Nye regler for behandling av personopplysninger

Spørsmål som "Er du medlem hos oss?" eller "Kan du fylle i navn og adresse her, takk?" forekommer stadig- når vi handler i butikk, shopper online eller laster ned apper til våre smarttelefoner er bare noen eksempler. Hvor ofte får du egentlig spørsmål om deg selv? Hvilken informasjon utgir du og til hvem? Har mottageren rutiner som sikrer lagring av opplysningene du oppgir?

Hvorfor ny forordning/ lov?

Personopplysninger er meget ettertraktet informasjon i dagens digitaliserte samfunn og nåværende lovgivning er for svak til å ivareta den enkelte persons rettigheter, blant annet fordi den ble laget før internett var utbredt.  Folk har ingen oversikt på hvordan multinasjonale selskaper behandler personopplysninger og loven kom i stand for å beskytte borgere i EU/EØS i forhold til dette.  

Med GDPR på plass kommer det til å bli strengere krav til hvordan selskap dokumenterer sin håndtering av personopplysninger, hvordan prosessene omkring håndteringen fungerer og hvor sikkert informasjonen håndteres og lagres.

Hvordan jobber Alektum Group med å tilpasse seg GDPR

GDPR er et stort prosjekt innen Alektum Group som involverer alle i konsernet.  Det er nærmere 20 personer som arbeider aktivt med tilpasningsarbeid(rutiner, hjemmel, tilpasninger av systemer, opplæring, m.m.)  Prosjektet har pågått 1 års tid og Alektum kommer til å være compliant med GDPR når forordningen trer i kraft. Vi går dessuten et steg videre ettersom både inkassoloven og tvangsfullbyrdelsesloven inneholder spesialregler som griper inn i GDPR.

Hvem er behandlingsansvarlig?

Datatilsynets vurdering og praksis etter gjeldende personopplysningslov med forskrift, er at inkassoforetak å regne som behandlingsansvarlig og at det derfor  ikke er påkrevd med databehandleravtale.

Slik vi ser det tilsier innføringen av personvernforordningen (GDPR- forordning (EU) 2016/679) ingen endring av dette.

Konsekvens

Ansvaret for å følge den nye loven ilegges den som behandler personopplysningene, det vil si bedriften, myndighetene og andre organisasjoner. Dersom personopplysningene ikke behandles slik loven tilsier kan tilsynsmyndigheten ilegge sanksjoner.