De nye reglene gir flere og strengere plikter enn før, men også nye muligheter til å bruke personvern som et konkurransefortrinn. Dette er den største endringen i den europeiske personvernlovgivningen på over 20 år.
Hvem gjelder de nye reglene for?
De nye personvernreglene vil gjelde for alle som behandler personopplysninger. Personopplysninger er all slags informasjon og vurderinger som kan knyttes til en enkeltperson.
Det kan være navn, fødselsnummer, e-postadresse, IP-adresse, fingeravtrykk eller et bilde som identifiserer noen. Opplysninger om atferdsmønstre er også regnet som personopplysninger. Som for eksempel opplysninger om hva du handler eller hvor du beveger deg i løpet av en dag.
Elektronikk-kjeder i Norge behandler typisk personopplysninger om sine kunder og sine ansatte, for eksempel innsamling av personopplysninger direkte fra kunden ved kjøp av varer, lagring av disse personopplysningene til senere bruk, sammenstilling av personopplysninger fra ulike registre, analyse av personopplysninger for å finne sammenhenger og mønstre eller utlevering av personopplysninger til tredjeparter.
Virksomheter som holder til utenfor Europa må også følge de nye personvernreglene, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette kan ha betydning for produsenter av forbrukerelektronikk så fremt disse virksomhetene eksempelvis samler inn og analyserer personopplysninger fra produktene sine.
Det krever ressurser å sette seg inn nye regler, lage nye rutiner og lære opp ansatte. Derfor er det viktig at virksomhetene i elektronikkbransjen allerede nå lager en plan for overgangen
Hvorfor endres loven?
Hensikten med å innføre nye personvernregler er å sørge for at det blir felles forståelse av rettigheter og plikter for personvern i alle europeiske land. Dette skal bidra til å styrke personvernet til den individuelle europeer og øke deres tillit til tjenester i den digitale verden.
I en tid der personalisering og kjøp og salg av personopplysninger har blitt egen industri, er det nødvendig å legge bedre til rette for at vi som enkeltpersoner har bedre kontroll over hvem som vet hva om oss og hvorfor.
I tillegg skal det bli lettere å utveksle personopplysninger mellom land, og mellom bedrifter og offentlige virksomheter. Dette skal gi europeiske bedrifter konkurransefortrinn i et internasjonalisert marked for informasjonstjenester. For eksempel vil virksomheter som har kunder i flere enn ett europeisk land slippe å forholde seg til ulike personvernregler i disse landene. Det samme gjelder for virksomheter som lagrer data i et annet land enn der de selv holder til.
De 10 viktigste endringene fra i dag
Det krever ressurser å sette seg inn nye regler, lage nye rutiner og lære opp ansatte. Derfor er det viktig at virksomhetene i elektronikkbransjen allerede nå lager en plan for overgangen til de nye personvernreglene og setter av tilstrekkelige ressurser til dette arbeidet.
Datatilsynet har laget en oversikt over de 10 viktigste endringene som de nye personvernreglene medfører. Denne oversikten kan være til hjelp i virksomhetenes arbeid de neste månedene.
1. Alle norske virksomheter som behandler personopplysninger får nye plikter
Alle virksomheter som behandler personopplysninger må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.
2. Alle skal gi informasjon på en forståelig måte
Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.
3. Alle skal vurdere risiko og personvernkonsekvenser
Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.
4. Alle skal bygge personvern inn i nye løsninger
De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.
5. Mange virksomheter må opprette personvernombud
Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.
6. Reglene gjelder også virksomheter utenfor Europa
Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter.
7. Alle databehandlere får nye plikter
Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.
8. Alle bør samarbeide i egne nettverk og følge bransjenormer
De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Hvis virksomheter følger normen for behandling av personopplysninger i sin bransje skal dette regnes som en tilstrekkelig dokumentasjon på at virksomheten har de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.
9. Alle får nye krav til avvikshåndtering
Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag.
10. Alle må kunne oppfylle borgernes nye rettigheter
Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.
Hva bør du gjøre nå?
Mye av det norske regelverket videreføres i de nye personvernreglene. Derfor er det, akkurat som i dag, aller viktigst at alle virksomhetene i elektronikkbransjen har en oversikt over hvilke personopplysninger de har lagret hos seg og hvorfor virksomhetene har behov for akkurat denne informasjonen.
Når du har oversikt over hvilke opplysninger du har, bør du sørge for at du følger dagens lovkrav i personopplysningsloven og personopplysningsforskriften. Gode rutiner som følges i butikken og er kjent for de ansatte er nøkkelord for dette. Deretter bør du sette deg inn i det nye regelverket og hva det betyr for nettopp din virksomhet. Når det er gjort, vil du ha en oversikt over hvilke endringer du må gjøre og hvilke rutiner du må få på plass for å følge reglene fra mai 2018. Et særlig aktuelt tema i denne fasen kan for eksempel være å begynne arbeidet med en felles bransjenorm for håndtering av personopplysninger i elektronikkbransjen.
Datatilsynet har en egen nettside med informasjon om de nye personvernreglene, se datatilsynet.no. Vi jobber ellers så fort vi kan med å utrede reglene, og så snart noe er avklart vil vi formidle det på nett, i nyhetsbrevet vårt og i andre kanaler. Om du har noen spørsmål om det nye regelverket kan du og kontakte oss på nyeregler@datatilsynet.no.