Illfoto: yay Images

GDPR stiller nye krav

GDPR-bølgen er over oss, og ny personvernlov stiller nye og strengere krav når det gjelder å ivareta personvernhensyn. Sjekk hva det betyr for deg!

Publisert

Henrik Renner Fredriksen er advokat/partner i SGB Storløkken (www.storlokken.no), og var tidligere advokat i Virke. Han jobber mye med agent- og distribusjonsrett, franchise mv. Fredriksen er også styreleder i Norwegian Fashion Center. Han gir følgende råd om hvordan du skal forholde deg:

Dagens personvernlov stiller strenge krav til grunnlag for å behandle personopplysninger. Men det nye regelverket, som etter alle solemerker trer i kraft fra 1 juli 2018, innskjerper blant annet følgende krav:

* til informert samtykke,

* utvidet rett til innsyn for den som er berørt,

* rett til å kreve at data blir slettet der det ikke er nødvendig å lagre mv.

Alt dette stiller nye krav, f.eks. til databehandleravtaler, personvernerklæringer, rutiner og lignende. Konsekvensene av å bryte reglene kan være betydelige.

De nye reglene er basert på EUs nye forordning om personvern – The General Data Protection Regulation (GDPR), og skal sikre like regler innenfor hele EU-/EØS-området.

Hva er personopplysninger?

Henrik Renner-Fredriksen

Reglene er i høyeste grad også relevante innenfor motebransjen. Det avgjørende er om man behandler personopplysninger. Men det er det mange i bransjen som gjør, uten nødvendigvis å ha noe gjennomtenkt forhold til at man gjør det eller hvorfor det gjøres.

For eksempel vil de som driver nettsalg til forbrukere gjerne registrere informasjon om kunden for å kunne gjennomføre avtalen – navn, adresse, e-postadresse mv. Alt dette er personopplysninger. Og hva som skal regnes som personopplysninger er for øvrig definert veldig vidt.

Butikker kan ha en kundeklubb der informasjon om kundene/medlemmene i kundeklubben innhentes og lagres, enten selv eller gjennom en leverandør. Man kan ha en liste over kunder som man sender nyhetsbrev/reklame til (her kommer også markedsføringslovens regler inn). Dette vil være behandling av personopplysninger. Men også crm-systemer der en agent lagrer opplysninger om sine B2B-kunder vil kunne være omfattet så lenge det er snakk om lagring av opplysninger om enkeltpersoner.

Ta en gjennomgang!

Det er viktig å erkjenne at dette er regler man må forholde seg til, enten man vil eller ikke. Det første man må gjøre er å foreta en gjennomgang av om og i så fall hva slags personopplysninger man behandler, samt at man får et bevisst forhold til hvorfor man samler inn opplysningene og hvor lenge opplysningene skal lagres. Så må man sikre at virksomheten etterlever regelverket, f.eks. ved å sikre at man har rett til å behandle personopplysninger. Det er på ingen måte slik at de nye reglene forbyr behandling av personopplysninger, men man må ha et grunnlag for behandlingen. Et typisk grunnlag vil være samtykke fra den personen man behandler personopplysninger om.

Det er åpenbart ikke mulig å redegjøre i detalj for de nye reglene i denne artikkelen. Siktemålet er her bare å peke på at veldig mange aktører i bransjen må forholde seg til de nye reglene. For å sikre etterlevelse er det avgjørende at virksomhetene er klar over dette og at de skaffer seg kunnskap om regelverket. Man finner mye god informasjon og maler på Datatilsynets hjemmesider (www.datatilsynet.no). Det er også en rekke organisasjoner og advokatfirmaer som kan bistå gjennom veiledning og utarbeidelse av databehandleravtaler, personvernerklæringer mv.

Husk bare at det nye regelverket som nevnt trer i kraft ganske snart, og det begynner å haste dersom man skal rekke å innrette sin virksomhet etter de nye reglene innen den tid.

Powered by Labrador CMS