GDPR – Forståelig forklart

Det er mye forvirring og spørsmål rundt GDPR. Nedenfor følger et intervju med advokat Jeppe Songe-Møller i Advokatfirmaet Schjødt som er spesialist på personvernregler og GDPR og deretter en gjesteartikkel fra Tommy Svendsen som bistår bedrifter konsultativt med GDPR.

Innhold:

Skyhøye bøter

Jeppe Songe-Møller – Partner i Handel & Industri

Du har kanskje sett overskrifter som skremmer med bøter på 20 millioner euro for bedrifter som ikke imøtekommer GDPR-kravene når loven trer i kraft. Slike beløp kan potensielt bety kroken på døren for mindre bedrifter i Norge. Noe av det første Songe-Møller påpeker til Agenturer.no er at selv om det øvre beløpet er riktig så har tilsynsmyndigheten indikert at de vil avvente med å dele ut betydelige bøter til mindre aktører.

 Signalene vi har fått fra Datatilsynet er at myndigheten ser for seg en overgangsperiode på ett til to år hvor målsetningen er å hjelpe så mange bedrifter som mulig til å overholde de nye kravene i GDPR. 

Det er likevel på høy tid at bedrifter begynner å jobbe med å imøtekomme GDPR-krav da det hos tilsynsmyndigheter vil være stor forskjell på selskaper som tilstreber å møte kravene versus selskaper som gir blaffen.

Hva er egentlig personopplysninger?

Dersom man kun jobber med B2B-salg så er det mulig å tenke at dere ikke håndterer personopplysninger og GDPR derfor ikke påvirker dere. Da tar du grundig feil. Vi spurte Songe-Møller om hva som regnes som personopplysninger og svaret var ikke til å misforstå.

–  Personopplysninger er alle opplysninger som direkte eller indirekte kan identifisere en privatperson. Det kan være enkle grunndata som navnet deres, telefonnummeret deres (også jobbtelefonen), e-post adressen (også jobbadressen), også videre.

Det gjøres ikke noe skille om informasjonen er ment til å bli brukt innen B2B-salg eller B2C-salg. 

Innsamling av data

For alle som jobber med salg kan Songe-Møller berolige oss med at det fortsatt er tillatt å samle og lagre offentlig tilgjengelige data. Du kan fortsatt hente ut informasjon fra Brønnøysund, offentlige kataloger, og bedrifters nettsider med det formål å selge et produkt eller tjeneste til dem.

Utfordringen kommer når du skal kontakte dem. Du skal fremover være tilbakeholden med å sende e-post til personlige adresser uten samtykke. Det samme gjelder for sms. Sannheten er at dette vært forbudt også før GDPR.

Songe-Møller påpeker at masseutsendelser av e-post øker risikoen for at myndigheten kan bestemme seg for å gripe inn, for eksempel etter en klage fra en som har mottatt markedsføring uoppfordret. Hovedregelen er at om du skal kontakte noen du ikke har vært i kontakt med før per e-post eller sms, må du enten ha samtykke fra mottaker eller sende til generiske e-post adresser (post@, resepsjon@, etc.). Du skal derfor være forsiktig med utsendelser til nye mottakere, men om mottaker opplever budskapet ditt som relevant og nyttig vil du neppe få klager. For å være på den sikre siden er det lureste du kan gjøre å ringe på telefon først ettersom det er ingen endringer i norske regler på dette punktet.

Hovedmann og agent

For selskaper som benytter salgsagenter oppstår noen spesielle problemstillinger med tanke på GDPR.

Det første vi spør om er hvilke av partene som er ansvarlig for å følge GDPR-kravene i kundeforholdet.

–  Hvis begge parter lagrer kundeinformasjon må både agenten og hovedmannen følge GDPR. Det vil si at hvis agenten lagrer kundedata for eget formål, for eksempel med tanke på å selge andre produkter/tjenester til kunden på et senere tidspunkt, må agenten opplyse kunden om dette. Dette gjelder selv om kundeforholdet er hos hovedmannen.

Hva om agenten kun jobber med nysalg og kun videresender ordrer til hovedmann uten å lagre noe kundeinformasjon?

– Det vil i så fall være et av få unntak hvor agenten ikke trenger å bekymre seg for GDPR-krav, men med en gang agenten lagrer kontaktinformasjon til kunder i sine egne systemer, eller lagrer personopplysninger på vegne av hovedmannen, må agenten tilfredsstille kravene i GDPR. 

Hvordan kan en agent gjøre dette på en enklest mulig måte?

– Agenten kan ta med seg en enkel personvernerklæring i kundemøter, men det enkleste er nok å lage en personvernerklæring i henhold til GDPR-minimumskrav som sendes til eksisterende kunder – og fortløpende til nye kunder etter kundemøter. 

Hva bør denne inneholde?

– Den bør inneholde:

  • Fullt foretaksnavn og at bedriften vil være behandlingsansvarlig
  • Hvilket formål / behandlingsgrunnlag du har med å lagre disse dataene
  • Hvem du deler kundedata med – og hvordan og hvor lenge data lagres (for eksempel i et CRM-system)
  • Rettighetene til kunden om å få innsyn i sine data og bli slettet – og hvordan dette gjøres. 

Når hovedmannen gir kundedata til agenten

En annen potensiell problemstilling vi spør Songe-Møller om er hva som skjer når hovedmannen deler kundedata med agenten. Dette blir naturligvis annerledes enn å gi kundedata til en ansatt selger da agenten er en annen juridisk enhet.

Songe-Møller klargjør for oss at hovedmannen her vil ha informasjonsplikt ovenfor kundene om at deres data blir delt med lokale agenter. Dette kan gjøres ved å sende ut en oppdatert personvernerklæring som blant annet angir formål og behandlingsgrunnlag for delingen. Det er derimot ikke nødvendig å hente inn samtykke fra alle eksisterende kunder før man deler deres kontaktdata med en agent.

Hvilke bedrifter behøver personvernombud

Det står flere steder at bedrifter kan pålegges å ha et eget personvernombud. Det har vært noe utydelig hvilke bedrifter som behøver denne stillingen. Vi spør Songe-Møller om dette.

– Personvernombud er kun påkrevd for private selskaper som har som hovedvirksomhet at de regelmessig og systematisk monitorerer enkeltpersoner i stor skala. Det vil ikke være nødvendig for de aller fleste mindre bedrifter innen varehandel. Det er viktig er at det er en uavhengig stilling og at personvernombudet ikke skal ta imot instrukser fra en overordnet. 

Dersom du driver et selskap som trenger hjelp eller rådgivning rundt GDPR og personvernregler, er du velkommen til å ta kontakt med Advokatfirmaet Schjødt v/ Jeppe Songe-Møller.

GDPR sjekkliste

Gjesteartikkel skrevet av Tommy Svendsen.

Aller først så kan det være greit å redegjøre for hva GDPR er….

GDPR står for General Data Protection Regulation, og er en europeisk forordning som ble innført i Norge sommeren 2018. Det er Datatilsynet som har ansvar for at virksomheter etterlever regelen om personvernet. Forordningen er ment for å beskytte og ivareta opplysninger som bedrifter, foreninger, idrettslag, organisasjoner og andre samler inn av personopplysninger og data.

Det er et krav at GDPR – ordningen skal sikre informasjon om privatpersoner, blant annet ved at du som virksomhet, på en forståelig måte, skal opplyse om hvorfor informasjon samles innhvorfor den beholdes og hvor lenge dataen skal oppbevares. Kort sagt; ansatte, klienter og andre du oppbevarer personopplysninger på skal altså informeres

Den nye lovgivningen gjelder ALLE virksomheter som behandler personopplysninger. Det er ledelsen sitt ansvar å overholde de nye pliktene, få dette implementert og følge opp dette i virksomheten med å dokumentere GDPR arbeidet. 

Igjen; oppbevarer du personopplysninger så må du informere, overfor myndigheter og andre må du dokumentere.  

At det er krav rundt GDPR ordningen har de fleste fått med seg, men er du klar over hva som ligger i dette?  

Etterspørsel om dokumentasjon for systematisk GDPR arbeid kan komme fra kunder/medlemmer, oppdragsgivere, samarbeidspartnere og myndigheter. I denne forbindelse må du kunne du henvise og framlegge dokumentasjon å tydeliggjøre at virksomheten tar dette på alvor.

Det er på langt nær alle virksomheter som har gjennomført de nye kravene i personvernordningen. Kun 4 av 10 virksomheter har fått på plass rutinene rundt GDPR arbeidet. Spesielt ser man at små og mellomstore aktører ikke har fått kontroll på GDPR. 

At mange små og mellomstore virksomheter ikke har GDPR på plass skyldes ofte uvitenhet om den nye lovgivningen, mangel på kompetanse for å få GDPR på plass, eller at man faktisk ikke har tid til å «gjøre noe med det».  Det kan være lett å kjenne seg igjen som småbedriftseier på dette.  

Nå er det slik at GDPR er lovpålagt, og man MÅ være klar over at brudd på regelverket kan gi store konsekvenser i form av sanksjoner og bøter. Ikke minst så må man tenke på virksomhetens renommè og tillit dersom personopplysninger kommer på avveie.  Er du klar for å håndtere dette, dersom det skjer i din virksomhet?

Det er altså langt i fra tilstrekkelig å bare ha en personvernerklæring på hjemmesiden eller at ansatte har fått informasjon om personvern internt i virksomheten. Arbeidet med GDPR krever mer.

Her får du en 10 punkts sjekkliste på hva du bør gjøre for å få på plass GDPR i virksomheten:

  • Skaff en total oversikt over hvilke personopplysninger virksomheten oppbevarer.
  • Gå deretter igjennom hvorfor opplysningene oppbevares, og hvor lenge dere skal oppbevare opplysningene.
  • Få oversikt over hvem i virksomheten som har tilgang til personopplysninger.
  • Få oversikt over hvilke rettigheter en person (ansatte og klienter) har i forbindelse med personvernordningen. Dette gjelder både innsynsrett, oppdateringer, retten til å bli slettet osv. Få oversikt over hvordan virksomheten skal håndtere dette.
  • Få oversikt over hvordan virksomheten oppbevarer personopplysninger. I papirform, digitalt, epost?
  • Skaff til veie informasjon om hvordan man skal forholde seg til Datatilsynet, og hva man skal gjøre dersom opplysninger om personer kommer på avveie.
  • Er det behov for å opprette eget ombud i virksomheten, som håndterer personvern som en av oppgavene?  
  • Sørg for å informere klienter/medlemmer, ansatte og andre om personvernet i virksomheten. Dette gjøres gjennom personvernerklæringer og samtykke/godkjenninger.
  • Få oversikt over eksterne som behandler personopplysninger på vegne av virksomheten. Foreligger det databehandleravtale eller erklæring på at de ivaretar personvernet på vegne av dere?
  • Få på plass dokumentasjon som rutiner, prosedyrer og loggsystem rundt GDPR arbeidet. Herunder avviksrutiner, handlingsplaner, oppfølging osv. Det er dette som dokumenterer at virksomheten tar GDPR på alvor.

GDPR handler om trygghet for dine ansatte, kunder og samarbeidspartnere. GDPR arbeidet må derfor være en løpende prosess i virksomheten.

Relaterte artikler
Den definitive guiden til Agenturloven
Les mer
Provisjonssalg – Hva er riktig provisjonslønn til selgere og agenter
Les mer
Møt Estlands maritime sektor: En eksklusiv samling på den estiske ambassaden
Les mer