I april 2016 vedtok EU en ny personvernforordning, som har fått navnet General Data Protection Regulation (GDPR). Den nye loven er såkalt EØS-relevant, noe som betyr at den også skal innføres i Norge. Her i landet vil de nye personvernreglene gjelde fra 25. mai i år, og de må følges av alle som behandler personopplysninger om kunder, egne ansatte, brukere eller andre. Det gjør de aller fleste norske virksomheter, også bedriftene i baker- og konditorbransjen. 

— De som ikke har begynt å sette seg inn i det nye regelverket for personvern ennå, begynner å få ganske dårlig tid nå, sier juridisk rådgiver i Datatilsynet, Gullik Gundersen, til Bakeri.net.

Hva er personopplysninger?

En personopplysning er en opplysning som kan knyttes til en enkeltperson. Det kan være navnet ditt, fødselsnummeret, telefonnummeret eller et bilde av deg.

Vi skiller mellom direkte identifiserende og indirekte identifiserende opplysninger. Den siste kategorien er opplysninger som sammen med andre opplysninger kan fortelle hvem du er. For eksempel er opplysninger som biometri for eksempel fingeravtrykk, søkehistorikken din på nett eller reisemønsteret ditt direkte identifiserende. Alder, kjønn eller en adresse er eksempler på indirekte identifiserende opplysninger.   

Kilde: Datatilsynet

Hans råd til baker- og konditorbransjen er det samme som han gir til alle andre bransjer:

— Begynn med å kartlegge hvilke personopplysninger din virksomhet behandler i dag. Det kan være opplysninger om både kunder og ansatte, alt fra kjøpshistorikk til telefonnummer. Deretter er det på tide å sette seg inn i de nye reglene som kommer, og til slutt er det viktig å dokumentere alle vurderinger eller tiltak man gjør.

Kan få store bøter

Etter at det nye regelverket er innført og gjelder ifølge norsk lov, vil Datatilsynet gjennomføre tilsyn. En bedrift som ikke følger reglene i den nye forordningen, risikerer da å få store bøter på opptil fire prosent av forrige regnskapsårs totalomsetning.

— Men vi kommer til å være ganske greie med alle som faktisk har prøvd å gjøre noe. Det er mer nærliggende å gi bøter til virksomheter som vi ser ikke har gjort noe for å sette seg inn i og følge de nye reglene. Men vi har uansett ikke noen tradisjon for å makse ut bøtenivået vårt, sier Gundersen.

Dette blir nytt:

Datatilsynet har utarbeidet denne oversikten over de 10 viktigste endringene som den nye personvernloven medfører:

1) Alle norske virksomheter får nye plikter.

2) Alle skal ha en forståelig personvernerklæring.

3) Alle skal vurdere risiko og personvernkonsekvenser.

4) Alle skal bygge personvern inn i nye løsninger.

5) Mange virksomheter må opprette personvernombud. 

6) Reglene gjelder også virksomheter utenfor Europa.

7) Alle databehandlere får nye plikter.

8) Alle bør samarbeide i egne nettverk og følge bransjenormer.

9) Alle får nye krav til avvikshåndtering.

10) Alle må kunne oppfylle borgernes nye rettigheter.

Mer utfyllende informasjon om disse punktene og hvordan de bør møtes finnes på Datatilsynets nettsider, her

Bruk sunn fornuft

Han legger ikke skjul på at EUs nye personvernforordning er omfattende, og at det derfor er mye å sette seg inn i, men han mener også at man kommer langt med sunn fornuft.

— Til syvende og sist handler mye personvern om sunn fornuft, og det er noen grunnleggende prinsipper som gjelder for hele forordningen, som det derfor kan være lurt det å sette seg inn i og ha i bakhodet. De grunnleggende prinsippene finner man i artikkel fem i personvernforordningen. Er man i tvil om noe er OK, kan man vurdere om det man gjør på noen som helst måte strider imot disse prinsippene, tipser Gundersen.

Anbefaler bransjenorm

Han legger til at det også kan være hensiktsmessig å utarbeide en bransjenorm med noen felles retningslinjer.

— En bransjenorm er absolutt å anbefale, og spesielt for bransjer med mange små bedrifter. En bransjenorm vil kunne bidra til at alle bedrifter får en ensartet behandling, uansett størrelse.

— Hvordan bør baker- og konditorbransjen gå frem for å utarbeide en slik bransjenorm?

— Det vil være nærliggende å begynne med en sondering for å kartlegge felles interesser og muligheter, for eksempel gjennom bransjeorganisasjonen. Men det vil være dumt om dette arbeidet kun skjer sentralt. Derfor er det viktig å få med bedriftene fra starten av. Man kan vurdere om en eventuell bransjenorm bør gjelde for hele lovverket, eller kun for deler av det.

Kontinuerlig arbeid

— Må en bransjenorm være klar til loven trer i kraft den 25. mai?

— Nei, så det er ingen grunn til å forhaste seg med et slikt arbeid. Vi kommer uansett ikke til å begynne å godkjenne bransjenormer før etter 25. mai, sier Gundersen, som understreker at personvern ikke er en oppgave man blir ferdig med.

— Det kommer hele tiden ny teknologi og nye løsninger. Derfor er arbeidet med personvern en prosess som må fortsette kontinuerlig. Så jeg vil ikke anbefale noen å ta store skippertak frem til 25. mai for deretter å legge permen i en skuff og tenke at man er ferdig med det. Da er det mye bedre å bruke litt mer tid på å skape et godt grunnlag for å kunne jobbe jevnt og trutt med personvern over mange år.

Ønsker bransjenorm

Daglig leder i BKLF, Gunnar Bakke, sier til Bakeri.net at det kan være aktuelt for bransjeorganisasjonen å utarbeide en bransjenorm for personvern.

— Vi jobber allerede med å få til en bransjestandard for oppbevaring av påsmurt mat, og vi må vurdere om det også vil være naturlig å utarbeide en felles bransjenorm for personvernområdet.

Daglig leder i Rosenborg Bakeri, Heidi Helgesen, ønsker et slikt arbeid velkommen.

— Jeg opplever det nye personvernregelverket som svært omfattende, og egentlig altfor tidkrevende å sette seg inn i for små bedrifter som oss. Det er også litt skremmende at man risikerer å få flere millioner kroner i bot dersom man gjør noe feil. Derfor håper jeg at det vil bli utarbeidet en bransjenorm med noen felles retningslinjer eller punkter om hva som må gjøres, sier hun.

Deltok på kurs

Helgesen forteller at hun nå begynner å få en viss oversikt over det nye regelverket, og at hun allerede har igangsatt noen tiltak i bedriften.

— Jeg har blant annet slettet hundrevis av jobbsøknader som vi hadde liggende. Nå må vi opprette en egen e-postadresse for søknader, hvor søknadene også slettes automatisk etter et gitt tidspunkt.

Mye av det hun kan om de nye personvernreglene så langt, lærte hun på et temakurs i regi av håndverkerforeningen i Trondheim.

— Der fikk vi også en forklaring på hvorfor disse nye reglene er nødvendige. Det var nesten litt skremmende å se hvor mye personopplysninger vi legger igjen om oss selv ute i den digitale verden.

På Datatilsynets nettsider kan du lese mer om de nye personvernreglene.