Det har neppe unngått noen at den nye databeskyttelsesforordningen om behandling av personopplysninger, GDPR, trer i kraft 25. mai i år. Men hva innebærer den nye forordningen i praksis, og hva blir straffen hvis man ikke følger den?
Feilaktig håndterte personopplysninger kan koste deg dyrt innen kort tid. Med GDPR kan bedrifter i fremtiden straffes med bøter opp til 20 millioner euro eller opp til 4% av omsetningen. Dette gjelder også for mindre bedrifter. Du som er IT ansvarlig kan derfor allerede i dag ha behov for å kontrollere bedriftens behandling av personopplysninger.
Hittil har bedrifter som har gjort en feilaktig behandling av personopplysninger, kommet seg unna med lave bøter. Dette vil nå endres helt av Personvernforordningen GDPR. Mye av det som omfattes av Personverndirektivet vil fortsatt gjelde, men GDPR stiller høye krav. Personopplysningene må for eksempel håndteres på en trygg og sikker måte, og beskyttes fra datainntrengning og lekkasjer. Dessuten må din bedrift kunne vise til at dere har rettslig grunnlag for behandling av opplysningene.
Høye bøter med GDPR
Dersom personopplysninger ikke håndteres trygt kan boten fastsettes til 2% av årlig global omsetning eller 10.000.000 euro. Dersom din bedrift ikke oppfyller kravene til rettslig grunnlag for behandling av opplysninger, kan bøtene fastsettes til så mye som 20 millioner euro eller 4% av global omsetning. I Norge er det Datatilsynet som fastsetter størrelsen på boten.
Dersom personopplysninger har blitt lekket, for eksempel gjennom datainntrengning, er dere pålagt å rapportere dette til Datatilsynet innen 72 timer. Dere kan også behøve å informere berørte personer.
GDPR krever også at den som er ansvarlig for personopplysninger –din bedrift– kan vise at dere har fulgt forskriftene.
Viktige punkter for korrekt behandling av personopplysninger ifølge GDPR
Et punkt som også fremgår av Personverndirektivet, er at personopplysninger ikke eies av bedriften. Utgangspunktet er alltid at individet eier sine egne personopplysninger. Når bedriften høster opplysninger må dere derfor oppgi formålet med innsamlingen. Dere har heller ikke lov til å lagre opplysningene over lengre tid enn det som trengs for å oppnå formålet. Derfor er bedriften nødt til å ha rutiner for regelmessig sletting av opplysninger som ikke lenger trengs.
GDPR innebærer også høyere krav enn tidligere til å informere personer hvis opplysninger dere behandler. De har for eksempel rett til å få opplyst formålet med innsamlingen, hvilke opplysninger som finnes lagret om dem, hvor lenge de vil lagres, og muligheten for å få rettet feilaktige opplysninger.
Ta kontroll over personopplysningene og datasikkerheten
Med den nye loven trenger dere kontroll på alle personopplysninger som behandles av bedriften, uansett om de finnes i dokumenter, mailer, databaser, interne servere, forskjellige enheter eller i nettskyen.
For å klare å leve opp til de nye høye kravene bør leverandøren av deres IT-systemer ha arbeidet med så kalt ”privacy by design” eller innebygd personvern. Det betyr blant annet at leverandøren har tatt hensyn til sikkerhets- og personvernspørsmål allerede ved utviklingen av systemene.
Ett første skritt er å se over all behandling av personopplysninger i din bedrift. Først da får bedriften oversikt over om dere følger loven eller trenger å gjøre tiltak for å utbedre.
Les også: Sjekkliste: 7 viktige trinn for å administrere GDPR-tilpasning
