GDPR: Nye personvernregler innføres i mai 2018

LinkedIn icon
articleCreated with Sketch.6. juli 2017

Bruker du kundeopplysninger? Driver du digital markedsføring? Har bedriften din app eller fordelsprogram? Utvikler du nye systemer eller forretningsmetoder? Da vil GDPR innføre nye regler som påvirker hvordan din bedrift bør jobbe.

databrikke.png

GDPR trer i kraft i Norge i mai 2018. EUs nye personopplysningsregler har betydning for alle norske bedrifter som behandler personopplysninger, og nær alle norske bedrifter gjør jo det.

På det overordnede plan viderefører GDPR mange av reglene i dagens personopplysningslov med den endring av kravet til dokumentasjon av at personvernmessige vurderinger er gjort, og at vurderingen er gjort riktig, økes. På enkelte områder vil et sluttprodukt eller en tjeneste som isolert sett er i tråd med reglene, likevel kunne bøtelegges dersom bedriften ikke kan dokumentere at de riktige vurderinger er gjort underveis i prosessen. Dokumentasjonen har altså egenverdi og må foreligge selv om «alt annet» er i tråd med det nye regelverket. Tydeligst ser vi dette i prinsippet om «innebygget personvern», som er et krav til at personvern skal ha vært vurdert hele veien i utvikling av nye tjenester, app’er eller forretningsmetoder. Dette er like mye en jobb for ledelsen som for «it-avdelingen» i bedriften. 

 

Bedrifter må konsekvensutrede informasjonsbruk selv

Ser vi nærmere på de materielle reglene, så forsvinner dagens melde- og konsesjonsplikt. Dette vil lette administrativt arbeid hos norske bedrifter. Isteden skal bedriftene selv foreta vurdering av personvernkonsekvenser (Privacy impact assessment (PIA)) før nye tjenester, app’er, forretningsmetoder eller andre handlinger som bruker personopplysninger utvikles. Bedriftene får plikt til å kontakte Datatilsynet dersom risikoen blir vurdert som høy. I tillegg innføres en frist på 72 timer til å melde databrudd til Datatilsynet. Dette må bedrifter lage en skriftlig rutine for. 

 

Regler for samtykke strammes inn

Reglene for samtykke til å behandler personopplysninger, herunder samtykke til personprofiling til bruk i direkte digital markedsføring, strammes inn. Det blir slutt på å kunne «gjemme bort» samtykker i en lang og vanskelig vilkårstekst. Samtykke er sentralt for alle som driver digital markedsføring eller som ønsker å systematisere, forbedre eller bruke opplysninger om kundene sine til å skreddersy kundekommunikasjon. Vi tror mange norske bedrifter nå må skrive om sine vilkår for salg og tjenester gjennom internett, app’er og eksempelvis for lojalitets- og fordelsprogrammer.   

Dessuten skal all behandling av personopplysninger (inkludert i app’er og internettjenester) heretter være «fabrikkinnstilt» på et minimumsnivå (privacy by default). De bedrifter som ønsker å behandle personopplysninger ut over minimumsnivået, for eksempel for å kunne levere en bedre eller mer personalisert tjeneste, bør kommunisere dette klart til kundene slik at kundene ønsker å gi samtykke eller selv ønsker å justere «fabrikkinnstillingene».    

 

Dataportabilitet

Av andre nyvinninger kan nevnes regelen om Dataportabilitet, som krever at personopplysninger lagres i et vanlig og lett eksporterbart format, slik at kunden enkelt kan bytte leverandør. 

Reaksjonsnivået ved brudd på reglene heves dramatisk og Datatilsynet vil i ytterste konsekvens kunne ilegge overtredelsesgebyr med 4 % av bedriftens årlige omsetning. Det vil således være god business for norske bedrifter å sette av større ressurser til å overholde personopplysningsregelverket.  Dessuten tror vi det vil være et konkurransefortrinn i markedet å dokumentere utad at bedriften har fokus på riktig behandling av personopplysninger.

 

Les mer om konsekvensene av GDPR for virksomheter som driver med markedsføring og informasjonsinnhenting i et intervju med Vebjørn Søndersrød. (4.4.2018)

 

Ønsker du mer informasjon eller råd? Vi i Advokatfirmaet Ræder har kompetanse og erfaring med alle sider av personopplysningsregelverket, både dagens og fremtidens. Ta kontakt.

Kontaktpersoner

Relaterte fagområder

Ønsker du våre oppdateringer?

Ja, takk!

Vi i Ræder brenner for faget vårt, og er levende opptatt av å dele kunnskap. Derfor vil vi oppdatere deg jevnlig med å sende siste faglige nytt samt invitasjoner til gratis seminarer. Fyll ut din kontaktinfo nedenfor og få tilsendt vårt nyhetsbrev.