Nye personvernregler fra mai 2018 - Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen
Bakgrunn Ny personvernforordning vedtatt i EU 14. april 2016 Trer i kraft i Norge 25. mai 2018 Erstatter dagens personopplysningslov fra 2000 Moderne og harmonisert europeisk lovgiving Økt innsamling og bruk av kundedata, enorme muligheter: Personrettet reklame Skreddersydd avis Forsikring basert på individuell risiko Segmentering av tilbud Osv. Etterlevelse motiveres gjennom økt bøtenivå
Er dette relevant for din virksomhet? Gjelder alle virksomheter som behandler personopplysninger Personopplysninger er opplysninger som kan knyttes til en enkeltperson Kan være opplysninger knyttet til ansatte, kunder, medlemmer osv. Gjelder alle virksomheter innenfor Europa, og alle som tilbyr varer/tjenester til borgere innenfor EU/EØS Relevant for de aller fleste (alle?) Virkes medlemmer 4
Personvernkonsekvenser Hva betyr det for din virksomhet? Bryter lovverket Innenfor lovverket Investeringer
Hva bør dere gjøre nå? 1) Skaff oversikt over hvilke personopplysninger dere behandler 2) Sørg for å oppfylle dagens lovkrav 3) Sett dere inn i nye krav 4) Oppdater rutinene for behandling av personopplysninger for å oppfylle nye krav Følg Virkes 7 steg 6
Hva blir nytt? Data Klart språk og åpenhet Strengere informasjonskrav Klart, tydelig og forståelig Strengere krav til samtykke Dokumenteres Personlig oppfølging Nye rettigheter for borgerne en tydeligere rett til å kreve sletting av egne personopplysninger (retten til å bli glemt) rett til å kreve at behandlingen begrenses rett til å ta med seg opplysningene til en annen virksomhet (dataportabilitet) rett til å motsette seg profilering og automatiserte avgjørelser (f.eks. der profilen brukes som ledd i direkte markedsføring) 7
Hva blir nytt? Bedrifter får større ansvar for personvern Økt dokumentasjonskrav Plikt til å vurdere personvernkonsekvenser og identifisere risikoreduserende tiltak Innebygd personvern Personvern som standardinnstilling Avvikshåndtering Personvernombud Alle offentlige og mange private Skal være bindeledd mellom virksomheten, de registrerte og Datatilsynet Kan være en ansatt eller en profesjonell tredjepart Databehandlere får direkte ansvar Gjelder virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten Ofte IT-leverandører 8
Virkes 7 steg mot nye personvernregler
Personvern handler om kundens tillit Personvern handler om kundes tillitt Ikke bare om datasikkerhet Flytt ansvaret fra datarommet til styrerommet ALLE VIRKSOMHETER MÅ GJØRE EN JOBB JOBBEN GJØR SEG IKKE AV SEG SELV 10
Verktøy Artikler, sjekklister, maler Sjekkliste Punktvis liste over tiltak som virksomheten må gjennomføre Maler Personvernpolicy Internkontrollrutiner Informasjonssikkerhet 11
Virke.no/personvern 12
Bli klar i tide - følg Virkes 7 steg: 1. Kartlegg hvilke personopplysninger du behandler 2. Sikre at behandlingen er lovlig 3. Utarbeid en klar og forståelig personvernerklæring 4. Oppdater rutiner for internkontroll 5. Oppdater rutiner for informasjonssikkerhet 6. Vurder om du må ha at personvernombud 7. Sikre lovlig overføring av data 13
Skaff deg en oversikt over hva du behandler 14
Har du lovlig grunnlag for å behandle personopplysninger? Lovlige grunnlag for behandling finner man i dag i personopplysningsloven 8. De samme grunnlagene vil også gjelde etter den nye personvernforordningen. Ofte vil de mest praktiske grunnlagene være at behandlingen følger av lov, at personopplysningene er nødvendige for å oppfylle en avtale eller at det er gitt uttrykkelig samtykke til å bruke opplysningene til bestemte formål. For eksempel; - navn og kontaktdata slik at ordrebekreftelse og varer kan sendes ut - Dersom opplysningene skal brukes til markedsføringshenvendelser, må det innhentes et særskilt samtykke fra kunden. Samtykke skal være frivillig, uttrykkelig og informert 15
Utarbeid en klar og forståelig personvernerklæring Strengere krav til hvordan man opplyser sine kunder om personopplysningene som samles inn, og virksomhetens rutiner for behandling. Klar til klarhet og at opplysningene gis på en enkel og forståelig måte Der personopplysninger samles inn, for eksempel ved et kjøp på nett, inngåelsen av et abonnement eller lignende, skal det blant annet gis informasjon om hvilke opplysninger som samles inn fra kunden, hva opplysningene skal brukes til, hvor lenge opplysningene lagres, rutiner for sletting osv. Kan med fordel samles i en egen personvernerklæring som legges lett tilgjengelig på virksomhetens hjemmeside. Virkeadvokatene har utarbeidet en standard mal for hvordan en slik personvernerklæring kan se ut. 16
Standard mal for personvernerklæring 17
Bli klar i tide - følg Virkes 7 steg: 1. Kartlegg hvilke personopplysninger du behandler 2. Sikre at behandlingen er lovlig 3. Utarbeid en klar og forståelig personvernerklæring 4. Oppdater rutiner for internkontroll 5. Oppdater rutiner for informasjonssikkerhet 6. Vurder om du må ha at personvernombud 7. Sikre lovlig overføring av data 18
For mer informasjon, følg med på www.virke.no/personvern 18.04.2017 Navn på foredragsholder Navn på foredrag