Hva er GDPR?

I disse dager snakker alle om GDPR. Noen har snakket om det en god stund, noen har nettopp begynt å snakke om det. Noen har ikke engang hørt om GDPR, og dersom du er en av dem bør du skynde deg å sette deg inn i den. Det kan du selvfølgelig gjøre ved å lese resten av denne artikkelen…

La oss først begynne med å forklare hva forkortelsen står for… GDPR er forkortelsen for General Data Protection Regulation, som også blir omtalt som personvernforordningen. Dette er en forordning, eller en ny personvernlov som er vedtatt i EU og trer i kraft fra 25. mai 2018. Ettersom Norge er medlem av Schengen og EØS-samarbeidet, vil loven også gjelde her hjemme i Norge. Den vil faktisk også gjelde for alle selskaper som skal selge noe til, eller oppbevare personopplysninger om borgere innenfor EU, Schengen og EØS. Selv om selskapet holder til på et annet kontinent.

 

Hva er personopplysninger?

Personopplysninger er opplysninger som kan knyttes til deg som enkeltperson, slik som:

  • Navn
  • Kjønn
  • Hvor du bor
  • Telefonnummeret ditt
  • E-postadressen din
  • Når du ble født
  • Mer sensitive opplysninger som personnummer, helseopplysninger osv.

Men det er også mye mer, mye vi kanskje ikke automatisk tenker på som personopplysninger. Den eksisterende personvernloven er gammel og utdatert, verden har gått fort videre siden den gjeldende loven trådte i kraft. Når den gamle loven ble skrevet var det knapt nok noe som het internett, og den dekker derfor ikke behovet som teknologien har skapt. For hvem har egentlig kontroll over hva som lagres om deg på internett? Mye av atferden vår kan leses ut ifra de elektroniske sporene vi legger fra oss hver dag. Hvor handler vi? Hva spiser vi? Hva søker du på i Google? Hvor beveger vi oss? Alle disse sporene er i realiteten personopplysninger. Og disse opplysningene brukes, og ofte brukes de uten ditt samtykke.

Den nye personvernloven som trer i kraft 25. mai 2018 blir et paradigmeskifte i forhold til borgeres rett til å eie opplysninger om seg selv. Etter 25. mai i år eier du alt, men du kan gi noen tillatelse til å bruke opplysninger om deg dersom de har ditt samtykke.

 

Dette betyr GDPR for den enkelte:

  1. Det må innhentes samtykke
    Man kan ikke behandle personopplysninger om enkeltindivider med mindre vedkommende har gitt en spesifikk, informert og klar indikasjon på samtykke, enten via en erklæring eller via en tydelig «bekreftende handling».
  2. Rett til tilgang
    Loven gir enkeltpersoner rett til å kreve tilgang sine personopplysninger og til å vite hvordan disse skal brukes av selskapet etter at den er samlet inn. Selskapet plikter å levere ut en kopi av disse personopplysningene, uten kostnad og i elektronisk format, dersom noen ber om det.
  3. Rett til å bli glemt
    Hvis forbrukeren ikke lenger er kunde, eller hvis de ønsker å trekke tilbake samtykket de har gitt til så bruke vedkommendes personopplysninger, har man rett til å få sin informasjon slettet.
  4. Rett til å overføre data
    Alle har rett til å overføre sine personopplysninger fra en tjenesteleverandør til en annen. Og dette må skje i et vanlig og maskinlesbart format.
  5. Rett til å bli informert
    Dette dekker alle typer innsamling av personopplysninger, og enkeltpersoner må informeres før opplysninger om dem samles inn. De må godkjenne at personopplysninger samles inn, og samtykke skal gis aktivt, dette kan ikke være underforstått.
  6. Rett til å korrigere informasjon
    Dette sikrer at enkeltpersoner kan oppdatere informasjon om dem selv dersom den skulle være utdatert, ufullstendig eller feilaktig.
  7. Rett til begrenset behandling
    Enkeltpersoner kan be om at deres opplysninger ikke skal brukes til noen form for databehandling. Du kan lagre informasjonen, men den kan ikke brukes.
  8. Rett til å nekte behandling
    Dette inkluderer retten til å motsette seg behandling av personopplysninger til bruk i direkte markedsføring. Det finnes ingen unntak for denne regelen. All behandling skal stoppes så fort denne forespørselen om stopp er mottatt. Dette skal kommuniseres tydelig til enkeltpersoner i starten av enhver kommunikasjon.

Borgeren i de fleste av oss jubler nok over denne nye personvernsloven, men de som driver virksomhet, og de som driver direkte markedsføring har nok også en del i seg som gråter noen tårer. Alle systemer som inneholder personopplysninger omfattes av den nye loven. Det gjelder personalsystemer, lønnssystemer, CRM-systemer, kort sagt alt som omhandler personopplysninger og lagring av disse. Jeg har ikke mulighet til å gå så mye dypere inn i det IT-tekniske i denne artikkelen, men kort fortalt betyr den nye loven at bedrifter får et vesentlig større ansvar for personvernet og at personopplysninger behandles på en sikker måte. Les gjerne Datatilsynets veileder for GDPR.

 

Hva betyr GDPR for markedsføring?

Så hva betyr GDPR for markedsføring, og da spesielt digital markedsføring fremover? Noen punkter kommer til å bli spesielt viktige:

  • Du må innhente aktivt samtykke! Det er ikke nok at noen har kjøpt noe av deg og dermed automatisk havner på din mailingliste. Personen må gi et klart samtykke, og det skal spesifiseres hva man samtykker til. Et samtykke for hver handling er nødvendig. «Ja, jeg tillater at du sender meg e-post», «ja, jeg tillater at du kan sende meg SMS med tilbud» Du kan ikke lenger lage lange tekstfelter med massevis av samtykker med en felles bekreftelse i bunnen. Passive samtykker med ferdig avhukede bokser er heller ikke lov, da dette anses som passivt.
  • Du må ha full kontroll på lagring av personopplysninger, på sikkerhet og på å kunne gi vedkommende tilgang til alle lagrede opplysninger dersom noen ber om disse. Du må også kunne «bevise» et samtykke dersom noen ber om dette, med andre ord må samtykker lagres og kunne legges frem ved behov. Dette innebærer at du har systemer for dette.
  • Alle har rett til å bli glemt, det vil si slettet.
  • Med den nye loven må du også kunne rettferdiggjøre alle lagrede data. Det er hyggelig å vite mye om kunden, men du har kun lov til å lagre nødvendige data. Sørg derfor for å ta en runde ekstra om hva slags personopplysninger du ber om, og sørg for at du kan gjøre rede for hvorfor du trenger dem.

 

Hva skjer hvis vi ikke overholder reglene?

Det vil bli svært strenge straffer for selskaper og organisasjoner som ikke overholder GDPR. Bøtene kan bli så høye som opptil 4 % av årlig omsetning i morselskapet, eller begrenset oppad til 20 millioner euro. Det er Datatilsynet som har ansvaret for at dette regelverket overholdes, og de har varslet at dette skal tas svært alvorlig.

Så dersom du enda ikke har kommet i gang med å få bedriften GDPR-klar, så begynner det å haste. Det er mye som må på plass innen loven inntreffer. Etter 25. mai er for eksempel e-postlistene dine verdiløse dersom du ikke innehar et samtykke til å bruke dem.

Vil du vite mer?