Følger du ikke disse reglene, kan bedriften få bøter opptil 20 millioner Euro eller fire prosent av omsetningen. Under kan du lese mer om hva GDPR er og hva det betyr for deg og din bedrift.

Innføringen av GDPR ble iverksatt 1. Juli for EØS landene ifølge Rett24.no.

General Data Protection Regulation (GDPR) er en forordning/personvernlov som er ment for å verne om personopplysninger og behandlingen av disse.
‍

‍Hvem påvirkes av GDPR?
‍Loven gjelder i EU, men også alle som behandler opplysninger om personer fra EU. Vi blir omfattet av loven siden vi er med i EØS og Schengen. Hvilket som helst selskap som enten kontrollerer eller prosesserer personlig data til en person innenfor EU, blir påvirket av den nye loven.

‍Hva er personlige data?
‍Med personlige data menes personalia og digitale spor som man legger igjen og som kan identifisere deg som bruker.

‍Er du en som kontrollerer data?
‍Samler du eller din bedrift inn personlig data og avgjør:
- Hvilken informasjon som samles inn
- Hvordan den informasjonen samles inn
- Hvordan den informasjonen blir brukt videre

Da er du eller din bedrift en som kontrollerer data. Eksempler på dette er om dere har påmeldinger til en e-postliste, selger noe på nettsiden der personopplysninger blir lagret eller bruker Google Analytics.

De som kontrollerer data, har det største ansvaret når det kommer til GDPR. Derfor er det veldig viktig at du har samtykke til å lagre og bruke personlig data. Det må komme tydelig fram hva informasjonen skal brukes til, og brukeren skal aktivt samtykke til at dere kan bruke informasjonen til det formålet dere har. Det vil si at du har ikke lov til å sende e-post til en person bare fordi du har de i e-postlisten din. Personene må også ha gitt samtykke til at du kan sende mail til vedkommende.

Dette kan gjøres ved å ha en “checkboks” som må hukes av der de aktivt krysser av og godkjenner det dere ønsker å bruke informasjonen til.

Brukeren må aktivt krysse av boksen hvor den godkjenner våre formål ved å innhente informasjon fra brukeren.

‍Er du en som prosesserer data?
‍Tvilsomt, men de som prosesserer data, gjør det på vegne av de som samler inn data. I tillegg til at de samler inn sin egen data. Dette er for eksempel CRM-systemer og mailtjenester som SuperOffice, Mailchimp, Hubspot, Visma, og så videre. Derfor er det viktig at de eksterne systemene du eller din bedrift benytter, også er tilpasset til GDPR.

‍Tilgang til opplysninger
‍Brukeren skal enkelt kunne få tilgang til opplysninger som bedriften har om brukeren. Det betyr at dersom noen ønsker å vite hva slags informasjon din bedrift sitter på, skal den det gjelder få tilgang til denne informasjonen. Brukeren kan be bedriften slette/endre opplysninger som er utdatert eller feil. Du kan heller ikke sitte på informasjon om brukeren i evig tid.

Kun nødvendig informasjon
‍Når du innhenter informasjon, skal kun nødvendig informasjon for å yte tjenesten samles inn. Du kan med andre ord ikke be om informasjon fordi det er kjekt å ha. Det må begrunnes hvorfor du trenger denne informasjonen og hvordan du skal bruke den. Du kan for eksempel ikke be en bruker opplyse inntekt hvis ikke dette er relevant for din bedrift å vite.  

Ansvarfraskrivelse: Cure er ikke juridiske rådgivere og har heller ikke konsesjon til å gi juridisk bistand. Innholdet i denne artikkelen er kun ment som enkel informasjon for å opplyse deg om temaet GDPR og hjelpe deg på veien til å gjøre din bedrift kompatibel med den nye loven.