Dagens personvernregelverk vil i mai 2018 erstattes av EUs nye personvernforordning (GDPR – The General Data Protection Regulation). Virksomheter pålegges nye og strengere plikter, samtidig som privatpersoner får nye rettigheter.
Vi vil kortfattet trekke frem noen hovedpunkter i den nye personvernlovgivningen, herunder hvem som omfattes av nytt regelverk, tips til hva man bør foreta seg nå, kravet til personvernombud, hvilke sanksjoner man risikerer dersom man ikke etterlever det nye regelverket og avslutningsvis mulige fordeler ved implementering av det nye regelverket.
De nye reglene vil gjelde for alle bedrifter som behandler og lagrer personopplysninger om europeiske borgere. I dette det ligger at virksomheter utenfor Europa, som behandler slike opplysninger om personer tilhørende land i EU/EØS, også er forpliktet til å følge reglene.
Personopplysninger er informasjon som på en eller annen måte kan knyttes til et individ, både direkte og indirekte. Med andre ord vil omtrent alle virksomheter i Norge, som på en eller annen måte behandler eller oppbevarer personopplysninger (om kunder, ansatte etc.), omfattes av det nye regelverket.
Hva må gjøres?
Med rundt hundre artikler er den nye forordningen nokså omfattende, men vi vil råde alle virksomheter til at man setter av nødvendige ressurser til å sette seg inn i reglene og identifisere hvilke konsekvenser det nye regelverket får for din virksomhet.
Det anbefales at man skaffer seg oversikt over de krav som trer i kraft fra mai 2018, at man gjennomgår egne rutiner og skaffer seg en oversikt over hvilke personopplysninger man behandler og samtidig hvor disse oppbevares og lagres. Det er selvsagt en fordel dersom man har etterlevd dagens regelverk frem til nå. Da vil man allerede ha gode rutiner innarbeidet og dokumentasjon tilgjengelig. Dersom man ikke har oppfylt kravene i dagens lovgivning er det en del mer forarbeid som må gjøres for å komme på et tilfredsstillende nivå.
De nye personvernreglene gjør det nødvendig for offentlige virksomheter å stille krav til sine leverandører med tanke på etterlevelse av regelverket der slike leverandører vil komme i kontakt med eller «behandle» personopplysninger på vegne av virksomheten. For eksempel vil offentlige virksomheter i den forbindelse kunne stille krav til at tilbydere ved offentlige anskaffelser dokumenterer etterlevelse av regelverket. Vi ser også at det er et stadig økende fokus blant privatkunder i forbindelse med virksomheters bruk av kundeinformasjon. Følgelig vil det være et betydelig konkurransefortrinn for din virksomhet om dere har oversikt og kontroll på dette, og kan dokumentere gode rutiner og systemer for håndtering av personopplysninger.
Fra mai 2018 må man ha oversikt over hvor og hvordan man lagrer personopplysninger. For eksempel vil dette være avgjørende i de tilfellene en privatperson tar kontakt med virksomheten for å få alle sine personopplysninger slettet. Retten til å få sine personopplysninger slettet fremgår klarere i det nye regelverket. Det blir også strengere krav til hvordan man håndterer avvik, herunder når det skal varsles, hva varselet skal inneholde og hvem som skal varsles.
Oppgaven med å sørge for at man etterlever og opptrer i samsvar med de nye reglene kan løses på flere måter, men enten man benytter seg av intern eller ekstern kompetanse, er det sentralt at man skaffer seg oversikt, foretar risikovurderinger og implementerer gode rutiner og systemer for etterlevelse av de nye reglene til enhver tid.
Personvernombud
I følge dagens lovgivning er ikke virksomheter pliktet til å ha et personvernombud. Dette endres fra mai 2018, ved at alle offentlige og mange private virksomheter pålegges å ha et personvernombud. Personvernombudet skal påse at virksomheten oppfyller de krav som stilles etter ny lov. Videre skal personvernombudet være et bindeledd mellom virksomheten, de som er registrert med personopplysninger og Datatilsynet. Det er viktig å merke seg at selv om man har et personvernombud, er det virksomhetens ledelse som utad har ansvaret for etterlevelse av regelverket. Ombudet kan være en ansatt eller en ekstern innleid konsulent, og man bør vurdere fordelene ved å opprette en slik stilling selv om man i utgangspunktet ikke plikter det. Personvernombudet skal ha en uavhengig rolle, og fritt kunne påpeke og veilede ledelsen om aktuelle forhold internt i bedriften. Vedkommende skal også involveres i bedriftens prosesser der personvernrettslige forhold aktualiserer seg, for eksempel om man skal igangsette nye former for bruk av en eksisterende kundedatabase, eller at innsamlede personopplysninger skal brukes til nye formål.
Sanksjoner
Ved brudd på reglene, vil man, foruten et omdømmetap, risikere langt strengere sanksjoner fra Datatilsynet enn hva som har vært praktisert frem til nå. Dersom det avdekkes grove brudd på reglementet, vil man i ytterste konsekvens risikere administrative bøter på opptil 20 millioner euro eller 4% av foretakets årlige omsetning i forutgående regnskapsår, der høyeste beløp anvendes.
Det gjenstår selvsagt å se hvilket nivå Datatilsynet vil legge seg på, og om selskaper i tillegg risikerer å bli utestengt fra anbudsprosesser – som i saker hvor et foretak har gjort seg skyldig i korrupsjon.
Fordeler?
Dersom man kan vise til at det er gjennomført risikovurderinger eller andre tiltak for å etterleve de nye reglene, vil man skape både trygghet og tillit til nåværende og fremtidige kunder.
En grundig gjennomgang av selskapets rutiner for etterlevelse av de nye personvernreglene, vil ofte medføre at det etableres standardiserte systemer og arbeidsprosesser som kan gjøre virksomhetens drift mer effektiv og kostnadsbesparende.
Dersom man er usikker på hvilken betydning de nye reglene vil ha for sin virksomhet, og ønsker råd eller veiledning, har advokatfirmaet Hammervoll Pind AS kompetanse til å bistå med dette.
Medforfatter: Magnus A. Grape Løvdal
