Dette betyr de nye endringene i personvernloven
Denne uken gikk Personvernkonferansen av stabelen i Kristiansand, hvor fokus var på endringene som kommer i personvernloven som følge av EUs «The General Data Protection Regulation», eller GDPR. Målet med konferansen var å informere bedrifter og næringslivet om hvordan man bør forholde seg til endringene som kommer og hva de innebærer.
- Vårt mål er å spre kunnskap om den nye loven og derfor bestemte vi oss for å holde en samling sammen med Datatilsynet og advokatfirmaet Kluge for å fortelle hva næringslivet står overfor. Responsen har vært svært god, noe som viser hvor viktig dette er for bedriftene, sier Wedel.
Ifølge Wedel vil i prinsippet alle bedrifter få nye plikter, og måtte stå ansvarlig dersom loven ikke følges. Her får bedriftene også en utfordring med å sjekke at leverandørene faktisk følger loven, ellers kan det vanke store bøter.
- Dette er den største endringen som har skjedd på 20 år, opplyser fagdirektør i Datatilsynet, Knut Kaspersen.
- Det er nye materielle krav til regelverket og nye strategier for etterfølgelse av regelverket. Det skal blant annet bli et innebygd personvern i nye systemer, mer tydelige krav til informasjon og samtykke, og sist men ikke minst vil det bli strengere sanksjoner, sier Kaspersen.
- Loven forsøker å ta høyde for det presset man har sett på personopplysninger gjennom reklame og sosiale medier. Og det faktum at mange faktisk ikke har kontroll på hvor opplysningene tar veien, tilføyer Wedel.
Og det skal svi for de som ikke følger den nye loven. Tidligere var bøtene på maksimalt 925.000 kroner for en overtredelse, nå økes dette til 190.000.000 kroner. Dette gjelder for de groveste sakene. Samtidig økes også de mindre alvorlige overtredelsene, og der hvor et foretak kunne få 75.000 kroner i bot tidligere, vil en bot under det nye regelverket komme opp i mange millioner kroner.
- Det viktigste er at bedriftene tar dette på alvor og følger strategier som vi oppfordrer til å følge for å være i overensstemmelse med den nye loven. Vi skal være et organ som hjelper bedriftene i riktig retning, avslutter Kaspersen.
Her er tips fra Datatilsynet til bedrifter om hvordan man bør forholde seg til endringene i personvernloven:
- Sett dere inn i regelverket og få oversikt over hvilke personopplysninger dere behandler
- Gjennomgå alle personvernerklæringer
- Sørg for at dere kan oppfylle de nye rettighetene (dataportabilitet, retten til å si nei til profilering etc.)
- Planlegg hvordan dere skal håndtere innsynsbegjæringer, sletting av data etc.
- Gjennomgå behandlingsgrunnlagene dere benytter. Tilfredsstiller de GDPR?
- Gjennomgå hvordan dere innhenter samtykke. Er det «frivillig» og kan det trekkes tilbake?
- Ha god informasjonssikkerhet – risikovurdering
- Hvilke personvernkonsekvenser er det
- Rutiner for avvikshåndtering. Det blir krav om å rapportere alle avvik til Datatilsynet
- Implementer personvern i hjertet av alle nye prosjekt (innebygd personvern + DPIA)
- Skaff dere personvernombud
- Lag atferdsnormer