Ny personvernlovgivning – hva nå? 03.08.2018
20. juli 2018 trådte EUs nye personvernregler (GDPR-forordningen) i kraft i Norge. Selv om dette skjedde midt i ferietiden, forbigikk ikke nyheten i stillhet. Datatilsynet melder om stor pågang fra virksomheter som ønsker å komme à jour med de nye reglene. Dette skyldes nok primært at personvern ikke lenger er et tema for de spesielt interesserte, men et tema stadig flere blir opptatt av. I tillegg er det trolig at enkelte bedrifter blir skremt av risikoen for å pådra seg saftige bøter og/eller negativ presseomtale.
Personopplysninger er opplysninger som kan knyttes til identifiserbare personer, typisk navn, adresse, telefon, e-post, fødselsdato og bilde. Regler om vern av slike opplysninger er ikke noe nytt, men temaet har aldri vært så brennhett som nå. Hvor mange e-poster om samtykke eller ny personvernerklæring har du ikke mottatt den siste tiden? Et overordnet mål med de nye reglene er at vanlige folk skal få bedre kontroll over hvilke personopplysninger som samles inn om dem og hva de brukes til.
De fleste virksomheter behandler personopplysninger i en eller annen grad, om ansatte, kunder, leverandører eller andre. Kravene til denne behandlingen er nå skjerpet, så mens enkeltpersoner får flere rettigheter, pålegges virksomhetene flere forpliktelser. Det stilles blant annet strengere krav til at det skal være lett for enkeltpersoner å få informasjon om hvordan virksomhetene bruker personopplysninger om dem.
Det nye regelverket stiller også strengere krav til dokumentasjon. Det kreves for eksempel skriftlige og elektroniske databehandleravtaler. En databehandleravtale er nødvendig hvis virksomheten bruker eksterne tjenesteleverandører (f.eks. leverandør av IT-tjenester eller regnskapsfører) som kan tenkes å behandle personopplysninger på virksomhetens vegne. Det kreves også at det skal utarbeides en protokoll over behandlingsaktiviteter. Den skal inneholde informasjon om hvilke opplysninger som innhentes og om hvem, formålet med behandlingen, hvor opplysningene lagres, hvem de utleveres til, når de slettes osv.
Utsendelse av e-post til enkeltpersoner har vært gjenstand for mye oppmerksomhet og forvirring. Mange selskaper har opparbeidet seg lange kontaktlister de bruker til utsendelse av markedsrelaterte e-poster. Kan selskapene fortsette å bruke disse listene eller må de slettes? Det er lov å sende e-post til eksisterende kunder, selv uten samtykke så lenge utsendelsen gjelder tilsvarende produkter som de kundeforholdet er basert på. Dette følger av markedsføringsloven og ikke av personopplysningsloven. Hvis virksomheten og mottakeren ikke har et kundeforhold, kreves det imidlertid at enkeltpersonen har samtykket til å motta slik e-post.
Bedriftene må altså få kontroll på og oversikt over alle personopplysninger de samler inn og behandler. For mange vil det innebære en real ryddesjau, og kanskje byr arbeidet på enkelte overraskelser. Vår erfaring er at det sjelden er behov for omfattende omlegging av den praksisen som har blitt fulgt, men at mange bedrifter ikke tidligere har tenkt over om praksisen egentlig er god og lovlig.
De bedriftene som fremdeles skyver på arbeidet, bør snarest sette i gang. De må først skaffe seg en oversikt over behandlingen av personopplysninger i virksomheten, deretter må de vurdere sikkerhet og risiko, og endelig må de lage rutiner for å følge de nye reglene. Mye av arbeidet må gjøres av virksomheten selv, men vi hjelper gjerne med råd og veiledning i prosessen.