Weekly News

Dette må din bedrift vite om GDPR

EUs forordning GDPR (General Data Protection Regulation) for personvern blir norsk lov i mai 2018. De nye reglene vil blant annet få store konsekvenser for hvordan norske bedrifter håndterer personopplysninger.

– Personopplysningsloven stiller allerede krav til behandling av personopplysninger. Etter eksisterende lov må den behandlingsansvarlige blant annet dokumentere hvordan personopplysninger behandles og til hvilket formål, sier Emily Mary Weitzenboeck, advokat hos Wikborg Reins teknologi- og digitaliseringsteam.


Hun mener de som allerede innfrir kravene til eksisterende lovverk har et mye bedre fundament for å etterleve kravene i GDPR. Allikevel bør alle bedrifter gjøre en gjennomgang av lagring og behandling av personopplysninger.
– Den største utfordringen vil være for bedrifter som ikke er klar over lovgivningen som nå kommer i revidert form. Da må man gjennomføre en gjennomgang av hvordan personopplysninger behandles fra bunnen av, sier hun og fortsetter:
– Som for all annen lovgivning gjelder dette alle bedrifter, så den enkelte bedrift må kartlegge om de sitter på opplysninger som rammes av bestemmelsene i loven.

GDPR vil spesielt ramme bedrifter som baserer sin forretningsdrift på bruk og salg av personopplysninger.
– Bedrifter som har store kundedatabaser og aktivt bruker denne informasjon i sin forretningsvirksomhet bør være ekstra oppmerksomme på GDPR. Mange store selskaper bruker personopplysninger i forbindelse med markedsføring, og i noen tilfeller selges kundeinformasjonen mellom bedrifter. Den nye lovgivningen vil tydeliggjøre kundenes rettigheter knyttet til slik lagring og bruk av personopplysninger, sier Pål Wien Espen, advokat og leder for teknologi - digitaliseringsteamet av advokater hos Wikborg Rein.
– I utgangspunktet må bedrifter som samler personopplysninger ha samtykke for et spesielt formål. Dette er viktig å sørge for er på plass for de som ønsker dele informasjonen med samarbeidspartnere eller selge den til kommersielle aktører. Slike bedrifter har god grunn til å sette seg godt inn i GDPR, sier han.

Dagens lovgivning stiller særskilte krav til behandling av sensitive personopplysninger. Med GDPR utvides kravene og pliktene til de som behandler sensitive personopplysninger.
– For eksempel behandling i stor skala av sensitive personopplysninger krever en vurdering av personvernkonsekvenser. Før behandlingen, må den behandlingsansvarlige foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet, og identifiserer risikoreduserende tiltak. Hvis utredningen viser at risikoen er stor og ikke kan reduseres, skal Datatilsynet involveres i forhåndsdrøftelser. For de dette gjelder er det lurt å innhente ekstern juridisk ekspertise, sier Weitzenboeck.

De siste årene har datainnbrudd skapt overskrifter verden over. De største angrepene har resultert i at flere hundre millioner individer har fått personopplysninger på avveie.
– Det kan være flere måter brudd på GDPR blir offentlig kjent. Det kan være kunder som klager på at de ikke får slettet eller av-indeksert personopplysninger. I andre tilfeller kan avvik avdekkes av Datatilsynet som fører tilsyn. I verste tilfelle kan hackere dumpe personopplysninger på internett eller på annen måte misbruke opplysningene, sier Pål Wien Espen.
– Med GDPR innføres et strafferegime etter modell fra konkurranseretten med bøter på opptil fire prosent av global omsetning, eller maksimalt 20 millioner EURO. Dette er den største forskjellen fra eksisterende lovverk, avslutter han.

Share this article

Journalist

Ole Peter Galaasen

Related articles