Personvern må bedriften ta på alvor

Personvern har blitt enda viktigere nå, etter at EU-domstolen i sommer praktisk talt forbød overføring av personopplysninger til USA.

Bruker din bedrift Facebook, Dropbox, Google, Microsoft eller andre selskaper med base i USA som behandler av personopplysninger om kunder og andre som oppholder seg innenfor EØS-området?

Da bør du lese videre.

Et kort tilbakeblikk på GDPR og personvern

EUs personvernforordning (GDPR) trådte i kraft 20. juli 2018, og gir personvern for alle som oppholder seg innenfor EØS-området. GDPR gjelder også norske bedrifter som behandler personopplysninger.

Personvern og GDPR: kjapp repetisjon

Bedriften skal blant annet:

  • vite hvilke personopplysninger bedriften behandler,
  • definere hvorfor opplysningene behandles,
  • ha et rettslig grunnlag (behandlingsgrunnlag),
  • vite hvor du lagrer, både digitalt og på papir,
  • kunne beskrive hvordan opplysningene oppbevares, og om de er godt nok sikret,
  • slette opplysninger som du ikke har grunnlag for å bruke lenger,
  • kun behandle personopplysninger som er nødvendige,
  • vite hvem du deler opplysningene med,
  • inngå avtaler med dem som behandler personopplysningene for deg (databehdandleravtaler).

Bruk av såkalt behandlingsprotokoll (ofte et regneark) er en vanlig måte for å ha kontroll på opplysningene.

Jeg er usikker, men jeg håper at bedriftene har tatt dette på alvor, også de mindre bedriftene, de som ikke har egne avdelinger for sånt.

Hvis ikke er det på høy tid på gjøre det.

Datatilsynet har ansvaret for å følge opp brudd på personvernet

Det er Datatilsynet som er «vaktbikkje» og som kan banke på døra til virksomheten for å sjekke om du har dette på stell.

Bøter er alvorlig (og kostbart). Omdømmesvikt er kanskje verre.

Stadig flere kunder blir oppmerksomme på brudd på regelverket for personvern, og du risikerer å bli klaget inn til Datatilsynet hvis din bedrift ikke tar tak i dette.

Schrems II-dommen til å bli skremt av

I sommer kom en ny og dramatisk vending på dette området, da det ble ulovlig å overføre personopplysninger fra EØS/EU til USA med bakgrunn i overføringsgrunnlaget Privacy Shield.

Ved overføring av personopplysninger til USA må man kunne vise til et godkjent såkalt overføringsgrunnlag, og nettopp Privacy Shield har vært mye brukt som et slikt grunnlag.

I sommer ble det enda mer krevende å forholde seg til dette

Schrems II-dommen 16. juli 2020.

EU-domstolen avsa i sommer en ny prinsipiell dom om overføring av personopplysninger til land utenfor EØS, og i de fleste tilfeller snakker vi da om overføring til USA.

Kort fortalt: Overføringsgrunnlaget Privacy Shield er kjent ugyldig.

Bakgrunnen var at den østerrikske personvernaktivisten og advokaten Max Schrems krevde at det irske datatilsynet skulle stoppe overføringer av personopplysninger mellom Facebook i Irland og Facebook i USA.

Konsekvens: Det aller meste av overføring av personopplysninger til USA er ulovlig per i dag. Fra og med 16. juli 2020, for å være helt presis.

Dette gjelder Facebook, Google, Microsoft og tusenvis av andre amerikanske databehandlere.

Datatilsynet har også skrevet om dommen.

Pust med magen – og unngå panikk

Det er ingen grunn til panikk, for det er mange som nå fundere på hvordan dette skal løses.

Du bør i hvert fall unngå at bedriften inngår nye avtaler om overføring av personopplysninger til USA.

Det er sannsynligvis liten risiko for bøter ennå, men ved tilsyn må i hvert fall bedriftene ha det grunnleggende klart, og ha kontroll på personopplysningene de behandler. Der brenner det.

Driver du bedrift i Inderøy kommune?

Er din bedrift ennå ikke medlem i Inderøy Utvikling? Vi er et næringsforum der alle bedrifter i Inderøy kommune kan bli medlemmer.