Norske bedrifter har vært underlagt reglementet for General Data Protection Regulation (GDPR), eller Personvernsforordningen som det heter på norsk, i over to måneder. Det innebærer at norske selskaper er blitt nødt til å ta innover seg et nytt sikkerhetsregime hva gjelder innhenting og bruk av personopplysninger. 

Juridisk rådgiver i Datatilsynet, Tobias Judin, mener at bakgrunnen for implementeringen av det nye regelverket i hovedsak var at personvernet trengte å bli styrket.

– Tidligere personvernregler var gamle, mer enn 20 år gamle. Mye har skjedd på to tiår, og vi lever i dag i en digital verden med stadig ny teknologi. Med det kommer også nye personvernutfordringer. Vi trengte et lovverk som var mer tilpasset den tiden vi lever i, sier han.

GDPR sikter mot å ta vare på personvern i møte med informasjonssamfunnet hvor personopplysninger har stor kommersiell verdi. I tillegg er det nå blitt enklere for multinasjonale selskaper å holde seg innenfor lovverket ettersom reglene er de samme innenfor hele EU samt Norge, Island og Liechtenstein.

– Tidligere har multinasjonale selskaper måttet forholde seg til ulike personvernregler for de ulike landene i EU og EØS. GDPR gjør det lettere for disse selskapene å være en multinasjonal virksomhet ettersom de nå har et felles regelverk å forholde seg til. Det gjør det også lettere å overføre personopplysninger på tvers av landegrenser, sier Judin.

Spørsmålene er ofte de samme

Datatilsynet er den norske tilsynsmyndigheten for GDPR. De mottar spørsmål og klager fra både forbrukere og bedrifter. Her følger de vanligste spørsmålene med tilhørende svar fra Datatilsynet.

1. Kan jeg som forbruker få innsyn i de personopplysninger bedrifter har om meg?

– I noen tilfeller ønsker ikke bedrifter å oppgi hvilke personopplysninger de har om forbrukere. Dette er normalt et brudd på regelverket. Hovedregelen er at du skal kunne få se alt en virksomhet har lagret om deg, uansett hvordan det er lagret eller i hvilke format. 

2. Er vi pliktige til å inngå databehandleravtaler?

– Dersom man deler personopplysninger med en annen virksomhet, må man holde tunga rett i munnen. Dersom denne virksomheten skal behandle personopplysninger på vegne av dere, er den en databehandler. Da må man inngå en databehandleravtale. Dersom den i stedet selv bestemmer hvordan personopplysningene skal brukes eller hva formålet med dem er, er den ikke en databehandler. I så fall skal man ikke inngå en databehandleravtale, men til gjengjeld er det strengere regler for når det er lov å dele personopplysninger med denne typen virksomheter.

3. Når må personopplysningene vi har slettes?

– Man skal ikke ha personopplysninger lengre enn nødvendig. Det er viktig å ha gode rutiner slik at personopplysninger en ikke lenger trenger, blir slettet fortløpende. Virksomheten skal selv vurdere dette. Det avhenger blant annet av under hvilket grunnlag opplysningene ble innhentet og hva formålet med det er. På Datatilsynets hjemmesider finner man en enkel oversikt over hvilke plikter ulike virksomheter har.