Nye personvernregler fra 20 juli 2018 hva betyr dette for din virksomhet?

Den 25. Mai 2018 trådte som kjent EUs nye personvernforordning i kraft; GDPR – General Data Protection Regulation. 20. Juli 2018 trådte ny personopplysningslov i kraft i Norge. Vi vil minne Ren Fordel sine medlemmer om disse reglene. Reglene om personvern stiller strenge og omfattende krav til virksomheters behandling av personopplysninger. Brudd på reglene kan medføre høye bøter.

Strengere krav til behandling av personopplysninger

De «nye» reglene er mer detaljerte og mer omfattende enn tidligere. Alle virksomheter behandler på en eller annen måte personopplysninger og blir omfattet av reglene.

Har dere oversikt over hvilke personopplysninger din virksomhet lagrer? Har dere tydelige rutiner for varsling av de du har opplysninger om? Har dere utarbeidet en personvernerklæring? Må din virksomhet ha personvernombud? Hvordan ligger dere an med internkontrollen? Er dere klare til å gjennomføre risikovurdering? Har dere en beredskapsplan i tilfelle personopplysninger hos deg skal kommer på avveie?

Med et bøtenivå på opptil 4 % av årlig global omsetning eller 20 millioner euro bør personvern settes på agendaen i alle ledermøter og i styrerom. Utgangspunktet er at behandlingsansvarlig og databehandler svarer for de feilene de gjør.

Alle virksomheter må dokumentere at de overholder GDPR, vil det si at dere må utarbeide hensiktsmessige retningslinjer for å kunne dokumentere personopplysnings prosesser. Det kreves at alle personopplysnings prosesser skjer i systemer og tjenester som overholder GDPR. Fordi det ikke kan forventes at alle behandlingsansvarlig har teknisk innsikt og forståelse, vil det være nødvendig med en databehandleravtale mellom behandlingsansvarlig og databehandler. Denne avtalen skal blant annet ta for seg ansvarsområdene til hver enkelt.

En databehandleravtale bør som et minimum inneholde:

  • Formålet med personopplysningene.
  • Beskrivelse av hvordan opplysningene skal behandles.
  • Valg av underleverandør (den som leverer tjenestene til databehandleren) må reguleres.
  • Beskrive hvordan en sikrer å ivareta kundens rettigheter.
  • Databehandleren må forsikre om informasjonssikkerheten.
  • Avtalens varighet.

Vi vet at kunder handler fra aktører de stoler på. Hvordan din virksomhet behandler kundedata handler også om å bygge nødvendig tillit og gode kunderelasjoner.

Ta gjerne kontakt med advokat Mollestad Oppegaard i Advokatfellesskapet Lovende på telefon 95113124 for en samtale om hvordan vi kan rådgi dere med å kvalitetssikre arbeidet med behandling av personopplysninger, om ønskelig implementering av GDPR. Referanser oppgis på forespørsel. Om ønskelig kan vi ta oppgaven med å være personvernombud for virksomheten.