Den nye EU-forordningen om vern av personopplysninger er på trappene

Det er på tide å forberede seg til innføringen av GDPR (General Data Protection Regulation) nå. Her er ti punkter som vil hjelpe deg i gang.
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?

I april 2016 vedtok EU en generell forordning om vern av personopplysninger. Det nye regelverket trer i kraft i mai 2018, og vil stille strengere krav til selskaper som behandler personopplysninger.

Ettersom det bare er litt over et år igjen til ikrafttredelsen, har vi samlet ti punkter som vil hjelpe deg med å komme i gang allerede i dag.


1. Vis at du følger regelverket
De nye reglene krever at alle virksomheter skal kunne dokumentere at de håndterer personopplysninger på en forsvarlig måte.

I praksis betyr dette at du må ha oversikt over hva slags data som behandles i din virksomhet, og at de interne prosedyrene samsvarer med regelverket.

2. Sørg for at du har samtykke
Dersom håndteringen av personopplysninger er basert på samtykke, må du kunne dokumentere at slikt samtykke er gitt. Typisk vil et slikt samtykke gis ved at personen huker av i en boks i avtalevilkårene.

Kravene til samtykke blir strengere med forordningen:

  • Samtykke må gis tydelig i en skriftlig, elektronisk eller muntlig erklæring.
  • Det må blant annet fremgå av samtykket at personen frivillig, bevisst og ut fra egen vilje har akseptert bruk av deres personopplysninger.

Behandling av personopplysninger i forbindelse med inkassovirksomhet er et eksempel på håndtering som ikke er basert på samtykke.

3. Håndhevelse av retten til å bli glemt
Et nytt tema som vil bli introdusert med de nye reglene, er den registrertes rett til å bli glemt. I praksis betyr det rett til å få sine opplysninger fjernet fra databasene.

Denne typen situasjon kan oppstå når personen trekker samtykket til å bruke deres personopplysninger. Dersom bruken av personopplysninger har et annet rettslig grunnlag, er det imidlertid ingen plikt til å fjerne opplysningene.

Hvis virksomheten er forpliktet til å fjerne opplysninger, må du informere alle som har mottatt eller publisert opplysningene. Dette skal sikre at alle koblinger, duplikater og kopier som er knyttet til opplysningene, også fjernes.

4. Håndhevelse av retten til å flytte opplysninger
Nå har alle rett til å kreve sine egne opplysninger i et maskinlesbart format og overføre dem til et annet register, typisk til en annen tjenesteleverandør. Det innebærer imidlertid ikke et krav om at alle tjenesteleverandører må ha kompatible systemer.

Denne retten gjelder også personopplysninger som en person har levert til deg gjennom samtykke eller en avtale.

5. Forbud mot profilering
Alle personer skal beskyttes mot profilering. Dette betyr at du ikke kan ta viktige beslutninger som påvirker en person på bakgrunn av en automatisk dataprosess.

Et unntak fra dette forbudet mot profilering ville være når beslutningen er nødvendig for å fullføre en kontrakt mellom en person og din bedrift. Du må sørge for at profilerings- og beslutningsmodellene dine er i samsvar med forordningen, og at eventuelle nødvendige endringer blir gjort. 

Et annet unntak er når du tar kredittbeslutninger. Disse beslutningene er ofte basert på automatiserte klassifiseringssystemer og beslutningsanbefalinger.

6. Informer om brudd på datasikkerheten
I fremtiden vil du være forpliktet til å informere myndighetene og registrerte personer om alle datasikkerhetsbrudd. Dette omfatter situasjoner der en persons rettigheter og friheter er krenket. I tilfelle slike situasjoner oppstår, er det et par ting du må gjøre:

  • Du må varsle myndighetene innen 72 timer etter bruddet.
  • Du må informere alle berørte personer umiddelbart dersom det er en mulighet for at et sikkerhetsbrudd kan ha ført til at deres rettigheter og friheter har vært utsatt for vesentlig risiko.

For å imøtekomme disse forpliktelsene er det viktig at du utarbeider interne instrukser og prosedyrer for å sikre en effektiv og korrekt prosess.

7. Informere om dataprosessene dine
Selskaper over hele verden samler nå inn flere personopplysninger enn noen gang før. For å følge EUs regelverk i fremtiden må du gi mer informasjon om databehandlingen enn det som har vært nødvendig tidligere.

For deg betyr det blant annet at du må oppgi lagringstiden for personopplysninger. Dersom dette ikke er mulig, må du informere om kriteriene som brukes til å bestemme lagringstiden.

Dette innebærer for eksempel å foreta en oppdatering av registeret og rutinene rundt datasikkerhet, samt å tenke på hvordan du skal informere de registrerte personene i praksis.

8. Rollen til det nye personvernombudet
En viktig endring i den nye forordningen, er at flere virksomheter plikter å oppnevne et personvernombud. Dette gjelder for eksempel selskaper som har omfattende, regelmessig og systematisk overvåking av mennesker, og selskaper med kjernevirksomhet bestående av slik overvåking.  Vi anbefaler deg å undersøke om din virksomhet plikter å ha et personvernombud.

9. Utkontraktering av håndteringen av personopplysninger vil kreve beskyttelsestiltak fra deg
Hvis du har utkontraktert deler av databehandlingen til en annen virksomhet, og de skal håndtere personopplysninger på vegne av deg, er det et par ting du vil bli pålagt å gjøre:

  • Du må sørge for tilstrekkelige tekniske og organisatoriske beskyttelsestiltak som vil oppfylle kravene i forordningen.
  • Du må sørge for at virksomheten ivaretar rettighetene til de registrerte personene.

I praksis betyr dette at du må identifisere situasjoner der utkontraktering er hensiktsmessig, og sikre at alle kontrakter settes opp korrekt. For eksempel regnes lagring av opplysninger i skytjenester som utkontraktering, selv om tjenesteyteren ikke aktivt behandler opplysningene.