Dette er GDPR

Den 25. mai må du være klar for EUs personvernforordning

GDPR EU personvernforordning

Utvidet personvern: Alle virksomheter som samler inn personopplysninger fra EU- og EØS-borgere må leve etter GDPR. FOTO: Colourbox

Fra 25. mai 2018 må alle private og offentlige virksomheter i Norge følge EUs nye personvernforordning. Brytes reglene, som gjelder i alle EU-tilknyttede land, vil det kunne svi – i form av store bøter.

– GDPR er kommet for å harmonisere personvern knyttet til informasjons- og datainnsamling på tvers av Europa. Målet har vært å beskytte EU-borgernes rett til personvern og endre måten selskaper og organisasjoner forholder seg til personvern, forteller Jan Sandtrø, advokat og partner i DLA Piper.

EU-byråkratene og -politikerne har jobbet EUs nye personvernforordning, GDPR (General data protection regulation) siden 2012. Forordningen erstatter personverndirektivet fra 1995, som dagens, norske personopplysningslov fra 2000 er basert på. Derfor kommer det også en ny personopplysningslov, som vil gjelde fra senest den 25. mai 2018.

GDPR har tvunget seg frem på grunn av fremveksten av globale IT-giganter, som Facebook og Google, som lever av å samle inn informasjon. På toppen kommer stadig nye teknologiske muligheter rundt innsamling, sammenstilling og analyse av data.

 

Tydelig avtale

EU-kommisjonen trekker frem disse tre punktene som de viktigste endringene fra forrige lov:

1. Den omfatter flere bedrifter.

GDPR gjelder for alle virksomheter om behandler personopplysninger knyttet til EU- og EØS-borgere, uavhengig virksomhetens adresse eller hvor dataene blir behandlet.

2. Dyrere å bryte loven.

Maksimalboten er satt til 20 millioner euro eller 4 prosent av konsernets globale omsetning, avhengig av hva som er størst.

3. Krever tydelig avtale.

Borgerne, de det samles inn personopplysninger fra, får enklere og tydeligere avtaler å forholde seg til. Virksomhetene kan ikke lenger kunne bruke lange, uklare og komplekse vilkår ved bruken av for eksempel en app eller tjeneste. Samtykke må gis i en forståelig og lett tilgjengelig form, som inneholder grunnen til at man samler inn personopplysninger.

– De største endringene i GDPR, sett med teknologiske briller, er at kravene til personvern skal være innbygget i IT-løsninger ved såkalt Privacy by Design, og at det kommer strengere krav til databehandlerne og til databehandleravtale, fortsetter Sandtrø.

– Hva er en databehandleravtale?

– En databehandleravtale er en avtale mellom en behandlingsansvarlig og en databehandler. En behandlingsansvarlig er den som bestemmer at personopplysninger skal samles inn og behandles, og hvordan disse skal behandles. For eksempel vil et selskap som har ansatte være  behandlingsansvarlig for personopplysninger for de ansatte, opplysninger som eksempelvis er knyttet til lønnsutbetaling. Dersom selskapet bruker et annet selskap for lønnsutbetalinger, som Bluegarden, Visma eller andre, så vil disse være databehandlere, siden de behandler personopplysninger på vegne av den behandlingsansvarlige, svarer Sandtrø.

 

GDPR inn i personopplysningsloven

Norge har gjort som Irland og implementerer EU-forordning i eget lovverk; personopplysningsloven, som trer i kraft senest den 25. mai 2018.

– Dagens personopplysningslov inneholder enkelte krav til databehandleravtaler. I den nye loven blir kravene langt mer omfattende, og alle databehandleravtaler må oppdateres til de nye kravene. For mange behandlingsansvarlige og databehandlere er tiden knapp, sier Sandtrø.

DLA Piper-advokaten gir en kort oversikt over de nye kravene:

– Når personopplysninger behandles på vegne av andre, skal det foreligge en avtale som regulerer behandlingen. Denne databehandleravtalen kan enten være en selvstendig kontrakt eller en del av en kontrakt som også regulerer andre ytelser. Det er den som er ansvarlig for behandling av personopplysningene, den behandlingsansvarlige, som også er ansvarlig for at det inngås en databehandleravtale, understreker Sandtrø.

I dagens personopplysningslov er det kun to eksplisitte krav til databehandleravtaler: Databehandleravtalen skal regulere hvordan databehandleren skal behandle personopplysningene på vegne av den behandlingsansvarlige, og databehandlerens plikt til å sørge for informasjonssikkerhetstiltak skal reguleres.

Med GDPR blir det flere og tydeligere krav til innholdet i databehandleravtalen. Kravene følger spesielt av artikkel 28 i GDPR. Der står det at databehandleravtalen skal inneholde angivelse eller beskrivelse av:

* Hensikten med behandlingen.

* Varigheten av behandlingen.

* Behandlingens formål og art.

* Typen personopplysninger og kategorier av registrerte data som skal behandles.

* Den behandlingsansvarliges rettigheter og plikter.

 

 

Jan Sandtrø, GDPR-ekspert og partner i DLA PiperJan Sandtrø, advokat og partner i DLA Piper. FOTO: DLA Piper.

 

Kontroll over egne data

GDPR styrker også brukernes rettigheter knyttet til innsamlede data. EU-kommisjonen trekker frem følgende fem punkter som særlig viktige:

1. Varsel ved datainnbrudd.

Skjer det datainnbrudd skal kunder og tilsynsmyndigheter varsles senest innen 72 timer etter at virksomheten er blitt klar over innbruddet.

2. Tilgang til data.

Borgerne har rett til å få vite hvilke data som er samlet inn, hva de brukes til og få en gratis, elektronisk kopi av ens persondata.

3. Rett til å bli glemt.

Man har rett til å få ens personopplysninger slettet og stans i all videre bruk.

4. Flytting av data.

Man har rett til å få utlevert dataene i et vanlig format og som kan leses av andre datamaskiner, og overlevere dataene til andre parter.

5. Privacy by design.

Personvern og informasjonssikkerhet skal være bygget inn som standard i IT-systemene som behandler personopplysninger.

 

Dyre feilskjær

Har man ikke en databehandleravtale, bryter man personopplysningsloven og GDPR, og dyre gebyrer (les bøter) kan bli resultatet. Det samme kan skje om databehandleravtalen ikke følger lovens krav.

For manglende databehandleravtale er gebyrsatsen maksimalt 10 millioner euro eller 2 prosent av global årlig omsetning, avhengi av hva som er høyest. Dersom personopplysninger overføres til databehandler i land utenfor EU/EØS kan bøtene blir opptil 20 millioner euro eller 4 prosent av global årlig omsetning.

I Norge er det Datatilsynet som er tilsynsmyndighet og passer på at GDPR overholdes.

Hold deg oppdatert ...

Få verdifulle artikler, verktøy og inspirasjon til hvordan du forankrer den digitale transformasjonen av virksomheten - direkte til din innboks.

Annonse

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Annonse