GDPR er i utgangspunktet kun en oppdatering av dagens personvernlovgiving og sånn sett ikke noe radikalt nytt. For forbrukerne betyr det imidlertid en ytterligere styrking av deres personvernrettigheter.

– Den største forskjellen er at forbrukerne får større eierskap til, og kontroll over egne data. Virksomhetene på sin side får utvidet plikt til å selv vurdere personvernkonsekvenser ved behandling av personopplysninger. De må ha god kontroll på hvilke personopplysninger de lagrer, hvem som har tilgang til disse og hvordan de blir brukt, sier fagdirektør i Datatilsynet Catharina Nes.

At vi har behov for et oppdatert regelverk er ikke Nes i tvil om. Personopplysninger har i dag stor kommersiell verdi, og da er det viktig at de som samler inn opplysningene bruker de på en måte som respekterer forbrukerens personvern.

Må ha personvernombud

Selv om det ennå er en stund til 25. mai, når GDPR-forordningen trer i kraft, mener Nes virksomhetene må bruke tiden godt for å være klare til da.

– Jeg anbefaler alle virksomheter å starte arbeidet nå slik at de sikrer at de kan etterleve regelverket når det trer i kraft. Start med å gjøre risikovurderinger knyttet til data og sørg for å ha full kontroll i mai, sier hun.

Det er virksomhetens ledelse som har ansvaret for å utforme de nye rutinene, men alle i organisasjonen må kjenne til og følge de nye reglene.

En del virksomheter blir også pliktig å opprette et personvernombud som skal involveres i alle saker som handler om behandling av personopplysninger. Dette dreier seg om offentlige virksomheter, virksomheter som jobber med regelmessig og systematisk overvåking av personer og virksomheter som behandler sensitive personopplysninger i stort omfang. 

Andre virksomheter kan velge å følge personvernombudsordningen på frivillig basis.

Lett forståelig

Når personvernopplysninger behandles, plikter virksomheten å informere personene de behandler personopplysninger om.

Forbrukeren skal så få muligheten til å foreta et bevisst og aktivt valg om hvorvidt vedkommende vil dele sine personopplysninger med andre.

Han eller hun har rett til innsyn, sletting, dataportabilitet og til å kreve at behandlingen av personopplysningene begrenses. Forbrukeren kan også motsette seg visse former for behandling, og har rett til å klage til Datatilsynet dersom behandlingen er i strid med reglene.

– En utfordring for virksomhetene blir å gi all informasjon i en så kortfattet versjon at den blir lett tilgjengelig og samtidig forståelig for forbrukeren, sier Nes.

Også Google og Facebook

GDPR kalles ikke et direktiv, men en forordning. Dette innebærer at reglene er en lov som skal følges ordrett. Det er altså ikke rom for fortolkning. Alle medlemslandene i EU og EØS skal følge denne, men reglene påvirker likevel flere.

– GDPR vil gjelde for alle virksomheter som leverer tjenester til europeiske innbyggere, også de som er lokalisert utenfor EU. Det innebærer at også for eksempel Google og Facebook må rette seg etter regelverket. I dag er virksomheter i Norge underlagt et strengere personvernregelverk enn de er i blant annet USA. Med innføringen av  GDPR vil det bli like regler for alle som lager tjenester for europeiske innbyggere, og dette vil bedre konkurranseforholdene for norske og europeiske virksomheter. Vårt håp med det nye regelverket, er at det vil bidra til å gjøre det å være god på personvern til en konkurransefordel, sier hun.