Hva er GDPR?

Kort og konsist om GDPR. Vi tar for oss det du må vite og gir deg samtidig mulighet for å lese mer om enkeltstående tema.

GDPR - oppsummert

GDPR er det nye personvernregelverket til EU som ble innført i løpet av sommeren 2018.

GDPR er en forkortelse for: General Data Protection Regulation.

GDPR, personvernforordningen, omhandler virksomheters behandling av personopplysninger.

GDPR omfatter enhver virksomhet som opererer i EU og EØS, inklusive virksomheter utenfor EU, som tilbyr varer og tjenester på det europeiske markedet.

Loven gjelder for mer eller mindre alle bedrifter, organisasjoner, foreninger, idrettslag og skoler. Alle disse virksomhetene må derfor sette seg inn i reglene og etterleve disse.

Målet med GDPR er å gi enkeltindividet økt kontroll over hvordan data som kan knyttes til dem brukes, deles og oppbevares.

Før GDPR hadde vi personopplysningsloven i Norge

Regler for personvern i Norge er ikke nytt med innføringen av GDPR. Vi har hatt personopplysningsloven å forholde oss til fra år 2000. Men med GDPR har vi fått en oppdatering i forhold til ny teknologi og et forbedret personvern for oss som individ.

Se også video: GDPR forklart på tre minutter

etterlevelse av gdpr-1
Last ned guide: GDPR for Dummies
eu-flaggborg

GDPR er et felles personvernregelverk for EU/EØS

Personvernforordningen er et strengt og gjennomgripende sett med regler om hvordan og hvorfor virksomheter kan samle inn og bruke persondata. GDPR er et prinsippbasert lovverk som setter enkeltpersonen i sentrum og med styrkede rettigheter mens organisasjonene har fått bevisbyrden.

I Europa er personvern en menneskerett, men det har vært stor variasjon i hvordan det har blitt praktisert. Noen har vokst opp i regimer hvor data har blitt misbrukt av myndighetene og hvor feilaktig behandling kunne få fatale konsekvenser. Andre har vokst opp i land hvor systematisk misbruk av data ikke har skjedd. 

Dette skaper stor variasjon i hvordan enkeltpersoner oppfatter betydningen av personvern. Det som for en person kan oppleves som en bagatell kan være veldig inngripende for en annen.

Målet er å gi enkeltpersoner økt kontroll over hvordan data som kan knyttes til dem brukes, deles og oppbevares.

Se vår infografikk: De 8 grunnleggende GDPR-rettighetene for deg som enkeltperson

Målet med GDPR

Ettersom personopplysninger er så tett knyttet til de fire friheter i EUs indre marked var variasjonene i personopplysningslovene et praktisk hinder for effektiv flyt. Et viktig mål ved GDPR er å skape et indre digitalt marked som ivaretar fri flyt av arbeidskraft, kapital, varer og tjenester innen EØS området og samtidig skaper innovasjon og godt grunnlag for digitalisering.

For å skape et felles regelverk hvor data enkelt kan flyte ble standarden satt for å møte de med størst bekymring. Nå er bare spørsmålet om hvordan det vil håndheves.

Felles praksis for behandling av personopplysninger åpner også for at det blir enklere for de som ivaretar personvernet å kunne ekspandere sin virksomhet innen EØS- området. Samtidig kan det bety større konkurranse.

Et kundeforhold innebefatter gjensidig tillit mellom kunde og leverandør. Regelverket øker bevisstheten om at individer har eierskapet til egen data. Å ta GDPR på alvor handler derfor også om å bygge og ivareta kundens tillit.

Les også: Personvern som internasjonal konkurransekraft?

trust skrevet i sand
malstrom-photobybaard-lowres

Personvern og bærekraft

Bærekraftige forretningsmodeller må sikre og dokumentere korrekt behandling av personopplysninger, hvis ikke kan grunnlaget for drift – og store verdier – forvitre.

De fleste forretningsprosesser benytter data som kan knyttes direkte eller indirekte til en person, være seg ansatt, kunde eller leverandør. Bruk av slik data er kjernen i digitalisering, innovasjon og forretningsutvikling uansett størrelse og aktivitet på virksomheten.

Ved feil behandling kan det stilles krav til opphør av behandling og sletting av data. Det vil igjen påvirke hele forretningsmodellen, kontantstrømmen og dermed verdien av hele virksomheten.

Les også: Ansvaret for personopplysninger må være der behandlingen faktisk skjer

Hva er egentlig personopplysninger?

Personopplysninger er alle opplysninger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer.

Men personopplysninger er også adferdsdata, som for eksempel hva du søker etter på nettet, hva og hvor du handler, hvilke tv-serier du ser på – og ikke minst hvor du fysisk beveger deg i løpet av en dag.

Det skilles gjerne mellom to typer personopplysninger: alminnelige- og sensitive personopplysninger.

Sensitive personopplysninger er helseopplysninger, politisk oppfatning, seksuell legning, livssyn, rase og etnisitet, medlemskap i fagforeninger mm.

Les også: Hva er personopplysninger?

Personopplysninger-lagres
businessman hand working with modern technology and digital layer effect as business strategy concept

Behandling av personopplysninger

Med behandling av personopplysninger menes ALL behandling slik som registrering, lagring, oppdatering, overføring, analyse og lignende. Det skilles ikke på om personopplysningene er i digital eller fysisk form eller om det er personopplysninger i en database, på en nettside, i kontrakter, på e-post eller på excel-lister.

Mange relaterer behandling av personopplysninger til egne kunder, men det gjelder også i forbindelse med alle andre relaterte kontakter som leverandører, investorer, styre, egne ansatte, innleid arbeidskraft osv.

For å etterleve GDPR-kravene ved behandlingen av personopplysninger må disse 6 prinsippene følges:

  1. Det skal være åpenhet (informasjonsplikt) og lovlig (må ha et juridisk grunnlag).
  2. Data skal kun benyttes til det formålet som de samles inn for.
  3. Man skal ikke samle inn mer data enn høyst nødvendig for å oppfylle formålet.
  4. Dataene skal være korrekt.
  5. Dataene skal ikke lagres lenger enn nødvendig. Når formålet er oppfylt skal dataene slettes.
  6. Dataene skal oppbevares på en trygg måte slik at de ikke kommer på avveie eller kan skades.

Les også: Slik etterlever du gdpr-kravene

Sanksjoner og bøter

Manglende overholdelse av kravene til vurdering av personvernkonsekvenser kan føre til at tilsynsmyndigheten pålegger sanksjoner. I Norge er dette Datatilsynet.

Foretas det ikke en vurdering av personvernkonsekvenser der det er pålagt (artikkel 35 nr. 1, 3, 4), eller den utføres feil (artikkel 35 nr. 2 og nr. 7–9), eller det unnlates å gjøre en forhåndsdrøftelse med tilsynsmyndigheten når det er et krav (artikkel 36 nr. 3 bokstav e), kan det medføre bøter på opptil 10 millioner euro.

Gjelder det en virksomhet kan det medføre bøter på opptil 4 prosent av den samlede globale årsomsetningen, eller opptil 20 millioner euro, der det høyeste beløpet blir benyttet.

Les også: Slik etterlever du gdpr-kravene

Hand about to bang gavel on sounding block in the court room

Iconfirm anbefaler alle virksomheter å søke juridisk bistand fra personverneksperter for å sikre rett tilpassing til det nye regelverket da grunnlag for behandling av personopplysninger er unikt for hver virksomhet og må vurderes særskilt. Vi har mange gode kontakter vi kan formidle om det er ønskelig.

243,310,745

Varslede bøter pr november 2020 (EUR)

GDPR på 3 minutter

GDPR FAQs

Hva er personopplysninger?
En personopplysning er en enhver opplysning som direkte eller indirekte kan knyttes til en enkeltperson
Hva er behandling av personopplysninger?

Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger (f eks. innsamling, registrering, lagring, konsultering, spredning, sammenstilling, sletting).

Hva er personvernprinsippene?

Prinsippene ved behandling av personopplysninger:

  • Behandling av personopplysninger må kunne knyttes til et juridisk grunnlag samt at enkeltpersonen skal bli informert på tydelig måte om hvilken behandlings om finner sted, hvem som behandler og hvilke rettigheter personen har (‘lovlig, rettferdig og åpent’).
  • Opplysningene skal ikke behandles for andre formål enn de spesifikke, uttrykkelig angitte og berettigede formål som opplysningene ble samlet inn for. Arkivformål for allmennhetens interesse, vitenskap eller historiske formål samt statistikk er ansett som forenelige formål (‘formålsbegrensning’).
  • Opplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for de formålene de behandles for (‘data minimering’)
  • Opplysningene skal være korrekte og oppdaterte (‘riktighet’).
  • Når formålet ved behandlingen er oppfylt skal opplysningene slettes (‘lagringsbegrensning’).
  • Opplysningene som blir behandlet skal sikres, herunder vern mot uautorisert tilgang, spredning, sletting eller ødeleggelse (‘integritet og konfidensialitet’).
  • Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes
    (‘ansvar’).
Hva er de lovlige grunnlag for behandling av personopplysninger?

All behandling av personopplysninger må kunne forsvares med et juridisk grunnlag, hvis ikke er det ulovlig. De juridiske grunnlagene er

  • Samtykke
  • Oppfyllelse av avtale
  • Rettslig forpliktelse
  • Vitale interesser
  • Allmennhetens interesse
  • Berettiget interesse
Hva er kravene til gyldig samtykke?

”Den som tier samtykker – IKKE”

Vilkårene for at et samtykke er gyldig er strenge.

Samtykket som gis skal være frivillig, tydelig og aktivt. Det enkeltpersonen skal samtykke til skal være lett gjenkjennelig, tydelig og ikke presenteres sammen med andre vilkår. Samtykker som ikke oppfyller disse vilkårene er ikke gyldige.

For behandling av data på grunnlag av Samtykke er virksomheten er nå pålagt å innhente samtykke FØR databehandlingen finner sted.

Avgitt samtykke skal når som helst kunne trekkes tilbake. Dersom samtykket trekkes tilbake skal ikke dette påvirke lovligheten av behandlingen som bygger på samtykket før det ble trukket. Dette skal det opplyses om før det gis samtykke. Det skal være like enkelt å trekke et samtykke som å gi det.

Hva innebærer informasjonsplikten?

Som enkeltpersoner har våre rettigheter under GDPR blitt tydeligere og styrket. Helt sentralt i innarbeidelsen av GDPR er retten til å bli informert. Utfordringen for mange er nettopp manglende forståelse for hva som faktisk skjer med opplysningene sine. GDPR stiller veldig tydelige og omfattende krav rundt informasjonsplikten.

Informasjonen som blir presentert skal være på et enkelt og forståelig språk og det skal legges til rette for at enkeltpersoner skal kunne utøve sine rettigheter.

Informasjonen som skal gis er

  • Hvem som er behandlingsansvarlig og kontaktopplysninger, inkludert til personvernombud.
  • Formålene med behandlingen og det juridiske grunnlaget.
  • Hvem man deler dataene med
  • Om data behandles utenfor EU / EØS og, i så fall, på hvilket grunnlag.
  • Hvor lenge opplysningene vil bli lagret
  • Retten til innsyn i og retting eller sletting samt rett til å begrense eller protestere mot behandling.
  • Retten til å trekke samtykke (om relevant)
  • Retten til å klage til tilsynsmyndighetene
  • Om det er lovfestet eller avtalefestet krav om å gi opplysningene skal det opplyses om konsekvensene om man ikke gir opplysningene.
  • Ved automatiserte avgjørelser/profilering skal logikken samt betydningen og de forventede konsekvensene bli informert om.

Mange har i dag en omfattende personvernerklæring på nettet som dekker alle forhold. En slik erklæring er ofte omfattende og ikke spesifikk nok. Det er en stor forskjell på hvilke opplysninger som behandles om en ansatt, en pasient, en vilkårlig kunde, en som besøker nettsider.

Gjelder GDPR mindre virksomheter?

GDPR gjelder alle virksomheter uansett størrelse eller bransje. Personopplysninger som ikke behandles lovlig er like invaderende for en enkeltperson uavhengig av om det er en frivillig organisasjon, offentlig sektor eller størrelse på selskap.

Datatilsynet har kanskje ikke kapasitet til å følge opp mindre virksomheter, men uansett skal etterlevelse kunne dokumenteres og dette er særlig relevant når større bedrifter og offentlig sektor stiller krav til sine leverandører at de skal påvise etterlevelse.

For de bedriftene som ikke kan levere rett informasjon er risikoen stor for at de kan miste kundeleveranser, selv om de ikke har hatt noe databrudd.

Hva er konsekvensene ved ikke å følge opp GDPR?
  • Det er skrevet mye om de potensielle store bøtene på inntil 4% av global omsetning, eller 20MEUR, hva enn som er høyest. Men det er også andre konsekvenser som det kommer stadig eksempler på.
  • Klager fra enkeltpersoner som oppfatter at behandling av deres opplysninger er feil.
  • Bortfall av bedriftskunder om tilfredsstillende dokumentasjon av etterlevelse ikke kan fremlegges.
  • Grunnlag for forretningsmodell kan bortfalle om juridisk grunnlag ikke er gyldig.
  • Krav til stans i behandling og sletting av data.
  • Risiko for erstatningskrav fra enkeltpersoner og evt organiserte massesøksmål.
  • GDPR handler om å følge god forretningsskikk, og kunne dokumentere dette overfor sine kunder.
Last ned guide: GDPR for Dummies