20. juli 2018 trådte det nye EU-regelverket om personvern i kraft i Norge, gjerne omtalt som GDPR (General Data Protection Regulation). Du har sikkert fått med deg at det florerer av artikler om temaet på nett. Men hva er egentlig GDPR, og hvordan påvirker regelverket din bedrift?
GDPR er en forordning som gjelder for alle selskaper som selger til og lagrer personlig informasjon om europeiske statsborgere. Den gir innbyggere i EU og EØS større kontroll over sine egne personopplysninger og sikrer at informasjonen beskyttes i hele Europa.
GDPR skal rett og slett sørge for at personidentifiserende informasjon som navn, alder, telefonnummer, adresse, mailadresser og IP-adresser ikke kommer på avveie.
Nå må det et aktivt samtykke til fra den enkelte, før informasjonen kan sendes, eller skal behandles videre. Det må komme klart frem hvorfor man trenger informasjonen.
Hovedformålet med de nye personvernreglene er å gi individer, enten de er prospekter, kunder, underleverandører eller ansatte, mer oversikt og kontroll over sine egne personopplysninger.
Ja. Regelverket gjelder for alle virksomheter som behandler personopplysninger om egne ansatte, kunder, brukere eller andre. Alle må ta personvern på alvor – glassbedrifter er intet unntak
Du finner forordningsteksten på Datatilsynets nettsider.
1. Rett til samtykke
Bedrifter kan ikke behandle personopplysninger om enkeltindivider med mindre hver enkelt fritt har gitt en spesifikk, informert og klar indikasjon på samtykke, enten via en erklæring eller via en tydelig «bekreftende handling».
2. Rett til tilgang
Regelverket gir enkeltpersoner rett til å kreve tilgang til sine personopplysninger og til å vite hvordan informasjonen brukes av bedriften etter at den er samlet inn. Bedriften skal levere ut en kopi av disse personopplysningene, i elektronisk format og uten kostnad, dersom en bruker ber om dette.
3. Rett til å bli glemt
Hvis forbrukere ikke lenger er kunder, eller hvis de trekker tilbake samtykket de har gitt en bedrift til å bruke deres personopplysninger, har vedkommende rett til å få informasjonen slettet.
4. Rett til å bli informert
Enkeltpersoner må informeres før du samler inn opplysninger om dem, og de må gi aktivt samtykke til at personopplysninger samles inn.
5. Rett til å motsette seg behandling
Forbrukere har rett til å motsette seg behandling av personopplysninger til bruk i direkte markedsføring. All behandling må stoppes så fort du har mottatt forespørselen. Denne rettigheten må kommuniseres tydelig til enkeltpersoner straks du innleder kontakt med dem.
6. Rett til å bli varslet
Hvis det har vært datainnbrudd som kan få følger for enkeltpersoners opplysninger, har personen rett til å få vite dette i løpet av 72 timer etter at innbruddet ble oppdaget.
Som nevnt i punkt 1 ovenfor, er det nå strengere krav til å innhente samtykke. Du må ha samtykke for både lagring og behandling av persondata. Enkeltpersoner kan når som helst trekke tilbake sitt samtykke.
Det må gis eget samtykke for ulike markedsføringsaktiviteter. Sender du for eksempel ut et nyhetsbrev, må du kunne bevise at mottakerne har gitt samtykke. Samtykket må avgis gjennom en aktiv handling. Det vil si at man ikke lenger kan ha forhåndsavkryssede bokser for at det kan sies å foreligge et gyldig samtykke.
Dette innebærer at du må se over dine interne prosesser, løsninger og webskjemaer for å etterleve de nye reglene for lagring og bruk av persondata.
La oss si at du er på en messe og møter potensielle kunder. Dere utveksler visittkort, og når du kommer tilbake til kontoret, legger du inn kontaktene i en e-postliste. Under GDPR er ikke lenger dette tillatt, med mindre personene gir skriftlig samtykke.
Det er strenge straffer for bedrifter og organisasjoner som ikke følger regelverket. Bøtene er på opptil 4 % av årlig global omsetning eller 20 millioner euro, alt etter hva som utgjør den høyeste summen.