Personvernforordningen

Hensikten med denne informasjonen er å gi noen konkrete innspill på hva din bedrift må og bør foreta seg med tanke på innføring av nye regler for personvern.

Personvernforordningen (GDPR) trer i kraft 25. mai 2018.
De nye reglene omfatter all personinformasjon. Fokus har lett for å bli rettet mot nettside eller annen form for elektronisk innsamling av informasjon. Eksempel på annen informasjon er alt knyttet til ansatte, vikarer, deltakere på f.eks. dugnad, medlemmer, registrering av besøkende, henvendelser per brev, e-post eller per telefon. Kort oppsummert, all personinformasjon som mottas og/eller samles inn omfattes av regelverket.

Blir du berørt av den nye lovgivningen?

Hvis du svarer ja på noen av disse spørsmålene må du forholde deg til den nye lovgivningen: 

  • Vi sender ut SMS eller nyhetsbrev
  • Vi analyserer kundenes forbrukeratferd
  • Vi lagrer personopplysninger
  • Vi benytter integrerte statistikkverktøy
  • Vi bruker analyserte data i markedsføringssammenheng

Kort om personvernforordningen

Kanskje det viktigste prinsippet for det nye personvernregelverket er, virksomheten som bruker personopplysningene har ansvar for at personvernprinsippene overholdes.

Dette innebærer at virksomheten skal kunne vise til at den behandler personopplysninger i tråd med personvernprinsippene. Innføring av forordningen medfører flere og til dels tydeligere rettigheter og plikter. Det blir krav om å iverksette risikobaserte tiltak.

Nøkkelpunkter:

  • Ansvar løftes opp i styrerommet
  • Erstatter personopplysningsloven
  • Overtredelse kan medføre betydelige bøter
  • Gis anledning til massesøksmål
  • Omfatter all personinformasjon
  • Behandling av informasjon skal være gjennomsiktig
  • Ikke noe engangstiltak og skippertak, men kontinuerlig prosess

Ofte brukte definisjoner:

  • personopplysninger : enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet
  • behandling : enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring
  • behandlingsansvarlig : en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes
  • databehandler : en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige

For en komplett oversikt over definisjoner som brukes, henvises man til Artikkel 4.

Følgende sanksjoner kan ilegges:

  • En skriftlig advarsel i tilfeller av førstegangs og ikke-tilsiktede brudd
  • Krav om jevnlig tilsyn
  • En bot på opptil 10 000 000 Euro eller, for foretak, opptil 2% av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder. Artikkel 83 nr 4.
  • En bot opp til 20 000 000 Euro eller, for foretak, opptil 4% av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder. Artikkel 83, Avsnitt 5 og 6.

Ny Media sin rolle

Ny Media er databehandler på vegne av de systemene vi drifter og forvalter for våre kunder. Ansvaret som følger av dette er nærmere beskrevet i vår databehandleravtale, et vedlegg til vår driftsavtale. Ny driftsavtale, med vedlagt databehandleravtale, sendes alle våre kunder i løpet av april måned.

Regelverket stiller også krav til databehandler uavhengig av hva som er beskrevet i databehandleravtalen. Databehandler skal :

  • sørge for informasjonssikkerhet (artikkel 32)
  • umiddelbart varsle den behandlingsansvarlige om avvik (artikkel 33)

I tillegg skal Ny Media kartlegge og dokumentere bruk av underleverandør som behandler personopplysninger på vegne av de tjenester vi tilbyr. Forordningen understreker at behandlingsansvarlig skal godkjenne alle underleverandører skriftlig, noe vi løser ved å inkludere dette i driftsavtalen beskrevet i databehandleravtalen.

Vi har også en plikt til å si ifra til den behandlingsansvarlige dersom vi mener at instruksjonene vi får fra behandlingsansvarlige er i strid med forordningen eller personvern for øvrig.

Selv om databehandlere får nye plikter, er det viktig å understreke at den behandlingsansvarlige fremdeles har hovedansvaret for behandlingen av personopplysninger.

Ny Media har også en dobbeltrolle sett i sammenheng med Personvernforordningen. Ny Media er  behandlingsansvarlig for all informasjon vi samler inn til eget (internt) bruk i forbindelse med f.eks. egne kundeavtaler, markedskommunikasjon, support-henvendelser, samt vi er ansvarlig for all informasjon knyttet til våre ansatte.

Din virksomhet

Sett i sammenheng med eventuelle forretningsmessige avtaler din virksomhet har med Ny Media, er din virksomhet sin rolle definert som behandlingsansvarlig. Det innebærer at virksomheten som bruker av personopplysningene, har ansvaret for at personvernprinsippene overholdes.

Dette er ikke et komplett dokument over hva man må og bør gjøre, men gir en pekepinn. Vi henviser til Datatilsynet og det komplette regelverket.

F.eks. kan det være nødvendig for virksomheten å etablere personvernombud (personvernrådgiver), ref. artikkel 37 og https://www.datatilsynet.no/regelverk-og-skjema/veiledere/personvernombudsordningen-etter-nytt-regelverk/.

Ett av målene med det nye regelverket, er at personvern skal være “top-down”.

Hva styret/ledelse må gjøre:

  • Hvem har det operative ansvaret for virksomhetens etterlevelse av personvernregelverket?
  • Har virksomheten en skriftlig oversikt over alle behandlinger av personvernopplysninger?
  • Finnes det en dokumentert risikovurdering av alle behandlinger?
  • Kan virksomheten dokumentere internkontroll etter personvernregelverket?
  • Er det inngått databehandleravtale med alle leverandører som behandler personopplysninger på virksomhetens vegne?

Konkrete tiltak som anbefales gjennomført

Vi skriver “anbefales gjennomført”, men vi mener “må gjennomføres” forutsatt et ønske og et mål om å innordne seg etter det nye regelverket.

Tiltak:

  • Identifisere hvilke personopplysninger virksomheten faktisk behøver å lagre.
  • Kartlegge hvilke personopplysninger som allerede er lagret.
  • Dersom nødvendig, kontrollere hvordan du ber om samtykke fra registrerte, hvordan dette lagres og kan dokumenteres.
  • Lage gode og dokumenterte rutiner for håndtering av persondata i tråd med regelverket
  • Påse at man har databehandleravtale med alle som håndterer personinformasjon på vegne av virksomheten.
  • Kommunisere klart og tydelig overfor de som legger igjen og/eller registrerer informasjon, hvordan man håndterer personvern. Vi anbefaler at man lager en lett forståelig personvernerklæring som er enkel å finne på nettsiden.
  • Jevnlig kontrollere at det er samsvar mellom dokumentert håndtering og håndtering, eventuelt oppdatere dokumentasjon og om nødvendig, hente inn nye samtykker.
  • Kun velge databehandler(e) som gir tilstrekkelige garantier for at personvernreglene følges (artikkel 28)

Forøvrig anbefaler vi at man setter seg godt inn i artikkel 5, 6 og 7 i Personvernforordningen.

Lovlighet

En endring med det nye regelverket er at man må kunne dokumentere at innsamling, bruk og lagring av informasjon er lovlig. Vilkårene for en slik vurdering er beskrevet i artikkel 6.  Å ha et registreringsskjema hvor person må fylle inn fødselsdato, betinger at man kan forsvare behovet ut i fra ett eller flere av disse vilkårene.

Det kreves ikke samtykke for å bruke informasjon som er direkte knyttet til tjenesten som brukeren eksplisitt ber om. Som eksempel på dette er informasjonskapsler (cookies) som husker språkinnstillinger for en nettside eller innholdet i handlekurver i nettbutikker. En “Glemt passord”-funksjon må kunne sende e-post til brukeren uten at bruker eksplisitt har gitt samtykke for bruk av e-postadressen som oppgis til utsendelse av en påloggingslenke.

Derimot ønsker man å bruke en e-postadresse til videre markedsføring, må den registrerte ha gitt samtykke til dette. Den registrere skal på en enkel måte forstå hva det er samtykket til. Vilkår må være tydelig, og kortfattet. Det er ikke lov “å samle” flere vilkår inn i et “større” samtykke. Det skal være like enkelt for den registrerte å trekke tilbake samtykke, som det er å gi samtykke.

Momenter ved lagret informasjon

Pålegg for den registrerte sin rett til:

  • innsyn (Kapittel 2, Artikkel 15)
  • korrigering (Kapittel 3, Artikkel 16)
  • sletting («rett til å bli glemt») (Kapittel 3, Artikkel 17)
  • begrensning av behandling (Kapittel 3, Artikkel 18)
  • dataportabilitet (Kapittel 3, Artikkel 20)

Utarbeidelse av en Personvernerklæring

En Personvernerklæring kan gjøres lett tilgjengelig på nettsiden.

Informasjon fra Datatilsynet om hva en slik erklæring bør inneholde, https://www.datatilsynet.no/regelverk-og-skjema/lage-nye-losninger/personvernerklaeringer/

Datatilsynet sin Personvernerklæring, https://www.datatilsynet.no/om-datatilsynet/personvernerklaering-nettsidene/

Ny Media sin personvernerklæring, https://www.nymedia.no/personvern. Ny Media håndterer og lagrer svært begrenset mengde personinformasjon og ingen informasjon videreformidles.

Oppsummering

Personvernforordningen er noe man skal ta på alvor. Excel-ark over kunde-/medlemsinformasjon skal ikke sendes på e-post, skrives ut og legges igjen i konferansesalen. Den registrerte eier informasjonen og har kun gitt samtykke til bruk av denne informasjonen som på forhånd er beskrevet.

Likevel, de strengeste straffene reserveres som regel på de som har handlet grovt uaktsomt eller med forsett. Det er altså ingen som får et vederlag på 10 millioner Euro for en liten feil de har jobbet aktivt for å unngå og kan dokumentere en prosess for dette.

Hensikten med Personvernforordningen er å legge opp til en bevisstgjøring rundt det å behandle og oppbevare personinformasjon, samt plassere ansvaret for å gjennomføre tiltak og ved eventuelle brudd/tvister.

Vil du vite mer eller trenger hjelp? Ta kontakt for en uforpliktende prat.

Erlend Strømsvik
Tlf: 93032525

Utdypende og komplett informasjon finner man her:

Der hvor vi i dette dokumentet referer til konkrete punkter i forordningen, er disse til den norske oversettelsen.