Dette bør du vite om GDPR (Personvernforordningen)
Dato publisert:
Datoen for ikrafttredelse av GDPR nærmer seg med stormskritt. Vi har tatt en prat med Suzanne Brattheim fra Sticos om hva man som bedrift bør vite om GDPR, og hvordan man kan starte forberedelsene.
Det er bare 2,5 måned til den nye personvernforordningen trer i kraft. I disse tider er det derfor mange som er opptatt av å finne ut hva reglene egentlig sier, og ikke minst hvordan man kan forberede seg.
Suzanne Brattheim jobber som jurist i Sticos, hvor personvern er ett av hennes hovedområder. Vi har tatt en prat om GDPR; reglene, konsekvensene, hvordan man kan forberede seg, og mye mer.
Hva er GDPR?
GDPR står for General Data Protection Regulation, som på norsk blir personvernforordning. Det er et regelverk som skal regulere virksomheters bruk av personopplysninger. Det vil si opplysninger som omhandler enkeltpersoner. Det kan være både faktaopplysninger og vurderinger.
Vi har per i dag et relativt strengt regelverk om personopplysninger, som heter personopplysningsloven. Problemet med denne loven er at den ikke følges så godt. De fleste virksomhetene har ikke god nok kjennskap til den, og selv om den rent juridisk er ganske ny, så er den teknisk sett udatert.
Det nåværende regelverket er basert på et EU-direktiv fra 1995. Personopplysningsloven kom som følge av dette tidlig i 2000 tallet, men den har ikke favnet over den massive teknologiske utviklingen som har skjedd siden. Direktivet kom eksempelvis før Google i det hele tatt fantes. Det sier jo litt om hva som har skjedd i ettertid.
GDPR tar sikte på å omfavne den teknologiske utviklingen som har skjedd, samt den utviklingen som vil skje i fremtiden.
Det nye regelverket skal gi folk visse rettigheter. Enkeltpersoner skal kunne vite hvem som har hvilke opplysninger om de.
Hva betyr reglene for bedrifter som bruker personopplysninger?
Virksomheter skal fremover ha en hjemmel til å bruke personopplysninger. En typisk hjemmel er et samtykke eller et rettslig grunnlag.
Man må dessuten kunne definere hvorfor man har disse opplysningene, samt hva man skal bruke dem til.
Bedrifter skal i tillegg lage en liste over alle opplysninger de har lagret om en enkeltperson.
Alt dette må kunne dokumenteres overfor datatilsynet, hvis de kommer på tilsyn. Man må ganske fort kunne produsere en rapport som viser hvilke type opplysninger man har registrert - både på egne ansatte, kunder og potensielle kunder. I tillegg skal de personene du har opplysninger på, få vite at du har disse opplysningene.
GDPR stiller altså ganske strenge krav til dokumentasjon.
Gjelder reglene for alle bedrifter, både private og offentlige?
Ja, reglene gjelder for alle som har aktiviteter i EU eller EØS-land.
I tillegg er reglene ekstraterritoriale. Det vil si at alle land som ligger utenfor EU og EØS, men som selger produkter eller tjenester i EU eller EØS er omfattet. Så selv om bedriften ikke er etablert i EU eller EØS, er de fortsatt omfattet hvis de har aktiviteter der.
Hva omfatter begrepet “personopplysninger” når det gjelder GDPR?
Personopplysninger omfatter alle type opplysninger som kan knyttes til en enkeltperson.
Hvis opplysningene er anonymisert, er de ikke omfattet GDPR. Men opplysninger og vurderinger som kan knyttes til en identifiserbar person er omfattet. Det kan for eksempel være navnet mitt, min epostadresse på jobben som inneholder navnet mitt, eller registreringsnummeret på bilen min.
Et annet eksempel er, hvis jeg ringer inn til forsikringsselskapet mitt fordi jeg har vært litt uheldig og krasjet med bilen min. De skriver da ned opplysninger om dette i en journal og lager en vurdering ut ifra det. Det er også en opplysning som kan knyttes opp mot meg, og da er det en personopplysning.
Sensitive personopplysninger er en egen kategori som blant annet omfatter biometriske opplysninger (fingeravtrykk, DNA), opplysninger om helse, religion, politisk overbevisning eller noe relatert til fagforeninger, seksuelle preferanser og seksuelle forhold.
I motsetning til hva folk flest tror, så er personnummer ikke sensitiv data, men etter sin natur bør de beskyttes særlig godt, og i Norge har vi egne regler for når virksomheter har lov til å bruke personnummer.
Hvordan bør man som bedrift forberede seg på disse nye reglene?
I Sticos er vi veldig opptatt av at dette skal tas på alvor, men det er mange aktører som har skrudd dette opp til å være noe stort og skummelt.
Når vi er i dialog med kunder, prøver vi å dempe dette. Vi oppfordrer folk til å roe seg ned og ta en pust i bakken. Start med å finne ut hvilke opplysninger dere egentlig har. Ta en seriøs vurdering av hvorfor dere har disse opplysningene. Trenger dere de egentlig?
Hvis dere kommer frem til at dere trenger å bruke den personlige dataen, så skriv ned hvorfor dere trenger den, og undersøk hvilken hjemmel dere kan bruke.
Lag en plan, og gå gjennom denne steg for steg. Kartleggingen, samt det å ta en brainstorming på hvilke opplysninger dere har, er det første man gjør.
Finn så ut hvilke rutiner dere må ha plass for å sikre opplysningene. Det stilles ganske høye krav til sikring av opplysninger, slik at de ikke kommer på avveie. Mange har allerede dette på plass, men det er mange som ikke har dokumentert det.
Hvordan finner man ut hvilken hjemmel man kan bruke?
Man kan finne mye informasjon på Datatilsynets nettside, og i artikkel 6 og 9 i forordningen. Artikkel 9 gjelder for sensitive personopplysninger og artikkel 6 er for vanlige opplysninger. Her står det hvilke hjemler man kan bruke.
De tre mest brukte hjemlene er:
- ... samtykke fra den opplysningen gjelder
- … når det er nødvendig å bruke opplysningen for å oppfylle rettslig forpliktelse
- … eller når det er nødvendig for å oppfylle en avtale med den opplysningene gjelder
Min anbefaling til virksomheter er å finne ut hvilke særregler dere er omfattet av. Er det en bedrift som har folk på sjøen, så er det kanskje i sjøloven at man har hjemmel. Er det en offentlig bedrift, så vil arkivloven være viktig å se på. Finn ut hva som gjelder for din bedrift.
Når og hvordan må man be om samtykke?
Hvis du bruker samtykke må du spørre samtidig som det registreres opplysninger.
Det er viktig at samtykket er uttrykkelig, så hvis du for eksempel har et felt som er huket av på forhånd, så er ikke det godt nok. Vedkommende må aktivt trykke på feltet.
I tillegg skal det være frivillig, så man må ikke legger noe press på de. Videre skal det være informert, hvilket betyr at man skal gi de informasjon om hva man faktisk gir tillatelse til, på et klart og tydelig språk.
Hva gjør man med personopplysninger som har blitt innhentet før 25 mai 2018?
GDPR gjelder også for de personopplysningene man allerede har, selv om man har innhentet samtykke fra før av.
Hvis du skal bruke disse personopplysninger etter GDPR trer i kraft den 25 mai 2018, må du sørge for at samtykket er i tråd med reglene. Da vil jeg oppfordre bedrifter til å sende ut et brev til kundene sine, informere om GDPR og be om nytt samtykke.
Er du forpliktet til å slette opplysningene hvis folk ikke fornyer samtykket?
Ja, i slike tilfeller har man ikke et lovlig grunnlag for å bruke opplysningene, og da er det ikke lov å oppbevare opplysningene lenger.
Det er derfor lurt å forberede seg på dette på en informativ måte, og få folk til å skjønne hvilke fordeler de får ved å ha deres opplysninger registrert.
Hva skjer hvis man ikke rekker å få på plass alt før reglene trer i kraft?
Da følger man selvfølgelig ikke det nye regelverket, men jeg tror Datatilsynet er klar over at folk har travelt, og at det er mye man skal rekke over i forbindelse med endringene.
Det viktigste er at man nå kommer i gang. Sett dere en plan for arbeidet og jobb dere gjennom. Men sett av tid til dette slik at dere innen rimelig tid får alt på plass.
Har man til derimot ikke begynt i det hele tatt, da tror jeg det kan bli et problem hvis Datatilsynet kommer på tilsyn.
Hvem kommer til å håndheve reglene?
Datatilsynet i Norge er én av instansene som kommer til å håndheve reglene.
De andre datatilsynene i EU og EØS er også tilsynsmyndigheter, og hvis man har aktiviteter på tvers av landegrenser, vil man kunne få bøter fra andre tilsyn.
Hvilke “straff” får man, hvis man ikke følger reglene?
Man kan få et overtredelsesgebyr, men det er viktig å si at det strengt talt ikke er noen straff. Juridisk sett er det et overtredelsesgebyr.
Gebyret kan være på opp til 20.000.000 Euro, hvilket tilsvarer omkring 200.000.000 NOK.
Hvis 4 % av virksomhetens globale omsetning utgjør mer enn 20.000.000 Euro, kan man få et gebyr på opptil 4% av bedriftens globale omsetning.
Noe folk ofte glemmer er at hver sak vurderes individuelt, der man ser på hvor grov overtredelsen er.
Har bedriften hatt et seriøst arbeid med GDPR? Har bedriften forsøkt å tilrettelegge seg og forhindre at noe skulle gå galt? I slike tilfeller vil boten ikke være like høy, for feil kan jo skje alle steder. Alle kan bli hacket uansett hvor mange tiltak man har gjort for å forhindre det. Så det er ikke slik at man automatisk får en bot på 20.000.000 Euro hvis noe går galt.
Det blir nok høyere bøter i Norge enn det vi har sett tidligere, men det skrekkscenarioet som mange har snakket om vil høre til sjeldenhetene.
Hva gjør man hvis man vil klage på avgjørelser?
Da må du klage til den myndigheten du har fått boten fra.
Hvis man er veldig uenig med avgjørelsen, ville jeg ha dratt inn det lokale Datatilsynet, men det skal i teorien ikke ha noe å si hvilket tilsyn du får boten fra.
Det er snakk i media om at GDPR er utsatt i Norge, stemmer det?
Det stemmer at iverksettelsen i Norge muligens blir noe utsatt. Grunnen til det er at Norge ikke er medlem i EU, men er med i EØS-avtalen.
Forordningen skal bli en del av EØS-avtalen, men arbeidet med å spikre dette er ikke ferdig enda. Det er viktig å få klart at det ikke er snakk om avlysning, men en mulig utsettelse.
Det er mye arbeid som skal til for å bli klar til GDPR trer i kraft. Virksomheter bør derfor ikke stoppe arbeidet med GDPR, men heller se på den mulige utsettelsen som en mulighet til å få alt på plass før regelverket trer i kraft.
Det er også viktig å være klar over at regelverket trer i kraft i EU fra 25. mai, den er ikke utsatt der. Og regelverket er som tidligere nevnt ekstraterritorielt.