GDPR - nytt regelverk for personvern, enkelt forklart


GDPR-checklist.pngGDPR står for General Data Protection Regulation, og innebærer nye regler innen personopplysningsloven.
Loven trådte i kraft 20. juli 2018 og berører alle bedrifter og offentlige virksomheter i EUs medlemsland, Norge og andre EØS-land.

Innen den tid må alle som behandler kundeopplysninger ha implementert en rekke nye retningslinjer innen markedsføring og oppbevaring av personopplysninger, både i sine systemer og som en del av kundebehandlingen. Konsekvensen av å ikke følge denne nye loven, kan medføre en bot på opptil 4 % av årlig omsetning eller maksimalt 20 millioner euro og berører alle bedrifter og offentlige virksomheter i EUs medlemsland, Norge og andre EØS-land.

Hva innebærer GDPR?

Før man kan lagre eller behandle noen form for personopplysninger, kreves det et aktivt samtykke fra kunden. Samtykket må være som følge av god informasjon på hvilke opplysninger kunden gir fra seg og en detaljert beskrivelse av hva opplysningene skal brukes til. Alle personopplysninger en bedrift samler inn, samt hva den brukes til, skal være dokumentert, sammen med et samtykke gitt av kunden. Informasjon om hva de innsamlede opplysningene skal brukes til må komme klart fram i teksten og ikke være underforstått.

“Målet med GDPR er å styrke borgernes frihet og rettigheter.”

En hver bedrift som oppbevarer personopplysninger, må sørge for at kunden til en hver tid skal ha tilgang til alle sine opplysninger. Disse opplysningene har kunden rett til å få utlevert, dersom det bes om dette, uten kostnad og i elektronisk format. Målet med GDPR er å styrke borgernes frihet og rettigheter. Som kunde vil man derfor ha rett til å få alle personopplysninger slettet dersom man ikke lenger er kunde hos bedriften. En har også rett til å få opplysningene slettet dersom man trekker tilbake samtykket en tidligere har gitt bedriften om at personopplysningene sine kan lagres og brukes.

Nye rettigheter for alle:

  • Retten til å få behandlingen begrenset.
  • Retten til dataportabilitet.
  • Retten til å motsette seg behandling.
  • Retten til å motsette seg profilering og automatiserte avgjørelser.
  • Alt må dokumenteres

Vi vil sannsynligvis se noen nye stillingsbeskrivelser innad i både bedrifter og offentlige virksomheter. Alle som oppbevarer personopplysninger må ha en behandlingsansvarlig og en databehandler. Behandlingsansvarlig er den som bestemmer objektet og formålet med bruken av personopplysningene, som for eksempel en markedsfører. Databehandler er tjenesteleverandøren.

Ettersom at alle bedrifter må dokumentere at de overholder GDPR, vil det si at bedriftene må utarbeide hensiktsmessige retningslinjer for å kunne dokumentere sine prosesser. Det kreves at alle personopplysnings-prosesser skjer i systemer og tjenester som overholder GDPR. Fordi det ikke kan forventes at alle behandlingsansvarlig har teknisk innsikt og forståelse, vil det være nødvendig med en databehandler-avtale mellom behandlingsansvarlig og databehandler. Denne avtalen skal blant annet ta for seg ansvarsområdene til hver enkelt.

En databehandler-avtale bør som et minimum inneholde:

  • Formålet med personopplysningene.
  • Beskrivelse av hvordan opplysningene skal behandles.
  • Valg av underleverandør (den som leverer tjenestene til databehandleren) må reguleres.
  • Beskrive hvordan en sikrer å ivareta kundens rettigheter.
  • Databehandleren må forsikre om informasjonssikkerheten.
  • Avtalens varighet.

GDPR + Globalisering = Sant

Regelverket gjelder for et større område enn bare EU. Det vil si at alle som tilbyr en vare eller tjeneste til EU-borgere vil være omfattet av det nye regelverket. Behandlingsansvarlig som er etablert i tredjeland, men som overvåker adferden til noen innenfor EU, vil også være omfattet av GDPR. Et eksempel på dette er amerikanske selskaper som profilerer noen innenfor EU på bakgrunn av adferden deres på nett. Hvilke konsekvenser dette vil ha for markedsføring via kanaler som Facebook og Google, er foreløpig uklart. Men så lenge bedriften følger retningslinjene i egne systemer og ivaretar personopplysninger, vil man ikke bli straffet dersom man benytter seg av standardløsninger som blir leveres av Facebook eller Google – til tross for at det medfører brudd på GDPR.

Se vår GDPR-sjekkliste for hva din bedrift bør ha kontroll på.

Ja, jeg vil vite mer om GDPR, send meg til kontakt-skjema



 

Ina Svarstad blog-avatar

Ina Svarstad

Ina jobber som digital markedsfører hos Dikom og 6 års erfaring innen grafisk design og markedsføring. Bachelorgrad i visuell kommunikasjon fra Kunsthøyskolen i Oslo. Inbound Certification | GDPR i praksis | Markedsføring med epost etter GDPR | Avansert markedsføring på Facebook