Nytt om GDPR

Blog Layout

Nytt om GDPR

Septer • sep. 25, 2019

Tre ting din virksomhet bør være klar over

1. Sosiale medier ikoner

Benytter du deg av en såkalt «facebook-button» på dine websider? Da kan du risikere å dele ansvar med Facebook for behandling av besøkendes personopplysninger.

Den 29.juli 2019 fastslo EU-domstolen at en nettside som benytter seg av en Facebook like-knapp eller andre sosiale «plugins» er felles behandlingsansvarlige med det sosiale nettverket, selv om nettsiden ikke har adgang til dataene som samles inn. En Facebook like-knapp er et populært verktøy som mange benytter seg av på sine nettsider for at leseren skal kunne dele eller like innholdet. Disse knappene er populære å bruke fordi de kan øke synlighet og trafikk og gir også nyttig informasjon om brukeren. Med denne like-knappen, lagrer imidlertid Facebook cookies på brukerens datamaskin. Dette gjør at personlig data automatisk overføres til Facebook fordi knappen etablerer en tilhørighet til Facebooks servere. Selv brukere som ikke har en Facebook profil vil gi fra seg personlig data.

Personvernforordningen fastslår at dersom man deler behandlingsansvar må også hver enkelt virksomhet lovlig kunne behandle personopplysningene. I dette tilfellet betyr det at en nettside som benytter seg av en Facebook-knapp enten må basere seg på gyldig samtykke før overføringen av personopplysninger til Facebook eller vurdere om innsamlingen og overføringen av personopplysninger til Facebook baserer seg på berettiget interesse. Uansett må nettsteder som bruker en slik knapp, gi informasjon om innsamling og overføring av personopplysninger. Resultatet av den nye dommen gjør derfor at flere nettsteder nå bør vurdere å fjerne disse knappene, siden knappen overfører personopplysninger idet en nettside besøkes.

2. Cyber-attack

Har du foretatt en risikovurdering i din virksomhet og har på plass tilstrekkelige sikkerhetstiltak? ICO (Storbritannias informasjonskomissærs kontor) ga i sommer en bot på hele to milliarder kroner til British Airways etter at flyselskapet ble hacket og frastjålet kundedata for 500 000 kunder.

Personvernforordningen er lik i hele EØS og alle virksomheter har som følge av dette ansvar for å passe på personvernopplysninger de behandler. Virksomheter skal fortløpende vurdere egen informasjonssikkerhet og iverksette nødvendige tiltak av både teknisk og organisatorisk karakter. Også ved bruk av databehandlere (en som behandler personopplysninger på dine vegne), vil virksomheten bli ansvarlig dersom databehandlernes informasjonssikkerhet er for dårlig. Databehandleravtaler og risikovurderinger er nødvendig å ha på plass for å minimere risikoen for eventuelle brudd.

3. Samtykke

Bruker du samtykke som grunnlag for behandling av personopplysningene til dine ansatte? Det bør du nå slutte med. Et samtykke skal være frivillig og den som samtykker skal være i stand til å foreta et fritt valg. Styrkeforholdet mellom en ansatt og en arbeidsgiver kan gjøre at ansatte oppfatter at de ikke kan velge å si nei til å gi samtykke.

PwC fikk nylig en bot av det greske datatilsynet (HDPA) for brudd på personvernforordningen. Selskapet hadde benyttet seg av samtykke for sine ansatte, og samtykket hadde i tillegg ikke vært tilstrekkelig opplyst. PwC er ironisk nok selv en rådgivende aktør innenfor GDPR. Saken belyser at selv store, korrekte aktører kan ta feil og at det er svært viktig å vite at man har kontroll på de behandlingene en virksomhet gjør og at virksomheten tar dette på alvor.