Personvern med Elektronikkbransjen

54 bransjefolk hadde meldt seg på Stiftelsen Elektronikkbransjens GDPR-kurs i Christiania Quartalet i Oslo.

– Det nye GDPR-regelverket er komplisert, og gjelder alle aktører i alle bransjer. Derfor tilbyr vi dette kurset, sier Jan Røsholm i Stiftelsen Elektronikkbransjen.

GDPR er en forkortelse for General Data Protection Regulation, og direktivet skal forhindre at dokumenter med personopplysninger eller sensitiv personinformasjon ligger åpent for uvedkommende hos offentlige og private virksomheter.

Personvern fra starten

– I 2018 innføres det det nye personverndirektivet, og dette får konsekvenser for forhandlere, verksteder, kjeder og leverandører. Kurset tar for seg selve personvernerklæring, forståelige brukervilkår, dataminimering, innebygd personvern, personvern som standard og risikoer og sanksjoner fra Datatilsynet og Forbrukertilsynet på dette området, sier Røsholm.

Partner i Advokatfirmaet Ræder, Vebjørn Søndersrød, holdt kurset.

– Nesten 90 prosent av det nye regelverket er allerede i dag dekket i norsk lov, men det er noen ting som er helt nytt. GDPR vil få konsekvenser for nesten alle norske bedrifter, og i elektronikkbransjen er det mange personopplysninger som hentes inn, sier Søndersrød.

I EU trer GDPR-regelverket i kraft 25. mai, mens det ser ut til at det samme skjer i Norge fra 1. august.

De største nyhetene i regelverket er krav om dokumentasjon på at selskapet følger reglene, et presisert krav til samtykke om å motta epost og annen kommunikasjon og størrelsesordenen på bøtene som selskapene kan få om de bryter GDPR-reglene.

Det er også krav om at personvern skal bygges inn fra starten av i nye produkter og tjenester, og at personvernhensyn skal være standard i brukervilkår.

Mange selskaper må også oppnevne et eget personvernombud, dersom man systematisk samler inn og bruker persondata. Direktør i Datatilsynet, Bjørn Erik Thon, har tidligere uttalt at butikker og kjeder som har egne medlemsklubber er et typisk eksempel på selskaper som må ha et personvernombud.

Må dokumentere hele kjeden

Tingenes internett-produkter vil være blant produkter som samler inn persondata og i noen tilfeller som ved helse- og sportsprodukter også sensitive personopplysninger. Ofte er det snakk om et fysisk produkt som også bruker en app til å samle og analysere aggregerte data.

– Det betyr at man må gjøre en vurdering av personopplysningssikkerheten for hele økosystemet, sier Søndersrød.

Det betyr at produsenten må ha oversikt og kontroll over hvor dataene sendes, hvem som er behandlingsansvarlig og om det foreligger databehandleravtaler for alle som er involvert i denne prosessen.

Smartklokker, smarthøyttalere, smarte kjøleskap og andre dingser vil også påvirkes av kravet om innebygd personvern og personvern som standardinnstilling. Under GDPR skal personvern tas hensyn til fra første oppstartsmøte når man planlegger et nytt produkt, en ny tjeneste eller en ny forretningsmodell. Det skal følges opp underveis, og hele prosessen må kunne dokumenteres.

I tillegg er det krav til at personvern-hensyn skal gjenspeiles i standardinnstillingene i en tjeneste, for eksempel at man starter med et absolutt minimum av innsamling av persondata, men at kunden får tilbud om å skru på innhenting av flere typer data, for eksempel lokasjonsdata, for å få en bedre tjeneste.

Et annet punkt i de nye personvernreglene vil påvirke mange i bransjen, og handler om direkte markedsføring. Når har man lov til å sende ut nyhetsbrev, tilbud og annen kommunikasjon til folk?

GDPR setter krav til at kunden selv aktivt skal ha samtykket til å motta denne type informasjon. Det kommer også krav om «granulert samtykke», det vil si at næringsdrivende ikke lengre kan integrere samtykke til å behandle personopplysninger i et generelt vilkårssett. Kunden må kunne takke ja eller nei til hvert enkelt punkt.