Multicase Kundemagasin #5 - desember 2017

”tvunget” til å oppgradere til en versjon som dekker både
Kassasystemforskrifta og GDPR forordningen. GDPR-versjonen
av Multicase vil utelukkende bygge på en versjon som
allerede støtter Kassasystemforskrifta.
Vær klar over at det også tilkommer enkelte krav til hardvare
vedrørende Kassasystemforskrifta, så ta kontakt med oss
for mer informasjon vedrørende dette.
Hva kan dere gjøre nå?
Har dere ikke begynt å planlegge for GDPR enda, så er tiden
kommet. Vi anbefaler dere å sette dere nøye inn i lovverket og
eventuelt delta på kurs og seminarer.
Noen tips for å komme i gang:
1. Kartlegg selskapets personopplysninger og eventuelle
tredjepartsystemer dere benytter som håndterer disse.
2. Bestem hvilke personopplysninger du må beholde
3. Få på plass sikkerhetstiltak
4. Se gjennom dokumentasjonen din - har dere aktivt
samtykke?
5. Etablere prosesser for håndtering av personopplysninger
Husk at GDPR er virksomhetens ansvar, og konsekvensene ved å
ikke imøtekomme de nye kravene kan føre til store bøter.
Mer informasjon finnes på https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/
Hva omfattes av GDPR?
All informasjon som identifiserer en person
Eks: navn, bilde, video, epostadresse, bankopplysninger,
innlegg i sosiale medier, plasseringsinfo,
helseinformasjon, IP-adresse, personnummer
mm
Krever aktivt samtykke
Før personopplysninger kan tas i bruk skal
personen gi sitt samtykke. Dette skal være en
aktiv og frivillig handling.
Forklaring på hva dataene skal brukes til må
være spesifisert og skrevet på en informativ
og utvetydig måte i en personvernerklæring.
Betingelser for aksept skal være i en lettfattelig
form som alle kan forstå.
GDPR er virksomhetens ansvar
Den enkelte virksomhet må selv tilfredsstille
kravene til GDPR. Den plikter også å sjekke at
alle samarbeidspartnere som virksomheten
utveksler personopplysninger med, gjør det
samme. Dette skal dokumenteres gjennom
skriftlige databehandleravtaler. Det er også
verdt å merke seg at forordningen ikke skiller
mellom B2B og B2C.
Lovverket gjelder også for egne ansatte og
opplysninger som lagres om dem internt.
Nye rettigheter for alle enkeltpersoner
1. Det må gis samtykke
Man kan ikke behandle personopplysninger
med mindre det er gitt et spesifikt
samtykke fra brukeren, enten via
bekreftelse på en erklæring eller annen
tydelig “bekreftende handling”.
2. Rett til tilgang
Man kan kreve tilgang til egne opplysninger
og informasjon og om hvordan
de brukes. Selskapet skal utlevere
kopi av opplysningene, uten kostnad, i
et elektronisk format dersom man ber
om det.
3. Rett til å bli glemt
Trekkes samtykket tilbake, eller man
ikke lenger er kunde har man rett til å få
all informasjon slettet.
4. Rett til å overføre data
Enkeltpersoner har rett til å overføre
opplysninger fra en tjenesteleverandør
til en annen i et vanlig, maskinlesbart
format.
5. Rett til å bli informert
Dette dekker alle typer innsamlingav
personopplysninger av selskaper, og
enkeltpersoner må informeres før opplysninger
samles inn. Forbrukerne må
godkjenne og gi et aktivt samtykke.
6. Rett til å korrigere informasjon
Enkeltpersoner skal selv enkelt kunne
korrigere informasjon om seg selv dersom
den er utdatert, ufullstendig eller
feil. Alle endringer skal kunne dokumenteres.
7. Rett til begrenset behandling
Enkeltpersoner kan be om at deres
opplysninger ikke skal brukes i databehandling.
Informasjon kan da lagres, men
ikke brukes.
8. Rett til å motsette seg behandling
Dette inkluderer retten til å få stoppet
behandling av personopplysninger til
bruk i direkte markedsføring. Det er
ingen unntak for denne regelen og all
behandling må stoppes så fort forespørselen
er mottatt.
9. Rett til å bli varslet
Hvis det skjer datainnbrudd som kan få
følger for enkeltpersoners opplysninger,
har personen rett til å få vite dette
innen 72 timer etter at innbruddet ble
oppdaget.
19
KundemagasinMC_utg5.indd 19 28.11.2017 12:52:18