PERSONVERN 2018 – REKKER DIN BEDRIFT FRISTEN?

 

IT & Media

Er de nye personvernreglene viktige for min bedrift?

En personopplysning er enhver opplysning og vurdering som kan knyttes til en identifiserbar fysisk person som direkte eller indirekte kan identifiseres.

Opplysninger som navn, identifikasjonsnummer, lokaliseringsdata (posisjonsdata), en onlineidentifikator, eller ett eller flere elementer som er særlige for en persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet er alle personopplysninger. Til og med en persons IP-adresse eller MAC-adresse regnes som en personopplysning.

Dersom en bedrift samler inn slike opplysninger på noen måte, behandles personopplysningene – og bedriften plikter å følge personvernreglene for slik behandling. Eksempler på behandling er lagring, kopiering, overføring eller sammenkobling av personopplysninger.

Det er ikke noe krav om at opplysningene bare må være elektronisk behandlet. Dette medfører at i praksis alle bedrifter i Norge må følge regelverket for behandling av personopplysninger.

Dersom bedriften behandler sensitive personopplysninger, f.eks. helseopplysninger, eller bruker personopplysninger kommersielt som kundeklubb, apper for enkeltpersoner eller på annen måte samler personopplysninger i en base som brukes for markedsføring eller salg, er personvern ekstra viktig.

Risiko for rekordhøye bøter

Til nå har ikke norske bedrifter vært særlig opptatt av disse reglene. Siden nytt regelverk inneholder strenge sanksjoner for overtredelser som datatilsyn i Europa kommer til å behandle så likt som mulig og flytter ansvaret for å følge reglene til ledelsen av bedriften, vil personvern bli sett på som meget viktig fremover.

Et eksempel er at bøtene for de groveste overtredelsene kan settes opp til det høyeste beløp av 20 millioner Euro eller 4% av virksomhetens samlede globale omsetning i forrige regnskapsår. Et konsern med virksomhet i flere land, risikerer at konsernets samlede årsomsetning legges til grunn slik at boten kan bli langt høyere enn 20 millioner Euro.

Nye krav til samtykke – sørg for å innhente disse etter de nye kravene

Dersom en bedrift har en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern, f.eks. vanlig behandling av opplysninger om ansatte for å overholde krav som arbeidsgiver, kan bedriften foreta slik behandling uten samtykke.

I praksis utgjør samtykke fra personen opplysningene gjelder, bedriftens lovlige behandlingsgrunnlag av en stor mengde personopplysninger.

Kravene til lovlig samtykke skjerpes til neste år:

  • Bedriften må passe på at samtykket er en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv.
  • Bedriften skal kunne påvise at personen har gitt samtykke, og samtykket skal forelegges i en lett tilgjengelig og lettforståelig form og i et klart og enkelt språk.
  • Bedriften må gi og opplyse den registrerte rett til å trekke sitt samtykke tilbake. Det skal være like lett å trekke samtykket tilbake som å gi det.
  • Samtykket skal være klart, informert, frivillig, spesifikt og utvetydig. Det kan for eksempel foregå ved å sette kryss i et felt ved besøk på et nettsted, ved valg av tekniske innstillinger, eller ved annen erklæring eller handling som tydelig tilkjennegir den registrertes aksept av behandlingen av den registrertes personopplysninger. Taushet eller inaktivitet er ikke tilstrekkelig.
  • Samtykket skal dekke alle de behandlingsaktiviteter som utføres. Når behandlingen tjener flere formål, skal det gis samtykke til dem alle. Dersom samtykket skjer etter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødig forstyrre bruken av den tjenesten som samtykket gis til.

De nye kravene innebærer at de fleste bedrifter må endre brukervilkår og personvernerklæringer samt måten samtykker tidligere har blitt innhentet på. Dersom din bedrift gjemmer bort tekst om samtykke langt ned i vilkårene eller har et generelt samtykke som ikke nevner alle spesifikke formål dere behandler slike persondata for, må samtykke innhentes på nytt i henhold til de nye kravene for at slike persondata skal kunne brukes etter 25. mai 2018.

Andre viktige nyheter som kommer neste år

En nyhet er retten til dataportabilitet. Bedrifter plikter å legge til rette for at de registrerte enkelt skal kunne hente ut de opplysningene gitt bedriften som er lagret om den registrerte og overføre disse til en annen leverandør.

En annen nyhet er at bedriften må la de registrerte motsette seg noen typer profilering der deres personopplysninger blir brukt til å analysere og forutse deres adferd.

Virksomheten pålegges en lang rekke nye plikter. Et eksempel er vurdering av personvernkonsekvenser dersom det skal foretas en systematisk overvåking av et offentlig tilgjengelig område i stort omfang. Et annet eksempel er at mange private virksomheter må utnevne personvernombud.

Mange av dagens regler videreføres, men reglene blir strengere for bedriften. Et eksempel er strengere krav til internkontroll og til dokumentasjon av arbeidet som er gjort. Et annet eksempel er plikten til å melde avvik utvides til å gjelde alle avvik med mindre det er usannsynlig at avviket medfører risiko for personvernet. I tillegg må avvik meldes raskere (innen 72 timer).

Virksomheten er ansvarlig for at personvernprinsippene overholdes ved all behandling av personopplysninger:

  • Lovlighet, rimelighet og gjennomsiktighet: Personopplysninger skal behandles lovlig, rimelig og på en gjennomsiktig (åpen) måte.
  • Formålsbegrensning: Personopplysninger skal innsamles til uttrykkelig angitte og legitime formål og må ikke behandles videre på en måte som er uforenlig med disse formål.
  • Dataminimering: Personopplysninger skal være relevante og begrenset til det som er nødvendig for det formål som gjør at de behandles.
  • Riktighet: Personopplysninger skal være korrekte og om nødvendig ajourførte, det skal tas ethvert rimelig skritt for å sikre at uriktige personopplysninger straks rettes eller slettes.
  • Lagringsbegrensning: Personopplysninger skal oppbevares på en slik måte at det ikke er mulig å identifisere den registrerte i et lengre tidsrom enn det som er nødvendig for formålet.
  • Integritet og fortrolighet: Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet. Virksomheten må sørge for beskyttelse mot uautorisert eller ulovlig behandling og mot hendelig tap, tilintetgjørelse eler beskadigelse, under anvendelse av passende tekniske eller organisatoriske foranstaltninger.

Innebygd personvern (privacy by design) er både krav og løsning

Det kommer også regler om innebygd personvern. Bedrifter må ta hensyn til personvern i alle utviklingsfaser av sine systemer eller produkter som kan innebære at personopplysninger behandles («Privacy by design»).

I tillegg skal bedriften sørge for at den mest personvernvennlige innstillingen skal være standard i alle systemer og produkter. Bedriften skal sikre at kun de personopplysninger som er nødvendige til hvert spesifikke formål med behandlingen behandles («Privacy by default»).

Brukerne forventer at bedrifter behandler deres persondata innenfor det personvernreglene tillater. Dersom en bedrift kan vise at de forvalter personopplysninger på en bedre måte enn en konkurrent med tilsvarende løsning, vil brukerne foretrekke bedriften med fokus på personvern. På denne måten er innebygd personvern et konkurransefortrinn.

Lekkasjer eller misbruk av personopplysninger vil bety omdømmetap. Det er viktig å unngå slike hendelser, og det er dyrere å rette opp systemer i etterkant enn å lage lovlige løsninger i forkant.

Innebygd personvern er samtidig en løsning. Det er så mange krav i de nye personvernreglene at det ikke er mulig å håndtere personopplysninger manuelt for de fleste bedrifter. De nye kravene bør derfor implementeres i bedriftens systemer og produkter.

Gjør jobben nå – så får du lov til å kommunisere med dine kunder eller medlemmer også etter 25. mai 2018.

 

Artikkelen er også publisert på Hegnar.no.

Forfatter

Magnus Ødegaard

  • partner | advokat