Nye personvernregler i 2018 – hva trenger du å vite?

EUs forordning for personvern (GDPR) trer i kraft fra 25. mai 2018. Forordningen vil bli gjennomført ved lov og pålegger virksomheter som lagrer og behandler personopplysninger en rekke plikter. Det er all grunn til å ta pliktene på alvor.

En byrde eller en gode?

Det er skrevet mye om de nye reglene og mange ser på dette som en byrde som myndighetene pålegger virksomheten. Men snur vi litt på det hele, og ser det fra ditt og mitt ståsted som privatpersoner, er reglene etterlengtede og nødvendige. Det handler om at du og jeg har rett til å få være i fred, hvis vi vil.

Retten til privatliv er ansett som en grunnleggende menneskerettighet. Personopplysningslovgivningen skal bidra til å sikre hensynet til personlig integritet og privatlivets fred.

Dagens teknologi gir gode muligheter til å overvåke enkeltpersoner og spre informasjon. Et sikkerhetsbrudd der personopplysninger kommer på avveie kan gjøre stor skade. Nettopp derfor skal du kunne bestemme selv hvilke personopplysninger som er lagret om deg.

Reglene skal gi enkeltindividet bedre kontroll med hvordan personopplysninger om han/henne brukes. Datatilsynet vil føre tilsyn med at virksomhetene overholder reglene om lagring og behandling av personopplysninger.

Med personopplysning menes «enhver opplysning om en identifisert eller identifiserbar fysisk person».

En virksomhet som samler inn og behandler personopplysninger kan sitte på konkrete opplysninger som navn, fødsels- og personnummer, privatadresse og epostadresse men også personenes oppfatninger og preferanser, uttalelser, atferdsmønster med mer.

Behandlingsgrunnlag

Personvernforordningen stiller krav til at all lagring og behandling av personopplysninger må ha et rettslig grunnlag. Slikt grunnlag kan for eksempel følge av lov eller av avtale/samtykke. Et samtykke til oppbevaring av personopplysninger må være frivillig og informert. Dette betyr at enkeltindividet klart skal forstå hva det samtykker til lagring og behandling av. Dette betyr at virksomheten i forkant må gi tilstrekkelig og relevant informasjon om bruken av personopplysningene. Samtykket må være selvstendig for det enkelte tilfelle og må løftes ut av standardvilkår. For at behandlingen av personopplysninger skal være i samsvar med forordningen kreves det at samtykket må kunne dokumenteres og at det enkelt må kunne endres eller trekkes tilbake.

Rett til tilgang

Den personopplysningene gjelder har rett til å kreve tilgang til sine personopplysninger for å kunne vite hvordan informasjonen brukes etter at den er samlet inn. Dette innebærer en plikt for virksomheten til å levere ut kopi av alt som er lagret av personopplysninger uten kostnad og i elektronisk format, dersom en person ber om dette. 

Retten til å bli glemt

Den enkelte har også rett til å kreve å få informasjonen som er lagret om en slettet, for eksempel når vedkommende ikke lenger er kunde eller ikke lenger ønsker å motta informasjon og markedsføring. Uavhengig av om opplysningene kreves slettet, plikter virksomheten å ha et bevisst forhold til sletting. Alle personopplysninger har en utløpsdato og virksomheten pålegges å ha en aktiv slettepolitikk. I sletteanalysen må virksomheten ta stilling til hvilke hensyn som taler for fortsatt lagring sett opp mot hvilke personvernmessige grunner som taler for at opplysninger bør slettes. 

Rett til å korrigere informasjon

Enkeltpersoner skal kunne oppdatere informasjonen hvis den er utdatert, ufullstendig eller feilaktig. 

Rett til å nekte behandling

Den enkelte kan kreve at behandling av personopplysninger til bruk i direkte markedsføring stanses.  Dette innebærer at all behandling må stoppesså fort denne forespørselen er mottatt. Rettigheten må kommuniseres tydelig til enkeltpersoner i starten på enhver kommunikasjon. 

Informasjonssikkerhet

Personvernforordningen pålegger en virksomhet som behandler personopplysninger å etablere internkontroll. Dette innebærer en plikt til å etablere rutiner og tiltak og organisere virksomheten slik at regelverket oppfylles. Personopplysningene skal behandles konfidensielt og virksomheten må sikre at informasjon bare er tilgjengelig for de som skal ha tilgang. Personopplysningene som lagres og behandles skal være gyldige og fullstendige.

Internkontrolldokumentasjon er den dokumentasjon Datatilsynet etterspør ved kontroll. Virksomheten pålegges å foreta en risikoanalyse, men må ha et bevisst forhold til hva som kan gå galt dersom personopplysningene kommer på avveie. Det må også lages en rutine for avvikshåndtering. Det er viktig at virksomheten har et bevisst forhold til hva formålet med lagringen og behandlingen av personopplysningene er.

Personvernombud? 

Offentlige virksomheter og virksomheter som behandler personopplysninger i stort omfang pålegges å utnevne et personvernombud. Ombudet skal påse at personopplysningene behandles i samsvar med regelverket.

Varsel om avvik til Datatilsynet

Alle avvik som skyldes brudd på datasikkerhet skal meldes Datatilsynet innen 72 timer. En avviksmelding skal minimum inneholde en beskrivelse av avviket, anslag på hvor mange personer og oppføringer av personopplysninger som er berørt av sikkerhetsbruddet og kontaktinformasjon til personvernombud eller annen kontaktperson i virksomheten. Meldingen skal inneholde en beskrivelse av hvilke konsekvenser bruddet trolig vil ha og beskrivelse av iverksatte tiltak for å begrense skade. Alle som berøres av sikkerhetsbruddet skal varsles. 

Konsekvensene av brudd

Dersom det skjer et brudd på datasikkerheten eller det avdekkes at personvernforordningens regler ikke blir overholdt vil ikke dette bare ha konsekvenser for den berørte, virksomheten vil påføres et stort omdømmetap. I tillegg til omdømmetapet kan det vanke bøter.

For bedrifter som ikke følger reglene kan Datatilsynet ilegge bøter på opp mot fire prosent av brutto omsetning begrenset opp til 20 millioner euro. Størrelsen av bøtene vil bero på sikkerhetsbruddets alvor. Ved mindre brudd vil Datatilsynet gi veiledning, pålegg om utbedring og advarsel.

Det er derfor all grunn til å ta de nye reglene på alvor.