Tror mange er uforberedt på ny personvernlov fra EU
Om en drøy måned trer en helt ny lov om personvern i kraft, men mange bedrifter vet ikke selv at dette angår dem.
Det fikk medlemmer i Grimstad naeringsforening høre under et frokostmøte denne uken. Glenn Heia fra advokatfirmaet Hald og co. kunne da fortelle om GDPR, som er navnet på den nye personvernforordningen EU har innført, og som om kort tid blir en del av det norske lovverket.
GDPR erstatter dagens personopplysningslov, og er mer omfattende enn denne, og gir også enkeltmennesker større rettigheter innen personvern.
Forordningen omfatter all behandling av personopplysninger. Dette innebaerer blant annet at alle norske bedrifter med ansatte er omfattet av det nye regelverket.
– Mange tenker nok at «dette gjelder Facebook og Google, det gjelder ikke oss». Men saken er at har du en ansatt eller en kunde, har du personopplysninger, sier Heia til Adressa.
Noen eksempler på personopplysninger er nemlig personalia på ansatte, informasjon om lønnstrekk for ansatte og sykmeldinger.
Brudd kan gi store bøter
GDPR stiller økte krav til dokumentasjon og har også strengere sanksjoner.
Brudd på reglene kan gi advarsler, pålegg og i verste fall bøter på opp til 20 millioner euro.
– Dette vil vi neppe se i Norge, men det vil bli et høyere nivå enn i dag, sier Heia.
Styrker registrertes rettigheter
GDPR stiller krav om at alle registrerte, altså mennesker som er registrert med sine personopplysninger hos en virksomhet, skal kunne få innsynsrett i disse opplysningene. De skal også få mulighet til å slette og rette opplysningene og rett til at bruk av opplysningene begrenses.
Viktigst å komme i gang
Selv om det er kort tid til reglene trer i kraft, mener Heia at det ikke er grunn til bekymring for de fleste mindre bedrifter som behandler alminnelige personopplysninger, som navn, adresse, epost og så videre til ansatte, kunder og leverandører. Det viktigste er å komme i gang med arbeidet, sier han. Han minner også om at dette er et lederansvar, og ikke noe man bare kan sette bort til eksterne aktører.
– Jeg tror mange kommer langt ved å sette seg ned og se på hvilke krav som stilles ut fra de personopplysninger man behandler i bedriften. Det er derfor viktig å få en tidlig oversikt over dette slik at det kan danne grunnlag for det videre arbeidet og dokumenterer alt arbeidet man gjør i forbindelse med innføringen av GDPR. Det skal vaere overkommelig, men man må gjøre det.
Hans klare råd er å starte nå og komme i gang.
– Om man kan vise at man har tatt fatt på arbeidet, vil Datatilsynet trolig akseptere at ikke alt er 100 prosent på plass innen 25. mai.
Om man kan vise at man har tatt fatt på ar- beidet, vil Datatilsynet trolig akseptere at ikke alt er 100 prosent på plass innen 25. mai, men det bør ikke vaere noen hvilepute.
Men det bør likevel ikke vaere noen hvilepute, råder Heia.
Glenn Heia, tittel
➤