Nå må virksomheter tilpasse seg de nye personvernreglene (GDPR) som trer i kraft mai 2018
Google vet mer om deg enn du aner, Amazon vet hva du skal kjøpe før du vet det selv, mens Facebook har en viss anelse om du kommer til å skille deg i nærmeste fremtid. Hvordan vet de alt dette? Jo, fordi de har tilgang til privatinformasjon som du legger igjen på internett.
Selskaper forteller deg at de samler inn denne typen informasjon slik at de kan yte bedre service og tilby mer målrettet og relevant kommunikasjon, alt for å gi deg en bedre kundeopplevelse. Noe som er sant nok, men hva bruker de egentlig opplysningene til?
Dette spørsmålet har blitt stilt og besvart i EU, og er grunnen til at det i mai 2018 trer i kraft en ny lov for personvern, GDPR (General Data Protection Regulation), som vil endre måten virksomheter samler inn, bruker, håndhever og lagrer persondata.
SmartDok er et system utviklet for entreprenørbransjen. I dag registrerer 50.000 brukere timeregistrering, HMS, sjekklister, avvik, vareforbruk, massetransport, kjørebok og mye annet i systemet. Personlig data som registreres i systemet skal fra 25.mai 2018 behandles etter de nye personvernreglene, og som bruker av SmartDok kan en forsikre seg over at selskapet allerede er igang med tilpasningen og kan være sikker på at den nye personvernloven ikke brytes og informasjon ikke misbrukes.
Hva betyr de nye personvernreglene for virksomheter?
1. Alle norske virksomheter får nye plikter
EUs forordning for personvern blir norsk lov i 2018, og erstatter da dagens regelverk. Vi får med andre ord nye regler for personvern i Norge. De gir virksomheter nye plikter, og personene man behandler personopplysninger om, de registrerte, får nye rettigheter.
2. Alle skal gi god informasjon om hvordan de behandler personopplysninger
Når vi behandler personopplysninger, plikter vi å informere de registrerte. Kravene til denne informasjonen blir strengere når forordningen trer i kraft.
3. Alle skal vurdere risiko og personvernkonsekvenser
Noen virksomheter må etter det nye regelverket utrede personvernkonsekvensene av et tiltak i tillegg til å gjennomføre risikovurderinger. Dette gjelder i tilfeller der tiltaket utgjør et stort inngrep i personvernet.
4. Alle skal bygge personvern inn i nye løsninger
Datatilsynet anbefaler at alle virksomheter som behandler personopplysninger eller som for eksempel skal bygge nye IKT-systemer, følger prinsippene for innebygd personvern. Når forordningen trer i kraft, blir dette også en plikt.
5. Mange virksomheter må opprette personvernombud
Dagens personvernombudsordning er frivillig. Med den nye forordningen får mange virksomheter en plikt til å opprette personvernombud. De som ikke må opprette ombud, kan selvsagt også velge å følge ordningen på frivillig basis.
6. Reglene gjelder også virksomheter utenfor EU og EØS
Virksomheter som er etablert utenfor EU- eller EØS-området må følge forordningens regler dersom de:
- Tilbyr varer og tjenester til EU- eller EØS-borgere
- Kartlegger EU- eller EØS-borgeres adferd innen EU- eller EØS-området
7. Alle databehandlere får nye plikter
En databehandler er en virksomhet som behandler personopplysninger på vegne av en annen virksomhet, den såkalt behandlingsansvarlige. I dag følger den behandlingsansvarliges plikter av loven, mens databehandlerens plikter følger av en databehandleravtale mellom den behandlingsansvarlige og databehandleren. Loven pålegger dem å ha en slik avtale, men innholdet i avtalen er det langt på vei de to partene som blir enige om.
8. Alle bør samarbeide i egne nettverk og følge bransjenormer
Forordningen oppfordrer til at virksomheter innen samme sektor går sammen om å utarbeide av bransjenormer. En bransjenorm er retningslinjer for hvordan en sektor eller bransje skal sikre at den behandler personopplysninger på en god og riktig måte. Slike bransjenormer tar hensyn til sektorens art og virksomhetens størrelse. Bransjenormer skal etter de nye reglene godkjennes av Datatilsynet.
9. Alle får nye krav til avvikshåndtering
Etter dagens regelverk skal virksomheter melde fra til Datatilsynet dersom konfidensielle personopplysninger har kommet på avveier. Kravene til håndtering av sikkerhetsbrudd skjerpes når forordningen trer i kraft.
10. Alle må kunne oppfylle borgernes nye rettigheter
Dagens personopplysningsregelverk inneholder mange rettigheter for de registrerte. Rett til innsyn og rett til retting av uriktige eller mangelfulle personopplysninger er eksempler. Disse rettighetene videreføres i forordningen, men den inneholder også flere nye rettigheter. Alle virksomheter må sette seg inn i disse nye rettighetene og legge til rette for å oppfylle dem, samt rutiner for å vurdere krav fra de registrerte og å etterkomme dem. Fristen for å svare den registrerte er én måned.
De nevnte punktene betyr at SmartDok og andre virksomheter må:
1. Ha oversikt over hvilke personopplysninger dere behandler
Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som gjelder også etter dagens lov.
2. Sørge for å oppfylle dagens lovkrav
Overgangen til de nye reglene blir lettere om dere etterlever kravene i personopplysningsloven, som gjelder i Norge i dag. Har dere gode rutiner for internkontroll som fungerer etter hensikten og er kjent i organisasjonen, er det lettere å få oversikt over hva dere må endre.
3. Sette seg inn i det nye regelverket
Les forordningsteksten. Følg også med på Datatilsynets nettsider. Der fyller vi også på med artikler om de nye reglene etter hvert som vi utarbeider dem.
4. Lage rutiner for å følge de nye reglene
Gå gjennom rutinene dere har for behandling av personopplysninger. Oppdater dem etter nytt regelverk der det trengs. Dokumenter de nye rutinene og legg en plan for nødvendige endringer. Er systemene deres laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Klarer dere å fange opp og besvare henvendelser fra borgerne innen én måned?
Kilde: Datatilsynet