EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Transkript

1 EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

2 Hvor er vi nå? Ny personopplysningslov trer i kraft senest Ingen «amnestiperiode», virksomheter må være innenfor lovverket før loven og forordningen trer i kraft Erstatter personverndirektivet av 1995, og personpplysningsloven av 2000 og personopplysningsforskriften

3 Hva er ikke nytt? Krav til lovlig behandlingsgrunnlag * Grunnleggende personvernsprinsipper videreføres Definisjoner av hva som er personopplysninger stort sett likt, men noen utvidelser hva gjelder sensitive personopplysninger Spesielle norske regler: - epostinnsyn - kameraovervåking

4 *Lovlig behandlingsgrunnlag Nødvendighet - oppfylle avtale - oppfylle rettslig forpliktelse - verne vitale interesser - utføre en oppgave i allmenhetens interesser/offentlig myndighet - interesseavveining Samtykke (kommer nærmere tilbake til dette)

5 - Svarer du ja på noen av disse spørsmålene?: - Oppbevarer bedriften din persondata? - Lagrer bedriften din opplysninger som kan identifisere en person? - Driver du med e-postmarkedsføring mot privatpersoner, sender nyhetsbrev, DM eller SMS til medlemmer av en kundeklubb eller andre personer, tilbyr en app eller andre tjenester til personer som bes registrere seg med navn eller epost-adresse? - Bruker du en leverandør for å behandle bedriftens persondata, for eksempel en serverleverandør eller en nettskytjeneste, på vegne av bedriften din? I SÅ FALL MÅ DIN BEDRIFT IVERKSETTE TILTAK SOM MÅ PÅ PLASS FØR 25.MAI 2018! - Dagens lovverk er ikke tilpasset dagens digitale utvikling; nytt lovverk vil sikre kontroll med hvem som vet hva

6

7 Dagens situasjon: - Alle bedrifter er lovpålagt å håndtere kundelister, ansattopplysninger og andre personopplysninger på en sikker måte. - Eksempelvis: NHO har verktøy som tilfredsstiller dagens lov, som et utgangspunkt som gjør det lettere å følge ny lov i 2018: Datakartlegging Avviksanalyse Internkontroll (Pvl. 14) - I forhold til ansatte; veileder laget av Arbeidstilsynet, Datatilsynet og Petroleumstilsynet vedr. Kontroll og overvåking i arbeidslivet

8 Eu's forordning = norsk lov - landene selv kan ikke gjøre små tilpasninger, men teksten skal tas direkte inn i landets lovgivning - Formålet er at et felles regelverk i Europa skal styrke europeiske borgeres rettigheter, gjøre det lettere å utveksle personopplysninger over landegrenser, styrke tillit til digitale tjenester og sikre samarbeid mellom personvernmyndigheter - Konsekvenser kan være bøter opp til 20 millioner Euro eller 4% av bedriftens globale omsetning - Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter

9 Noen definisjoner: Personopplysning Sensitiv personopplysning (helse, fagforening) Behandlingsansvarlig og behandling - eksempel: Dersom vi har lov til å sende deg et nyhetsbrev fra vår FB/webside, og derfor lagrer din informasjon i vårt CRM og sender deg nyhetsbrev, er dette behandling. Databehandler - Den som behandler personopplysninger på vegne av den behandlingsansvarlige (IKT) Behandlingsgrunnlag: Ved lov Nødvendig for å oppfylle en avtale; f. eks tilgang til kurs Ved samtykke* *Vurdering f eks ved salg/markedsføring: Behandlingsgrunnlag: berettighet interesse (mulig grunnlag for å behandle personopplysninger. Fordelene for deg er større enn datasubjektet opplever ved at du behandler deres opplysninger. Kan spekuleres i.

10 SAMTYKKE (GDPR-artikkel 4 nr. 11) - Samtykke er en hver frivillig, spesifikk, informert og utvetydig viljestyring. Det er altså en rekke krav til at et samtykke skal være lovlig, og alle krav må være innfridd. Et gyldig samtykke må være avgitt frivillig Samtykket må være spesifikt Samtykket må være utvetydig (aktiv handling, «opt in», ikke «opt out». Aktivt sier at man samtykker, ikke at man må foreta seg noe for ikke å samtykke. Inktivitet eller taushet er ikke å samtykke. Å swipe i en app kan være aktivt samtykke, men swipen må kunne dokumenteres. Den som gir samtykket, må være informert Siden det er mange, og strenge, krav til samtykke så kan og b

11

12 Flere nyttige ting å vite om GDPR-reglene: Trenger du samtykke til alt? - Les mer om samtykker hos Datatilsynet Kartlegg hva du gjør i dag, endre det som ikke er lovlig etter de nye reglene Om du markedsfører deg i flere land, er det samme GDPR-regelverk innen EU/EØS Du er pålagt å slette informasjon om folk dersom de ber om det Kontakter kan velge at informasjon kan lagres, men ikke brukes - Rett til begrenset behandling. Skiller ikke mellom B2C og B2B Du må kunne dokumentere og påvise at du har samtykke til å kontakte de som er i listene dine Bare be om den informasjon du virkelig trenger Planlegg å sende avviksmeldinger så fort som mulig etter at avvik har skjedd - Ingen 72-timers regel. Den registrerte skal varsles uten ugrunnet opphold, som er så raskt man kan uten at det foreligger noen grunn til å utsette varslingen.

13 - Flere nyttige ting.. Opplysninger skal ikke brukes nye, uforenlige formål. Kun sende informasjon som samtykket gjelder Kontaktene dine har rett til å motsette seg automatisere prosesser Bruk CRM-system som forenkler jobben Hva med cold calling? Fortsatt lov uten samtykke innen gitte rammer Rydd opp i dokumentområder og i innboksen din! Og Gmail, Outlook, Dropbox, CRM Samtykket er evigvarende (ikke lenger 12 måneders regel); men kun behandle så lenge det foreligger formål for behandlingen så samtykket er sjeldent «evigvarende» Be om dokumentasjon på at dine leverandører følger de nye personvernreglene Mye eldre data; desto større grunn for opprydding MÅ ha databehandleravtale med alle som har tilgang til din data om personer og bedrifter Dine leverandørers underleverandører skal fremkomme i databehandleravtalen du har med leverandørene Du må ha databehandleravtale med alle systemer du bruker samt lager informasjon om personer i (eks Surevymonkey)

14 Så blir det gøy markedsavdelingens muligheter! Definer samtykke for alle kontakter; lag lister, definer hvilke samtykke som må til for ulik informasjon. Se det som en mulighet for å rydde opp i en stor database med mye «listefyll» Lag retningslinjer for nye kontakter, sørg for at alle kampanjene dine er i tråd med regelverket for GDPR (oppdater skjema så det lenker videre til privacy policy) Benytt anledningen for å innhente samtykket fra eksisterende kontakter Involver og samarbeid med salgsavdelingen (samtykke for leads) Viktig å være forberedt på krav og henvendelser for innsyn og sletting utpek en behandlingsansvarlig Privacy policy; lag landingsside med forståelig tekst for hvordan personvern i varetas i bedriften. Lenke i footeren eller under «om oss»? Hva med datainnbrudd? Krisehåndtering; varsling og kommunikasjon Rydd opp i databasen og kom i gang! Worst case; du sitter igjen med en database etter den 25.5 som du ikke har lov å kontakte

15 Hva kan gjøres med en gang? - Kartlegging: finn ut hvilke personopplysninger som håndteres, hvordan de samles inn og hvem som har tilgang til disse opplysningene - Rutiner: ha tydelige rutiner for håndtering av personopplysninger, på hvordan man sikrer at data ikke kommer på avveie (risikovurdering) - Velg et personvernombud (gjelder IKKE alle, vurderingssak) - Sørg for å oppfylle dagens lovkrav: ved å følge dagens krav blir det enklere å skaffe seg oversikt over hva som må endres for å etterleve de nye reglene - Tydelige regler for hvordan samtykke skal gis: Dette kan gjelde opplysninger som skal videre til skattemyndighetene, NAV, forsikring etc. SJekkliste:

16 Følg med på : Datatilsynet Regjeringen EU

17 Takk for oppmerksomheten! Tove K. Gulbrandsen Odal Næringshage Tlf