GDPR i finans - spørsmål og svar

GDPR er forkortelsen for General Data Protection Regulation. EUs personvernforordning (GDPR) innfører nye regler for behandling av personopplysninger.

Reglene vil gjelde i hele EU, inkludert EØS.

Den nye personopplysningsloven trådte i kraft 20. juli 2018, og med det er EUs personvernforordning – GDPR – innført i Norge.

Målet med forordningen er å styrke personvernet for EU-borgere gjennom nye rettigheter for borgerne og nye plikter for virksomhetene.

Alle virksomheter som behandler personopplysninger om egne ansatte, kunder, brukere eller andre må følge de nye reglene. Forordningen vil kreve at flere bedrifter og organisasjoner i Norge må gjøre forretnings- og driftsmessige endringer, og det vil stilles større krav til dokumentasjon av virksomhetens behandling av personopplysninger. 

Bank og forsikring er godt forberedt, i og med at vi har lang erfaring i å ta godt vare på store mengder informasjon om kundene.

Retten til dataportabilitet innføres i personvernforordningen. Dataportabilitet innebærer at kunden kan kreve enkelte personopplysninger overført elektronisk fra virksomheten til seg selv eller til en annen virksomhet. 

GDPR inneholder nye krav til behandlingen av personopplysninger i en databehandleravtale. Forordningen angir konkrete krav til hva som skal inntas i databehandleravtalen mellom den behandlingsansvarlige og databehandler.

Virksomhetene må derfor gjennomgå databehandleravtalene og eventuelt oppdatere disse.

Etter GDPR skal avvik varsles senest innen 72 timer. Terskelen for hvilke avvik som skal rapporteres til Datatilsynet senkes også betydelig og virksomhetene må gjennomgå og endre sitt rapporteringssystem. 

GDPR åpner for at det kan utvikles bransjenormer for behandling av personopplysninger. Bransjenormer er en form for selvregulering av næringer og skal godkjennes av Datatilsynet.

Finans Norge utarbeider bransjenormer for bank og forsikring.