Codex Innsikt
Vi vil dele tips og råd om problemstillinger med tema i grenseland mellom jus og økonomi.
Vi tar opp spørsmål og utfordringer knyttet til lover og regler som får konsekvenser for din organisasjon.
GDPR: Hvilke lover og regler gjelder?
General Data Protection Regulation, også kjent som GDPR, er EUs personvernforordning som trådte i kraft i 2018. GDPR har som formål å styrke personvernet ved behandling av personopplysninger, og gjelder for borgere i alle land i EU og EØS. Forordningen er gjort til en del av norsk lovgivning gjennom personopplysningsloven, som trådte i kraft 20. juli 2018.
Dette får du vite om GDPR:
- Hva er GDPR?
- Hensikten med GDPR
- Virkeområde
- Virksomhetens plikter
- Nedlasting av sjekkliste [Gratis]
- Enkeltpersonens rettigheter
- Databehandleravtale
- Hva gjør våre advokater for deg?
Hva er GDPR?
GDPR er EUs personvernforordning som gjelder for alle EU/EØS-land, og i Norge er forordningen tatt direkte inn i vår egen personopplysningslov.
GDPR handler om behandling av personopplysninger. En personopplysning er enhver opplysning som kan knyttes til en fysisk person. Dette omfatter ikke bare sensitive opplysninger om for eksempel helse og seksualliv eller politiske oppfatninger, men hverdagslig informasjon som navn, telefonnummer og mailadresse. GDPR gjelder for all behandling av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring eller utlevering, eventuelt en kombinasjon av én eller flere av disse.
Forordningen gir enkeltpersoner en rekke rettigheter når det kommer til deres egne personopplysninger. Virksomheter har på sin side en rekke plikter de må overholde for ikke å bryte personopplysningsloven.
- Les mer om: Teknologi, IPR og media
Hva er hensikten med GDPR?
GDPR har som formål å styrke personvernet gjennom bestemmelser om beskyttelse av personopplysninger ved å gi alle EU/EØS-borgere en bedre forståelse og trygghet for hvordan personopplysningene deres blir brukt. GDPR gir virksomheter plikter, og enkeltpersoner rettigheter.
Hva er virkeområdet til GDPR?
I Norge gjelder personopplysningsloven. Med noen få tilpasninger gjør loven GDPR til gjeldende norsk rett. Pliktene som følger av dette personvernregelverket gjelder for alle virksomheter i Norge som enten helt eller delvis foretar såkalt automatisk, typisk elektronisk, behandling av personopplysninger. Loven gjelder også når virksomhetene utfører ikke-automatisk behandling av personopplysninger, som deretter skal inn i et register.
Dersom det oppstår en konflikt, er det bestemmelsene i GDPR som er avgjørende. Disse går altså foran bestemmelser i andre lover som regulerer samme forhold.
Når gjelder ikke GDPR?
GDPR gjelder ikke ved all behandling av personopplysninger. Eksempler hvor personopplysningsloven ikke gjelder er:
- Ved personopplysninger i personlige eller familiemessige aktiviteter, for eksempel i private adressebøker eller kameraovervåkning av eget hus
- Personopplysninger i forbindelse med at myndighetene skal forebygge, etterforske eller straffeforfølge straffbare forhold
- Personopplysninger som behandles utelukkende for journalistiske, kunstneriske, litterære eller akademiske formål
Personopplysningsloven og GDPR gjelder ellers bare ved personopplysninger, som er definert som opplysninger som kan knyttes til levende, fysiske personer.
Hvilke plikter har virksomheter?
Som virksomhet har du ansvar for å sørge for at personvernreglene blir fulgt. Det er derfor viktig å tenke over hvilke forhåndsregler som må tas for å kunne ivareta personopplysningene til kunder, medlemmer, brukere og egne ansatte.
Nedenfor følger en oversikt over de plikter GDPR pålegger virksomhetene. Vi har også laget en sjekkliste med mer informasjon og forklaringer knyttet til de ulike pliktene. Sjekklisten kan du laste ned nedenfor listen.
Din bedrift plikter å
- Ha kunnskap om grunnleggende personvernprinsipper.
- Ha innebygd personvern som sørger for at personvern ivaretas i alle ledd.
- Skaffe oversikt over hvilke personopplysninger virksomheten
behandler. - Føre protokoll over behandlingsaktiviteter.
- Fastsette formål for hver behandlingsaktivitet.
- Ha et behandlingsgrunnlag for hvert formål.
- Gi informasjon om hvordan opplysningene behandles.
- Sørge for informasjonssikkerhet og internkontroll, herunder risikovurdering.
- Ha rutiner som ivaretar krav om sletting når formålet er nådd.
- Ha rutiner for avvikshåndtering.
- Legge til rette for at brukeren kan utøve sine rettigheter (innsyn, retting, sletting mm, se nedenfor).
- Ha databehandleravtaler med leverandører og samarbeidspartnere.
- Iverksette særskilte tiltak ved overføring av personopplysninger til land utenfor EU/EØS.
- Ha personvernombud (gjelder ikke alle virksomheter).
- Vurdereing av personvernkonsekvenser, DPIA (ved særlig høy risiko forbundet med behandling av personopplysninger).
Gratis nedlasting av GDPR-sjekkliste:
Hvilke rettigheter har enkeltpersoner?
Når personopplysninger om deg blir behandlet av en virksomhet, har du en rekke rettigheter. Disse rettighetene er blant annet:
- Retten til innsyn
Du har rett til å be om innsyn i hvilke personopplysninger en virksomhet har om deg, og hvordan disse blir behandlet og lagret.
- Retten til retting
Dersom en virksomhet har ukorrekte opplysninger om deg, har du rett til å be om å få endret disse opplysningene.
- Retten til sletting
I mange tilfeller har du rett til å få slettet personopplysningene dine. Dette kalles gjerne «retten til å bli glemt».
- Retten til begrensning
Noen ganger kan du be om at bruken av personopplysningene dine skal begrenses. Dette innebærer at opplysningene vil bli lagret, men ikke kan brukes utover den begrensninen du har satt.
- Retten til å protestere
I enkelte tilfeller har du rett til å protestere mot at personopplysningene dine blir behandlet. Virksomheten kan da i utgangspunktet ikke lenger bruke personopplysningene dine. I enkelte tilfeller har en virksomhet rett til å fortsette å behandle personopplysninger, for eksempel dersom en kunde ikke betaler, og det må fremmes inkasso og eventuelle rettslige krav.
- Retten ved automatiserte avgjørelser
Et dataprogram kan ikke automatisk ta store og viktige avgjørelser om deg. I slike tilfeller vil du ha rett til å si din mening, si imot avgjørelsen og kreve at et menneske går gjennom avgjørelsen.
- Retten til dataportabilitet
Dataportabilitet er muligheten til å flytte informasjon mellom forskjellige systemer og tjenester. Retten til dataportabilitet innebærer at du kan få utlevert personopplysninger om deg, og gjenbruke disse som du selv ønsker på tvers av ulike systemer og tjenester.
- Retten til informasjon
Du har krav på å få kort og forståelig informasjon fra virksomheten om hvordan dine personopplysninger blir behandlet.
Databehandleravtale
Alle virksomheter som benytter seg av én eller flere underleverandører plikter å opprette en databehandleravtale med hver og en av disse. Dette er en avtale mellom behandlingsansvarlig (virksomheten) og databehandler (leverandøren) om hvordan personopplysninger skal behandles. Databehandleravtalen skal sikre at personopplysninger som en virksomhet er ansvarlig for behandles i samsvar med personvernregelverket også hos leverandøren.
- Les mer om: Databehandleravtale
- Les mer om overføring av opplysninger ut av EU/EØS på rettighetsadvokater.no: Schrems II-dommen: Hva er det egentlig og hva betyr det for din bedrift?
Hvordan kan Codex hjelpe din bedrift med GDPR?
Selv om det er en stund siden GDPR trådte i kraft, er det fortsatt mange bedrifter som ikke har tatt grep for å få det grunnleggende på plass. Dette kan bli dyrt. Datatilsynet gjennomfører kontroller og har utstedt flere bøter på millionbeløp.
Ta kontakt med oss for en prat om hvordan vi kan bistå din bedrift med å bli GDPR-kompatibel. Vi gir råd og veiledning og har også maler og malpakker som gjør det enkelt å komme i gang og få nødvendig dokumentasjon på plass. Vi hører gjerne fra deg!
Har du spørsmål knyttet til GDPR? Snakk med oss.
Senioradvokat
Teknologi, IPR og Media