GDPR trer i kraft 20. juli: Kan koste bedriftene dyrt

Personvernforordningen trer i kraft i Norge neste fredag. Da kan Datatilsynet dele ut rekordgebyrer til selskaper som bryter reglene.

NYE REGLER: GDPR påvirker alle selskaper som behandler persondata. Foto: Tobias Schwarz AFP

Publisert:

Oppdatert 10. juli 2018

Dette betyr personvernreglene for norske selskaper:

Alle virksomheter plikter å sette seg inn i hvilke regler som gjelder dem
Informasjon om hvordan virksomheten behandler personvernopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Kravene blir strengere enn i dag
Virksomheten må utrede personvernkonsekvenser ved tiltak som utgjør en stor risiko for personvernet.
Nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte.
Alle offentlige og mange private virksomheter må opprette personvernombud.
Reglene gjelder også virksomheter utenfor Europa.
Databehandlere pålegges rutiner for innsamling og bruk av personopplysninger. Databehandleren skal også si ifra dersom den får instrukser som er i strid med loven.
Reglene oppfordrer til sektorvis utforming av retningslinjer og bransjenormer. Datatilsynet skal godkjenne bransjenormene.
Reglene for håndtering av sikkerhetsbrudd blir strengere.
Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes, blir styrket.

Kilde: Datatilsynet

I forrige uke ble GDPR innlemmet i EØS, men først den 20. juli trer den i kraft i Norge, skriver NTB.

Den nye forordningen vil gjelde alle selskaper som bruker personopplysninger om EU- og EØS-borgere.

Kan få millionbøter

Selskaper som bryter GDPR-reglene kan få store bøter, ifølge EU-reglementet.

Ifølge Datatilsynet kan regelbrudd føre til bøter på opp mot 4 prosent av brutto omsetning eller 20 millioner euro, avhengig av hva som er høyest.

E24 har tidligere skrevet om at GDPR-regelverket er utydelig for små bedrifter.

–Det er et overveldende komplisert regelverk. Det oppleves som skremmende for mange bedrifter. De begynner å tvile på om de har lov til å drive med det de driver med, sa advokat Hedvig Svardal i Bedriftsforbundet.

Les også: Små bedrifter sliter med GDPR: – Overveldende komplisert regelverk

Ventet på Liechtenstein

Etter EØS-komiteens beslutning skal GDPR tre i kraft dagen etter at alle konstitusjonelle forbehold er fjernet.

Til nå har forbehold i Liechtensteins grunnlov gjort at ikrafttredelsen har blitt forsinket, men nå bekrefter liechtensteinske myndigheter at forordningen vil tre i kraft 20. juli.

Det betyr at også den nye norske personvernloven som ble vedtatt av Stortinget i mai i år trer i kraft på denne datoen, bekrefter Justisdepartementet.

– Vi rettet mandag en henvendelse til Liechtenstein om denne datoen, og fikk bekreftelsen i morges. Liechtenstein opplyser at det konstitusjonelle forbeholdet vil bli opphevet 19. juli, såframt det ikke innen 13. juli er reist krav om folkeavstemning – noe som ikke forventes å skje, sier fungerende lovrådgiver Øyvind Molven i Justisdepartementet til Rett24.

Les også: Frykter statens nye kontrakter kan få katastrofale følger for næringslivet

GDPR, som står for General Data Protection Regulation, skal gi vanlige folk bedre kontroll over hvilke personopplysninger ulike selskaper samler inn om dem. Et krav om samtykke ligger i kjernen av dette.

Til nå har GDPR blitt synlig for forbrukerne blant annet ved at bedrifter sender ut eposter om oppdaterte personvernvilkår.

GDPR trer i kraft 20. juli: Kan koste bedriftene dyrt

Kan få millionbøter

Ventet på Liechtenstein

Her kan du lese mer om

Flere artikler

Datatilsynet: – Får mange meldinger om sikkerhetsbrudd fra finansbransjen

– Overveldende komplisert regelverk

Rekordår for Datatilsynet etter GDPR: – Regelverket er fortsatt uklart for mange

Nå trer GDPR i kraft i Norge

EUs personvernregler forsinket igjen