Limita Lunde skal forklare både under Trondheim Calling, og by:Larm hva som må gjøres innen loven innføres i mai.

© unreal estates / Flickr.com

25. mai i år innføres ny personvernlov i Norge. Lovendringen kommer som følge av en EU-forordning, og EØS-avtalen gjør at denne altså også gjelder i Norge.

Loven gjelder for alle virksomheter som behandler personopplysninger, noe de aller fleste gjør.

Daglig leder Limita Lunde ved Parkteatret scene er også advokatfullmektig i Bing Hodneland og styremedlem i Norske Konsertarrangører. Hun skal sammen med kollega Stine Helén Pettersen og CRM-ansvarlig i Ticketmaster Øyvind Skjold, holde innlegg under Trondheim Calling torsdag, og senere på by:Larm, om hvilke konsekvenser den nye lovordningen får for musikkbransjen.

– Det blir strengere krav til å behandle personopplysninger. Mange tror at dette kun er personnummer, men det er alle opplysninger som kan være knyttet til et menneske, som for eksempel navn, telefonnummer, e-post og ip-adresse. Loven pålegger de som behandler disse opplysningene mye mer ansvar enn tidligere.

Limita Lunde Foto: Norske konsertarrangører

Nye rutiner
Overtredelse av loven kan straffes med bøter. Boten vil ifølge Lunde kunne bli på hele fire prosent av en virksomhets globale omsetning eller opp til 20 millioner euro.

– Alle virksomheter må nå innføre nye rutiner for personopplysninger som tilfredsstiller kravene i loven Dette gjelder alle virksomheter, også i musikkbransjen, sier hun.

– Disse nye rutinene omhandler blant annet personopplysninger om de ansatte. For musikkbransjen vil det i hovedsak også påvirke rutiner for deling og bruk av epostlister og kundeopplysninger.

Adgang og avtaler
Lunde forklarer at det blant annet er vanlig for mange arrangører å be billettdistributøren om å dele listene over hvem som har kjøpt billetter til en konsert. Listene brukes så av arrangøren til å sende nyhetsbrev eller annen informasjon fra samme scene eller byrå om liknende artister, kommende arrangement eller annet om den artisten epostinnehaver altså tidligere har vist interesse for.

– Adgangen til dette innskrenkes. Fra mai kreves et særskilt samtykke fra den som kjøper billettene for å motta slik informasjon fra arrangøren.

– Rutinene må revideres slik at de tilfredsstiller kravene i personopplysningsloven og dersom man ikke får samtykke fra de som kjøper billetter så kan man ikke gi kontaktinformasjonen videre til arrangøren. Videre må man ha databehandleravtaler med alle du som virksomhet overfører personopplysninger til. For eksempel regnskapsfører, revisor, billettdistributør, hms-system.

Dette vil ifølge Lunde si at dersom man skal legge en ansettelsesavtale som inneholder personopplysninger i Dropbox må virksomheten og Dropbox inngå en databehandleravtale.

– Slike avtaler må inngås for å sikre at også For eksempel Dropbox overholder reglene i den nye loven når de får tilgang til virksomhetens personopplysninger.

– Samtidig får man som person større adgang til å hente ut opplysninger som virksomheter har lagret om seg selv. Og den som sitter på slike data får kortere frist på å utlevere data. Det samme gjelder sletting. Det er kort frist for å slette informasjon når en person har krav på å få noe slettet, og informasjonen skal både slettes av den som får forespørsel om sletting, og i alle tilhørende system.

Merarbeid
Lovendringen fører til mye tidkrevende merarbeid for mange selskap. Lunde kjenner særlig på dette i arbeidet ved Parkteatret.

– Vi jobber intenst med nye internkontrollrutiner. Det vil si at vi må gå gjennom hele selskapet og finne ut hvilke personopplysninger behandler vi, hvordan behandler vi dem, hvordan lagrer vi dem. Vi må sjekke om serveren det lagres på er trygg nok, og om epostene er godt nok beskyttet mot hacking.

– Vi jobber også med å utarbeide en risikoanalyse, tilsvarende den vi har for hms, for å avdekke hva som vil skje om våre personopplysninger kommer på ville veier.

For etternølere:
Skulle det være virksomheter i musikkbransjen som ikke har kommet i gang med implementeringen av de nye forordningene, har Lunde noen råd:

– Det første man må gjøre er å få oversikt over hvilke personopplysninger virksomheten håndterer, før en setter i gang med å lage rutiner for hvordan en skal følge opp de nye reglene.

– Det er rett og slett manuelt arbeid som må til. Er det umulig å få til selv er det også mulig å oppsøke profesjonell hjelp.

Publisert:

Del: