Håndtering av persondata i EU/EØS
Krav
I EU/EØS er det et regelverk som stiller krav til behandling av personopplysninger, dette heter General Data Protection Regulation – GDPR. Formålet med regelverket er å tilpasse reglene mer til et digitalt samfunn, samt styrke borgernes rettigheter.
I dag stilles det allerede krav til at en virksomhet som samler inn og/eller lagrer personopplysninger skal ha rutiner for å etterleve personopplysningsregelverket. Reformen betyr at det stilles strengere krav til håndtering av personopplysninger, noe som fører til at flere selskaper vil måtte endre sine rutiner for behandling av personopplysninger.
Det er virksomhetens ledelse som har ansvar for å sørge for at slike rutiner utformes, men alle i virksomheten skal kjenne til rutinene.
Innhenting av data
Når deres virksomhet ber en kjøper om å oppgi personopplysninger og disse blir lagret et sted i nettbutikkens systemer, blir de som samler inn disse opplysningene (som oftest de som eier og driver nettbutikken) pålagt visse plikter etter dette regelverket, og den som personopplysningene gjelder får visse rettigheter.
Dersom dere benytter dere av en tredjepart til å drifte deler av nettbutikken (outsourcing) slik at andre enn selskapets egne ansatte får tilgang til eller bruker de personopplysningene som innhentes, vil det oppstå visse rettigheter og plikter mellom de som behandler disse personopplysningene, og dere som er ansvarlig for personopplysningene. Her er det altså viktig å ha gode avtaler på plass mellom databehandler og den såkalt behandlingsansvarlige.
Nytt regelverk
Et regelverk som regulerer disse forholdene eksisterer som nevnt allerede i EU, men 14. april 2016 vedtok EU-parlamentet en ny forordning om personvern. På grunn av dette tredde et nytt personvernregelverk i kraft i Norge den 25. mai 2018, samtidig som i resten av EU.
Det krever ressurser å sette seg inn i nye regler, lage nye rutiner og lære opp ansatte. Derfor er det viktig at deres virksomhet har en plan for de nye pliktene og setter av tilstrekkelige ressurser til dette arbeidet.
Forenklet medfører de nye reglene følgende endringer som påvirker netthandelssektoren:
Mer detaljregulering, harmonisering og tilstramming av regler mellom medlemslandene. Forordningen åpner for noen lokale tilpasninger, men i mye mindre grad enn tidligere. Selv selskaper utenfor EØS, som selger tjenester eller varer i EØS over nettet, må tilpasse seg. Et likere regelverk forenkler også handel på tvers av landegrensene og føre til mindre byråkrati for virksomhetene. Det er også en forbedring av individets rettigheter. Gjennom det nye regelverket er det lettere å slette sine digitale spor og borgerne har rett til sin dataportabilitet, dvs. sin digitale identitet, f.eks. den identitet banken har lagret omen person, og borgere kan kreve å få denne informasjon utlevert i et maskinlesbart dokument.
Det nye regelverket stiller strengere krav til informasjon, samtykke og strengere krav til nødvendighet ved behandling av personopplysninger. Dersom personopplysninger kreves oppgitt ved kjøp (f.eks. navn og adresse) må kjøperen gis informasjon om retten til å kreve innsyn i opplysningene som blir lagret, samt formålet med innsamlingen av opplysningene.
Reglene i nye loven avklarer og tydeliggjør hva som kreves av bedrifter som håndterer personopplysninger. Det stilles strengere krav til system- og internkontroll for behandling av personopplysninger. Bedriften skal også ta hensyn til personvern i alle steg ved utvikling eller implementering av nye produkter, tjenester og systemer. Personvern skal gjøres til en standardinnstilling. En slik tilnærming krever at virksomhetene allerede fra første fase i prosessen tenker informasjonssikkerhet og personvern.
I tillegg er det en egen del som er utformet for å styrke samarbeidet mellom medlemslandenes ulike databeskyttelsesmyndigheter. Tanken er at virksomheter og privatpersoner kun trenger å forholde seg til en tilsynsmyndighet, noe som også forenkler og reduserer kostanden knyttet til å drive næringsvirksomhet i EU.
Databeskyttelsesmyndighetene gis hjemmel til å gi høyere bøter for alle som ikke følger nye GDPR-regelverket sammenliknet med tidligere nivå. De selskapene som ikke overholder reglene risikerer å måtte betale gebyrer opp til 20 millioner Euro eller 4 % av global årsomsetning. Bedriftene bør derfor ha økt fokus på kravene til internkontroll og samsvarskontroll, i forhold til tidligere.
For mer info om hva de nye personvernreglene betyr i praksis for din virksomhet, anbefales å gå til hjemmesiden til Datatilsynet.