Livet vårt har blitt heldigitalt. Hva man surfer på, kjøper, liker og ikke liker, deler og mener, blir av mange aktører nøye analysert og lagret. Persondata har fått stor verdi. Enten det er i jobb eller som privatperson, er det individet selv som har eierskap til sine data, og de som lagrer kan når som helst måtte svare for hva man vet, hvordan data benyttes, hvorfor – og ikke minst måtte slette de på oppfordring. Og nei, dette gjelder ikke bare bedrifter som jobber med IT eller driver netthandel, dette gjelder alle bransjer.
Personvernsforordningen (GDPR) fra 2018 er en EU-forordning som Norge må følge. Målet er å styrke rettighetene til forbrukerne, og å gjøre det forutsigbart å drive næringsvirksomhet.
Man må sette seg inn i lovgivning og avklare hvilke regler som gjelder, og ledelsen må sørge for rutiner som overholder disse. Alle ansatte må følge rutinene .
Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte.
Dersom et tiltak eller en aktivitet utgjør en risiko for personvernet, må virksomheten utrede hvilke personvernkonsekvenser det kan ha.
Det stilles krav til at nye systemer (IT og andre støttesystemer) utarbeides på en mest mulig personvernvennlig måte – innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.
Det skal opprettes et personvernombud, en person som er virksomhetens «ekspert» og bindeledd mellom ledelsen og de registrerte. Ombudet kan være en ansatt eller en profesjonell tredjepart.
Det må implementeres regler for håndtering av sikkerhetsbrudd. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles.
Den enkelte har rett til å kreve at hans/hennes personopplysninger blir slettet – «retten til å bli glemt». Man kan også kreve å få med egne personopplysninger fra en leverandør til en annen – «data portabilitet». De kan også motsette seg alle typer direkte markedsføring. Alle henvendelser fra de som begjærer innsyn må besvares innen én måned.
Alle virksomheter har, benytter eller samler inn personopplysninger. Få oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hvorfor det er relevant at dere sitter på disse. Det kan være informasjon om ansatte, kunder, leverandører, samarbeidspartnere osv. Her snakker vi om informasjon rundt kjøpshistorikk, bosted, mailadresser, bilder, e-post historikk, telefonnummer, IP-adresser, preferanser osv. Alle opplysninger du har som kan knyttes direkte til en enkeltperson.
Overgangen til de nye reglene blir lettere om dagens krav til personopplysningsloven etterleves. Eksisterer det gode rutiner for internkontroll som er kjent i organisasjonen, er det lettere å få oversikt over hva som må endres til nytt regelverk.
Hele den nye forordningen finnes på Datatilsynets nettsider.
Gå gjennom dagens rutiner for behandling av personopplysninger. Oppdater etter nytt regelverk der det trengs. Dokumenter nye rutiner og legg en plan for nødvendige endringer. Sjekk at systemene er laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standard innstilling. Sørg også for at dere klarer å fange opp og besvare henvendelser fra de som ber om innsyn innen én måned.
