De fleste har fått med seg den nye europeiske personvernforordningen (GDPR) som trer i kraft 25. mai. Forordningen kommer til å bli gjeldene for alle land i hele EU og EØS-området. Dette styrker alle innbyggeres kontroll over egne personopplysninger og sikrer også at informasjon beskyttes, selv når den blir overført mellom landegrenser og til andre kontinenter. GDPR påvirker nemlig også land utenfor EU; i de tilfeller der personopplysninger fra brukere innenfor EU blir behandlet utenfor EU skal EUs personvernforordning følges. Den skal sikre en trygg og god behandling av personopplysningene. 

Vi har som hovedvirksomhet å behandle personopplysninger.

For oss betyr dette at vi må ta en gjennomgang av våre rutiner rundt personvern, både internt og for alle våre kunder. Alle foretak har et ansvar både som behandlingsansvarlig og i mange tilfeller som databehandler. Ansvaret som databehandler er kanskje også mest aktuelt for oss. Vi har som hovedvirksomhet å behandle personopplysninger. Enten det er personopplysninger fra nettsider, nettbutikker eller nyhetsbrev, så stilles det krav til at vi kartlegger og utarbeider en oversikt over all databehandling vi foretar oss på en daglig basis, og hvilken rettslig hjemmel som ligger til grunn for den databehandlingen vi gjør. I de fleste tilfeller er et eksplisitt samtykke tilstrekkelig for å behandle personopplysninger. Det som er nytt er derimot begrensningene for hva et samtykke kan gjelde for, hvor lenge samtykket gjelder og brukerens rett til å trekke tilbake eller endre samtykket som er avgitt. Vi tar GDPR på alvor, derfor har daglig leder Morgan Eriksson tatt kurs i emnet, og Joakim Milian Elden tar for øyeblikket deltidsstudier for å bli vårt personvernombud.

Hva betyr dette for meg og mitt foretak?

Dette er et vanskelig spørsmål fordi det kan variere fra bedrift til bedrift, men GDPR vil påvirke alle foretak. Mange vil oppleve at de allerede har mange tiltak på plass, fordi mye av den nye lovgivningen allerede eksisterte i vår personopplysningslov. Denne var det imidlertid ikke alle som fulgte så nøye, og derfor kan GDPR virke overveldende for en del foretak. Datatilsynets veileder er en god start. Gjennom veilederen får man et godt innblikk i hva man må tenke over. Generelt for de fleste foretak som er aktive i digitale kanaler er det noen regler som vil gå igjen. De sentrale reglene er blant annet: krav til samtykke, rett til innsyn, sletteplikten, krav til minimering av data og lovlig grunnlag for behandlingen. Her er noen eksempler på hvordan innvirkning disse reglene kan ha på et foretak:

  • Kontaktskjemaer:

    I kontaktskjemaer skal det ikke innhentes mer personopplysninger enn det som er nødvendig for behandlingen av forespørselen. Dataene skal heller ikke lagres lenger enn det som er nødvendig. Et eksempel på dette kan være henvendelser fra kunder. En kunde har et spørsmål om et produkt som selges i en nettbutikk. Kunden ønsker å bli kontaktet på e-post, og dermed er det ikke nødvendig at han/hun fyller inn telefonnummer. Kunden skal også bli informert om hva personopplysningene blir brukt til, og man har ikke lov til å bruke personopplysningene til andre formål enn det som tydelig fremkommer (i dette eksempelet for å besvare et spørsmål om et produkt). Når henvendelsen er besvart skal alle personopplysninger slettes, f. eks en e-post fra et kontaktskjema.

  • NYHETSBREV:

    Det er ofte vanlig å sende ut nyhetsbrev til hele kundelisten sin og i mange nyhetsbrevløsninger er det standard å oppgi lenke for oppsigelse og/eller endring av nyhetsbrevabonnement. Når den nye lovgivningen trer i kraft vil det ikke lenger være lov å sende ut nyhetsbrev til hele kundelisten. Man må innhente tydelig samtykke fra mottakerne og samtykket skal lagres og være lett tilgjengelig. Det skal være enkelt for brukeren å endre opplysninger om seg selv, endre abonnementet og/eller si opp abonnementet. Nytt samtykke må innhentes hvert år. Her kan man være føre var og sende ut en e-post til alle abonnementer der man lenker til en side der brukerne blir informert om den nye lovgivningen, på grunnlag av det kan de gi samtykke.

  • Informasjonskapsler (cookies):

    Når det kommer til cookies holder det ikke lenger å ha den tradisjonelle «cookieboksen» som sier noe om at «denne siden lagrer cookies på din enhet og vi må bruke cookies for at siden skal fungere optimalt». Nå skal brukeren bli informert om hvilken type cookie som blir brukt, hvilke opplysninger som blir lagret, hva formålet med disse opplysningene er og hvem som bruker disse opplysningene. Når brukeren har blitt informert om dette kan den til slutt velge å gi et frivillig samtykke. Det skal også være lett for brukeren å angre seg i etterkant, eller å få informasjonen som cookien har lagret slettet.
    Når du ber om å lagre en cookie på andres enheter skal det komme tydelig frem.

  • Brukerregistrering:

    Har du et nettsted der brukerne kan lage seg en brukerprofil, f. eks. i en nettbutikk, er det viktig å informere om hvorfor man trenger å fylle inn informasjonen som kreves. Det er ikke noe fasit på hvordan man gjør dette, men det kan f. eks. være ved at en boks popper opp over feltet man fyller inn. Som nevnt skal det heller ikke spørres om mer informasjon enn det som er nødvendig, etter kravet om minimering av personopplysninger. Om brukeren skal kjøpe et produkt og betale med faktura, så trenger han/hun kanskje å fylle inn sitt fødselsnummer. Dette er imidlertid ikke informasjon som trengs å lagres på brukeren, de sensitive opplysningene trengs bare for å fullføre akkurat den transaksjonen.

Det er altså en del mindre tilpasninger som antagelig må til for å tilfredsstille de nye reglene. Det er likevel en liten pris å betale for å kunne betraktelig høyne graden av informasjonssikkerhet for folk flest. Man skal også være obs på om man hoster nettstedene sine hos en tredjepart. Har tredjeparten gode nok tiltak for å opprettholde god informasjonssikkerhet, og har de en plan på hvordan de skal følge den nye lovgivningen? En databehandleravtale vil kanskje være nødvendig. Datatilsynet forventer nok ikke at alt skal være perfekt fra 25. mai. Det vil være en prosess å arbeide med den nye lovgivningen, implementere den i det daglige arbeidet og finne de gode løsningene. Det som er viktig er at man gjør det man kan allerede nå, og fortsetter å jobbe med GDPR kontinuerlig i årene som kommer.

Still OSS spørsmål OM GDPR

Vi i Spire kommer til å lage en plan på hvordan vi kan informere våre kunder med rett informasjon tilpasset de løsningene de har hos oss, og bistå med forslag til løsninger vi kan implementere for å følge regelverket. Har du spørsmål? Ta kontakt enten du er kunde hos oss eller ei, og vi kan hjelpe deg med det du lurer på. Ring vårt personvernombud på tlf: +47 949 87 804 eller send en e-post til post@spire.as.