.png)
Innholdsfortegnelse
Bedrifter og organisasjoner står overfor en kontinuerlig utfordring i å navigere personvernlandskapet. GDPR, som i 2018 ble et banebrytende regelverk innen databeskyttelse, forandret fundamentalt måten personopplysninger blir håndtert på tvers av grensene.
Mens intensjonen var å styrke og harmonisere databeskyttelsen for individer innen EU, har implementeringen avslørt flere lag av kompleksitet for bedrifter.
Etter 5 år, ser vi at EU og medlemslandenes tilsynsmyndigheter har gått fra en støttende rolle til aktivt å håndheve reglene.
Bøter for manglende overholdelse har nådd milliardklassen, noe som beviser at sanksjonene ikke er symbolske. Til tross for dette, sliter mange virksomheter fortsatt med å oppfylle alle kravene.
"Opp mot 80 prosent av landets 175.000 småbedrifter bryter trolig personvernreglene hver eneste dag"
Sier Tom Bülow-Kristiansen fra Adminkit.
"Etter å ha analysert websidene til over 500.000 norske bedrifter, så vi at mer enn HALVPARTEN bryter reglene for personvern ved å dele data om brukerne med Google, Facebook og lignende plattformer uten brukersamtykke."
I slutten av 2022 utførte Cookie Guard en analyse av norske nettsider og skrev en artikkel om resultatet, med fokus på cookies benyttet til markedsføringsformål. Samtykke og behandling av cookies er kun et aspekt av personvernloven.
Bedrifter må forbedre sine prosesser for innsamling, administrasjon og dokumentasjon av samtykke. Mange "Cookie Banner" løsninger dekker ikke kravene.
Uten samtykke kan ikke persondata samles inn. I praksis, så vil det si at typiske verktøy som Google Analytics og Facebook Pixel ikke kan lastes inn før samtykke er gitt.
Unntaket er systemnødvendige cookies, for eksempel en cookie for å administrere samtykket.
Kravene, som forklart av Datatilsynet er at gyldig samtykke skal være følgende:
Før personopplysninger kan behandles, må bedriften definere klare formål for innsamlingen eller lagringen av personopplysningene. Disse må være konkrete og reelle.
Dersom bedriften samler inn personopplysninger, så må dette komme tydelig frem til enkeltpersoner. Dette kan gjøres på flere måter, men Datatilsynet anbefaler at det settes opp en personvernerklæring.
Det er avgjørende å ha en kartlegging av hvilke data som samles inn, hvor de lagres, hvor lenge de lagres. Dette må presenteres på en synlig måte til enkeltpersoner.
Om behandlingen utføres av en tredjepart eller underleverandør, må bedriften inngå en databehandleravtale mellom den behandlingsansvarlige og databehandler.
Datatilsynet har noen enkle eksempler på når det må inngås en databehandleravtale:
Eksempel 1
En virksomhet må inngå en databehandleravtale hvis de bruker et markedsføringsfirma til å sende ut markedsføring på vegne av seg.
Eksempel 2
En virksomhet må inngå en databehandleravtale dersom de bruker en annen virksomhets skytjeneste til å lagre kundeopplysninger.
Les mer om databehandleravtale her
Det må finnes et behandlingsgrunnlag for behandling av hver enkelt personopplysning til hvert enkelt formål. Bedriften må ha identifisert om det finnes et behandlingsgrunnlag før opplysningene hentes inn.
Bedrifter er også pliktig om å informere om på hvilket behandlingsgrunnlag personopplysningene deres behandles.
Datatilsynet har et eksempel:
Eksempel
En medlemsforening behandler både navn, e-postadresse og postnummer.
- Formålet med navn er å vite hvem som er medlem i foreningen. Foreningen kan ikke oppfylle medlemsavtalen uten å vite hvem medlemmene er. Foreningen kommer frem til at behandlingsgrunnlaget er «nødvendig for avtale».
- Formålet med e-postadressen er å sende ut markedsføring. Foreningen har kommet frem til at behandlingsgrunnlaget er «samtykke». Det betyr også at virksomheten må respektere den enkeltes ønsker hvis samtykket trekkes tilbake. Virksomheten kan ikke bytte behandlingsgrunnlag hvis samtykke trekkes tilbake eller samtykke ikke var gyldig innhentet.
I et større perspektiv har GDPR en merkbar global effekt, og inspirerer til lignende lovgivninger over hele verden.
Det stilles strengere krav til internasjonal dataoverføring og håndtering av personopplysninger. Derfor må bedrifter også være oppmerksomme på internasjonale trender og lovgivninger for å sikre global overholdelse.
"Det europeiske personvernrådet har nå bestemt at det norske forbudet mot adferdsbasert markedsføring på Facebook og Instagram skal bli permanent og utvides til å gjelde hele EU/EØS."
Les mer om vedtaket på Datatilsynet sine sider.
GDPR og Personvernloven har satt en ny standard for personvern og databeskyttelse. Fem år senere er det fortsatt et viktig arbeid som gjenstår for at alle bedrifter skal kunne sikre full overholdelse.
Mens det er utfordringer, tilbyr GDPR også muligheter for bedrifter til å forbedre deres operasjoner og bygge sterkere relasjoner med kundene basert på tillit og transparens.
Ved å omfavne GDPRs prinsipper kan bedrifter ikke bare unngå bøter, men også posisjonere seg som ledende innenfor etikk og personvern – en stadig mer verdsatt egenskap blant forbrukere.
Vi anbefaler alle som er behandlingsansvarlig, daglig leder eller behandler personopplysninger om å sette seg inn i Datatilsynet sin oversikt av virksomhetenes plikter.
Oversikten finner du her
artikler innen
Digital markedsføring tilpasset dine behov