd, og 50% av informasjonen blir stjålet. Da vil det være en høy sannsynlighet for at rettighetene til 250 av kundene deres blir truet; dere kan ikke kontrollere hvordan tyvene bruker informasjonen.

72-timers regelen

Men så lenge det var dere som forvaltet informasjonen ved tyveriet er det også deres ansvar å håndtere den på en forsvarlig måte. Derfor vil det være obligatorisk å gi beskjed til kundene innen 72 timer fra opprinnelig oppdagelse av bruddet. Så snart det oppdages et avvik vil altså klokka begynne å gå på tiden inntil dere må informere kundene deres.

Allikevel presiserer regelverket at det ikke skal forekomme ubegrunnede forsinkelser i underrettelse om avvik. Det er altså ikke lov til å vente med å gi beskjed til kundene, med mindre man har god grunn til det. 72-timers-regelen er den maksimale tiden som kan gå før dere må underrette individene hvis informasjon dere har ansvar for.

Det blir også slik at databehandlere er pliktige å informere sine kunder, altså behandlingsansvarlig. Dersom dere benytter dere av en tredjepart til databehandling og denne oppdager et avvik vil regelverket dermed gjelde for databehandleren også. Poenget her er at kundene skal få beskjed dersom deres personinformasjon har kommet på avveie som følge av et avvik eller databrudd.

Retten til tilgang

EUs nye forordning innfører videre noe de kaller ’Retten til tilgang’. Dette handler om at datasubjektene skal kunne kreve opplysninger fra behandlingsansvarlig som forvalter informasjonen. GDPR fokuserer på at det er datasubjektet sin informasjon som behandles, og dermed skal han eller hun ha full tilgang på denne.

Under de utvidede rettighetene til privatpersoner i EU skal det være mulig å uthente bekreftelse fra databehandlingsansvarlig på om persondataen deres behandles eller ikke. Bedriftene blir også pliktige å opplyse om hvor informasjonen eventuelt behandles og med hvilket formål. Det skal når som helst være mulig for datasubjektene å uthente denne informasjonen.

I tillegg til dette blir virksomheter som forvalter personopplysninger pliktige å utgi en kopi av personinformasjonen, kostnadsfritt, i et elektronisk format dersom datasubjektet ber om dette. Det betyr at dere som bedrift må ha systemer på plass dersom noen av kundene deres skulle kreve en slik elektronisk kopi av sin egen personlige informasjon. Det skal heller ikke koste penger for privatpersonen å fremskaffe opplysningene.

Med hensyn til datagjennomsiktighet og bemyndigelsen av datasubjekter er dette et stort skifte fra 95-direktivet. Derfor er det også få bedrifter som har oppsett for denne typen retningslinjer på plass i dag. Så snart GDPR trer i kraft vil det imidlertid være obligatorisk å ha implementerte systemer som tar høyde for denne delen av regelverket.

Retten til å bli glemt

Under datasubjektenes rettigheter vil GDPR innføre ’Retten til å bli glemt’, som også kalles for datasletting. Dette er i henhold til kravet om at samtykke skal kunne fjernes like enkelt som det gis, men går allikevel litt lenger enn bare det.

Med denne rettigheten vil datasubjektene, altså privatpersonene, kunne kreve fra databehandlingsansvarlig at hans eller hennes persondata slettes i sin helhet. Vedkommende kan i tillegg kreve at videre spredning av dataen stanses og potensielt at også tredjeparter avslutter deres behandling av informasjonen.

Dette betyr at dere som bedrift må ha et vanntett sikkerhetsnett rundt personinformasjonen dere forvalter. Når datasubjektet under GDPR kan kreve at all informasjonen slettes må dere ha systemer innført som gjør dette mulig. Da blir det også kritisk at dere vet akkurat hvor informasjonen befinner seg hen, og hvilke tredjeparter den eventuelt har blitt delt med.

Artikkel 17

Vilkårene for datasletting gjennomgås i sin helhet i Artikkel 17 av GDPR. Her er en gjennomgang av noen av vilkårene som vil medføre at datasubjektet kan kreve sletting av informasjonen:

  • at personinformasjonen opphører å være relevant for det opprinnelige formålet med databehandlingen
  • at datasubjektet trekker samtykket sitt, og det ikke finnes noe annet juridisk grunnlag for databehandlingen
  • at datasubjektet motsier seg databehandlingen, og det ikke finnes noe annet juridisk grunnlag for den
  • at personinformasjonen har blitt ulovlig behandlet
  • at personinformasjonen må slettes i henhold til lovverk i EU eller et medlemsland som behandlingsansvarlig går innunder

Vær oppmerksom på at retten til å bli glemt ikke går på tvers av annet gjeldende lovverk. Dersom det er for offentlighetens beste at de aktuelle personopplysningene ikke slettes vil det være juridisk grunnlag for å avslå en slik forespørsel fra datasubjektet. Derfor må behandlingsansvarlig til enhver tid kunne sammenligne subjektets rettigheter med offentlighetens interesser for øvrig.

Datamobilitet

Med GDPR kommer en helt ny innføring om datamobilitet, altså at personinformasjonen skal kunne flyttes dersom datasubjektet den omhandler ønsker dette. Datasubjektet vil ha rett på å motta personinformasjon som omhandler dem, som hun eller han tidligere har oppgitt, i et ’standardisert og maskin-lesbart format’.

Altså holder det ikke at bedriften kun har systemer på plass for å innhente personlige opplysninger om kundene. Det skal være like enkelt å flytte denne informasjonen, dersom personen den omhandler skulle ønske dette. Derfor må samtlige bedrifter ha opplegg for denne typen forespørsler fra kundens side.

Husk at hovedformålet med GDPR er personvern og individets rettigheter. Det skal være vanskelig for bedrifter å gjemme vekk personopplysninger – og det skal være enkelt for personen de omhandler å hente dem ut, eller få dem slettet. Datamobilitet vil bidra til å forsterke bemyndigelsen av privatpersoner og deres personvern.

Under datamobilitet vil datasubjektet videre ha rett til å videreføre personopplysningene til en annen behandlingsansvarlig. Der det er teknisk mulig vil hun eller han også ha retten til å få informasjonen flyttet direkte fra én kontrollør til en annen.

På lik linje med ’Retten til å bli glemt’ vil også datamobilitet henge sammen med annet lovverk. Dersom behandlingsansvarlig utfører databehandling på vegne av offentlighetens sikkerhet eller beste, eller på vegne av en offentlig autoritet, vil retten ikke være gjeldende. Da vil behandlingsansvarlig måtte gjøre en vurdering av henholdsvis kundens og offentlighetens rettigheter opp mot hverandre.

Personvern i utvikling

Personvern i utvikling betyr at det legges opp for personvern på det tidligste stadiet i design og utvikling av nye systemer som skal behandle sensitiv eller personlig informasjon. Dersom man eksempelvis skal lage en ny database for forvaltning og behandling av kundeinformasjon skal det i utviklingsplanleggingen settes opp rammeverk i henhold til personvernet.

Dette har allerede eksistert som et konsept for en rekke europeiske bedrifter over lengre tid, men med GDPR blir det altså inkludert i regelverket. Nå vil det være obligatorisk for de bedriftene forordningen gjelder for å implementere personvern i utvikling. Her skal data- og personvern inkluderes i det opprinnelige designet av nye systemer, og ikke bare som et tillegg.

Artikkel 23

Artikkel 23 krever videre at behandlingsansvarlig kun holder på og behandler den informasjonen som er helt nødvendig for at hun eller han skal kunne utføre oppgavene sine. Dermed innfører GDPR også et krav om dataminimering – at en bedrift kun skal holde på den sensitive informasjonen virksomheten trenger for å gjennomføre oppgavene sine.

Under denne nøkkelendringen vil det også bli obligatorisk å begrense tilgangen på persondata. GDPR krever at det kun skal gis tilgang på sensitiv og personlig informasjon til de som eksplisitt trenger den for å gjennomføre databehandlingen.

Dersom bedriften ikke allerede har opplegg for personvern i utvikling, og begrenset tilgang på sensitiv informasjon, vil det være nødvendig å få dette på plass. Jo raskere din virksomhet får implementert rutiner og systemer i henhold til GDPR, jo lettere vil det være å fortsette driften som normalt når forordningen trer i kraft.

DPO’s – personvernombud

I tillegg til individets data- og personvern har GDPR et annet hovedfokus. Dette er å gjøre det enklere for multinasjonale bedrifter innenfor EU å operere i henhold til et felles regelverk. I dag, i henhold til 95-direktivet, må behandlingsansvarlige gi beskjed til sine lokale datavernsdirektorater om databehandlingsaktivitetene sine.

Dersom man har ansvar for datavernet i en internasjonal bedrift kan dette være svært krevende. De fleste medlemslandene i EU har forskjellige underretningskrav og denne praksisen krever dermed inngående kunnskap om en rekke forskjellige regelverk.

Med GDPR vil kravet om å melde inn til det enkelte lokale datavernsdirektorat fjernes. Altså skal det bli mer oversiktlig for bedrifter som opererer på tvers av landegrenser å følge et helhetlig datavernsreglement. Kravet om å melde og søke bevilgning om dataoverføringer basert på EUs standard regelverk for denne typen overføringer forsvinner også.

I stedet for at hver enkelt bedrift skal følge omfattende og varierende byråkratiske retningslinjer vil det med GDPR innføres krav til intern dokumentasjon av databehandling. Derfor vil det også bli obligatorisk å utnevne et personvernombud i visse organisasjoner:

  1. I offentlige myndigheter
  2. I organisasjoner som driver systematisk monitorering på stor skala
  3. I organisasjoner som driver databehandling av sensitive personopplysninger på stor skala

Dersom din bedrift eller virksomhet faller innunder en av disse tre bedriftstypene vil det med GDPR bli obligatorisk for dere å utnevne et personvernombud. Denne prosessen kan det også være lurt å sette i gang med så raskt som mulig. Det er strenge krav til hvem som kan fylle stillingen i henhold til forordningens regelverk.

Personvernombud: Kriterier under GDPR

Det er nemlig fastsatt forholdsvis omfattende retningslinjer for hvem som kan ansettes som personvernombud. Først og fremst må personen utnevnes på bakgrunn av profesjonell erfaring og kunnskap. Som del av dette skal vedkommende sitte med ekspertkunnskap om lover og praksis rundt datavern.

Personvernombudet kan være en ansatt eller en ekstern tjenesteleverandør. Dersom man faller innunder kategoriene for krav om personvernombud blir det imidlertid viktig å huske at personen må ansettes. GDPR krever at bedriften har kontinuerlig oppfølging av at forordningens regelverk opprettholdes.

Personen bedriften velger til denne stillingen må også opplyses om til det aktuelle datavernsdirektoratet, altså Datatilsynet for norske bedrifter. Datatilsynet skal ha kontaktdetaljene til personvernombudet i sin database.

Personvernombudet skal utstyres med de nødvendige ressursene for å kunne utføre oppgavene sine og opprettholde sin ekspertkunnskap om data- og personvern. Bedriften plikter å delegere tilstrekkelig med ressurser for at vedkommende skal ha mulighet til å gjøre jobben sin i henhold til GDPR-regelverket.

Videre skal personvernombudet rapportere direkte til øverste ledelse i organisasjonen. GDPR setter altså personvern på agendaen ved å pålegge europeiske bedriftsledelser å prioritere regelverket. Vedkommende skal ikke utføre andre oppgaver for bedriften som kan resultere i en interessekonflikt.

For flere bedrifter betyr dette rett og slett at man må ansette en ny person for å kunne håndtere GDPRs nye retningslinjer. Dermed vil det også være gunstig å komme i gang så raskt som mulig, før markedet begynner å tømmes for dyktige personvernombud.

GDPR i Norge

Så hvilken innvirkning kommer GDPR til å ha for norske bedrifter? Hvilke endringer må du regne med å implementere for å følge regelverket til punkt og prikke?

GDPR og territoriell rekkevidde

Gjennom EØS-samarbeidet vil GDPR også bli norsk lov. Selv om Norge ikke er en del av EU er vi gjennom det økonomiske samarbeidet med unionen underlagt en rekke direktiver og forordninger. GDPR vil bli en av dem, og norske bedrifter kommer dermed til å falle innunder det nye regelverket.

Den økte territorielle rekkevidden betyr at dersom bedriften tidligere har brukt tredjepartsleverandører utenfor EU eller EØS til å behandle persondata må disse også begynne å følge regelverket. Det er dere, som behandlingsansvarlig, som vil være ansvarlige for databehandlerne deres.

Så lenge det er dere som innhenter sensitiv og personlig informasjon om kundene deres har dere også ansvar for å forvalte denne på en forsvarlig måte. Under GDPR vil skybaserte tjenester og databehandling utenfor EU ha like strenge retningslinjer som databehandling innenfor unionen. Dere som bedrift må derfor sørge for at hele deres virksomhet, både internt og eksternt, følger regelverket.

En god tommelfingerregel for bedrifter som behandler sensitiv eller personlig informasjon om privatpersoner er å få på plass helhetlige systemer for databehandling. All databehandlingsvirksomhet bør dokumenteres, og det blir viktig å fremskaffe et godt bilde av hvordan situasjonen ser ut i dag.

Dersom det er behov for endringer hos en tredjepart er det viktig å få på plass denne typen avtaler før GDPR trer i kraft. Når 25. mai 2018 kommer vil det være forordningen som gjelder. For å unngå bøter gjør dere derfor lurt i å planlegge for endringen god tid i forveien.

GDPR i den enkelte bedrift

Det vil selvfølgelig være stor variasjon i hvilken innvirkning GDPR vil ha fra bedrift til bedrift. Det som er viktig er at dere setter dere godt inn i forordningen, slik at dere ikke går glipp av noen hull i virksomheten deres.

Et godt utgangspunkt er å ta en titt på følgende spørsmål og se hvordan bedriften ligger an i forhold til dem.

Med hensyn til kunden:

  • Er informasjonen dere gir ut om personvern skrevet på en enkel og tydelig måte?
  • Er det enkelt for kundene å finne denne informasjonen om personvern?
  • Hvordan innhentes samtykke i bedriften? Gir dere kunden entydig informasjon om formålet med innhentingen?
  • Er det enkelt for registrerte privatpersoner å få innsyn i informasjonen, slette informasjonen, rette opp i informasjonen, flytte informasjonen og sperre informasjonen?

For bedriften:

  • Har dere et fokus på personvern i bedriften? Implementeres det systemer med personvern inkludert allerede fra utviklingsstadiet (personvern i utvikling)?
  • Hvilke rutiner har dere på plass for å oppdage og informere om avvik eller databrudd? Er dere innenfor 72-timers-regelen, også med hensyn til databehandlerne dere bruker?
  • Har dere kun virksomhet i Norge eller opererer dere over flere land?
  • Hvor mange i bedriften har tilgang på sensitiv informasjon? Er dette kun begrenset til de som eksplisitt trenger informasjonen for å utføre arbeidsoppgavene sine?
  • I hvilket omfang behandler dere personopplysninger eller sensitiv informasjon? Hvilke systemer har dere på plass for å forvalte disse opplysningene i dag?
  • Forvalter dere særskilt sensitiv informasjon?
  • Deler dere personopplysningene dere innhenter videre med andre bedrifter? Gjøres dette tydelig og entydig i personvernerklæringen til og samtykket fra kunden?
  • Er bedriftens ledelse og ansatte gjort kjent med den nye forordningen? Har dere rutiner på plass for å forsikre at hele bedriften opererer i henhold til regelverket?
  • Har dere ansatt, eller jobber dere med å ansette, personvernombud?

Implementer i høst, få et stort fortrinn til våren

Det er ikke til å stikke under en stol at den nye personvernlovgivningen er omfattende og vil ha en stor innvirkning på en rekke norske bedrifter. Her er det imidlertid viktig å ta tyren ved hornene – det vil gi dere et stort fortrinn når forordningen trer i kraft til våren.

Dersom dere får implementert de nødvendige systemene i høst kan dere allerede før GDPR blir gjeldende begynne å reklamere med drift i henhold til ny personvernlovgivning. En ting er at dette vil gjøre det lettere for bedriften å fortsette virksomheten som normalt. Men ikke undervurder tilliten dere kan skape hos kunden ved å få på plass gode systemer.

I dagens hyperteknologiske verden verdsetter privatpersoner personvernet sitt. Derfor er det også stor sannsynlighet for at GDPR vil møtes med stor begeistring fra forbrukernes side. Dersom din bedrift kan være en pioner innen personvern i henhold til de nye retningslinjene vil dette være svært gunstig med hensyn til både eksisterende og potensielle kunder.

Husk også på at det er enorme bøter tilknyttet mislighold av regelverket under GDPR. Ikke vent med å ansatte et personvernombud eller å implementere bedre systemer med hensyn til data- og personvern. Jo tidligere ute dere er, jo enklere vil overgangen bli for dere. Da trenger bedriften heller ikke å bekymre seg for brudd på regelverket.

Både for bedriftens og kundens del bør alle norske virksomheter sette seg inn i regelverket for GDPR. De som er tidlig ute med dette kan regne med en glattere overgang, mer kundetillit og et stort fortrinn på markedet når forordningen trer i kraft til våren.

Vil du lese mer om GDPR? Ta en titt her:

Datatilsynet sin veileder: 

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/

Ressurs for bedrifter
http://www.eugdpr.org

GDPR i sin helhet
http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf