General Data Protection Regulation, også kjent som GDPR, er en personvernforordning som har som formål å styrke personvernet ved behandling av personopplysninger. Forordningen trådte i kraft 25. mai 2018, og gjelder for alle land i EU og EØS. Forordningen er gjort til en del av norsk lovgivning gjennom personopplysningsloven, som trådte i kraft 20. juli 2018.
GDPR handler om behandling av personopplysninger. GDPR gjelder for all behandling av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring eller utlevering, eventuelt en kombinasjon av én eller flere av disse.
Forordningen gir enkeltpersoner en rekke rettigheter når det kommer til deres egen personopplysninger. Virksomheter har på sin side en rekke plikter de må overholde for ikke å bryte personopplysningsloven.
GDPR har som formål å styrke personvernet i forbindelse med behandling av personopplysninger. Loven gir et sett med bestemmelser om beskyttelse av personopplysninger som gjelder i alle EU-/EØS-land, og skal gi alle EU-borgere en bedre forståelse for hvordan personopplysningene deres blir brukt. GDPR gir virksomheter plikter, og enkeltpersoner rettigheter.
Hva er virkeområdet til GDPR?
I Norge gjelder personopplysningsloven. Den er en henvisningslov, som med noen få tilpasninger gjør GDPR til gjeldende norsk rett. Regelverket gjelder for alle virksomheter i Norge som enten helt eller delvis foretar såkalt automatisk, typisk elektronisk, behandling av personopplysninger. Loven gjelder også når virksomhetene utfører ikke-automatisk behandling av personopplysninger, som deretter skal inn i et register.
Dersom det oppstår en konflikt, er det bestemmelsene i personvernforordningen GDPR som er avgjørende. Disse går altså foran bestemmelser i andre lover som regulerer samme forhold.
Når gjelder ikke GDPR?
GDPR gjelder imidlertid ikke ved all behandling av personopplysninger. Eksempler hvor personopplysningsloven ikke gjelder er:
Ved personopplysninger i personlige eller familiemessige aktiviteter, for eksempel i private adressebøker eller kameraovervåkning av eget hus
Personopplysninger i forbindelse med at myndighetene skal forebygge, etterforske eller straffeforfølge straffbare forhold
For utelukkende journalistiske, kunstneriske, litterære eller akademiske formål
Personopplysningsloven og GDPR gjelder ellers bare ved personopplysninger, som er definert som opplysninger som kan knyttes til levende, fysiske personer.
GDPR gjelder ikke ved all behandling av personopplysninger.
Hvilke plikter har virksomheter?
Som virksomhet har du ansvar for å sørge for at personvernreglene blir fulgt. Det er derfor viktig å tenke over hvilke forhåndsregler som må tas for å kunne ivareta personopplysningene til kunder, medlemmer, brukere og egne ansatte.
Her følger en sjekkliste over pliktene virksomheten har som følge av GDPR:
Fastsette formål Før en virksomhet kan behandle personopplysninger, må det foreligge ett eller flere reelle formål. Det er ikke lovlig å lagre personopplysninger uten at det foreligger et formål bak lagringen av opplysningene. Personopplysninger kan kun benyttes til spesifikke, angitte og legitime formål.
Ha behandlingsgrunnlag For at en virksomhet skal ha lov til å behandle personopplysninger, må det foreligge et behandlingsgrunnlag. Det skal være ett grunnlag for hvert formål. Aktuelle behandlingsgrunnlag kan være samtykke, eller at det er nødvendig med personopplysninger for å oppfylle en avtale, oppfylle en rettslig plikt, beskytte interesser, utføre oppgaver eller ivareta legitime interesser.
Gi informasjon Virksomheten må gi forbrukeren kort og forståelig informasjon om hvordan de behandler personopplysningene.
Legge til rette for brukerens rettigheter Virksomheten skal legge til rette for at forbrukere eller andre registrerte personer kan benytte seg av en av sine rettigheter. Det kan for eksempel være å få informasjon om hvilke personopplysninger virksomheten har lagret om vedkommende.
Retting Personopplysninger skal holdes oppdatert. Virksomheten skal i utgangspunktet sørge for dette selv uten å få beskjed fra forbrukeren. Når den registerte gir beskjed om feil, foreligger det plikt for den behandlingsansvarlige til å foreta retting.
Sletting Det er forbudt å oppbevare personopplysninger lenger enn det som er nødvendig for det spesifikke formålet opplysningene ble samlet inn for. Når formålet er nådd, skal opplysningene slettes. Den registrerte kan også kreve å få sine opplysninger slettet.
Personvernombud Et personvernombud skal gi råd om hvordan den behandlingsansvarlige best kan ivareta personverninteressene. Noen virksomheter er pålagt å ha personvernombud, mens andre kan ha det dersom de ønsker.
Vurdering av personvernkonsekvenser og forhåndsdrøftelse For å sikre at personvernet ivaretas, skal det foretas en vurdering av personvernkonsekvenser, såkalt Data Protection Impact Assessment - DPIA. Denne prosessen skal bidra til å håndtere de risikoene behandlingen av personopplysninger kan medføre på enkeltpersoners rettigheter og friheter. Konsekvensene skal vurderes, og det skal settes i gang risikoreduserende tiltak. Dersom vurderingen tilsier at det foreligger høy risiko, skal den behandlingsansvarlige rådføre seg med Datatilsynet i en forhåndsdrøftelse før behandlingen settes i gang.
Innebygd personvern Innebygd personvern er et sentralt krav i GDPR, og det innebærer at tekniske systemer eller løsninger blir utviklet på en slik måte at personvernet blir ivaretatt, i alle utviklingsfasene.
Informasjonssikkerhet og internkontroll Personopplysninger skal beskyttes mot uberettiget innsyn og endringer på en tilfredsstillende måte. Opplysningene skal samtidig være tilgjengelig for de som behøver opplysningene, når de trenger dem. Det er også et krav om internkontroll, altså etablering og vedlikehold av tiltak for å sikre at personopplysninger behandles i samsvar med lovverket.
Protokoll over behandlingsaktiviteter Alle virksomheter skal føre protokoll over behandlingsaktiviteter som utføres.
Databehandleravtale Alle virksomheter som benytter seg av en underleverandør skal ha en databehandleravtale, som sikrer at personopplysningene blir behandlet i samsvar med regelverket.
Avvikshåndtering Dersom det har skjedd et avvik, altså et brudd på personopplysningssikkerheten, skal dette rapporteres inn til Datatilsynet. Dette skal gjøres senest innen 72 timer fra avviket ble oppdaget.
Overføring av opplysninger til utlandet Dersom virksomheten skal overføre personopplysninger til et land utenfor EU/EØS, gjelder spesielle krav slik at beskyttelsesnivået fra GDPR ikke undergraves. Personopplysningene skal fortsatt behandles på en forsvarlig måte.
Virksomheter har en rekke plikter i forbindelse med GDPR, mens enkeltpersoner har en rekke rettigheter.
Hvilke rettigheter har enkeltpersoner?
Når personopplysninger om deg blir behandlet av en virksomhet, har du en rekke rettigheter. Disse rettighetene er blant annet:
Retten til innsyn Du har rett til å be om innsyn i hvilke personopplysninger en virksomhet har om deg, og hvordan disse blir behandlet og lagret.
Retten til retting Dersom en virksomhet har ukorrekte opplysninger om deg, har du rett til å be om å få endret disse opplysningene.
Retten til sletting I mange tilfeller har du rett til å få slettet personopplysningene dine. Dette kalles gjerne «retten til å bli glemt».
Retten til begrensning Noen ganger kan du be om at bruken av personopplysningene dine skal begrenses. Dette innebærer at opplysningene vil bli lagret, men ikke kan brukes utover den begrensninen du har satt.
Retten til å protestere I enkelte tilfeller har du rett til å protestere mot at personopplysningene dine blir behandlet. Virksomheten kan da i utgangspunktet ikke lenger bruke personopplysningene dine. I enkelte tilfeller har en virksomhet rett til å fortsette å behandle personopplysninger, for eksempel dersom en kunde ikke betaler, og det må fremmes inkasso og eventuelle rettslige krav.
Retten ved automatiserte avgjørelser Et dataprogram kan ikke automatisk ta store og viktige avgjørelser om deg. I slike tilfeller vil du ha rett til å si din mening, si imot avgjørelsen og kreve at et menneske går gjennom avgjørelsen.
Retten til dataportabilitet Dataportabilitet er muligheten til å flytte informasjon mellom forskjellige systemer og tjenester. Retten til dataportabilitet innebærer at du kan få utlevert personopplysninger om deg, og gjenbruke disse som du selv ønsker på tvers av ulike systemer og tjenester.
Retten til informasjon Du har krav på å få kort og forståelig informasjon fra virksomheten om hvordan dine personopplysninger blir behandlet.
Databehandleravtale
Alle virksomheter som benytter seg av én eller flere underleverandører plikter å ha en databehandleravtale. Dette er en avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles.