Hva er GDPR?

GDPR er en EU-utviklet personvernforordning som vil tre i kraft 25.05.2018, og vil ha stor innvirkning på bedrifter her i Norge på grunn av EØS-avtalen. Alle bedrifter som samler informasjon om EU-borgere må følge disse nye reglene om personvern. Den nye personvernloven overvåker også eksport av personopplysninger utenfor EU. Disse forskriftene er utviklet for å styrke kundenes rettigheter og øke standarden for innsamling og lagring av data.

Hvilke personopplysninger beskyttes av GDPR?

• Generelle personopplysninger (f.eks navn, adresse og personnummer)
• Internett-informasjon (f.eks. sted, IP-adresse, cookie data, etc.)
• Finansiell informasjon (f.eks tidligere transaksjoner)
• Helse og genetisk informasjon
• Biometrisk data
• Etnisk informasjon
• Politiske synspunkter
• Seksuell legning

Hvem må følge GDPR?

Enhver bedrift som produserer, samler inn og lagrer personlig informasjon om borgere i de 28 statene i EU må følge den nye personvernloven, selv om bedriften befinner seg utenfor EU. Dette angår store konsern med over 250 ansatte og mindre bedrifter med under 250 ansatte, hvis innsamlingen av personlig data påvirker kundenes rettigheter, ikke er uregelmessig, og/eller inkluderer personlig informasjon.

Straff

Hvis bedriften ikke opptrer i samsvar med GDPR får de først en skriftlig advarsel. Dette gjelder også bedrifter som bryter loven uten å være klar over det. Det finnes ingen unnskyldning for å ikke følge den nye personvernforordningen. Det vil utføres jevnlige kontroller for å sikre at bedrifter følger forordningen, som kan medføre at enkelte sensitive eller konfidensielle opplysninger må oppgis til revisorene.

I følge personvernloven kan bedrifter som bryter GDPR bøtelegges opp til 4% av deres årlige globale omsetning, eller 200 millioner kroner, avhengig av hvilket alternativ som gir størst økonomisk straff. Høyest mulig straff vil påføres dem som akter uten samtykke fra personen informasjonen omhandler.

Slingringsmonn

Den nye personvernloven kan, i enkelte tilfeller, tolkes på flere måter. Det står at bedrifter må tilby et “rimelig” nivå av sikkerhet for personopplysninger, men definerer ikke hva dette egentlig betyr. Det gir institusjoner som håndhever GDPR mye fleksibilitet når de fastsetter beløpet for boten grunnet brudd på datasikkerhet.

Mister konkurransefortrinnet

Ifølge en Ovum report tror over halvparten av bedriftene som deltok i undersøkelsen at de vil bli bøtelagt på grunn av GDPR i Europa. To tredjedeler av bedriftene vil omgjøre sin bedriftsstrategi for å tilpasse seg de nye datasikkerhetsforskriftene.

Her for å bli

Bedrifter må tilpasse seg de nye personvernlovene; de har kommet for å bli. Det betyr at bedrifter nå må bruke betraktelige ressurser – ansatte, tid, økonomiske investeringer, teknologi, etc. Èn ting er sikkert: den nye personvernforordningen skaper nye forventninger til avdelinger som omhandler datasikkerhet og personlig informasjon.

Vi har allerede laget en forklaringsvideo som angår og forklarer GDPR som bedrifter kan bruke for å forklare endringene til sine ansatte – på en forståelig måte. Kontakt oss for å finne ut mer om hvordan vi kan hjelpe deg med å formidle hva GDPR betyr for personer i og rundt din bedrift.