Hva er GDPR?

GDPR er et felles personvernregelverk for EU/EØS

Personvernforordningen er et strengt og gjennomgripende sett med regler om hvordan og hvorfor virksomheter kan samle inn og bruke persondata. GDPR er et prinsippbasert lovverk som setter enkeltpersonen i sentrum og med styrkede rettigheter mens organisasjonene har fått bevisbyrden.

I Europa er personvern en menneskerett, men det har vært stor variasjon i hvordan det har blitt praktisert. Noen har vokst opp i regimer hvor data har blitt misbrukt av myndighetene og hvor feilaktig behandling kunne få fatale konsekvenser. Andre har vokst opp i land hvor systematisk misbruk av data ikke har skjedd. 

Dette skaper stor variasjon i hvordan enkeltpersoner oppfatter betydningen av personvern. Det som for en person kan oppleves som en bagatell kan være veldig inngripende for en annen.

Målet er å gi enkeltpersoner økt kontroll over hvordan data som kan knyttes til dem brukes, deles og oppbevares.

guillaume-perigois-0NRkVddA2fw-unsplash
trust-1418901_1920

Målet med GDPR

Ettersom personopplysninger er så tett knyttet til de fire friheter i EUs indre marked var variasjonene i personopplysningslovene et praktisk hinder for effektiv flyt. Et viktig mål ved GDPR er å skape et indre digitalt marked som ivaretar fri flyt av arbeidskraft, kapital, varer og tjenester innen EØS området og samtidig skaper innovasjon og godt grunnlag for digitalisering.

For å skape et felles regelverk hvor data enkelt kan flyte ble standarden satt for å møte de med størst bekymring. Nå er bare spørsmålet om hvordan det vil håndheves.

Felles praksis for behandling av personopplysninger åpner også for at det blir enklere for de som ivaretar personvernet å kunne ekspandere sin virksomhet innen EØS- området. Samtidig kan det bety større konkurranse.

Et kundeforhold innebefatter gjensidig tillit mellom kunde og leverandør. Regelverket øker bevisstheten om at individer har eierskapet til egen data. Å ta GDPR på alvor handler derfor også om å bygge og ivareta kundens tillit.

Personvern og bærekraft

Bærekraftige forretningsmodeller må sikre og dokumentere korrekt behandling av personopplysninger, hvis ikke kan grunnlaget for drift – og store verdier – forvitre.

De fleste forretningsprosesser benytter data som kan knyttes direkte eller indirekte til en person, være seg ansatt, kunde eller leverandør. Bruk av slik data er kjernen i digitalisering, innovasjon og forretningsutvikling uansett størrelse og aktivitet på virksomheten.

Ved feil behandling kan det stilles krav til opphør av behandling og sletting av data. Det vil igjen påvirke hele forretningsmodellen, kontantstrømmen og dermed verdien av hele virksomheten.

malstrom-photobybaard

Iconfirm anbefaler alle virksomheter å søke juridisk bistand fra personverneksperter for å sikre rett tilpassing til det nye regelverket da grunnlag for behandling av personopplysninger er unikt for hver virksomhet og må vurderes særskilt. Vi har mange gode kontakter vi kan formidle om det er ønskelig.

243,310,745

Varslede bøter pr november 2020 (EUR)

GDPR på 3 minutter

GDPR FAQs

Hva er personopplysninger?
En personopplysning er en enhver opplysning som direkte eller indirekte kan knyttes til en enkeltperson
Hva er behandling av personopplysninger?

Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger (f eks. innsamling, registrering, lagring, konsultering, spredning, sammenstilling, sletting).

Hva er personvernprinsippene?

Prinsippene ved behandling av personopplysninger:

  • Behandling av personopplysninger må kunne knyttes til et juridisk grunnlag samt at enkeltpersonen skal bli informert på tydelig måte om hvilken behandlings om finner sted, hvem som behandler og hvilke rettigheter personen har (‘lovlig, rettferdig og åpent’).
  • Opplysningene skal ikke behandles for andre formål enn de spesifikke, uttrykkelig angitte og berettigede formål som opplysningene ble samlet inn for. Arkivformål for allmennhetens interesse, vitenskap eller historiske formål samt statistikk er ansett som forenelige formål (‘formålsbegrensning’).
  • Opplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for de formålene de behandles for (‘data minimering’)
  • Opplysningene skal være korrekte og oppdaterte (‘riktighet’).
  • Når formålet ved behandlingen er oppfylt skal opplysningene slettes (‘lagringsbegrensning’).
  • Opplysningene som blir behandlet skal sikres, herunder vern mot uautorisert tilgang, spredning, sletting eller ødeleggelse (‘integritet og konfidensialitet’).
  • Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes
    (‘ansvar’).
Hva er de lovlige grunnlag for behandling av personopplysninger?

All behandling av personopplysninger må kunne forsvares med et juridisk grunnlag, hvis ikke er det ulovlig. De juridiske grunnlagene er

  • Samtykke
  • Oppfyllelse av avtale
  • Rettslig forpliktelse
  • Vitale interesser
  • Allmennhetens interesse
  • Berettiget interesse
Hva er kravene til gyldig samtykke?

”Den som tier samtykker – IKKE”

Vilkårene for at et samtykke er gyldig er strenge.

Samtykket som gis skal være frivillig, tydelig og aktivt. Det enkeltpersonen skal samtykke til skal være lett gjenkjennelig, tydelig og ikke presenteres sammen med andre vilkår. Samtykker som ikke oppfyller disse vilkårene er ikke gyldige.

For behandling av data på grunnlag av Samtykke er virksomheten er nå pålagt å innhente samtykke FØR databehandlingen finner sted.

Avgitt samtykke skal når som helst kunne trekkes tilbake. Dersom samtykket trekkes tilbake skal ikke dette påvirke lovligheten av behandlingen som bygger på samtykket før det ble trukket. Dette skal det opplyses om før det gis samtykke. Det skal være like enkelt å trekke et samtykke som å gi det.

Hva innebærer informasjonsplikten?

Som enkeltpersoner har våre rettigheter under GDPR blitt tydeligere og styrket. Helt sentralt i innarbeidelsen av GDPR er retten til å bli informert. Utfordringen for mange er nettopp manglende forståelse for hva som faktisk skjer med opplysningene sine. GDPR stiller veldig tydelige og omfattende krav rundt informasjonsplikten.

Informasjonen som blir presentert skal være på et enkelt og forståelig språk og det skal legges til rette for at enkeltpersoner skal kunne utøve sine rettigheter.

Informasjonen som skal gis er

  • Hvem som er behandlingsansvarlig og kontaktopplysninger, inkludert til personvernombud.
  • Formålene med behandlingen og det juridiske grunnlaget.
  • Hvem man deler dataene med
  • Om data behandles utenfor EU / EØS og, i så fall, på hvilket grunnlag.
  • Hvor lenge opplysningene vil bli lagret
  • Retten til innsyn i og retting eller sletting samt rett til å begrense eller protestere mot behandling.
  • Retten til å trekke samtykke (om relevant)
  • Retten til å klage til tilsynsmyndighetene
  • Om det er lovfestet eller avtalefestet krav om å gi opplysningene skal det opplyses om konsekvensene om man ikke gir opplysningene.
  • Ved automatiserte avgjørelser/profilering skal logikken samt betydningen og de forventede konsekvensene bli informert om.

Mange har i dag en omfattende personvernerklæring på nettet som dekker alle forhold. En slik erklæring er ofte omfattende og ikke spesifikk nok. Det er en stor forskjell på hvilke opplysninger som behandles om en ansatt, en pasient, en vilkårlig kunde, en som besøker nettsider.

Gjelder GDPR mindre virksomheter?

GDPR gjelder alle virksomheter uansett størrelse eller bransje. Personopplysninger som ikke behandles lovlig er like invaderende for en enkeltperson uavhengig av om det er en frivillig organisasjon, offentlig sektor eller størrelse på selskap.

Datatilsynet har kanskje ikke kapasitet til å følge opp mindre virksomheter, men uansett skal etterlevelse kunne dokumenteres og dette er særlig relevant når større bedrifter og offentlig sektor stiller krav til sine leverandører at de skal påvise etterlevelse.

For de bedriftene som ikke kan levere rett informasjon er risikoen stor for at de kan miste kundeleveranser, selv om de ikke har hatt noe databrudd.

Hva er konsekvensene ved ikke å følge opp GDPR?
  • Det er skrevet mye om de potensielle store bøtene på inntil 4% av global omsetning, eller 20MEUR, hva enn som er høyest. Men det er også andre konsekvenser som det kommer stadig eksempler på.
  • Klager fra enkeltpersoner som oppfatter at behandling av deres opplysninger er feil.
  • Bortfall av bedriftskunder om tilfredsstillende dokumentasjon av etterlevelse ikke kan fremlegges.
  • Grunnlag for forretningsmodell kan bortfalle om juridisk grunnlag ikke er gyldig.
  • Krav til stans i behandling og sletting av data.
  • Risiko for erstatningskrav fra enkeltpersoner og evt organiserte massesøksmål.
  • GDPR handler om å følge god forretningsskikk, og kunne dokumentere dette overfor sine kunder.