Hva er GDPR?

Hva er GDPR er et omfattende spørsmål. Her får du et overblikk over personvern og GDPR. Vi tar for oss det du absolutt må vite om GDPR i Norge og gir deg samtidig mulighet for å gå i dybden og lese mer om enkeltstående tema.

GDPR på 3 minutter

Video: Iconfirm Explainer video GDPR

GDPR - oppsummert

GDPR er det nye personvernregelverket til EU som ble innført 25. mai 2018. I Norge ble ny personvernlovgivning vedtatt 15. juni 2018 og trådte i kraft 20. juli 2018.

Hva står GDPR for og hva betyr det?

GDPR står for: General Data Protection Regulation.

GDPR, personvernforordningen, omhandler virksomheters behandling av personopplysninger og gjelder for all behandling av personopplysninger. Det være seg innsamling, registrering, sammenstilling, lagring eller utlevering.

GDPR regler omfatter enhver virksomhet som opererer i EU og EØS, inklusive virksomheter utenfor EU, som tilbyr varer og tjenester på det europeiske markedet.

Loven gjelder for mer eller mindre alle bedrifter, organisasjoner, frivillige foreninger, idrettslag og skoler i Norge. Alle disse virksomhetene må derfor sette seg inn i reglene og etterleve disse. GDPR lovdata kan du finne her.

Målet med GDPR er å gi enkeltindividet økt kontroll over hvordan data som kan knyttes til oss brukes, deles og oppbevares. Vi skal ha tilgang på nødvendig informasjon og virksomheter må dokumentere at vi har gitt et aktivt samtykke til at de kan samle inn og bruker informasjonen vi deler med dem.

Med forordningen har enkeltpersoner en rekke rettigheter når det kommer til deres egen personopplysninger, mens virksomheter har en rekke plikter som må overholdes for ikke å bryte personopplysningsloven.

GDPR Norge - Før hadde vi personopplysningsloven

Regler for personvern i Norge er ikke nytt med innføringen av GDPR. Vi har hatt personopplysningsloven å forholde oss til fra år 2000. Men med innføringen av GDPR regler i Norge har vi fått en oppdatering i forhold til ny teknologi og et forbedret personvern for oss som individ.

Se også video: GDPR forklart på tre minutter

Tilbake til toppen ^

hva er gdpr - europakart med hengelås og stjerner
Last ned guide: GDPR for Dummies
eu-flaggborg

Et felles personvernregelverk for EU/EØS

Personvernforordningen er et strengt og gjennomgripende sett med regler om hvordan og hvorfor virksomheter kan samle inn og bruke persondata. GDPR er et prinsippbasert lovverk som setter enkeltpersonen i sentrum og med styrkede rettigheter mens organisasjonene har fått bevisbyrden.

I Europa er personvern en menneskerett, men det har vært stor variasjon i hvordan det har blitt praktisert. Noen har vokst opp i regimer hvor data har blitt misbrukt av myndighetene og hvor feilaktig behandling kunne få fatale konsekvenser. Andre har vokst opp i land hvor systematisk misbruk av data ikke har skjedd. 

Dette skaper stor variasjon i hvordan enkeltpersoner oppfatter betydningen av personvern. Det som for en person kan oppleves som en bagatell kan være veldig inngripende for en annen.

Målet er å gi enkeltpersoner økt kontroll over hvordan data som kan knyttes til dem brukes, deles og oppbevares.

Det er mange ord og uttrykk som benyttes rundt personvern og GDPR.

Her er en kort ordliste som gjør det enklere.

Tilbake til toppen ^

Hva er målet med GDPR regler?

Ettersom personopplysninger er så tett knyttet til de fire friheter i EUs indre marked var variasjonene i personopplysningslovene et praktisk hinder for effektiv flyt. Et viktig mål ved GDPR regelverket er å skape et indre digitalt marked som ivaretar fri flyt av arbeidskraft, kapital, varer og tjenester innen EØS området og samtidig skaper innovasjon og godt grunnlag for digitalisering.

For å skape et felles regelverk hvor data enkelt kan flyte ble standarden satt for å møte de med størst bekymring. Nå er bare spørsmålet om hvordan det vil håndheves.

Felles praksis for behandling av personopplysninger åpner også for at det blir enklere for de som ivaretar personvernet å kunne ekspandere sin virksomhet innen EØS- området. Samtidig kan det bety større konkurranse.

Et kundeforhold innebefatter gjensidig tillit mellom kunde og leverandør. GDPR regelverket øker bevisstheten om at individer har eierskapet til egen data. Å ta GDPR regler på alvor handler derfor også om å bygge og ivareta kundens tillit.

Les også: Personvern som internasjonal konkurransekraft?

Tilbake til toppen ^

trust skrevet i sand
kvinnelig forsker på laboratorie

Når gjelder ikke GDPR?

Det finnes unntak hvor GDPR ikke gjelder ved behandling av personopplysninger. Følgende eksempler hvor personopplysningsloven ikke gjelder:

  • Personopplysninger i forbindelse med at myndighetene skal forebygge, etterforske eller straffeforfølge straffbare forhold
  • Personopplysninger som er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser.
  • Behandling av personopplysninger​ for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål.
  • For utelukkende journalistiske, kunstneriske, litterære eller akademiske formål, hvor man ikke samtidig har andre formål med ytringene og behandlingen av personopplysninger. Her balanseres personvernet mot ytrings- og informasjonsfriheten.
  • Juridiske personer (ikke fysisk person) som styreleder og daglig leder.
  • Personopplysninger som behandles i personlige eller familiemessige forhold, som private adresseregistere og kameraovervåkning av egen bolig.

GDPR og personopplysningsloven gjelder bare ved personopplysninger som er definert som opplysninger som kan knyttes til levende, fysiske personer.

Tilbake til toppen ^

Hva er personvern?

Definisjonen på personvern er retten til et privatliv og retten til å bestemme over egne personopplysninger.

Dette prinsippet er blant annet forankret i Den europeiske menneskerettighetskonvensjonen (EMK) og i grunnloven.

EMK artikkel 8
Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.

 

Grunnloven § 102
Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet.

 

Retten til et privatliv

Personvern er en grunnleggende rettighet for alle mennesker. Du har rett til kontroll på din egne privat sfære hvor du skal kunne handle fritt, uten tvang eller innblanding fra staten eller andre mennesker. Dette er viktig for et demokratisk samfunn.

I et samfunn med manglende eller dårlig personvern, vil frykten for myndighetenes mulighet for misbruk av opplysninger om personlige forhold, kunne føre til begrenset politiske aktivitet og samfunnsdeltagelse.

Retten til å bestemme over egne personopplysninger

I tillegg til den enkeltes integritet og vern av privatlivets fred innebærer også personvernbegrepet i stor grad vernet av enkeltpersoners rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv.

Tilbake til toppen ^

video overvåkning på byggning
malstrom-photobybaard-lowres

Personvern og bærekraft

Bærekraftige forretningsmodeller må sikre og dokumentere korrekt behandling av personopplysninger, hvis ikke kan grunnlaget for drift – og store verdier – forvitre.

De fleste forretningsprosesser benytter data som kan knyttes direkte eller indirekte til en person, være seg ansatt, kunde eller leverandør. Bruk av slik data er kjernen i digitalisering, innovasjon og forretningsutvikling uansett størrelse og aktivitet på virksomheten.

Ved feil behandling kan det stilles krav til opphør av behandling og sletting av data. Det vil igjen påvirke hele forretningsmodellen, kontantstrømmen og dermed verdien av hele virksomheten.

Omdømmesvikt basert på personvern- og sikkerhetsbrudd kan være mer skadelig for en større bedrift enn bøter fra Datatilsynet.

Les også: Ansvaret for personopplysninger må være der behandlingen faktisk skjer

Tilbake til toppen ^

Hva er personopplysninger?

Personopplysninger er alle opplysninger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer.

Men personopplysninger er også adferdsdata, som for eksempel hva du søker etter på nettet, hva og hvor du handler, hvilke tv-serier du ser på – og ikke minst hvor du fysisk beveger deg i løpet av en dag.

Opplysninger som er anonyme og ikke kan knyttes til en person er ikke personopplysninger.

Det skilles gjerne mellom to typer personopplysninger:

  • Alminnelige personopplysninger
  • Særlige kategorier personopplysninger (tidligere kalt sensitive personopplysninger)

Særlige kategorier personopplysninger er helseopplysninger, politisk oppfatning, seksuell orientering eller legning, livssyn, rase og etnisitet, medlemskap i fagforeninger, genetiske og biometriske opplysninger og strafferettslige forhold.

Det gjøres ikke forskjell på personopplysninger om enkeltpersoner er private, jobber i bedrifter eller har offentlige roller. Selv i interaksjonen mellom bedrifter er det enkeltpersoner som deler informasjon med hverandre.

Bedriftsopplysninger derimot er ikke personopplysninger. Eksempler på dette er firmanavn, adresse, telefon, firma e-post, regnskap og lignende.

Les også: Hva er personopplysninger?

Tilbake til toppen ^

personopplysninger-lagres
businessman-modern-technology

Hva menes med behandling av personopplysninger?

Med behandling av personopplysninger menes ALL behandling slik som registrering, lagring, oppdatering, overføring, analyse og lignende. Det skilles ikke på om personopplysningene er i digital eller fysisk form eller om det er personopplysninger i en database, på en nettside, i kontrakter, på e-post eller på excel-lister.

Mange relaterer behandling av personopplysninger til egne kunder, men det gjelder også i forbindelse med alle andre relaterte kontakter som leverandører, investorer, styre, egne ansatte, innleid arbeidskraft osv.

For å etterleve GDPR krav ved behandlingen av personopplysninger må disse 6 prinsippene følges:

  1. Det skal være åpenhet (informasjonsplikt) og lovlig (må ha et juridisk grunnlag).
  2. Data skal kun benyttes til det formålet som de samles inn for.
  3. Man skal ikke samle inn mer data enn høyst nødvendig for å oppfylle formålet.
  4. Dataene skal være korrekt.
  5. Dataene skal ikke lagres lenger enn nødvendig. Når formålet er oppfylt skal dataene slettes.
  6. Dataene skal oppbevares på en trygg måte slik at de ikke kommer på avveie eller kan skades.

Les også: De 10 viktigste begrepene du må kunne om GDPR

Tilbake til toppen ^

Last ned guide: GDPR for Dummies

Hva er gyldig samtykke ved behandling av personopplysninger?

En virksomhet kan først behandle personopplysninger når gyldig samtykke er innhentet fra personen eller personene det gjelder.

For at et samtykke skal være gyldig, må følgende være på plass:

1. Samtykke må være frivillig

En virksomhet kan ikke presse frem et samtykke eller vise til negative konsekvenser for en person på bakgrunn av at det ikke gis samtykke. Den enkelte skal kunne foreta et fritt valg.

2. Samtykke må være spesifikt

Det må være klart hvilket formål det samtykkes til. Personopplysninger kan ikke brukes til andre formål enn det det er samtykket til. Hvert enkelt formål krever et separat samtykke.

3. Den som skal samtykke må være informert

Samtykke er kun gyldig hvis man vet hva man samtykker til. Det er opp til virksomheten å vurdere hvilken informasjon som skal gis for at den enkelte kan foreta et reelt valg. Forespørselen om samtykke må i det minste inneholde:

  • Hvem den behandlingsansvarlige er
  • Formålet for hver behandling som virksomheten ber om samtykke til
  • Hvilke personopplysninger som samles inn
  • Informasjon om retten til å trekke tilbake samtykke
  • Informasjon om eventuelle automatiserte individuelle avgjørelser, der det er relevant
  • Informasjon om risiko og tiltak ved eventuell overføring av personopplysninger til land utenfor EU/EØS.

4. Samtykke må være utvetydig og gitt gjennom et aktivt samtykke

Det må foretas en aktiv handling fra den som skal samtykke for at det skal være gyldig. Dette kan gjøres ved å huke av en boks, klikke på en knapp eller skrive under på et skjema.

Samtykke ved ikke å utføre en aktiv handling er ikke et gyldig samtykke.

Samtykke må være en egen handling slik at det må separeres fra andre handlinger som inngåelse av avtale eller aksept av brukervilkår.

5. Samtykke må kunne dokumenteres

Virksomheten må kunne dokumentere at samtykke er gyldig og at alle lovens krav er oppfylt. Virksomheter står fritt til selv å utvikle eller velge løsninger for dokumentasjon av samtykke.

Virksomhetene skal ikke samle mer opplysninger enn det som er nødvendig for å dokumentere samtykke.


6. Samtykke må kunne trekkes tilbake

Et samtykke skal kunne trekkes tilbake uten at det får negative konsekvenser for den det gjelder. Det skal være like lett å trekke tilbake et samtykke som det var å gi det. Normalt skal personopplysningene da slettes med mindre det er gitt samtykke til flere formål enn det man ber om å få trukket tilbake, eller personopplysningene behandles til ulike formål med grunnlag i andre behandlingsgrunnlag.

Les også: Det besværlige samtykket?

Tilbake til toppen ^

smartphone samtykke
Blå privacy enter knapp

Hva er innebygd personvern?

I dag forventer vi at tjenester og informasjonssytemer vi benytter både er sikre og ivaretar personvernet. Samtidig ønsker vi at de samme tjenestene er tilpasset våre behov og preferanser. Slike tjenester medfører ofte behandling av personopplysninger i stor skala.

Retten til personvern inneholder en rekke grunnleggende prinsipper for å ivareta personvernet til de som registreres. Innebygd personvern skal sørge for at informasjonssystemene vi bruker oppfyller personvernprinsippene, og at de ivaretar de registrertes rettigheter.

I GDPR er innebygd personvern et sentralt krav. Det betyr at personvern skal tas hensyn til i alle utviklingsfaser av et system eller løsning. Å tenke personvern i alle utviklingstrinn skal sørge for at systemet/løsningen oppfyller personvernprinsippene og ivaretar den registrertes rettigheter. 

De syv stegene til innebygd personvern ble utviklet av personvernmyndighetene i Ontario, Canada på 1990-tallet. Prinsippene ble kalt «privacy by design» på engelsk, og ble vedtatt på en internasjonal personvernkonferanse i 2010.

Les mer om: Hva betyr egentlig kravet om innebygd personvern?

Tilbake til toppen ^

Hva er forskjellen på behandlingsansvarlig og databehandler?

Personvernforordningen opererer med begrepene behandlingsansvarlig og databehandler.

Den behandlingsansvarlige er ansvarlig for personopplysningene som denne besitter og behandler.

Databehandleren behandler personopplysninger på oppdrag for den behandlingsansvarlige. Ofte er databehandler en leverandør til behandlingsansvarlig.

Databehandler kan også ha underleverandører som er involvert i behandling av personopplysninger for behandlingsansvarlig. Disse omtales som underdatabehandlere.

Behandlingsansvarlige og databehandlere har forskjellige krav de skal oppfylle. Den behandlingsansvarlige har det overordnede ansvaret for å behandle personopplysninger i samsvar med regelverket. Databehandleren skal kun behandle personopplysninger på vegne av den behandlingsansvarlige. Databehandleren er likevel pålagt selvstendige plikter etter personvernforordningen.

Les også: Hvordan dramatisk forenkle arbeidet med databehandleravtaler

Tilbake til toppen ^

kvinne-mann-haandtrykk
etterlevelse av gdpr

Hva er virksomhetens plikter?

For å følge personvernreglene har virksomheten en rekke plikter for å ta vare på personopplysningene til kunder, brukere, medlemmer og egne ansatte.

Her er en kortversjon av Datatilsynets GDPR sjekkliste for virksomheter:

  1. Sett deg inn i personvernprinsippene. Disse prinsippene er juridisk bindende.
  2. Identifiser hvilke personopplysninger virksomheten din behandler.
  3. Hvorfor samler virksomheten inn personopplysninger? Definer et klart formål.
  4. Identifiser hvilket behandlingsgrunnlag som passer best til de ulike behandlingene.
  5. Behandler du særlige kategorier av personopplysninger som sensitive personopplysninger og biometri, må behandlingene også ha behandlingsgrunnlag i artikkel 9 i personvernforordningen.
  6. Avklar hvordan du kan overholde informasjonsplikten best mulig.
  7. Sett deg inn i hvilke andre rettigheter den enkelte har. Virksomheten skal sørge for systemer som sikrer at den enkelte får sine rettigheter innen tidsfristen. 
  8. Tenk personvern fra starten. Vær klar over at innebygd personvern nå er en plikt når rutiner og systemer skal utarbeides.
  9. Husk databehandleravtale hvis en databehandler skal behandle personopplysninger på vegne av din virksomhet.
  10. Vurder om personopplysninger vil lagres eller behandles utenfor EØS-området. Egne regler gjelder ved overføring til utlandet.
  11. Vurder om virksomheten har plikt til å gjennomføre en vurdering av personvernkonsekvenser.
  12. Vurder om virksomheten må ha personvernombud.
  13. Virksomheten må ha rutiner som gjør at dere etterlever alle pliktene etter loven (internkontroll), og dere har plikt til å beskytte personopplysningene (informasjonssikkerhet). 
  14. Virksomheten må legge en plan for hvordan pliktene til avviksbehandling skal overholdes når noe går galt.
  15. De fleste virksomheter har plikt til å føre protokoll over behandlingsaktiviteter.

Les også: Slik etterlever du gdpr-kravene

Tilbake til toppen ^

Må vi ha personvernombud?

Det er ikke alle virksomheter som er pålagt å ha personvernombud, men det er å anbefale. Det å ha en person med kunnskap og fokus på personvern i en virksomhet kan utgjøre en stor forskjell.

Hovedoppgaven til personvernombudet er å gi råd om hvordan den behandlingsansvarlige best mulig kan ivareta personverninteressene.

Eksempler på bedrifter som er pålagt å ha eget personvernombud er de som har som en hovedaktivitet å behandle personopplysninger som innebærer regelmessig og systematisk overvåkning av personer. Det samme gjelder virksomheter som behandler sensitive personopplysninger i stor skala.

Behandlingsansvarlige og databehandlere skal utpeke et personvernombud i virksomheten hvis:

  • Behandlingen utføres av en offentlig myndighet eller et offentlig organ. (Gjelder ikke domstoler som handler innenfor rammen av sin domsmyndighet).
  • Hovedvirksomheten til behandlingsansvarlige eller databehandler består av behandlingsaktiviteter som på grunn av sin art, omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte.
  • Hovedvirksomheten til behandlingsansvarlige eller databehandler består av behandling i stor skala av særlige kategorier av opplysninger i henhold til artikkel 9 (sensitive personopplysninger) eller personopplysninger knyttet til straffedommer og straffbare forhold som er nevnt i artikkel 10.

Les også: På tide å operasjonalisere GDPR

Tilbake til toppen ^

personvernombud kvinne
mennesker i en bygate

Hva er registrertes rettigheter?

Når opplysninger om deg samles inn og brukes av andre har du en rekke rettigheter etter personvernregelverket. Disse rettighetene er:

  • Rett til innsyn. Du kan spørre en virksomhet om å få vite hvilke opplysninger de har lagret om det og hvordan opplysningene behandles.
  • Rett til retting. Hvis du mener en virksomhet behandler opplysninger om deg som ikke er korrekte , kan du kreve at opplysningene rettes eller at tilleggsopplysninger legges til.
  • Rett til sletting. I noen tilfeller kan du kreve å få slettet personopplysninger om deg. Dette kalles også «retten til å bli glemt».
  • Rett til begrensning. I noen tilfeller kan du be om at behandlingen av dine personopplysninger begrenses. Personopplysningene dine lagres, men kan da ikke brukes til noe.
  • Rett til å protestere. I noen tilfeller vil  personopplysningene dine behandles uten at du har gitt samtykke. Loven inneholder derfor en bestemmelse om at du i en del tilfeller kan protestere mot at dine personopplysninger blir behandlet.
  • Rettigheter ved automatiserte avgjørelser. Personvernforordningen forbyr at dataprogram tar automatiserte individuelle avgjørelser om deg uten at et menneske har reell innvirkning.
  • Rett til dataportabilitet. Du kan få utlevert personopplysninger om deg og gjenbruke disse som du selv ønsker på tvers av ulike systemer og tjenester. Disse skal utleveres i et maskinlesbart og vanlig brukt filformat.
  • Rett til informasjon. Virksomhetene skal behandle personopplysninger på en åpen måte. Informasjonen skal være lett å finne, kort og forståelig uten juridisk eller teknisk sjargong.

Alle virksomheter har plikt til å tilrettelegge for at du får oppfylt dine rettigheter på en enkel måte. Som hovedregel skal virksomheten gjøre dette uten kostnad for deg og innenfor 30 dager.

Se også infografikk: De 8 grunnleggende GDPR-rettighetene for deg som enkeltperson

Tilbake til toppen ^

Hva kan bedriften få av sanksjoner og bøter?

Manglende overholdelse av kravene til vurdering av personvernkonsekvenser kan føre til at tilsynsmyndigheten pålegger sanksjoner. I Norge er dette Datatilsynet.

Foretas det ikke en vurdering av personvernkonsekvenser der det er pålagt (artikkel 35 nr. 1, 3, 4), eller den utføres feil (artikkel 35 nr. 2 og nr. 7–9), eller det unnlates å gjøre en forhåndsdrøftelse med tilsynsmyndigheten når det er et krav (artikkel 36 nr. 3 bokstav e), kan det medføre bøter på opptil 10 millioner euro.

Gjelder det en virksomhet kan det medføre GDPR bot på opptil 4 prosent av den samlede globale årsomsetningen, eller opptil 20 millioner euro, der det høyeste beløpet blir benyttet.

Les også: På tide å operasjonalisere GDPR

Tilbake til toppen ^

gavel-court-room

Iconfirm anbefaler alle virksomheter å søke juridisk bistand fra personverneksperter for å sikre rett tilpassing til det nye regelverket da grunnlag for behandling av personopplysninger er unikt for hver virksomhet og må vurderes særskilt. Vi har mange gode kontakter vi kan formidle om det er ønskelig.

282,423,088

Varslede GDPR bøter pr mai 2021 (EUR)

ung-mann-protest

Har GDPR en effekt?

Innføringen av GDPR er et eksempel på hvordan en lovendring tvinger frem en holdningsendring. Man ser at flere og flere virksomheter bruker godt personvern som et konkurransefortrinn i takt med at forbrukernes bevissthet rundt egne rettigheter øker. Etter to år med GDPR hadde 69% av EUs befolkning over 16 år kjennskap til GDPR og hele 71% kjenner til at det finnes et nasjonalt datatilsyn.

GDPR er en inspirasjonskilde for endring av regelverket i en rekke land på andre kontinenter og det er forventet at andelen av jordens befolkning som er dekket av moderne personvernregelverk vil nærme seg 65% innen utløpet av 2023.

GDPR har gitt nasjonale datatilsyn sterkere og mer enhetlig håndhevelsesmyndighet. I 2019 skrev de nordiske datatilsynene under på Stockholmserklæringen. Hovedpunktene i erklæringen er samarbeid om strategi, metode og resultater fra tilsynsvirksomheten, for å skape et nettverk for utveksling av informasjon om samarbeidet innen EU og om å gi best mulig støtte og veiledning til personvernombudene.


Her kan du lese mer om: Hva er effekten av GDPR?

Tilbake til toppen ^

Finnes det løsninger som hjelper virksomheter å etterleve GDPR?

Det kan være utfordrende for en virksomhet å etterleve kravene til personvern og GDPR. Heldigvis finnes det i dag flere gode løsninger som gjør dette enklere og som bidrar til at virksomheten din både har kontroll og følger lovverket.

Iconfirm er en slik løsning. Vår løsning er norskutviklet, uavhengig og oppfyller alle krav etter loven.

Med Iconfirm får du:

  • Bedre kvalitet og presisjon som gir redusert risiko for brudd på personvernet.
  • Effektiv samhandling internt i egen virksomhet og med eksterne samarbeidspartnere som gir mindre administrasjon og dobbeltarbeid.
  • Enkelt å integrere for dataintegritet og automasjon av arbeidsprosesser.
  • Styrket, helhetlig kontroll gjør det enklere ved tilsyn, revisjon og governance.

Her kan du lese mer om: Iconfirm sin løsning for praktisk personvern

Tilbake til toppen ^

snotind photobybaard med Iconfirm

Hva er GDPR - FAQs

Hva er personopplysninger?
En personopplysning er en enhver opplysning som direkte eller indirekte kan knyttes til en enkeltperson
Hva er behandling av personopplysninger?

Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger (f eks. innsamling, registrering, lagring, konsultering, spredning, sammenstilling, sletting).

Hva er personvernprinsippene?

Prinsippene ved behandling av personopplysninger:

  • Behandling av personopplysninger må kunne knyttes til et juridisk grunnlag samt at enkeltpersonen skal bli informert på tydelig måte om hvilken behandlings om finner sted, hvem som behandler og hvilke rettigheter personen har (‘lovlig, rettferdig og åpent’).
  • Opplysningene skal ikke behandles for andre formål enn de spesifikke, uttrykkelig angitte og berettigede formål som opplysningene ble samlet inn for. Arkivformål for allmennhetens interesse, vitenskap eller historiske formål samt statistikk er ansett som forenelige formål (‘formålsbegrensning’).
  • Opplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for de formålene de behandles for (‘data minimering’)
  • Opplysningene skal være korrekte og oppdaterte (‘riktighet’).
  • Når formålet ved behandlingen er oppfylt skal opplysningene slettes (‘lagringsbegrensning’).
  • Opplysningene som blir behandlet skal sikres, herunder vern mot uautorisert tilgang, spredning, sletting eller ødeleggelse (‘integritet og konfidensialitet’).
  • Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes
    (‘ansvar’).
Hva er de lovlige grunnlag for behandling av personopplysninger?

All behandling av personopplysninger må kunne forsvares med et juridisk grunnlag, hvis ikke er det ulovlig. De juridiske grunnlagene er

  • Samtykke
  • Oppfyllelse av avtale
  • Rettslig forpliktelse
  • Vitale interesser
  • Allmennhetens interesse
  • Berettiget interesse
Hva er kravene til gyldig samtykke?

”Den som tier samtykker – IKKE”

Vilkårene for at et samtykke er gyldig er strenge.

Samtykket som gis skal være frivillig, tydelig og aktivt. Det enkeltpersonen skal samtykke til skal være lett gjenkjennelig, tydelig og ikke presenteres sammen med andre vilkår. Samtykker som ikke oppfyller disse vilkårene er ikke gyldige.

For behandling av data på grunnlag av Samtykke er virksomheten er nå pålagt å innhente samtykke FØR databehandlingen finner sted.

Avgitt samtykke skal når som helst kunne trekkes tilbake. Dersom samtykket trekkes tilbake skal ikke dette påvirke lovligheten av behandlingen som bygger på samtykket før det ble trukket. Dette skal det opplyses om før det gis samtykke. Det skal være like enkelt å trekke et samtykke som å gi det.

Hva innebærer informasjonsplikten?

Som enkeltpersoner har våre rettigheter under GDPR blitt tydeligere og styrket. Helt sentralt i innarbeidelsen av GDPR er retten til å bli informert. Utfordringen for mange er nettopp manglende forståelse for hva som faktisk skjer med opplysningene sine. GDPR stiller veldig tydelige og omfattende krav rundt informasjonsplikten.

Informasjonen som blir presentert skal være på et enkelt og forståelig språk og det skal legges til rette for at enkeltpersoner skal kunne utøve sine rettigheter.

Informasjonen som skal gis er

  • Hvem som er behandlingsansvarlig og kontaktopplysninger, inkludert til personvernombud.
  • Formålene med behandlingen og det juridiske grunnlaget.
  • Hvem man deler dataene med
  • Om data behandles utenfor EU / EØS og, i så fall, på hvilket grunnlag.
  • Hvor lenge opplysningene vil bli lagret
  • Retten til innsyn i og retting eller sletting samt rett til å begrense eller protestere mot behandling.
  • Retten til å trekke samtykke (om relevant)
  • Retten til å klage til tilsynsmyndighetene
  • Om det er lovfestet eller avtalefestet krav om å gi opplysningene skal det opplyses om konsekvensene om man ikke gir opplysningene.
  • Ved automatiserte avgjørelser/profilering skal logikken samt betydningen og de forventede konsekvensene bli informert om.

Mange har i dag en omfattende personvernerklæring på nettet som dekker alle forhold. En slik erklæring er ofte omfattende og ikke spesifikk nok. Det er en stor forskjell på hvilke opplysninger som behandles om en ansatt, en pasient, en vilkårlig kunde, en som besøker nettsider.

Gjelder GDPR mindre virksomheter i Norge?

GDPR gjelder alle virksomheter uansett størrelse eller bransje. Personopplysninger som ikke behandles lovlig er like invaderende for en enkeltperson uavhengig av om det er en frivillig organisasjon, offentlig sektor eller størrelse på selskap.

Datatilsynet har kanskje ikke kapasitet til å følge opp mindre virksomheter, men uansett skal etterlevelse kunne dokumenteres og dette er særlig relevant når større bedrifter og offentlig sektor stiller krav til sine leverandører at de skal påvise etterlevelse.

For de bedriftene som ikke kan levere rett informasjon er risikoen stor for at de kan miste kundeleveranser, selv om de ikke har hatt noe databrudd.

Hva er konsekvensene ved ikke å følge opp GDPR?
  • Det er skrevet mye om de potensielle store bøtene på inntil 4% av global omsetning, eller 20MEUR, hva enn som er høyest. Men det er også andre konsekvenser som det kommer stadig eksempler på.
  • Klager fra enkeltpersoner som oppfatter at behandling av deres opplysninger er feil.
  • Bortfall av bedriftskunder om tilfredsstillende dokumentasjon av etterlevelse ikke kan fremlegges.
  • Grunnlag for forretningsmodell kan bortfalle om juridisk grunnlag ikke er gyldig.
  • Krav til stans i behandling og sletting av data.
  • Risiko for erstatningskrav fra enkeltpersoner og evt organiserte massesøksmål.
  • GDPR handler om å følge god forretningsskikk, og kunne dokumentere dette overfor sine kunder.
Last ned guide: GDPR for Dummies