Hva sier fagdirektøren i Datatilsynet om GDPR?

Av: Amalie Nord Hagen

Fra og med 1.juli i år må alle som samler inn personopplysninger forholde seg til en ny lov. Bedriftene må sette seg inn i og sørge for å være oppdatert på hva de nye reglene er. Ifølge fagdirektør i datatilsynet, Catharina Nes, er det mange grunner til at en ny lov er viktig.

- Loven vi har i dag er fra «før internett». Utrolig mye har skjedd med hvordan man kan samle inn og lagre opplysninger, muligheter for å anonymisere opplysninger og drive med overrettet profiliering og marekdsføring. Det er viktig med en oppdatert lovgivning for å gi forbrukeren som enkeltindivid større kontroll over egne personopplysninger. I dag føler man at den enkelte ikke har godt nok vern eller gode nok rettigheter. Store bedrifter og statlige virksomheter sitter på et stort omfang personopplysninger og vi som borgere vet ikke hvordan denne informasjonen brukes.

Nes, som er utdannet samfunnsviter påpeker at det handler om tillit mellom bedriftene og kundene, i tillegg til respekt for personvern. Kundene skal ikke føle seg overvåket.

- For at markedsføring skal være effektivt må den ha tillit. Kunder skal ikke føle at den reklamen som blir servert er «creepy» og for nærgående. Derfor blir det viktig for markedsføringsbransjen å drive med en type markedsføring som skaper tillit blant forbrukerne. Ved å følge den nye personopplysningsloven vil du behandle personopplysninger med respekt for den enkelte.

Ifølge Nes er det mye i den kommende loven som er en videreføring av den loven som er i dag, men det er en også en del nye ting. Det blir spesielt skjerpede krav når det gjelder samtykke. I dag kan et samtykke være svært langt og omfattende, med et juridisk språk som er vanskelig for folk flest å forstå. Nå blir det skjerpede krav for at forbrukerne enkelt forstår hva de samtykker til.

- Man må se sjekke om de samtykkeerklæringene man har i dag er gode og forståelig nok. Det må skrives tydelig hvilke opplysninger som samles inn, hvilke formål de brukes til og eventuelt om man deler opplysningene med andre selskap. Det blir for eksempel viktig å sikre seg samtykke om man skal bruke Facebook som kanal. Det kreves samtykke fra brukerne for å gi Facebook tilgang til data. 


- Det er også skjerpede regler når det kommer til profilering. Den enkelte kan protestere mot å bli profilert. En helt ny rettighet dreier seg om dataportibilitet, en rettighet som skal øke folks eierskap til data. Brukerne har rett til å få utlevert alle sine data og overføre dem til en konkurrerende tjeneste. 


Markedsføringsbransjen driver i stor grad med profilering der de samler inn data om brukerne. De putter kundene i ulike kategorier etter interesser. De bygger profiler og sender dem markedsføring basert på hvem de tror kundene er og hva de liker. Den nye loven sier at kundene har rett til å si nei til dette. 


- De nye reglene innbærer ikke noen dramatisk omlegging for hvordan man driver markedsføring. Det viktigste er å sette seg godt inn i den nye loven og sørge for at man har oversikt over hvilke data man samler inn, at det foreligger samtykke, at folk forstår hva de har samtykket til og har mulighet til å si nei om de ikke ønsker å bli profilert. En annen viktig endring er at det blir viktig å dokumentere at man gjør ting riktig. At man har 
systemer og rutiner i bedriften som kan vise at man tenker personvern. Man må gjøre ting riktig helt fra starten av.

Innebygd personvern er et nytt krav i det kommende regelverket. Det vil si at det ikke er lov å samle inn mer data enn det som er nødvendig og at data skal slettes når formålet er oppnådd. Tanken bak innebygd personvern handler om å bygge en teknologi som automatisk oppfyller kravene i loven. At det blant annet er automatiske sletterutiner. Fagdirektøren har flere råd til strategier for etterlevelse av regelverket.

- Se på datatilsynet sine nettsider og gå igjennom de veilederne vi har der. De har gode og konkrete råd for hva virksomheter bør gjøre. Få oversikt over hvilke personopplysninger man behandler og sørg for å oppfylle de nye kravene om å være tydelig på hvilke opplysninger som er samlet inn, hva de brukes til og om de deles med tredjeparter. Det blir viktig å se hvordan man innhenter samtykke, om det er tydelig forklart, om det er skrevet i et tilgjengelig språk, om samtykket er frivillig og om det er lett å trekke samtykket tilbake. Det skal være like lett å trekke tilbake samtykket som det er å gi samtykke. 


- Vi oppfordrer også bransjen til å komme sammen og lage bransjenormer. Da blir det lettere for både store og små bedrifter og se til denne bransjenormen. Det trenger ikke være så detaljert, men at det er noen generelle krav til hvordan samtykkene skal se ut og hvordan et felles rammeverk for langringsrutiner skal praktiseres.


Våre Partnere