GDPR i finans - spørsmål og svar

Gå til hovedinnhold Gå til navigasjon

GDPR i finans - spørsmål og svar

Den nye personopplysningsloven trådte i kraft 20. juli, og med det er EUs personvernforordning – GDPR – innført i Norge

Denne spørsmål og svar-oversikten vil bli oppdatert ved endringer. 

Se også: Finans Norge og Spama tilbyr e-læringskurs om GDPR

Hva er GDPR?

GDPR er forkortelsen for General Data Protection Regulation. EUs personvernforordning (GDPR) innfører nye regler for behandling av personopplysninger.

Reglene vil gjelde i hele EU, inkludert EØS.

Fra hvilket tidspunkt gjelder GDPR i Norge?

Den nye personopplysningsloven trådte i kraft 20. juli 2018, og med det er EUs personvernforordning – GDPR – innført i Norge.

Hva er bakgrunnen for innføringen av GDPR og hva er målet med GDPR?

Målet med forordningen er å styrke personvernet for EU-borgere gjennom nye rettigheter for borgerne og nye plikter for virksomhetene.

Hvilke virksomheter omfattes av GDPR?

Alle virksomheter som behandler personopplysninger om egne ansatte, kunder, brukere eller andre må følge de nye reglene. Forordningen vil kreve at flere bedrifter og organisasjoner i Norge må gjøre forretnings- og driftsmessige endringer, og det vil stilles større krav til dokumentasjon av virksomhetens behandling av personopplysninger. 

Bank og forsikring er godt forberedt, i og med at vi har lang erfaring i å ta godt vare på store mengder informasjon om kundene.

Hva er retten til dataportabilitet?

Retten til dataportabilitet innføres i personvernforordningen. Dataportabilitet innebærer at kunden kan kreve enkelte personopplysninger overført elektronisk fra virksomheten til seg selv eller til en annen virksomhet. 

Må det inngås nye databehandleravtaler?

GDPR inneholder nye krav til behandlingen av personopplysninger i en databehandleravtale. Forordningen angir konkrete krav til hva som skal inntas i databehandleravtalen mellom den behandlingsansvarlige og databehandler.

Virksomhetene må derfor gjennomgå databehandleravtalene og eventuelt oppdatere disse.

Vil det bli endringer i avviksrapporteringen?

Etter GDPR skal avvik varsles senest innen 72 timer. Terskelen for hvilke avvik som skal rapporteres til Datatilsynet senkes også betydelig og virksomhetene må gjennomgå og endre sitt rapporteringssystem. 

Hva er bransjenormer?

GDPR åpner for at det kan utvikles bransjenormer for behandling av personopplysninger. Bransjenormer er en form for selvregulering av næringer og skal godkjennes av Datatilsynet.

Finans Norge utarbeider bransjenormer for bank og forsikring.