Den 25. mai 2018 vert den største lovfesta endringa på 20 år innan datasikkerheit tre i kraft i EU. The General Data Protection Regulation (GDPR) vil erstatta EU sitt Personverndirektiv frå 1995. Kva som vil skje i EØS er ikkje heilt sikkert enno, det kan henda vi får utsett frist til september 2018, men dette er ikkje bestemt enno pr. april 2018. Reglane vil uansett gjelda for behandling av persondata frå våre gjester som er busette i EU-land frå 25. mai.
GDPR byggjer vidare på Personverndirektivet frå 1995, men har fått behov for meir detaljert og presis regulering på grunn av den raske teknologiske utviklinga. Sjå EU sin informasjonsbase for meir informasjon.
EU tek den nye personvernlova svært seriøst og bedrifter som ikkje føl lova risikerer bøter på inntil 4% av global omsetning.
Her er ei lita oversikt over reglane:
Kva er rekna som personopplysningar
Opplysingar knytta til ein fysisk person eller «Data Subject», som kan brukast til å identifisera personen direkte eller indirekte. Dette kan vera alt i frå eit navn, eit bilde, ei e-postadresse, bankdetaljar, innlegg på sosiale medier, medisinsk informasjon eller datamaskina si IP-adresse.
Grunnlaget for å henta inn og lagra personopplysningar
Hovudprinsippa er lovleg, rettferdig og gjennomsiktig:
Lovleg: det må vera eit rettsleg grunnlag for å oppbevara og bruka personopplysningene.
Rettferdig: ein skal opptre med respekt for dei registrerte sine interesser og rimelege forventningar. Behandlinga skal være forståeleg for dei registrerte og ikkje foregå på skjulte eller manipulerande måtar.
Gjennomsiktig: bruken av personopplysningar skal vera oversiktleg og forutsigbar for den opplysningane gjeld.
Personvernprinsippa er hovudsakleg:
Legitimt føremål: bruken av persondata skal avgrensast til spesifikke, uttrykkeleg angitte og legitime føremål, og vera i samsvar med etiske og rettslege samfunnsnormer.
Dataminimering: du har ikkje lov til å samla inn meir opplysningar enn du treng for å gjennomføra målet med innsamlinga av personopplysningane.
Korrekte: behandlingsansvarlig (bedrifta) har ansvar for å straks sletta eller korrigera feil opplysningar.
Lagringsbegrensing: når du ikkje lenger treng opplysningane til det du opprinneleg samla dei inn for, skal dei slettast.
Integritet, konfidensialitet og tilgjengeligheit: Dette betyr at den behandlingsansvarlege (bedrifta) må sørgja for tiltak mot utilsikta og ulovleg øydelegging, tap og endringar av personopplysingar.
Ansvarlegheit: Ein må visa at ein tek den registrerte sine rettigheiter på alvor. Det er ikkje nok å ha ansvar, ein må visa at ein tek ansvaret på alvor.
Sjå Datatilsynet si oversikt over personvernprinsippa her.
Kva gjer vi?
Opplæring av tilsette
Alle i bedrifta må orientera seg i kva lovendringa inneber. Del gjerne linken til meir informasjon på EU sine sider.
Dokumentasjon
Alle persondata som bedrifta di har lagra må dokumenterast. Du må kunna dokumentera både kvar du har fått dei i frå og kven dei vert delte med. Dersom du ikkje kan dokumentere at dei har blitt samla i følge lovverket må dei slettast.
Gjennomgang
Ta ein gjennomgang av korleis du har organisert arbeidet med å henta inn samtykke til bruk av persondata. Dersom du har epostlister der folk har kryssa av «ja takk, send meg nyheitsbrev» er det ingen problem, desse listene kan du framleis bruka. Dette kan ofte lett dokumenterast i epostsystemet. Dersom du derimot har blanda inn epostadresser frå tidlegare kundar og andre, eller ikkje har spurt spesifikt om å få senda nyheitsbrev, må du enten sortera ut dei du har lov til å bruka frå resten, eller så må du sletta heile lista for å vera sikker.
Samtykke
Sjekk også kva som må leggjast inn i samtykkeerklæringa du hentar inn, om du må gjera endringar. Du må no t.d. spesifikt få samtykke til epost og telefon kvar for seg, og det har blitt strengar om du kan bruka persondata t.d. til marknadsføring eller support. Du kan ikkje ha ein generell «ja du får lov til å kontakta meg». Samtykke må vera lett tilgjengeleg, spesifikt, informativt og eintydig. Dette skal kommuniserast tydeleg med eit enkelt språk. Ferdig utfylte avmerkingsboksar er ikkje lov. Kunde må sjølv aktivt ha valt å delta og gje løyve, og dette må vera godt dokumentert og lett å trekkja seg frå igjen.
Rettigheiter
Sjekk at du vernar om individet sin rett til å blant anna endra eller sletta opplysningar.
Barn
Barn sine persondata har spesielt sterkt vern. Behandling av persondata for nettbaserte tenester for barn under 16 år krever samtykke frå foreldre. Medlemslanda kan fritt lovfesta eigne aldersgrenser ned til 13 år. Dette gjeld altså nettbaserte tenester til barn – her må du ha eit system for å henta inn og dokumentere samtykke frå foreldre eller verge før du kan henta inn og bruka personopplysningane.
Brot på personvernet
Du treng gode prosedyrer for å oppdaga, rapportere og undersøkja brot på personvernet. Varslingar om brot på personvernet blir obligatorisk med dei nye GDPR-reglane.