Større krav til kontroll og åpenhet

februar 4, 2016 7:43 am

-Vi står foran omfattende endringer omkring personvernet. Rett før jul ble det enighet om en ny personvernforordning i EU. Den vil også få betydning for direktesalgsbransjen, sier direktør Bjørn Erik Thon i Datatilsynet.

Han trekker særlig frem at det vil kreves at man har mer kontroll på opplysninger man samler inn – og er mer åpne om hvordan man behandler data.

Regeltekstene, det er enighet om etter nesten fire års arbeid, vil bli formelt vedtatt og publisert i løpet av mars i år. Forordningen vil tre i kraft to år etter dette.

– I Datatilsynet jobber vi nå med å identifisere de viktigste endringene i det nye regelverket. Vi ser på hvordan vi best kan formidle regelendringene til berørte, endre våre systemer og sørge for god oppfølging av personvernombudene. Endringene er omfattende, og vi samarbeider med Justisdepartementet, sier Thon.

 

Et større geografisk område

Selskaper som er registrert utenfor EU, men som tilbyr varer og tjenester til EU-borgere, vil bli omfattet av det nye regelverket. Det er de ikke i dag. Det gjelder for eksempel nettbutikker som ikke er etablert i Europa, men som selger varer over nett, og kanskje tilbyr frakt til europeiske land – og betaling i norske kroner.

– Europeiske regler gjelder for alle selskaper som har europeiske kunder, selv om selskapet ikke er basert i Europa, oppsummerer Thon.

Regelverket vil også gjelde selskaper som er etablert i tredjeland, men som overvåker adferden til EU-borgere innenfor EU, for eksempel amerikanske selskaper som følger EU-borgere ut fra nettbruken deres.

 

Hvordan kan de brukes?

Bjørn Erik Thon utdyper gjerne for Direktesalgsforbudets lesere; – Personopplysninger skal kun kunne behandles der det finnes et tydelig spesifisert formål. Dersom man ønsker å behandle personopplysninger til andre formål, må man forsikre seg om at det nye formålet er forenlig med det gamle. Dersom konklusjonen er at det nye formålet er uforenlig med det gamle, skal det innhentes samtykke, eller behandlingen må hjemles i lov.

 

Blir bedriftens ansvar

– Virksomheter får med de kommende reglene utvidet sin plikt til å selv vurdere personvernkonsekvenser ved behandling av slike opplysninger. Denne plikten utvides, og det ser ut til at færre vil trenge å søke konsesjon fra sitt lands personvernmyndigheter, som Datatilsynet i Norge. Innebygd personvern og personvern som standardinnstilling i applikasjoner blir lovpålagt, sier Thon.

 

Støttes av norsk undersøkelse

Åtte av ti av synes det er ubehagelig at vi blir sporet på nettet for at markedsførere skal kunne tilpasse reklamen til oss. Nesten like mange vil heller ha reklame som ikke treffer, viser årets personvernundersøkelse. Undersøkelsen ble presentert på Den Internasjonale personverndagen som arrangeres av Teknologirådet og Datatilsynet.

Det blir et viktig prinsipp at behandlingen for de registrerte skal fremstå som åpen og rimelig. Opplysningene om hvilke registreringer som gjøres, skal gis på en klar og tydelig måte, i lett forståelig språk og ikke gjemmes bort i en personvernerklæring.

– Dersom det skjer et sikkerhetsbrudd, for eksempel at data kommer på avveier eller et selskap blir hacket, får selskapet 72 timer på seg til å rapportere om dette offentlig, sier Thon.

Nytt blir også at de nasjonale datatilsynene vil få videre fullmakter til å ilegge sanksjoner. Etter det nye regelverket kan Datatilsynet gi gebyrer på opptil fire prosent av en virksomhets årlige, globale omsetning. Nå er det en begrensning på 10G (Folketrygdens grunnbeløp), altså ca. 900 000 kroner.

Her finner du en artikkel som går mer i detalj

Her finner du informasjon sendt ut fra EU