GDPR…hva betyr det?

Enten du driver et lokalt familiebakeri i Drammen, som har en liste over lokale leveringsadresser, eller om du er en multinasjonal gigant med hovedkontor utenfor Europa og som selger varer globalt i en nettbutikk, så vil EU’s Personverforordning (GDPR) gjelde.

GDPR står for General Data Protection Regulation og trer i kraft 25. mai 2018. Personvernfororningen gir virksomheter nye plikter og enkeltpersoner nye rettigheter. Forodningen får direkte virkning i medlemslandene, og krever altså – i motsetning til direktiver – ingen nasjonal lovgivning.

Veldig enkelt forklart så vil enhver organisasjon som oppbevarer informasjon om enhver EU-borger være omfattet av forordningen.

GDPR ble vedtatt som en EU-lov i april 2016, men lovgiverne bestemte seg for å gi oss god tid til å bli kompatibel, slik at loven først trer i kraft i mai 2018…

Og godt er det, for selv om det offisielt bare er en «tilpasning», omfatter GDPR 11 kapitler, 99 artikler og flere hundre sider av EUs lovgivning. GDPR er langt mer omfattende enn det folk flest er klar over.

Mange har et inntrykk at GDPR bare gjelder datainnbrudd og varsle om slike sikkerhetsbrudd. Faktisk handler bare tre av de 99 artiklene faktisk om slike brudd, fordi GDPR er mer som en «digital livsstilguide» for personvern, som dekker alle aspekter av personopplysninger og hvordan du bruker disse.

Blant annet omhandler GDPR hvordan du samler inn data utgangspunktet, hvordan du forteller folk hva du skal bruke dataene til, hva du faktisk gjør med de, hvordan du lagrer det sikkert, hvem du tillater tilgang til det, og - den delen som synes å tiltrekke seg mest interesse og oppmerksomhet - hva skjer hvis du ikke overholder det.

Brudd på GDPR betyr muligheter for bøter, og GDPR-bøter kan nå nivåer man tidligere ikke har sett.

I verste fall kan GDPR bøter på opp til € 20.000.000 eller 4% av din globale, årlige omsetning, avhengig av hvilken verdi som er størst.

Det er selvfølgelig ikke noe krav at det skal tildeles maksimalbøter for ethvert brudd på loven, og det er rimelig å anta at lovgiverne utviser skjønn. Men nivået på bøteleggingen får vi en indikasjon på først når de første sakene blir kjørt.

Kort sagt: GDPR vil standardisere databeskyttelse over hele EU. Hvis du gjør forretninger i Europa, gjelder GDPR absolutt; Loven kan virke tung, men i en verden med så mange brudd som vi har hatt de siste årene, virker GDPR som den typen regulering vi trenger.