Fristen for å tilpasse seg det nye personverndirektivet utløp for noen uker siden. Men hva gjør du hvis du er for sent ute? Vi spurte Datatilsynets direktør Bjørn Erik Thon.
– Nå er det mer enn to år siden regelverket om GDPR ble vedtatt. Derfor har virksomhetene hatt god tid på seg til å få på plass det de trenger. Imidlertid er det sikkert virksomheter som ikke er helt klare enda. For dem er det aller viktigste at de får på plass en oversikt over hvordan de behandler sine personvernopplysninger, sier Datatilsynets direktør Bjørn Erik Thon.
En slik oversikt over behandlinger vil si å skaffe en oversikt over hva slags personopplysninger som organisasjonen har. Hva dataene skal brukes til og hvor lenge de skal lagres. I forbindelse med GDPR skal virksomhetene også vurdere hvilke hjemler de har for å sitte på dataene. I tillegg må de vurdere om de kan dele dem med andre, eller bruke dem til andre ting enn det som opprinnelig var formålet.
Datatilsynets veiledere
– Oversikten over hvilke personopplysninger man har og hva man benytter dem til er viktigst. Dette er selve utgangspunktet for resten av arbeidet med GDPR, fortsetter Thon.
Anbefalingen fra Thon til de som ikke har kommet i gang med GDPR er å sette i gang raskest mulig. Han anbefaler også å ta i bruk Datatilsynets hjemmesider hvor det finnes mye informasjon om hvordan man skal forholde seg til reglene. På hjemmesidene ligger det også flere veiledere som forenkler prosessen.
Regelverket forsvinner ikke
– Dette regelverket kommer ikke til å bli borte og derfor er det egentlig bare å sette i gang. Jo før, jo heller. Jeg må også nevne at vi har fått mange positive tilbakemelding fra bedrifter som har blitt GDPR-kompatible. De er glade for at de har fått bedre oversikt og ikke minst er det mange som har blitt overrasket over hvor mye data de egentlig hadde, sier Thon.
Bedrifter kan bruke persondata på mange måter. For eksempel til personrettede tjenester, målrettet salg mot bestemte kundegrupper, eller bedre service:
– Men skal de klare dette på en god måte, trenger de også å ha en god oversikt og kvalitet på dataene sine. Det kan de få de hvis de gjennomfører kartlegging i tråd med GDPR-forordningen, forklarer Thon.
Sanksjoner
I dag kan de som ikke overholder regelverket om GDPR ilegges overtredelsesgebyr tilsvarende 10G. Imidlertid vil sanksjonene bli endret og da kan det høyeste gebyret bli på fire prosent av årsomsetningen.
Nye regler gir oss bedre rettigheter
– At virksomhetene pålegges å behandle dataene som de har om deg og meg på en mer forsvarlig måte, er bra. Det kommer oss til gode. Da vet vi at bedriftene gjør ting riktig, og da blir det også bedre å være kunde hos dem, tilføyer han.
Det nye regelverket innebærer at privatpersoner får bedre rettigheter. Blant annet kan man si nei til å motta direkte markedsføring basert på sin personlige profil. Retten til å få data slettet blir styrket, og i tillegg skal det bli enklere å ta med seg egne data fra et selskap til et annet.
Oppretthold kvaliteten
– Personvern er ikke lenger noe man holder på med i datarommene. Derfor er det helt vesentlig at GDPR forankres i toppledelsen i organisasjonene. Styrene må ta inn over seg hva de endrede reglene medfører og forsikre seg om at reglene følges. Jeg syns også at det er viktig å understreke at å arbeide med personvern er et kontinuerlig arbeid. Det er mange bedrifter som har arbeidet godt for å komme i mål til fristen som var den 25. mai. Nå er det helt vesentlig at de sørger for å ha så gode rutiner at de klarer å opprettholde nivået også når vi skriver den 25. mai neste år, avslutter Thon.
Av Tom Backe, [email protected]