Hva er egentlig GDPR?

 

GDPR er en EU-regulering som trer i kraft i 2018.

Hensikten er å skape et fungerende felles regelverk for personvern i Europa, og styrke den europeiske borgers rettigheter. Tilpasning til den teknologiske utviklingen er også viktig.

Hva må bedriften vår ha på plass før GDPR trer i kraft?

  • Dere skal ha orden i og oversikt over de personopplysningene som dere har og som dere behandler. Dette gjelder opplysninger om ansatte og alle typer forretningsforbindelser.

  • Dere skal ha hjemmel/rettslig grunnlag for lagring og behandling av dataene. For vanlige norske private bedrifter vil dette være et samtykke, et kontraktsmessig forhold eller et ansettelsesforhold.

  • Personopplysningene må ikke brukes eller behandles i andre sammenhenger enn de som dere allerede har hjemmel for, eller som dere har aksept for fra de registrerte.

  • Opplysningsplikten må overholdes, og de registrerte skal ha mulighet for fullt innsyn i egne personopplysninger.

  • Dere skal være klar for å oppfylle de registrertes rettigheter når de ber om det. Dette kan f.eks være retting, begrensning i bruk, flytting og sletting av personopplysninger.

  • Bedriften skal oppbevare og behandle personopplysninger på en sikker og forsvarlig måte. Dette skal være beskrevet og kontraktsmessig avklart med eksterne databehandlere (NB - nye regler medfører at de aller fleste databehandler-avtaler må skrives noe om).

  • Driver dere med systemutvikling, må dere sørge for at produktene lever opp til nye krav til innebygd personvern. Alle kundere deres vil kreve dette.

  • GDPR vil også gjelde i B2B sammenheng, men å sende mail til post@bedriften.no omfattes ikke av det nye regelverket.

  • Ledelsen er ansvarlig for å utarbeide en personvern-erklæring/policy og å få dokumentert og satt i system alle rutiner rundt personvernet. Ledelsen er også ansvarlig for at alle ansatte i bedriften får nødvendig opplæring.

  • For ordens skyld: prinsippene for GDPR gjelder også i privatlivet, men ikke innenfor familien. Så vær forsiktig på Facebook ;-)

Men.. mye av dette høres kjent ut - har det ikke alltid vært slik?

Jo, faktisk er det mindre nytt i GDPR enn hva man skulle tro. I allefall i forhold til personvernlovgivningen slik den er her hos oss i Norge.

Men, EU har nå ambisjon om at det skal virke. Og for at det skal virke må det implementeres likt i hele unionen, og det må legges makt bak kravene til et godt personvern. Tilsynsmyndighetene i de enkelte land (i Norge: Datatilsynet) har derfor fått hjemmel til å skrive ut kraftige bøter for aktører som ikke overholder det nye regelverket.

Det har blitt sagt at: «Et mer eller mindre frivillig regelverk blir nå gjort obligatorisk».

© 2018 Consolid AS