Hva er GDPR?

Forskriften om GDPR implementeres i alle lokale personvernlover i hele EU- og EØS området. Den gjelder for alle selskaper som lagrer og selger personlig informasjonsdata om europeiske borgere, inkludert selskaper på andre kontinenter som ønsker å bruke brukerinformasjon samlet fra EU. GDPR sitt formål er å gi innbyggerne i EU og EØS bedre kontroll over sine egne personopplysninger og sikrer at informasjonen beskyttes i hele Europa.

I følge forskriften omfatter personopplysninger all informasjon som kan direkte kobles til en person. Dette kan for eksempel være navn, bilde, e-postadresse, bankopplysninger, innlegg i sosiale medier, posisjonsdata, helseinformasjon eller IP-adresser.

Det er viktig å presisere at det ikke skilles mellom personopplysninger for individers private, offentlige eller jobbmessige roller. I en B2B situasjon er det også enkeltpersoner som interagerer og deler informasjon med og om hverandre. Kundene i B2B markedet er selskaper, men relasjonene som håndterer forretningene består av enkeltpersoner.

Individets rettigheter i følge GDPR

1. Det må gis samtykke

For at et selskap skal kunne behandle personopplysninger må hver enkelt person gi en spesifikk, informert og klar indikasjon på samtykke, eller legitime i. Et samtykke kan skje enten via en erklæring eller via en tydelig bekreftende handling.

‍

‍2. Rett til tilgang

Loven gir enkeltpersoner rett til å få tilgang til opplysningene som er samlet av dem, og til å vite hvordan informasjonen brukes av selskapet etter at den er samlet inn. Ved krav fra enkeltpersonen skal selskapet kostnadsfritt levere ut en kopi av personopplysningene i elektronisk format.

‍

3. Rett til å bli glemt

Enkeltpersonen har rett til å få informasjon slettet dersom han/hun ikke lenger er kunde eller hvis personen trekker tilbake samtykket de har gitt et selskap for å bruke vedkommendes personopplysninger.‍

‍‍

‍‍4. Rett til å overføre data

Individet har rett til å fritt overføre informasjon om seg selv mellom tjenesteleverandører, og dette må skje i et vanlig og maskinlesbart format.

‍

5. Rett til å bli informert

Denne innebærer at individet har rett til å bli informert før opplysningene om dem blir samlet inn, og at det er et gyldig behandlingsgrunnlag til at denne informasjonen kan bli samlet av dem.

‍

‍‍

6. Rett til å korrigere informasjon

Denne retten sørger for at enkeltpersoner kan oppdatere informasjonen om dem dersom den er utdatert, ufullstendig eller feilaktig.

‍

‍7. Rett til begrenset behandling

Enkeltpersoner kan be om at opplysningene som er samlet om dem ikke blir brukt i databehandling. Dette betyr at informasjonen fortsatt kan lagres men den kan ikke brukes.‍

‍

8. Rett til å motsette seg behandling

Dette inkluderer retten til å nekte at personopplysningene som er samlet om en enkeltperson ikke blir brukt i direkte markedsføring. Det er svært viktig at denne rettigheten blir kommunisert tydelig til enkeltpersoner i enhver kommunikasjon.

‍

9. Retten til å bli varslet

Dersom det har oppstått et datainnbrudd som kan få følger for enkeltpersoners opplysninger, har personen rett til å vite om dette i løpet av 72 timer etter at innbruddet ble oppdaget.

GDPR er EUs tiltak for å gi individer mer oversikt og kontroll over sine egne personopplysninger og redusere makten til organisasjonene som samler inn og bruker denne informasjonen for egen vinning. Det er viktig å presisere at det ikke er et forsøk på å komplisere forretningen, men skape mer bevissthet og åpenhet rundt hvordan personopplysninger blir lagret og brukt.

Konsekvenser av GDPR for virksomheten

GDPR flytter makt som tidligere var på bedrifter sin side, over til forbrukeren, og gir virksomhetene arbeidet med å overholde disse forskriftene.

GDPR gjelder for alle selskaper og organisasjoner som er etablert i EU, uavhengig av om databehandlingen foregår i EU eller ikke. Selv organisasjoner som ikke er etablert i EU, men som samler inn informasjon fra EUs borgere, vil bli underlagt GDPR

Det anbefales at alle selskaper og organisasjoner som jobber med personopplysninger bør ha et personvernombud eller en controller som jobber internt med GDPR. 

Straffene er svært strenge for selskapene dersom GDPR ikke blir overholdt på en tilfredsstillende måte. Bøtene er på 20 millioner EURO eller 4% av årlig global omsetning.

Konsekvenser av GDPR for kundebehandling

Bedrifter må tilpasse seg og håndtere salgs- og markedsføringsaktiviteter annerledes enn før. Selskapet må få en oversikt over sine interne prosesser, løsninger og digitale skjemaer for å oppfylle de nye reglene for lagring og bruk av persondata. For at en enkeltperson skal kunne registrere seg som mottaker av kommunikasjon fra bedriften må bedriften ha et gyldig behandlingsgrunnlag.

Det kreves at alle organisasjoner må klare å bevise at samtykke ble gitt i tilfeller der enkeltpersoner nekter for å ha akseptert å bli kommunisert til. All data som samles inn må ha et tidsstempel og man bør i detalj kunne rapportere hva kontakten har samtykket til, når og hvordan.

Data er blitt en verdifull valuta i det moderne samfunnet. Samtidig som GDPR skaper utfordringer for selskaper og organisasjoner, åpner forskriften også for nye gylne muligheter. Selskaper som viser at de verdsetter enkeltpersoners personvern, som er transparente om hvordan de bruker opplysningene og som utvikler og implementerer nye og bedre metoder for å håndtere kundedata i hele livssyklusen opplever mer tillit og får mer lojale kunder. 

Hvis du ønsker mer informasjon om hvordan GDPR påvirker kundedata og hvordan vi forholder oss til GDPR, kontakt oss eller les mer her. Vi hjelper deg gjerne.