GDPR i finans - spørsmål og svar

Gå til hovedinnhold Gå til navigasjon

GDPR i finans - spørsmål og svar

EUs personvernforordning (GDPR) innfører nye regler for behandling av personopplysninger i løpet av 2018. 

Denne spørsmål og svar-oversikten vil bli oppdatert ved endringer. 

Se også: Finans Norge og Spama tilbyr e-læringskurs om GDPR

Hva er GDPR?

GDPR er forkortelsen for General Data Protection Regulation. EUs personvernforordning (GDPR) innfører nye regler for behandling av personopplysninger.

Reglene vil gjelde i hele EU, inkludert EØS.

Fra hvilket tidspunkt gjelder GDPR i Norge?

Forordningen skal etter planen tre i kraft i EU/EØS 25. mai 2018. Det er imidlertid uklart om forordningen vil tre i kraft i Norge allerede 25. mai eller om den vil tre i kraft på et senere tidspunkt. Om implementeringen blir forsinket vil den antakelig uansett tre i kraft i Norge i løpet av sommeren 2018.

Hva er bakgrunnen for innføringen av GDPR og hva er målet med GDPR?

Målet med forordningen er å styrke personvernet for EU-borgere gjennom nye rettigheter for borgerne og nye plikter for virksomhetene.

Hvilke virksomheter omfattes av GDPR?

Alle virksomheter som behandler personopplysninger om egne ansatte, kunder, brukere eller andre må følge de nye reglene. Forordningen vil kreve at flere bedrifter og organisasjoner i Norge må gjøre forretnings- og driftsmessige endringer, og det vil stilles større krav til dokumentasjon av virksomhetens behandling av personopplysninger. 

Bank og forsikring er godt forberedt, i og med at vi har lang erfaring i å ta godt vare på store mengder informasjon om kundene.

Hva er retten til dataportabilitet?

Retten til dataportabilitet innføres i personvernforordningen. Dataportabilitet innebærer at kunden kan kreve enkelte personopplysninger overført elektronisk fra virksomheten til seg selv eller til en annen virksomhet. 

Må det inngås nye databehandleravtaler?

GDPR inneholder nye krav til behandlingen av personopplysninger i en databehandleravtale. Forordningen angir konkrete krav til hva som skal inntas i databehandleravtalen mellom den behandlingsansvarlige og databehandler.

Virksomhetene må derfor gjennomgå databehandleravtalene og eventuelt oppdatere disse.

Vil det bli endringer i avviksrapporteringen?

Etter GDPR skal avvik varsles senest innen 72 timer. Terskelen for hvilke avvik som skal rapporteres til Datatilsynet senkes også betydelig og virksomhetene må gjennomgå og endre sitt rapporteringssystem. 

Hva er bransjenormer?

GDPR åpner for at det kan utvikles bransjenormer for behandling av personopplysninger. Bransjenormer er en form for selvregulering av næringer og skal godkjennes av Datatilsynet.

Finans Norge utarbeider bransjenormer for bank og forsikring.