GDPR: Nye personvernregler innføres i mai 2018

GDPR trer i kraft i Norge i mai 2018. EUs nye personopplysningsregler har betydning for alle norske bedrifter som behandler personopplysninger, og nær alle norske bedrifter gjør jo det.

På det overordnede plan viderefører GDPR mange av reglene i dagens personopplysningslov med den endring av kravet til dokumentasjon av at personvernmessige vurderinger er gjort, og at vurderingen er gjort riktig, økes. På enkelte områder vil et sluttprodukt eller en tjeneste som isolert sett er i tråd med reglene, likevel kunne bøtelegges dersom bedriften ikke kan dokumentere at de riktige vurderinger er gjort underveis i prosessen. Dokumentasjonen har altså egenverdi og må foreligge selv om «alt annet» er i tråd med det nye regelverket. Tydeligst ser vi dette i prinsippet om «innebygget personvern», som er et krav til at personvern skal ha vært vurdert hele veien i utvikling av nye tjenester, app’er eller forretningsmetoder. Dette er like mye en jobb for ledelsen som for «it-avdelingen» i bedriften. 

 

Bedrifter må konsekvensutrede informasjonsbruk selv

Ser vi nærmere på de materielle reglene, så forsvinner dagens melde- og konsesjonsplikt. Dette vil lette administrativt arbeid hos norske bedrifter. Isteden skal bedriftene selv foreta vurdering av personvernkonsekvenser (Privacy impact assessment (PIA)) før nye tjenester, app’er, forretningsmetoder eller andre handlinger som bruker personopplysninger utvikles. Bedriftene får plikt til å kontakte Datatilsynet dersom risikoen blir vurdert som høy. I tillegg innføres en frist på 72 timer til å melde databrudd til Datatilsynet. Dette må bedrifter lage en skriftlig rutine for. 

 

Regler for samtykke strammes inn

Reglene for samtykke til å behandler personopplysninger, herunder samtykke til personprofiling til bruk i direkte digital markedsføring, strammes inn. Det blir slutt på å kunne «gjemme bort» samtykker i en lang og vanskelig vilkårstekst. Samtykke er sentralt for alle som driver digital markedsføring eller som ønsker å systematisere, forbedre eller bruke opplysninger om kundene sine til å skreddersy kundekommunikasjon. Vi tror mange norske bedrifter nå må skrive om sine vilkår for salg og tjenester gjennom internett, app’er og eksempelvis for lojalitets- og fordelsprogrammer.   

Dessuten skal all behandling av personopplysninger (inkludert i app’er og internettjenester) heretter være «fabrikkinnstilt» på et minimumsnivå (privacy by default). De bedrifter som ønsker å behandle personopplysninger ut over minimumsnivået, for eksempel for å kunne levere en bedre eller mer personalisert tjeneste, bør kommunisere dette klart til kundene slik at kundene ønsker å gi samtykke eller selv ønsker å justere «fabrikkinnstillingene».    

 

Dataportabilitet

Av andre nyvinninger kan nevnes regelen om Dataportabilitet, som krever at personopplysninger lagres i et vanlig og lett eksporterbart format, slik at kunden enkelt kan bytte leverandør. 

Reaksjonsnivået ved brudd på reglene heves dramatisk og Datatilsynet vil i ytterste konsekvens kunne ilegge overtredelsesgebyr med 4 % av bedriftens årlige omsetning. Det vil således være god business for norske bedrifter å sette av større ressurser til å overholde personopplysningsregelverket.  Dessuten tror vi det vil være et konkurransefortrinn i markedet å dokumentere utad at bedriften har fokus på riktig behandling av personopplysninger.

Ønsker du mer informasjon eller råd?

Vi i Advokatfirmaet Ræder har kompetanse og erfaring med alle sider av personopplysningsregelverket, både dagens og fremtidens. Ta kontakt.