Annonsørinnhold fra  
Advertiser company logo

Snart kan bedriften få milliardbøter under denne EU-loven

Dette betyr den nye personvernloven.

Del

Datakriminalitet og innbrudd, overvåkning, annonser som sporer bruksmønsteret ditt uten tillatelse, alt er en del av vår moderne virkelighet. Det er behov for et lovverk som regulerer dette, og som krever at alle som jobber med personopplysninger må følge disse lovene.

Du har trolig hørt om GDPR: EU-forordningen som trer i kraft i mai 2018, og vil ha stor innvirkning på personvernlover, også i Norge. Via EØS blir også GDPR til norsk lov. Det betyr at norske bedrifter og virksomheter får nye plikter de skal forholde seg til, og de som får sine opplysninger registrert, får nye rettigheter.

Det begynner å haste: Hvis virksomheten ikke følger GDPR-retningslinjene når de trer i kraft, risikerer den bøter på opptil 4% av den totale omsetningen. Det svir.

Det er flere ting din bedrift må tenkte på i forkant av loven, spesielt innenfor disse tre ansvarsområdene:

Jobber du i HR? Dette er viktig:

Når GDPR trer i kraft om ett år, vil en rekke bedrifter og virksomheter være pålagt å ha et personvernombud. Dette gjelder spesielt offentlige virksomheter, de som driver med systematisk og regelmessig overvåkning, samt de som behandler sensitive personopplysninger i stort omfang.

Det er ombudets rolle å være involvert i behandlingen av personopplysninger. Alle som er registrert i disse opplysningene, skal kunne ta kontakt med ombudet for eventuelle spørsmål, under taushetsplikt. Ombudet skal samtidig rapportere til øverste ledelse, være uavhengig og nøytralt.

Det betyr at vedkommende vil være både en intern veileder og en vaktbikkje. Det er viktig at ombudet er så uavhengig som mulig og tør å si i fra.

HR-avdelingen blir også nødt til å utarbeide mer detaljerte personvernerklæringer, avklare hvor lenge persondata blir lagret, og gi de ansatte rett til innsyn i data. De ansatte skal samtidig gi eksplisitt samtykke til hva slags persondata brukes, da kravene til dette blir skjerpet. De ansatte skal kunne trekke samtykke fra spesifikke elementer. Også dokumenter som jobbsøknader blir omfattet av kravene.

Jobber du i IT-avdelingen? Husk dette:

GDPR innebærer også endringer i hverdagen for IT-ansvarlige i bedrifter. Det vil stilles større krav til generell IT-sikkerhet, bruk av nettsky og bruk av sertifiseringer.

Bruk av nettskylagring i bedrifter er blitt svært utbredt de siste årene, men med strengere krav på personvern vil det trolig bli slutt på å lagre personlig informasjon i skyen. Bedrifter blir nødt til å være forsiktige med å utveksle data med andre land, og spesielt fra EU til USA. Det er sannsynlig at leverandører av lokale driftstjenester vil oppleve økt interesse.

Når det gjelder generell sikkerhet, vil en IT-ansvarlig måtte melde inn sikkerhetsavvik til datatilsynet innen 72 timer. Et innbrudd eller andre uregelmessigheter må altså rapporteres ganske så øyeblikkelig, og det stilles også krav til hva som rapporteres og hvem som varsles. I de mest alvorlige tilfellene må de som det er frastjålet data om også varsles.

Ikke minst skal alle nye systemer ha satt opp den mest personvernvennlige innstillingen som standard.

Jobber du med markedsføring? Dette må du tenke på:

Dagens annonser baserer seg i stor grad på data om brukere og kunder. Derfor vil GDPR ha innvirkning på hvordan markedsavdelingen i mange bedrifter arbeider fremover.

Det vil blant annet kreves at kunden gikk eksplisitt samtykke til bruk av data, før dataene i det hele tatt brukes. Brukeravtaler med kunder må klargjøres hvis man vil fortsette med sporing av internettbaserte annonser og lignende. Skal man levere personlig reklame, som for eksempel viser forslag til produkter brukeren kan kjøpe basert på tidligere historikk, må man ha et tydeligere avtalegrunnlag.

Det innebærer også at det ikke vil være tillatt å fortsette å sende annonser på epost eller andre kanaler bare fordi brukeren har vært innom nettbutikken en gang. Det må finnes et ordentlig kundeforhold. Brukeren skal kunne slette data som er lagret når de ønsker det, så det må være tilrettelagt for å «bli glemt».

Det er viktig at markedsavdelingen har dialog med både IT-avdelingene og HR-personene i bedriften, for å løse utfordringene mest mulig smertefritt.