ARKIV

GDPR – Hva gjelder og hva må du gjøre

juli 17, 2019 7:00 am

I 2018 fikk vi en ny personopplysningslov. Loven består av nasjonale regler og EUs personvernforordning (GDPR – General Data Protection Regulation).

Personopplysningsloven handler om behandling – altså innsamling og bruk – av opplysninger knyttet til personer.

– Disse reglene gir våre medlemmer og deres partnere en rekke plikter, samtidig som den gir enkeltpersoner, en rekke rettigheter. Nå har vi hatt disse reglene i ett år og erfart hva de innebærer. Men det er fortsatt et stort behov for informasjon og avklaringer. Derfor har vi utarbeidet informasjon og fordyping av forskjellige temaer, sier Jan-Fredrik Torgersen. Han er leder av Direktesalgsforbundet.

Forordningen er et sett regler som gjelder i alle EU/EØS-land. Reglene gjelder for alle som selger varer eller tjenester i disse landene. Uansett hvor teknologiutvikling eller produksjon skjer – eller hvor selskapene er registrert.

Et asiatisk, amerikansk eller australsk selskap må altså forholdene seg til reglene dersom de vil være tilstede i EU/EØS-land.

Alle seriøse virksomheter, som går inn for det, vil merke at reglene er greie å forholde seg til. For de som ikke følger en slik seriøs linje er straffen bøter, med et bøtenivå som kan bli svært høyt.

– Hvis vi tar utgangspunkt i selskapenes internasjonale omsetningstallet som grunnlag for bøter, er det en svært viktig grunn for vår bransje til å være spesielt oppmerksom. Det er fordi alle våre medlemmer er en del av, eller inngår i internasjonale fellesskap.

– Derfor er mitt viktigste råd å vise, og bevise, at dere tar reglene seriøst. Evaluer områder der dere kan komme i konflikt med regelverket, etabler rutiner for disse og ansvarsett rutinene, sier Torgersen.

– Dette skal være et dokument som beskriver hva dere som virksomhet gjør dersom persondata kommer på avveie. For eksempel dersom noen får tilgang til databasen med alle kundene. Husk at i en avansert IT-verden, kan «alt» skje, sier han.

Datatilsynet har beskrevet det som minimum skal være med i avvikshåndtering-rutinene. Opprett personvernombud når det er påkrevet.

Beskriv rutine for hva dere gjør dersom en kunde ber om alle opplysninger dere har lagret på personen skal slettes. En kunde kan ikke kreve at ordrehistorikk slettes, da dette er underlagt bokføringsloven — som trumfer GDPR-loven.

– Og hva skal jeg som direkteselger foreta meg hvis jeg mener noe er galt, eller faktisk oppdager at det har skjedd et brudd på regelverket?

– Meld alltid oppover i systemet. Det betyr at en direkteselger må melde fra til den bedriften man representerer og har avtale med. Dette skal alltid skje skriftlig der du ber om bekreftelse på at meldingen er mottatt, sier Torgersen.

Han understreker at GDPR forordningen er et viktig regelverk som man skal forholde seg positiv til, fremfor å forsøke å neglisjere eller omgå.

ARTIKKELSERIEN FINNER DU PÅ WWW:DIREKTESALGSFORBUNDET.NO/FORBRUKER

Obs! Innholdet i artiklene i dette temaet kan ikke betraktes som juridisk rådgivning men innholdet kan du betrakte som god informasjon.