<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=847228605309050&amp;ev=PageView&amp;noscript=1">

Hva betyr EUs nye personvernregler for ditt foretak?

Personopplysninger-Bisnode-nye-regler-gdpr

Lovendringer i 2018: EUs nye personvernforordning legger rettighetene hos enkeltpersonene, og ansvaret hos virksomhetene. Advokat Therese Fevang i Bisnode er likevel ikke bekymret over de kommende lovendringene.

nyy-Therese-Fevang-Bisnode-Personvern-gdpr

Nye krav til personvern og personinformasjon

I 2016 publiserte EU sin nye personvernforordning, GDPR (General Data Protection Regulation), og i mai neste år trår det nye regelverket i kraft. I forbindelse med lovendringene har vi den siste tiden kunnet lese mye om de nye kravene som stilles til personvern – og bruk og oppbevaring av personinformasjon.

Ut av proporsjon

Advokat Therese Fevang i Bisnode mener de kommende endringene blir blåst ut av proporsjoner.

– Denne forordningen bringer ikke med seg så mye nytt. Er du i overenstemmelse med regelverket som foreligger i dag, har du allerede kommet ganske langt, forklarer hun.

Strengere krav til informasjonssikkerhet

De nye reglene vil innebære at alle norske virksomheter får nye plikter. Det stilles blant annet høyere krav til en forståelig personvernerklæring, vurdering av risiko og personvernkonsekvenser, samt in-terne rutiner om sikker lagring og bruk av personopplysninger.

Les også: Personvern: 8 av 10 ledere er uvitende om ny lov

Personvern-nyhe-regler

Store forandringer for andre land

– I praksis betyr ikke dette store endringer for norske selskaper. Norge har hatt et strengt regime, med høye krav til internkontroll, helt siden regelverket for personvern ble endret i 2001, sier Fevang. Hun påpeker likevel at forordningen vil innebære store forandringer for virksomheter i en del andre europeiske land.

Enkeltpersoner får rett til fullstendig innsyn

Noen nøkkelpunkter du må forholde deg til i henhold til GDPR:

  1. Uavhengig av type informasjon må du ha samtykke fra personen du registrerer opplysninger om.
  2. Hver enkelt person har krav på å korrigere feilaktig informasjon.
  3. Personen har rett til å få innsyn i all informasjon som er registrert på hun/han, og det er ditt ansvar å forsikre deg om at du leverer informasjonen til rett person ved en forespørsel.
  4. Dataportabilitet blir et krav. En registrert person har rett til å kreve at den innhentede informasjonen overleveres til en annen part, inkludert konkurrenter.
  5. Selskaper som opplever et sikkerhetsbrudd, for eksempel ved at servere blir hacket og data blir stjålet, må opplyse offentligheten om dette i løpet av 72 timer.

Brudd på noen av disse bestemmelsene vil medføre betydelige sanksjoner.

GDPR infografikk

personopplysningerSkyhøye bøter for overtramp

En betydelig endring er bøtene foretak kan ilegges ved eventuelle overtramp. I dag kan Datatilsynet sanksjonere brudd på personvernregelverket med opptil 900.000 i dagsbøter. Den nye forordningen åpner for langt høyere bøter dersom reglene ikke følges.

Press på store, internasjonale selskaper

Når GDPR trer i kraft kan en bedrift bøtelegges med så mye som 4 prosent av årlig global omsetning, med en øvre grense på 20 millioner Euro. Dermed legges det et betydelig press på større, internasjonale selskaper som sitter med persondata på et stort antall privatpersoner.

– Da den forrige store endringen på personvernsiden kom i 2001 kostet det ikke på langt nær like mye å gjøre noe feil, kommenterer Fevang.

GDPR-regler-personvern

Lovendringene gjelder ikke informasjon om foretak

Fevang påpeker at de nye lovendringene kun omfatter personinformasjon – de legger med andre ord ingen nye begrensninger på data og informasjon om foretak.
– Foretaksinformasjon kan brukes mer eller mindre fritt, og det er dette som er Bisnodes styrke. Vi sitter på mye data av høy kvalitet, og det er nettopp datakvalitet som skiller leverandørene, under-streker hun.

Hva med enkeltpersoner i foretak?

Til tross for at EUs nye forordning ikke vil påvirke hvordan du oppbevarer og behandler data om foretak, vil det bli det strengere krav til informasjon om enkeltpersoner i disse foretakene.
– Dersom du ønsker å vite mer om en enkeltperson i et foretak, for eksempel om vedkommende liker å spille golf eller om han sykler til jobben, er vi tilbake på personinformasjon. Denne informasjonen vil med andre ord omfattes av lovendringen, forklarer Fevang.

Hva bør din bedrift gjøre nå?

Til tross for omveltningene vi må vente oss som følge av GDPR, tyder mye på at dagens norske regelverk gjør at foretak her til lands stiller bedre rustet enn mange andre europeiske land. Noe av det viktigste ditt selskap kan gjøre allerede i dag, er derfor å følge dagens regelverk til punkt og prikke.

lover-og-regler

Andre tiltak du kan gjøre for å forberede deg på det nye regelverket

  1. Sett deg inn i det nye regelverket, og finn ut hvordan det vil påvirke din bedrifts nåværende rutiner for personvern.
  2. Få en fullstendig oversikt over hvilke personopplysninger dere behandler, hvor de kommer fra og det rettslige grunnlaget for behandlingen.
  3. Begynn jobben med å innføre gode rutiner som følger de nye reglene. Gå gjennom rutinene dere har i dag, og oppdater og juster dem etter det nye regelverket. Vær påpasselig med å ha tilstrekkelig med dokumentasjon på disse rutinene.

For mange private selskaper vil det være et behov for å leie inn, eller opprette en ny stilling for, et personvernsombud – en personvernekspert som fungerer som et bindeledd mellom ledelsen, registrerte personer og Datatilsynet.

data-beskyttelse

Viktig: Ta kontroll over egne data

I all enkelhet er det viktigste ditt foretak kan gjøre å få kontroll over egne data.

Selskaper som Bisnode har dedikerte eksperter og tjenester til nettopp dette formålet. Dersom du er usikker på hva som må til for at ditt foretak skal møte de nye kravene, er Bisnode en trygg og pålitelig støttespiller, som kan guide deg frem mot mai neste år – når GDPR trer i kraft.

LAST NED INFOGRAFIKK:

På ett minutt: Dette er hva de nye GDPR-reglene betyr for deg

 

Hva er GDPR?

General Data Protection Regulation (GDPR) er den nye personvernfordringen for EU og EØS-land. GDPR erstatter EU Data Protection Directive fra 1995 og trår i kraft 25. mai 2018.

Hvorfor GDPR?

Det eksisterende lovverket fra 1995 (Data Protection Directive) er utdatert på flere områder og dekker ikke godt nok hvordan data blir samlet inn, oppbevart og prosessert i vår digitale tidsalder. GDPR er utformet for å tette disse gapene og for å styrke enkeltpersoners personvern og kontroll over brukerdata. GDPR er videre et regulativ og ikke et direktiv som forgjengeren, noe som innebærer at EU nå får én felles lov, og at det ikke lenger vil være tilleggslover og særegne ordninger i enkeltland som har vært tilfellet tidligere.

 

Motta våre nyeste blogginnlegg!