GDPR - nytt EU regelverk

General Data Protection Regulation (GDPR) trer i kraft i mai 2018 og er tidenes mest omfattende regelverk for behandling av personopplysninger.

11.12.2017

Bilde av Klaus Adde

Klaus Adde - Rådgiver - idé og konseptutvikling
Telefon: 911 58 973
E-post: klaus.adde@oktan.no

Det forrige direktivet fra 1995 har ikke hengt med i den teknologiske utviklingen de siste 23 årene. Hensikten med nye og klarere regler er å styrke personvernet i en tid da opplysningene du legger igjen er å anse som fritt vilt. Dine personlige data samles, distribueres og oppbevares helt utenfor din kontroll.

Hva innebærer det at GDPR trer i kraft?

Først og fremst handler det om å ha et gyldig behandlingsgrunnlag (det juridiske grunnlaget for at man kan starte behandling om noens personopplysninger) og kontroll over hvilke opplysninger virksomheten behandler. Videre stilles det krav til hvordan opplysningene oppbevares i tillegg til omfattende dokumentasjonskrav ved for eksempel datainnbrudd.

Ikke helt innlysende hva dette betyr?

Som de fleste direktiver og regelverk er det ikke helt enkelt å få hodet rundt hva som egentlig menes. GDPR gjør en ting enkelt: Dette gjelder absolutt alle som innhenter personlige opplysninger. Det vil si at uansett om du har en liten eller stor virksomhet så må du følge regelverket. Regelverket skal beskytte rettighetene til alle borgere innen EU/EØS, så det spiller ingen rolle om du er et fransk, amerikansk eller kinesisk selskap; skal du ha opplysninger så må du oppfylle kravene.

En ting er sikkert, det er ikke lurt å satse på snarveier. Å slurve kan koste deg dyrt, både i tapt omdømme og tapte inntekter. (Hvem vil vel egentlig handle med noen som ikke tar personvern på alvor?) I tillegg venter det skyhøye bøter og det varsles at disse VIL bli innkrevd.

Hvor i all verden skal du starte?

Det er noen tiltak du kan starte med allerede nå for å gjøre det enklere å oppfylle en del av de nye kravene. Som alltid er det best å starte med begynnelsen; få oversikt over hvilke opplysninger virksomheten behandler og et gyldig samtykke fra personen som gir deg opplysningene sine. Har du dette på plass er du et godt stykke på vei!

Hvem, hva, hvordan Samtykke?

EU introduserer nå en artig vri ved at du må dokumentere at det faktisk er et individ som har avgitt sitt samtykke aktivt, utvunget og med forståelse av hva samtykket innebærer. Så farvel til alle forhåndsavhukede bokser og tekster med bitteliten skrift om at du vil ha nyhetsbrev fordi du kjøper et nytt batteri.

Dokumentasjonskravet betyr fortrinnsvis at samtykket er skriftlig og elektronisk. I enkelte tilfeller er det et krav om å kunne verifisere at samtykket er avgitt av den rette personen, som for eksempel gjennom BankID. Dokumentasjonskravene gjelder både til myndigheter (at du har orden på personvernet ihht forskriften) og til forbrukeren som skal få enkel og forståelig informasjon om hvordan personopplysningene behandles. Samtykkeformularet blir noen av de viktigste tekstene du forfatter fremover! Er informasjonen diffus og uforståelig eller bruken av opplysningene for vid kan samtykket bli vanskelig å innhente.

GDPR er i stor grad et forbrukerregelverk. En personopplysning eies av den enkelte, og et samtykke skal kunne trekkes tilbake når som helst. Samtykket skal være like enkelt å trekke som å avgi, personen skal kunne ta med seg all sin informasjon videre og kunne stole på at alle opplysninger blir slettet.

Hva med de kundene jeg allerede har?

Du trenger ikke starte helt på nytt. Nye endringer i markedsføringsloven gir virksomheter adgang til å ta kontakt med kundene sine via telefon eller alminnelig post (les: Her regnes ikke epost som alminnelig, men den posten som krever porto) for å markedsføre tilsvarende varer eller tjenester som det eksisterende kundeforholdet bygger på. Men obs: Også her gjelder at kunden har gitt deg opplysningene du bruker for å ta kontakt frivillig.

Hei GDPR!

De aller fleste virksomheter har allerede diverse systemer som behandler og oppbevarer personopplysninger. Dermed er mye av dokumentasjonen av hvilke opplysninger du ber om, hvorfor og hvordan de skal brukes klar. Får du i tillegg et system for for å innhente og oppbevare samtykkene så har du antagelig samtidig et system for de som vil trekke samtykket.

Så det er kanskje ikke noe å grue seg så veldig til?

 

Relaterte innlegg

Jeg er et offer for programmatic advertising

og VIPPS, så trenger du ikke kontanter lenger

Bedre kunderelasjoner med brukergenerert innhold

Forfølgende Frukt

Abonner på bloggen