General Data Protection
Regulation (GDPR)

25. mai 2018 trer EUs General Data Protection Regulation i kraft. Det nye personvernregelverket pålegger virksomheter som behandler personopplysninger blant annet strengere krav til å dokumentere etterlevelse av regelverket. 

GDPR er en erstatning for dagens EU Data Protection Directive, som har kommet til uttrykk i den norske personopplysningsloven. En av de største endringene med GDPR, sammenlignet med dagens regelverk, gjelder kravene til samtykke. Vilkårene for innhenting av samtykke blir vesentlig strengere. Virksomheten er nå pålagt å innhente samtykke for hver enkelt planlagt behandling av persondata FØR databehandlingen finner sted.

 

”Den som tier samtykker – IKKE”

 

Samtykket som gis skal være frivillig, tydelig og aktivt. Tvunget- eller omnibusmekanismer er ikke gyldig. Det samme gjelder stillhet, inaktivitet eller pre-hakede bokser, som fremover vil bety at samtykke ikke er innhentet. Det kunden skal samtykke til skal være lett gjenkjennelig, tydelig og ikke presenteres sammen med andre vilkår.

Det er pålagt at opphevelse av samtykke skal være like enkelt som å gi et samtykke, fortrinnsvis gjennom det samme systemet som i utgangspunktet ble brukt for å innhente samtykket.

ICONFIRM anbefaler alle virksomheter å søke juridisk bistand fra personverneksperter for å sikre rett tilpassing til det nye regelverket da grunnlag for behandling av personopplysninger er unikt for hver virksomhet og må vurderes særskilt.

 

LES MER:

 

Med persondata, eller personopplysninger, menes opplysninger og vurderinger som kan knyttes til en enkeltperson.

 

"Personopplysninger " betyr enhver informasjon knyttet til en identifisert, eller identifiserbar, fysisk person (”den registrerte"); en identifiserbar person er en som kan identifiseres, direkte eller indirekte, særlig med henvisning til en identifikator som for eksempel navn, et identifikasjonsnummer, lokaliseringsdata, online identifikator (IP-adresse) eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetisk, mentale, økonomiske, kulturelle eller sosiale identiteten til personen.

GDPR stiller krav til blant annet at:
 

  • Samtykker må dokumenteres.
  • Samtykker skal gis på frivillig basis.
  • Samtykker gitt av barn mellom 13 og 16 år må bekreftes av foreldre/verge. For barn under 13 år avgir foreldre/verge samtykke på vegne av barnet
  • Samtykket skal gis på bakgrunn av en tydelig (forståelig) beskrivelse av hva, og hvordan, dataene skal brukes. Beskrivelsen skal benytte vanlig og forståelig språk.
  • Samtykket skal til enhver tid være mulig å trekke tilbake.
  • Data som samles inn skal begrenses til det mest nødvendige.
  • Behandlingsansvarlige må kunne dokumentere at samtykket er gitt før personopplysningene behandles.
  • Definisjonen av personopplysninger er til dels utvidet.
  • Ved avvik er det strenge krav om varsling til myndighetene og berørte parter innen 72 timer.

Hvis regelverket ikke følges kan det straffes med bøter.  Bøtestraffen kan settes så høyt som 4 % av globale omsetning, eller 20 MEUR.

Der tidligere personvernlovgivning var lokal, men forankret i et EU- direktiv fra 1995, er det nye lovverket harmonisert for hele EU/EØS- området. Regelverket får også anvendelse for virksomheter plassert utenfor EU/EØS så lengde de behandler opplysninger om EU/EØS-borgere. Samtidig er lovverket oppdatert for også å håndtere dagens bruk av teknologi. For virksomheter betyr dette at man ikke trenger å forholde seg til varierende regelverk og praksis på tvers av landegrenser. Samtidig blir det tydeligere ansvarsforhold og større bevissthet i hvem som bruker og samler data, og hvor denne dataen befinner seg. I dag benytter de fleste virksomheter mange systemer og tjenester som igjen er basert på underleverandører som håndterer data på kundens vegne. Ansvaret for å ha kontroll på denne ”verdikjeden” samt tjenesteleverandørenes ansvar i sikker håndtering av persondata tydeliggjøres også.

 

Et kundeforhold innebefatter gjensidig tillitt mellom kunde og leverandør. Det nye regelverket øker bevisstheten om at individer har eierskapet til egen data. Å ta GDPR på alvor handler derfor også om å bygge og ivareta kundens tillit. Samtidig åpner det for enkelt, og trygt, å kunne ekspandere sin virksomhet innen EØS- området. GDPR handler også om å følge god forretningsskikk, og kunne dokumentere dette overfor sine kunder. Forskriften har som mål å gjenopprette balansen mellom interessene til den registrerte og datamottageren. GDPR skal derfor styrke personvernet til personer innen EU og EØS.

Personvernforordningen gjelder alle virksomheter som behandler personopplysninger om borgere fra EU/EØS-området. Behovet for verktøyet er derfor ikke begrenset til bare virksomheter som er etablert i EØS.

Et samtykke er en signert avtale (fortrinnsvis digital) mellom en behandlingsansvarlig og en fysisk person som beskriver hvilke data man samler inn, hvordan disse skal brukes og hvem som får tilgang til informasjonen. Samtykkeformularet skal også beskrive hvordan man kan trekke samtykket tilbake.

Det er ikke tillatt å behandle personopplysninger uten et behandlingsgrunnlag. Et samtykke er et foretrukket behandlingsgrunnlag da det gir den registrerte selv best kontroll over egne opplysninger. Se for øvrig punktet ”når kan man samle inn personopplysninger

Personopplysninger kan behandles når det foreligger et behandlingsgrunnlag. Innhenting og behandling av personopplysninger er kun legitimt i tilfelle av:

 

  • Den berørte (den "registrerte") har gitt sitt samtykke
  • Det foreligger grunnlag i lov
  • At databehandling er nødvendig for en kontrakt
  • At databehandlingen er påkrevet ved en rettslig forpliktelse.
  • At databehandlingen er nødvendig for å beskytte avgjørende interesser for den registrerte.

At databehandlingen er nødvendig for å utføre oppgaver av offentlig interesse eller oppgaver som utføres av regjering, skattemyndigheter, politi eller andre offentlige instanser.