(Nesten) alt du trenger å vite om EUs nye personvernregler
Fra neste år risikerer du bøter på 160-200 millioner kroner eller mer dersom du roter med personvernet. Da trer EUs nye personvernregler i kraft. Her er noe av det du må være oppmerksom på for å holde din sti ren og unngå at Brüssel kommer og tømmer bankkontoen din.
I mai 2018 innføres EUs nye personvernforordning. De gjelder også i Norge, og konsekvensene for norske virksomheter er større enn du kanskje aner. Du bør allerede nå sette deg inn i hva dette betyr for hvordan dere bruker skytjenester, det være seg intranett, sosiale nettverk eller HR-systemer.
Datasikkerhetsreguleringen (The General Data Protection Regulation – GDPR) skal samstemme regler for personvern for EU-borgere på tvers av unionen, og også i EØS-land. Det er en forordning, ikke et direktiv, og derfor trenger det ikke å godkjennes av det enkelte land. GDPR blir en del av det norske personvernregelverket samtidig med resten av EU, det vil si 25. mai 2018.
Dette er den største endringen innen personvernlovgivning i Europa på over 20 år, ifølge Datatilsynets nettsider (Personvernforordningen vedtatt i EU).
Og konsekvensene er store, både for store og små virksomheter, særlig hvis du bruker leverandører utenfor EU. Du bør snarest mulig finne ut hvor serveren fysisk befinner seg. Hvis det ikke er EU- eller norsk grunn under den, vil du be leverandøren undertegne EUs modellavtaler. Det må du også om den står i EU eller Norge men folk som ikke er i disse regionene har tilgang til dem.
Partner og advokat Eva Jarbekk i Føyen Thorkildsen er en av de som vet mest om den nye forordningen, og hun har for tiden hendene fulle med forespørsler og oppdrag knyttet til endringene som skjer.
– Det viktigste du kan gjøre er å sørge for at du bruker modellavtalene til EU, eller USAs «Privacy Shield» sier hun i et telefonintervju med HR Norge.
Modellavtaler er en slags standardavtaler som dekker inn det som trengs for å sikre at du og leverandøren overholder de nye reglene.
Privacy Shield er et rammeverk som ble lagd som en erstatning for den såkalte «Safe harbour»-avtalen mellom EU og USA. EU-domstolen kjente Safe Harbour-avtalen ugyldig i 2015, slik du kan lese i en artikkel i digi.no. Etterkommeren Privacy Shield er en frivillig ordning, men i det en leverandør melder seg inn i ordningen blir selskapet underlagt amerikansk lov.
Du finner en liste over virksomheter som er sertifisert under denne ordningen på denne nettsiden fra amerikanske myndigheter.
Du vil kanskje ta en titt for å se om din leverandør er tilstede?
Og selv om du skulle finne din leverandør på listen, så bør du ha en plan B, ifølge Eva Jarbekk. I sommer skal EU vurdere avtalen igjen, og med tendens til innstramminger og mer overvåkning i USA er det en mulighet for at også denne ordningen vil bli forkastet.
Det du kan ta med deg fra dette er:
- Du må virkelig sette deg inn i hvilke data du lagrer om ansatte og kunder bosatt i EU eller EØS. De får omfattende lovfestede rettigheter du må være i stand til å imøtekomme. Alternativet er bøter på opptil 4 prosent av selskapets globale omsetning, eller opp til 20 millioner Euro – velg det tallet som blir høyest.
- Din samarbeidspartner i India, Ukraina eller andre land utenfor EU, EØS og USA må gås nærmere etter i sømmene.
- Dersom serveren der dine data er står i et EU-land, skal du være på rimelig trygg grunn, men hvis personer utenfor de godkjente sonene har tilgang til serveren, er du like langt.
- Amerikanske selskap som har underlagt seg den frivillige ordningen Privacy Shield kan du gjøre forretninger med uten store bekymringer, men til sommeren skal Privacy Shield evalueres i EU. Dersom ordningen faller bør du ha en plan B.
Som en liten kuriositet: Til tross for at et av kravene i den nye forordningen er at du skal få vite hvordan dine persondata brukes i et språk som folk flest kan forstå, så er dokumentet hvor du visstnok kan få vite dette praktisk talt uleselig for folk flest.
Har du god tid og er glad i byråkrat-språk kan du laste ned de 149 sidene med tekst her: Regulation (EU) 2016/679 on the protection of natural persons with regard to processing of personal data and the free movement of such data
Kilder, lesestoff og «lesestoff»:
- Skal du få det rett fra kilden, kan du kose deg med denne PDFen (også linket inn over): Regulation EU 2016/279
- Wikipedia har en mye enklere forklaring: Personvernforordningen
- EU har også lagd et mer forståelig faktark: Protection of personal data in the European Union
- Enda mer fra EU: En oversikt med lenker til relevante dokumenter
- Og en EU-lenke til: Model Contracts for the transfer of personal data to third countries
- Datatilsynet: Hva betyr de nye personvernreglene for din virksomhet?
- Vi skrev også tidligere en artikkel om dette her på HR Norge: Workplace by Facebook: En utfordring for personvernet, og i Arbeidslivindeksen vi gjør hvert halvår med Kantar TNS avdekket vi tidligere i år at en svært stor del av norske arbeidstakere allerede er intenst tilstede i «skyen» -- og at det er svært lønnsomt: 14 prosent forbedring når arbeidstakere går i skyen.
- Og om ikke dette er nok: Advokat og partner i Føyen Torkildsen Eva Jarbekk gir deg som deltar på Arbeidsrettskonferansen en klar og tydelig innføring i hva dette betyr. Les mer om Arbeidsrettskonferansen her.
- Til slutt noe både overraskende og urovekkende fra Eva Jarbekk om Facebook Workplace: Ulovlig for norske bedrifter?