GDPR kommer – er du klar?

Enorme mengder informasjon blir lagret om oss når vi bruker internett. Hele 6 av 10 nordmenn har ikke oversikt over hvilke opplysninger som er lagret om seg, i følge en fersk undersøkelse fra Evry.

Men hva brukes alle disse opplysningene til? Det er bakgrunnen til GDPR, den nye datapersonvernloven.

GDPR står for «General Data Protection Regulation». Helt kort betyr det at alle som lagrer informasjon, får strengere regler å forholde seg til. Man risikerer også kjempebøter om man ikke følger reglene.

Den registrertes rettigheter

  • Innsynsrett

Loven gir privatpersoner rett til å kreve tilgang til personopplysninger om seg og rett til å vite hvordan opplysningene brukes i selskapet etter at den er samlet inn. Man plikter å levere ut en kopi av personopplysningene uten kostnad og i et elektronisk format dersom kunden ber om det. Dataene må være lesbare for den som ber om innsyn, man kan altså ikke levere fra seg rådata.

  • Rett til å bli slettet og glemt

Dersom en ikke er kunde, trekker samtykket eller ikke tilknyttet selskapet lengre, har du rett til å få informasjon og opplysninger knyttet til deg som person slettet.

  • Rett til å bli informert

All innsamling av personopplysninger skal informeres om før de samles inn. Privatpersoner må derfor godkjenne at de samles inn, et samtykke som skal gis aktivt og ikke være underforstått.

  • Rett til å korrigere informasjon

Dette skal være med på å sikre at den enkelte kan oppdatere informasjonen dersom den er ufullstendig, feilaktig eller utdatert.

  • Rett til begrenset behandling

Privatpersoner har rett til å be om at opplysningene ikke brukes i databehandling. Opplysningene kan derfor fortsatt lagres men ikke brukes.

  • Rett til å protestere mot behandling

Dette inkluderer direkte markedsføring. Det er ingen unntak for denne regelen, og all behandling må stanses straks denne forespørselen er mottatt. Denne rettigheten må alltid kommuniseres klart i begynnelsen av enhver kommunikasjon.

  • Rett til å bli informert/varslet dersom det har vært datainnbrudd som kan få konsekvenser for den registrertes opplysninger

Privatpersoner har rett til å bli informert om dette innen 72 timer etter at innbruddet ble oppdaget. Det er strenge reaksjoner ved mislighold av denne plikten for selskaper/organisasjoner i en slik situasjon.

Denne listen er ikke fullstendig, i GDPR eksisterer det en rekke flere rettigheter for privatpersoner, med tilsvarende plikter for organisasjoner og virksomheter.

Hva skjer med markedsføringen?

Mange tror GDPR bare handler om IT, noe som er ganske langt fra tilfellet. GDPR får også konsekvenser for salgs- og markedsføringsaktiviteter. Personopplysninger er all informasjon som kan relateres til en person. Det være seg innlegg i sosiale medier, e-postadresse, bilder eller lignende. Med «behandling av persondata» menes enhver operasjon som gjøres med persondata, automatisert eller ei.

Persondata er verdifulle opplysninger i dagens samfunn. Vis dine kunder at dere tar enkeltpersoners personvern på alvor, og lag dere gode rutiner for håndtering og behandling av kundedata allerede nå, selv om den foreløpige datoen for at GDPR skal tre i kraft er 1. juli.

Husk at ansatteopplysninger også er personopplysninger som kommer under samme lovverk.

Hva kan bedriften din gjøre for å forberede seg?

  1. Kartlegg opplysninger som allerede finnes

Finn ut hvor dere har lagret personopplysninger, hvem har tilgang til de og om de kan være utsatt for deling etc.

  1. Hva trenger dere å beholde?

Rydd i opplysningene! Hvis dere har samlet inn masse opplysninger uten noe bestemt formål tidligere, er dette noe dere ikke lengre kan gjøre med GDPR. Hvis du er i tvil om at du har et gyldig behandlingsgrunnlag, er sjansen stor for at du ikke har det!

  1. Sikkerhetstiltak

Sørg for å ha gode rutiner og tiltak for å forhindre datainnbrudd. Dersom andre behandler personopplysninger for deg, sørg for å ha tegnet en god databehandleravtale. Mal finnes for/FRA? Datatilsynet

  1. Se gjennom dokumentasjon

Gå gjennom alle personvernerklæringer, og juster de der det er nødvendig. Forhåndsavhukede bokser er ikke gyldig samtykke, siden GDPR krever at enkeltpersoner gir samtykke aktivt.

  1. Opplæring

Sørg for at alle ansatte forstår hva personopplysninger er og om det behandler slike at de har satt seg inn i det nye regelverket.