Dette regelverket må alle glassmestere følge på nett

20. juli 2018 trådte det nye EU-regelverket om personvern i kraft i Norge, gjerne omtalt som GDPR (General Data Protection Regulation). Du har sikkert fått med deg at det florerer av artikler om temaet på nett. Men hva er egentlig GDPR, og hvordan påvirker regelverket din bedrift?

GDPR er en forordning som gjelder for alle selskaper som selger til og lagrer personlig informasjon om europeiske statsborgere. Den gir innbyggere i EU og EØS større kontroll over sine egne personopplysninger og sikrer at informasjonen beskyttes i hele Europa.

Hva er hensikten med GDPR?

GDPR skal rett og slett sørge for at personidentifiserende informasjon som navn, alder, telefonnummer, adresse, mailadresser og IP-adresser ikke kommer på avveie.

Nå må det et aktivt samtykke til fra den enkelte, før informasjonen kan sendes, eller skal behandles videre. Det må komme klart frem hvorfor man trenger informasjonen.

Hovedformålet med de nye personvernreglene er å gi individer, enten de er prospekter, kunder, underleverandører eller ansatte, mer oversikt og kontroll over sine egne personopplysninger.

Gjelder regelverket for din bedrift?

Ja. Regelverket gjelder for alle virksomheter som behandler personopplysninger om egne ansatte, kunder, brukere eller andre. Alle må ta personvern på alvor – glassbedrifter er intet unntak

Du finner forordningsteksten på Datatilsynets nettsider.

Personvernreglene gir enkeltpersoner blant annet følgende rettigheter:

1. Rett til samtykke

Bedrifter kan ikke behandle personopplysninger om enkeltindivider med mindre hver enkelt fritt har gitt en spesifikk, informert og klar indikasjon på samtykke, enten via en erklæring eller via en tydelig «bekreftende handling».

2. Rett til tilgang

Regelverket gir enkeltpersoner rett til å kreve tilgang til sine personopplysninger og til å vite hvordan informasjonen brukes av bedriften etter at den er samlet inn. Bedriften skal levere ut en kopi av disse personopplysningene, i elektronisk format og uten kostnad, dersom en bruker ber om dette.

3. Rett til å bli glemt

Hvis forbrukere ikke lenger er kunder, eller hvis de trekker tilbake samtykket de har gitt en bedrift til å bruke deres personopplysninger, har vedkommende rett til å få informasjonen slettet.

4. Rett til å bli informert

Enkeltpersoner må informeres før du samler inn opplysninger om dem, og de må gi aktivt samtykke til at personopplysninger samles inn.

5. Rett til å motsette seg behandling

Forbrukere har rett til å motsette seg behandling av personopplysninger til bruk i direkte markedsføring. All behandling må stoppes så fort du har mottatt forespørselen. Denne rettigheten må kommuniseres tydelig til enkeltpersoner straks du innleder kontakt med dem.

6. Rett til å bli varslet

Hvis det har vært datainnbrudd som kan få følger for enkeltpersoners opplysninger, har personen rett til å få vite dette i løpet av 72 timer etter at innbruddet ble oppdaget.

Hva slags innvirkning har GDPR på din kundebehandling?

Som nevnt i punkt 1 ovenfor, er det nå strengere krav til å innhente samtykke. Du må ha samtykke for både lagring og behandling av persondata. Enkeltpersoner kan når som helst trekke tilbake sitt samtykke.

Det må gis eget samtykke for ulike markedsføringsaktiviteter. Sender du for eksempel ut et nyhetsbrev, må du kunne bevise at mottakerne har gitt samtykke. Samtykket må avgis gjennom en aktiv handling. Det vil si at man ikke lenger kan ha forhåndsavkryssede bokser for at det kan sies å foreligge et gyldig samtykke.

Dette innebærer at du må se over dine interne prosesser, løsninger og webskjemaer for å etterleve de nye reglene for lagring og bruk av persondata.

La oss si at du er på en messe og møter potensielle kunder. Dere utveksler visittkort, og når du kommer tilbake til kontoret, legger du inn kontaktene i en e-postliste. Under GDPR er ikke lenger dette tillatt, med mindre personene gir skriftlig samtykke.

Hva skjer om virksomheten ikke etterlever regelverket?

Det er strenge straffer for bedrifter og organisasjoner som ikke følger regelverket. Bøtene er på opptil 4 % av årlig global omsetning eller 20 millioner euro, alt etter hva som utgjør den høyeste summen.

Oppsummert

• Skal du samle inn personopplysninger, så skal du ha en HENSIKT med det.
• Skal du samle inn personopplysninger, så må du få SAMTYKKE til å gjøre det.
• De som leverer fra seg personopplysninger, skal ha TILGANG til den informasjonen.
• Dessuten skal du innhente MINST MULIG informasjon.