Nå trer GDPR i kraft i Norge

Fredag trer EUs nye personvernforordning i kraft i Norge. Forordningen inneholder nye regler for behandling av personopplysninger som samles inn på nettet. Illustrasjonsfoto: Lise Åserud / NTB scanpix
Fredag trer EUs nye personvernforordning i kraft i Norge. Forordningen inneholder nye regler for behandling av personopplysninger som samles inn på nettet. Illustrasjonsfoto: Lise Åserud / NTB scanpix Foto: NTB scanpix
Artikkelen fortsetter under annonsen

Fredag trer EUs nye personvernregler i kraft i Norge. Saftige bøter kan bli resultatet for bedrifter som sluntrer unna.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen

– Vi er klar. Vi har egentlig vært klar en stund, sier kommunikasjonsrådgiver Guro Skåltveit i Datatilsynet til NTB.

Datatilsynet får et helt nytt regelverk å forholde seg til når EUs personvernforordning, gjerne kalt GDPR, trer i kraft i Norge.

EUs medlemsland har vært bundet av reglene siden 25. mai. Men i Norge ble innføringen utsatt på grunn av rusk i EØS-maskineriet.

Først denne uka ryddes de siste hindrene vekk, slik at reglene kan tre i kraft fredag.

Fakta om GDPR:

* Den nye personloven GDPR (General Data Protection Regulation) ble vedtatt av EU i 2016. Forordningen gjelder også Norge som EØS-land.

De viktigste endringene er:

* Bedrifter og virksomheter får et større ansvar for å ivareta personvernet til kunder og brukere.

* Borgere får rett til å motsette seg noen typer profilering, der personopplysninger blir brukt til å analysere og forutse atferd.

* Det stilles strengere krav til forståelig språk og åpenhet om virksomhetens behandling av personopplysninger.

* Alle bedrifter og virksomheter blir lovpålagt å bygge inn personvern inn i alle applikasjoner.

* Tydeligere retningslinjer for når bedriftene kan bruke personopplysninger til andre formål enn det de ble samlet inn for.

* Borgere får rett til å ta med seg data fra en virksomhet til en annen, såkalt dataportabilitet.

* Reglene gjelder også for virksomheter utenfor Europa som tilbyr varer og tjenester til EU/EØS-borgere eller overvåker atferden til europeiske borgere til bruk for profilering.

* Alle offentlig virksomheter, samt private virksomheter som behandler sensitive personopplysninger i stor skala eller som systematisk overvåker europeiske borgere i stor skala, vil bli pålagt å opprette egne personvernombud.

* Nasjonale datatilsyn plikter å samarbeide om konkrete saker og å utveksle informasjon med hverandre.

(Kilde: Datatilsynet)

Stor pågang

Datatilsynet har allerede forberedt regimeskiftet med oppdaterte nettsider og flere nye veiledninger der de nye reglene forklares, både for privatpersoner og for bedrifter.

– Men om resten av Norge er klar, er mer usikkert, sier Skåltveit.

Ifølge henne har Datatilsynet merket stor pågang fra virksomheter som nå stresser med å tilpasse seg.

– Det blir nok travelt en periode, sier Skåltveit.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

– Vi vet at mange jobber veldig hardt nå for å få ting på plass i virksomhetene sine, sier hun.

Aktuelt: Norske bedrifter har kjøpt GDPR-råd for 500 millioner

Nye rettigheter

Skåltveit framhever samtidig hva det nye regelverket betyr for hver enkelt.

Det overordnede målet med reglene er å gi vanlige folk bedre kontroll over hvilke personopplysninger ulike selskaper samler inn om dem på nettet.

– Dette er en kjempebra nyhet. Det styrker rettighetene til alle enkeltpersoner. Det betyr at hver og én av oss vil kunne få bedre oversikt over hva som skjer med personopplysningene våre, sier Skåltveit.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

I kjernen av regelverket ligger et krav om samtykke.

Innføringen av de nye reglene har derfor utløst et skred av eposter der det bes om samtykke til å fortsette å lagre opplysninger.

Aktuelt: Nordmenn urolige for sikkerheten på nett

Artikkelen fortsetter under annonsen

Ny rett til å bli glemt

De nye reglene betyr at alle skal ha rett til å få vite hvilke personopplysninger selskaper har lagret om dem.

Samtidig innføres «retten til å bli glemt». Det betyr at folk skal kunne be om å få personopplysninger slettet.

Men denne rettigheten er ikke ubegrenset.

Politikere, for eksempel, kan ikke kreve å få slettet tidligere uttalelser. De nye reglene skal heller ikke føre til noen sensur av pressen.

Aktuelt: Datasikkerhetsselskap spår dystert 2018

Kan ilegge bøter

De nye reglene vil også føre til tettere samarbeid mellom Datatilsynet og tilsvarende tilsyn i andre europeiske land.

Datatilsynet får dessuten betydelig større muskler enn før.

– Man kan gi bøter i en helt annen størrelsesorden, påpeker Skåltveit.

Virksomheter som ikke etterlever reglene, risikerer bøter på opptil 20 millioner euro – eller 4 prosent av årsomsetningen hvis det utgjør mer.

For store internasjonale selskaper betyr det at bøtene kan vokse til milliardstørrelse.

Aktuelt: – Folk over 60 får for lite opplæring i datasikkerhet