Illustrerende bilde til artikkel om GDPR på tibedrammen.no av Per Rune Grønvold

Av TIBE Drammen | Web | 29.11.2017 | Del på Facebook

GDPR – det koster å ikke være klar

1. juli 2018 vil nye ordninger knyttet til personvern komme til Norge og EU, gjennom personvernordningen – også kjent som GDPR. Er din bedrift klar for denne endringen?

Vi i TIBE har jobbet med GDPR i over et år, og kommet tett på den nye ordningen for å kunne gi best mulig rådgivning til våre kunder. I september 2017 gjennomførte vi et frokostseminar om temaet, og opplevde et rekordstort oppmøte. Dette viser at mange er godt opplyst om at det er en ”personvernrevolusjon” på trappene, men vet du hva GDPR innebærer, og hva de nye endringene krever av deg som bedrift?

1. Er GDPR en ny personvernlov?

Ja. En ny lov om personvernlov kommer med GDPR, og erstatter vår nåværende Personopplysningslov. Derimot så er dagens personvernlov i Norge blant de strengeste i Europa, og i praksis er det få utvidelser i den nye loven (biometriske data kommer inn eksplisitt som nytt). Derimot så vil GDPR være langt mer tydelig på hvordan loven skal følges, og konsekvenser for brudd. Dagens lovverk er heller ikke tilpasset vårt moderne samfunn i stor nok grad, knyttet til alle våre digitale fotavtrykk. Derfor gir GDPR tydelige retningslinjer knyttet til samtykker, behandling av data og kommunikasjon.

2. Hvilke nye krav stilles til innhenting av samtykker, f.eks. til nyhetsbrev?

Det vil være forbudt å automatisk føre opp mottakere på nyhetsbrev når de har deltatt i en konkurranse, tildelt gratis innhold eller liknende. Man er nødt til å be om eksplisitt tillatelse til å legge noen til en epostliste eller telefonliste. Det er nødvendig å be mottakere om separate godkjennelser for hver enkelt kanal. Skal de kontaktes via epost og SMS, så trengs to ulike samtykker fra mottakere.

3. Hvordan skal vilkårene for innhenting av samtykke formuleres og presenteres?

Mottaker skal på en enkel måte forstå hva man samtykker til. Vilkår må være tydelig, og kortfattet. Det er ikke lovlig «å samle» flere vilkår inn i en «større» samtykke.

4. Hva med muntlige samtykker, er de ulovlige?

Nei, de gjelder på lik linje som skriftlige. Derimot vil dokumentasjonskravet gjøre slike muntlige samtykker vanskelig å ettergå. Kan man dokumentere (på en god måte) sine rutiner og vurderinger, samt vise til prosess, kan muntlige samtykker være akseptable, men anbefales ikke.

5. Kan man innhente samtykke for å gi mottaker tilgang til en tjeneste?

Nei, det kan ikke forlange at mottaker gir samtykke til et gitt vilkår, for å hverken gi eller fjerne en tjeneste man tilbyr.

 


Kartlegging og tiltakspakke til GDPR – bestill personvernpakken fra TIBE Drammen


 

6. Hvilken påvirkning har GDPR på markedsføring?

GDPR påvirker personvernloven, ikke markedsføringsloven direkte – men vil likevel ha visse implikasjoner. Ett av implikasjonene kan være på bruk av tidligere innhentet personopplysninger/kundeopplysninger, for eksempel ved et tidligere kjøp, for å drive mersalg/ markedsføring. Gjelder markedsføringen en «naturlig» oppgradering, eller en «naturlig» forlengelse, av kundeforholdet (eller produktet) så er dette tillatt. Eksempler her er en oppgradering av et tidligere kjøpt produkt, innkalling til service på bil eller tannlegetime. Å drive mersalg på produkter som ikke er en naturlig forlengelse av første kjøp, er ikke tillatt.

7. Hva med GDPR og B2B?

Så lenge man behandler opplysninger om personer i en bedrift, så gjelder kravene i GDPR. Kun upersonlige epostadresser er unntatt GDPR, slik som f.eks. post@firma.no. Vi  må understreke at det er viss «uenighet» blant jurister på dette området, men et godt råd er å følge GDPR uansett.

8. Det snakkes også om ePrivacy – hva er dette?

Dette er en forskrift, gitt av samme myndighet som er ansvarlig for GDPR, for å gi en mer tydeliggjøring av GDPR – spesielt knyttet til uønsket markedsføring, informasjonskapsler (cookies) og konfidensialitet. Forskriften spesifiserer mer rundt kommunikasjonsformer, og kravene til samtykke i de ulike kanaler.

9. ePrivacy vs. GDPR – Hva er hva?

GDPR gjelder beskyttelse av personinformasjon, mens ePrivacy gir bestemmelser for respekt for privatlivet.

10. Må nettsider varsle brukere om bruk av cookies?

Ja, det skal informeres om bruk av cookies på nettsider, men det skal ikke kreves samtykker. Det heter seg i GDPR at samtykke ikke må være en betingelse for tilgang til en tjeneste. I mangel på rettspraksis på området, kan det ut i fra lovtekst tolkes dit hen at det blir feil å kreve et aktivt samtykke (~betingelse) til cookies for å kunne besøke en offentlig nettside (~tjeneste), når det ikke finnes et godt alternativ. Eller sagt på en annen måte; det blir feil å tvinge besøkende til å samtykke til cookies for å besøke (og benytte) nettsiden. I lys av en slik tolkning er såkalte «samtykke-bannere», hvor en tvinger besøkende til å akseptere for videre besøk på nettsiden, være et brudd. Derimot så skal besøkende være godt informert om hvilke cookies en nettside benytter, samt legge til rette for at besøkende kan «slå av» cookies. Uansett hvilke cookies som er aktive/inaktive er nettsiden fortsatt underlagt lov om universell utforming.

11. Hvis man ikke følger disse nye ordningene og forskriftene, hva vil skje?

Den nye ordningen tilsier at bøter er reaksjonen, men hvis man har god dokumentasjon om sine egne tiltak, prosesser og vurderinger for lagring og håndtering av persondata, er sjansen stor for at man unngår bot i første omgang. Oppdager man grove brudd, så vil nok bøter inntreffe umiddelbart – uansett hvor god dokumentasjon en har.


Av Per Rune Grønhovd

Tilbake

Vil du snakke med oss om ditt nye prosjekt eller idé?

Skriv inn din e-post så kontakter vi deg så raskt som mulig.

  • Dette feltet er for valideringsformål og skal stå uendret.