Multicase Kundemagasin #5 - desember 2017
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
”tvunget” til å oppgradere til en versjon som dekker både<br />
Kassasystemforskrifta og GDPR forordningen. GDPR-versjonen<br />
av <strong>Multicase</strong> vil utelukkende bygge på en versjon som<br />
allerede støtter Kassasystemforskrifta.<br />
Vær klar over at det også tilkommer enkelte krav til hardvare<br />
vedrørende Kassasystemforskrifta, så ta kontakt med oss<br />
for mer informasjon vedrørende dette.<br />
Hva kan dere gjøre nå?<br />
Har dere ikke begynt å planlegge for GDPR enda, så er tiden<br />
kommet. Vi anbefaler dere å sette dere nøye inn i lovverket og<br />
eventuelt delta på kurs og seminarer.<br />
Noen tips for å komme i gang:<br />
1. Kartlegg selskapets personopplysninger og eventuelle<br />
tredjepartsystemer dere benytter som håndterer disse.<br />
2. Bestem hvilke personopplysninger du må beholde<br />
3. Få på plass sikkerhetstiltak<br />
4. Se gjennom dokumentasjonen din - har dere aktivt<br />
samtykke?<br />
5. Etablere prosesser for håndtering av personopplysninger<br />
Husk at GDPR er virksomhetens ansvar, og konsekvensene ved å<br />
ikke imøtekomme de nye kravene kan føre til store bøter.<br />
Mer informasjon finnes på https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/<br />
Hva omfattes av GDPR?<br />
All informasjon som identifiserer en person<br />
Eks: navn, bilde, video, epostadresse, bankopplysninger,<br />
innlegg i sosiale medier, plasseringsinfo,<br />
helseinformasjon, IP-adresse, personnummer<br />
mm<br />
Krever aktivt samtykke<br />
Før personopplysninger kan tas i bruk skal<br />
personen gi sitt samtykke. Dette skal være en<br />
aktiv og frivillig handling.<br />
Forklaring på hva dataene skal brukes til må<br />
være spesifisert og skrevet på en informativ<br />
og utvetydig måte i en personvernerklæring.<br />
Betingelser for aksept skal være i en lettfattelig<br />
form som alle kan forstå.<br />
GDPR er virksomhetens ansvar<br />
Den enkelte virksomhet må selv tilfredsstille<br />
kravene til GDPR. Den plikter også å sjekke at<br />
alle samarbeidspartnere som virksomheten<br />
utveksler personopplysninger med, gjør det<br />
samme. Dette skal dokumenteres gjennom<br />
skriftlige databehandleravtaler. Det er også<br />
verdt å merke seg at forordningen ikke skiller<br />
mellom B2B og B2C.<br />
Lovverket gjelder også for egne ansatte og<br />
opplysninger som lagres om dem internt.<br />
Nye rettigheter for alle enkeltpersoner<br />
1. Det må gis samtykke<br />
Man kan ikke behandle personopplysninger<br />
med mindre det er gitt et spesifikt<br />
samtykke fra brukeren, enten via<br />
bekreftelse på en erklæring eller annen<br />
tydelig “bekreftende handling”.<br />
2. Rett til tilgang<br />
Man kan kreve tilgang til egne opplysninger<br />
og informasjon og om hvordan<br />
de brukes. Selskapet skal utlevere<br />
kopi av opplysningene, uten kostnad, i<br />
et elektronisk format dersom man ber<br />
om det.<br />
3. Rett til å bli glemt<br />
Trekkes samtykket tilbake, eller man<br />
ikke lenger er kunde har man rett til å få<br />
all informasjon slettet.<br />
4. Rett til å overføre data<br />
Enkeltpersoner har rett til å overføre<br />
opplysninger fra en tjenesteleverandør<br />
til en annen i et vanlig, maskinlesbart<br />
format.<br />
5. Rett til å bli informert<br />
Dette dekker alle typer innsamlingav<br />
personopplysninger av selskaper, og<br />
enkeltpersoner må informeres før opplysninger<br />
samles inn. Forbrukerne må<br />
godkjenne og gi et aktivt samtykke.<br />
6. Rett til å korrigere informasjon<br />
Enkeltpersoner skal selv enkelt kunne<br />
korrigere informasjon om seg selv dersom<br />
den er utdatert, ufullstendig eller<br />
feil. Alle endringer skal kunne dokumenteres.<br />
7. Rett til begrenset behandling<br />
Enkeltpersoner kan be om at deres<br />
opplysninger ikke skal brukes i databehandling.<br />
Informasjon kan da lagres, men<br />
ikke brukes.<br />
8. Rett til å motsette seg behandling<br />
Dette inkluderer retten til å få stoppet<br />
behandling av personopplysninger til<br />
bruk i direkte markedsføring. Det er<br />
ingen unntak for denne regelen og all<br />
behandling må stoppes så fort forespørselen<br />
er mottatt.<br />
9. Rett til å bli varslet<br />
Hvis det skjer datainnbrudd som kan få<br />
følger for enkeltpersoners opplysninger,<br />
har personen rett til å få vite dette<br />
innen 72 timer etter at innbruddet ble<br />
oppdaget.<br />
19<br />
<strong>Kundemagasin</strong>MC_utg5.indd 19 28.11.<strong>2017</strong> 12:52:18