GDPR - En liten oppsummering
Ingen hvilepute 25. mai nærmer seg med stormskritt. Dette er datoen som de nye personvernreglene trer i kraft i EU. Det er varslet en utsettelse til 1. juli for EØS-landene i følge rett24.no, men det er ingen grunn for å se på dette som noen hvilepute. Om du ikke allerede har satt deg inn i reglene og tilpasset deg og din bedrift - da er det på høy tid nå! Det er egentlig ikke snakk om veldig store endringer i forhold til hvordan reglene er i dag. Den største forskjellen er kanskje konsekvensen av å ikke følge reglene - store bøter. Så, nå tvinges vi alle til å ta grep og sette fokus på dette temaet - noe som er veldig bra!
Hva er GDPR? Betegnelsen GDPR og står for The General Data Protection Regulation. Dette er en forordning fra EU som omhandler hvordan og på hvilket grunnlag du har lov til å oppbevare opplysninger knyttet til en privatperson.
Det begynner å bli ganske fullt på gjerdet
Selv om de nye personvernreglene har vært varslet i 2 år - er det mange som ikke har fått opp øynene for dette før nå. Mange sitter på gjerdet og tenker at de venter til 25. mai - for så å se på hvordan de skal tilpasse seg. Det er for passivt. Og som Jan Sandtrø sa, da jeg var på hans seminar om GDPR for litt siden; "Det begynner å bli ganske fullt på det gjerdet".
Hvem har ansvar for hva?
Alle har sin del av ansvaret for å tilpasse seg de nye reglene. Som bedriftseier er det ditt ansvar å ta en internkontroll og sjekke hvilken informasjon du lagrer om dine kunder, hvor lagrer du det - og ikke minst HVORFOR lagrer du det. Hvilke underleverandører benytter du? Lønnssystem, regnskapssystem, mailprogram, leverandør av nettside/nettbutikk, internkommunikasjon etc. Få en oversikt over hvilke tjenester du har - for så å sjekke at dine leverandører har tatt sine forhåndsregler. Dine leverandører har selvsagt ansvaret for at de overholder reglene - men det er din oppgave å sørge for at du benytter leverandører som gjør det.
Personopplysninger lagret lokalt på en PC eller i papirformat er også personopplysninger.
Hva har du lov til å lagre?
Det finnes 5 grunnlag for hvorfor du kan lagre den informasjonen du gjør. Jeg tar med 2 de mest relevante her: 1) Nødvendighet: Opplysninger du trener for å levere den tjenesten som kunden har bestilt. F.eks:Hvis du har en nettbutikk, da trenger du kundens navn, adresse, telefonnummer og epostadresse for å kunne sende de en ordrebekreftelse - en pakke i posten - samt en sms om at pakken er kommet frem. Denne informasjonen kan du lagre så lenge du har krav om å ha historikk på en ordre. Etter dette skal informasjonen slettes. 2) Samtykke: Samtykke er et lite sikkert grunnlag for å ta vare på noens opplysninger - dette fordi kunden kan trekke samtykket sitt like lett som de har gitt det til deg. Samtykket skal altså være helt frivillig, det skal ikke være noen tvil om hva de samtykker til og de skal kunne trekke tilbake samtykket sitt like enkelt som de har gitt det. Og da skal de slettes. Et godt eksempel på når du benytter samtykke-grunnlaget er når du samler inn epostadresser for markedsføring. Da er du avhengig av kundens samtykke for å sende de informasjon. Viktig! Du må kunne dokumentere hvordan og når samtykket er innvilget. Slette betyr slette Ha kontroll på sletting av data. Å slette noe eller noen er ikke bare å skjule dem i systemet. De skal slettes helt. Hvis noen melder seg av en epostliste - så skal eposten slettes. Vær oppmerksom på at det er ikke all info den registrerte kan kreve slettet - her er det også andre hensyn som må taes som for eks bokføringsloven. Så du trener ikke slette blindt uten å sjekke om du faktisk MÅ beholde informasjonen. Men en grei regel er uansett at; "Kjekt å ha-prinsippet" hører ikke hjemme sammen med personvern. Hvis du ikke kan vise til et grunnlag for å beholde informasjonen du sitter på - så skal det slettes. Og slettes betyr slettes. Hva må du som driver nettbutikk gjøre?
Her er en kortfattet oversikt over hva som må gjøres for å forberede seg på GDPR.
Utfør en risikoanalyse slik at dere får oversikt over “potensielle risikofaktorer”. Hvor lagrer du personopplysninger? Hvem sender du det til? Hvilken risiko er tilknyttet dette?
Sett deg inn i regelverket. Se siste avsnitt i denne artikkelen, her er mange gode kilder for informasjon.
Sørg for at avtaler med alle “eksterne systemer” som du sender persondata til er GDPR compliant.
Sørg for at din bedrift følger de nye personvernreglene før GDPR trer i kraft. Det er ingen "overlappingsperiode" på nye lover og forordninger i EU slik vi er vant med i Norge.
Hva skjer hvis jeg ikke retter meg etter det nye lovverket?
Du kan få bøter opp til 4% av omsetningen, opp til 20 mill. Euro. Ergo har du ikke noe valg. Her er det bare å starte jobben.
Nyttige kilder til mer informasjon om GDPR:
Du kan lese om Mystore og Butikkpikenes arbeid og få mer info her: https://www.butikkpikene.no/personvern
Datatilsynet har mye bra informasjon
Trollweb var tidlig ute med en informativ artikkel rundt GDPR