(Nesten) alt du trenger å vite om EUs nye personvernregler

​Fra neste år risikerer du bøter på 160-200 millioner kroner eller mer dersom du roter med personvernet. Da trer EUs nye personvernregler i kraft. Her er noe av det du må være oppmerksom på for å holde din sti ren og unngå at Brüssel kommer og tømmer bankkontoen din.

I mai 2018 innføres EUs nye personvernforordning. De gjelder også i Norge, og konsekvensene for norske virksomheter er større enn du kanskje aner. Du bør allerede nå sette deg inn i hva dette betyr for hvordan dere bruker skytjenester, det være seg intranett, sosiale nettverk eller HR-systemer.

Datasikkerhetsreguleringen (The General Data Protection Regulation – GDPR) skal samstemme regler for personvern for EU-borgere på tvers av unionen, og også i EØS-land. Det er en forordning, ikke et direktiv, og derfor trenger det ikke å godkjennes av det enkelte land. GDPR blir en del av det norske personvernregelverket samtidig med resten av EU, det vil si 25. mai 2018.

Dette er den største endringen innen personvernlovgivning i Europa på over 20 år, ifølge Datatilsynets nettsider (Personvernforordningen vedtatt i EU).

Og konsekvensene er store, både for store og små virksomheter, særlig hvis du bruker leverandører utenfor EU. Du bør snarest mulig finne ut hvor serveren fysisk befinner seg. Hvis det ikke er EU- eller norsk grunn under den, vil du be leverandøren undertegne EUs modellavtaler. Det må du også om den står i EU eller Norge men folk som ikke er i disse regionene har tilgang til dem.

Partner og advokat Eva Jarbekk i Føyen Thorkildsen er en av de som vet mest om den nye forordningen, og hun har for tiden hendene fulle med forespørsler og oppdrag knyttet til endringene som skjer.

– Det viktigste du kan gjøre er å sørge for at du bruker modellavtalene til EU, eller USAs «Privacy Shield» sier hun i et telefonintervju med HR Norge.

Modellavtaler er en slags standardavtaler som dekker inn det som trengs for å sikre at du og leverandøren overholder de nye reglene.

Privacy Shield er et rammeverk som ble lagd som en erstatning for den såkalte «Safe harbour»-avtalen mellom EU og USA. EU-domstolen kjente Safe Harbour-avtalen ugyldig i 2015, slik du kan lese i en artikkel i digi.no. Etterkommeren Privacy Shield er en frivillig ordning, men i det en leverandør melder seg inn i ordningen blir selskapet underlagt amerikansk lov.

Du finner en liste over virksomheter som er sertifisert under denne ordningen på denne nettsiden fra amerikanske myndigheter.

Du vil kanskje ta en titt for å se om din leverandør er tilstede?

Og selv om du skulle finne din leverandør på listen, så bør du ha en plan B, ifølge Eva Jarbekk. I sommer skal EU vurdere avtalen igjen, og med tendens til innstramminger og mer overvåkning i USA er det en mulighet for at også denne ordningen vil bli forkastet.

Det du kan ta med deg fra dette er:

  • Du må virkelig sette deg inn i hvilke data du lagrer om ansatte og kunder bosatt i EU eller EØS. De får omfattende lovfestede rettigheter du må være i stand til å imøtekomme. Alternativet er bøter på opptil 4 prosent av selskapets globale omsetning, eller opp til 20 millioner Euro – velg det tallet som blir høyest.
  • Din samarbeidspartner i India, Ukraina eller andre land utenfor EU, EØS og USA gås nærmere etter i sømmene.
  • Dersom serveren der dine data er står i et EU-land, skal du være på rimelig trygg grunn, men hvis personer utenfor de godkjente sonene har tilgang til serveren, er du like langt.
  • Amerikanske selskap som har underlagt seg den frivillige ordningen Privacy Shield kan du gjøre forretninger med uten store bekymringer, men til sommeren skal Privacy Shield evalueres i EU. Dersom ordningen faller bør du ha en plan B.

Som en liten kuriositet: Til tross for at et av kravene i den nye forordningen er at du skal få vite hvordan dine persondata brukes i et språk som folk flest kan forstå, så er dokumentet hvor du visstnok kan få vite dette praktisk talt uleselig for folk flest.

Har du god tid og er glad i byråkrat-språk kan du laste ned de 149 sidene med tekst her: Regulation (EU) 2016/679 on the protection of natural persons with regard to processing of personal data and the free movement of such data

Kilder, lesestoff og «lesestoff»: