Schrems II-dommen har avdekket at det kan være stor forskjell på kart og terreng i forretningsverdenen. Rutiner og rapporter for økonomien følges nitidig opp, mens personvern og personopplysninger ofte er redusert til dokumentasjon som sees over og revideres en gang i året. Innføringen av GDPR var til da EUs kraftigste tiltak for å rydde opp i en stadig mer ruskete holdning til personopplysninger - nå viser Schrems II at det er behov for mye høyere presisjon i håndtering av personvernet enn hva som praktiseres.
Personopplysninger er grunnlaget for de aller fleste virksomheters drift. Innsamlingen, at du får de opplysningene som er nødvendig, og bruken, at du får gjort nytte av de opplysningene du har, er nødvendig for å drive forretning. Det betyr at hvis innsamlingen er gjort på sviktende grunnlag eller at opplysningene ikke brukes slik de er ment, er hele grunnlaget for driften ulovlig. ”Kontroll og presisjon skaper forretningskraft” sier Isabel Barroso-Gomez, Chief Data Officer i Santander Consumer Bank – Nordics. ”I en datadrevet organisasjon må alle medarbeidere ha grunnleggende kunnskap om hva personopplysninger og tekniske systemer er. Alle må forstå hvorfor en ny funksjon kan ha påvirkning på personvernet. Det må være enkelt å være compliant.”
En ”personopplysning” er enhver opplysning som direkte, eller indirekte, kan knyttes til en fysisk person. (Se vår GDPR-ordliste her)
”Behandling” er enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke. (Se vår GDPR-ordliste her)
Det er et stort paradoks at selve verdigrunnlaget for virksomhetens forretning ikke behandles som ferskvare, med kontinuerlig oppfølging. Personvern er helt nødvendig for at du skal kunne drive forretning. Du må sikre at personopplysningene kan brukes til det du vil, informere på korrekt måte og ikke minst vite at du har korrekt hjemmel for å behandle de. Å være compliant betyr at alle aktiviteter gjennomføres i samsvar med gjeldende lover og forskrifter, også interne retningslinjer. Da legger man til rette for vekst og reduserer risiko.
For å kunne forvalte personvernet i tråd med regelverket må bevisstheten rundt behandling av personopplysningene flyttes fra å være et årlig agendapunkt hos ledelsen til en integrert del av den daglige driften der behandlingen skjer. ”En stor del handler om at hele virksomheten må være endringsvillig og rydde opp i gamle arbeidsrutiner. For eksempel kan ikke ansatte ha sitt eget system med Excel-ark ved siden av CRM-systemet.” sier Barroso-Gomez og fortsetter: ”Alle må bevisstgjøres innenfor sine arbeidsområder.” Høy presisjon i personvernet kommer først når det er en selvfølge å spørre seg ”bruker vi disse dataene som vi skal?” Å ha godt personvern er ikke å ha ”det dokumentert”, men å etterleve en holdning hvor reelt personvern ivaretas og du kan skape gevinst av dataene dine.
Grunnlaget for denne holdningen og presisjonen ligger på ledelsesnivå. Ledelsen må sikre nødvendig oversikt og dokumentasjon. Ikke minst må de sørge for å forankre dette videre utover i organisasjonen. De fleste større virksomheter har gjerne en personvernansvarlig eller et team, ofte med tilknytning til HR-, juridisk- eller risk/compliance. I mange tilfeller har ikke teamet forutsetninger for å kunne vurdere hvilke personopplysninger som faktisk behandles til hvilke formål ute i virksomheten. Risikoen for feil øker jo lenger vekk fra den faktiske behandlingen ansvaret ligger. En jurist dokumenterer for andre jurister, ikke nødvendigvis for salgsavdelingen. De fleste brudd på Personopplysningsloven er menneskelige. Uforståelig og vanskelig språk er bare ett eksempel på hvor feil kan oppstå.
"Den virkelige risikoen for store selskaper er tap av omdømme og tillit”
Isabel Barroso-Gomez
Med en teknologiutvikling som eksploderer, og at det tas stadig i bruk nye smarte systemer for å effektivisere hverdagen, blir behovet for å ha oversikt over for eksempel databehandlere større og større. Samtidig viser Schrems II-dommen at det ikke holder å vite hvilke systemer man bruker, man må også ha kontroll over hvilke underbehandlere som benyttes og hvor dataene behandles. Da holder det ikke at avtalene er signerte PDFer i et arkiv, det er behov for å kunne forvalte innholdet på en effektiv måte.
Her kan du lese mer om Iconfirm Schrems II løsning
Uten etterrettelighet i hvordan personopplysninger behandles vil dagens virksomheter stå i fare for å miste sitt mest verdifulle forretningsgrunnlag. ”Den virkelige risikoen for store selskaper er tap av omdømme og tillit” sier Barroso-Gomez. ”Bøter og gebyrer er en økonomisk risiko for små selskaper. For de store er det kanskje billigere å ”betale seg ut” enn å måtte bytte teknisk plattform”. Man kan ikke skremme noen til godt personvern hvis de ikke forstår verdien av dataene man har, og potensialet i dataene man kan innhente, når dette gjøres i henhold til loven. Enkeltmenneskets rett til å bestemme over bruken av egne personopplysninger betyr at virksomheten ikke bare må ha kundenes tillatelse, men også tillit, for å kunne forvalte deres digitale opplysninger.
Med gode rutiner, en gjennomgående bevissthet i organisasjonen og kundenes tillit skapes verdi av personopplysningene. Da reduseres også risikoen for å gjøre kostbare feil.
Les mer om hvordan Iconfirm hjelper deg å spare tid, sikre kvalitet og bygge tillit!
Overfører dere personopplysninger til land utenfor EU/EØS? Vi kan vise deg hvilke tekniske, supplerende tiltak som kan iverksettes med Iconfirms løsninger. Vi demonstrerer det gjerne for deg:
