GDPR

Dette får du vite om GDPR:

• Hva er GDPR?
• Hensikten med GDPR
• Virkeområde
  • Når gjelder ikke GDPR?
• Virksomhetens plikter
• Enkeltpersonens rettigheter
• Databehandleravtale

Hva er GDPR?

GDPR handler om behandling av personopplysninger. GDPR gjelder for all behandling av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring eller utlevering, eventuelt en kombinasjon av én eller flere av disse.

Forordningen gir enkeltpersoner en rekke rettigheter når det kommer til deres egen personopplysninger. Virksomheter har på sin side en rekke plikter de må overholde for ikke å bryte personopplysningsloven.

• Les mer om: Teknologi, IPR og media

Hva er hensikten med GDPR?

GDPR har som formål å styrke personvernet i forbindelse med behandling av personopplysninger. Loven gir et sett med bestemmelser om beskyttelse av personopplysninger som gjelder i alle EU-/EØS-land, og skal gi alle EU-borgere en bedre forståelse for hvordan personopplysningene deres blir brukt. GDPR gir virksomheter plikter, og enkeltpersoner rettigheter.

Hva er virkeområdet til GDPR?

I Norge gjelder personopplysningsloven. Den er en henvisningslov, som med noen få tilpasninger gjør GDPR til gjeldende norsk rett. Regelverket gjelder for alle virksomheter i Norge som enten helt eller delvis foretar såkalt automatisk, typisk elektronisk, behandling av personopplysninger. Loven gjelder også når virksomhetene utfører ikke-automatisk behandling av personopplysninger, som deretter skal inn i et register.

Dersom det oppstår en konflikt, er det bestemmelsene i personvernforordningen GDPR som er avgjørende. Disse går altså foran bestemmelser i andre lover som regulerer samme forhold.

Når gjelder ikke GDPR?

GDPR gjelder imidlertid ikke ved all behandling av personopplysninger. Eksempler hvor personopplysningsloven ikke gjelder er:

• Ved personopplysninger i personlige eller familiemessige aktiviteter, for eksempel i private adressebøker eller kameraovervåkning av eget hus
• Personopplysninger i forbindelse med at myndighetene skal forebygge, etterforske eller straffeforfølge straffbare forhold
• For utelukkende journalistiske, kunstneriske, litterære eller akademiske formål

Personopplysningsloven og GDPR gjelder ellers bare ved personopplysninger, som er definert som opplysninger som kan knyttes til levende, fysiske personer.

Hvilke plikter har virksomheter?

Som virksomhet har du ansvar for å sørge for at personvernreglene blir fulgt. Det er derfor viktig å tenke over hvilke forhåndsregler som må tas for å kunne ivareta personopplysningene til kunder, medlemmer, brukere og egne ansatte.

Her følger en sjekkliste over pliktene virksomheten har som følge av GDPR:

• Fastsette formål
  Før en virksomhet kan behandle personopplysninger, må det foreligge ett eller flere reelle formål. Det er ikke lovlig å lagre personopplysninger uten at det foreligger et formål bak lagringen av opplysningene. Personopplysninger kan kun benyttes til spesifikke, angitte og legitime formål.
  
  

• Ha behandlingsgrunnlag
  For at en virksomhet skal ha lov til å behandle personopplysninger, må det foreligge et behandlingsgrunnlag. Det skal være ett grunnlag for hvert formål. Aktuelle behandlingsgrunnlag kan være samtykke, eller at det er nødvendig med personopplysninger for å oppfylle en avtale, oppfylle en rettslig plikt, beskytte interesser, utføre oppgaver eller ivareta legitime interesser.
  
  

• Gi informasjon
  Virksomheten må gi forbrukeren kort og forståelig informasjon om hvordan de behandler personopplysningene.
  
  

• Legge til rette for brukerens rettigheter
  Virksomheten skal legge til rette for at forbrukere eller andre registrerte personer kan benytte seg av en av sine rettigheter. Det kan for eksempel være å få informasjon om hvilke personopplysninger virksomheten har lagret om vedkommende.
  
  

• Retting
  Personopplysninger skal holdes oppdatert. Virksomheten skal i utgangspunktet sørge for dette selv uten å få beskjed fra forbrukeren. Når den registerte gir beskjed om feil, foreligger det plikt for den behandlingsansvarlige til å foreta retting.
  
  

• Sletting
  Det er forbudt å oppbevare personopplysninger lenger enn det som er nødvendig for det spesifikke formålet opplysningene ble samlet inn for. Når formålet er nådd, skal opplysningene slettes. Den registrerte kan også kreve å få sine opplysninger slettet.
  
  

• Personvernombud
  Et personvernombud skal gi råd om hvordan den behandlingsansvarlige best kan ivareta personverninteressene. Noen virksomheter er pålagt å ha personvernombud, mens andre kan ha det dersom de ønsker.
  
  

• Vurdering av personvernkonsekvenser og forhåndsdrøftelse
  For å sikre at personvernet ivaretas, skal det foretas en vurdering av personvernkonsekvenser, såkalt Data Protection Impact Assessment - DPIA. Denne prosessen skal bidra til å håndtere de risikoene behandlingen av personopplysninger kan medføre på enkeltpersoners rettigheter og friheter. Konsekvensene skal vurderes, og det skal settes i gang risikoreduserende tiltak. Dersom vurderingen tilsier at det foreligger høy risiko, skal den behandlingsansvarlige rådføre seg med Datatilsynet i en forhåndsdrøftelse før behandlingen settes i gang.
  
  

• Innebygd personvern
  Innebygd personvern er et sentralt krav i GDPR, og det innebærer at tekniske systemer eller løsninger blir utviklet på en slik måte at personvernet blir ivaretatt, i alle utviklingsfasene.
  
  

• Informasjonssikkerhet og internkontroll
  Personopplysninger skal beskyttes mot uberettiget innsyn og endringer på en tilfredsstillende måte. Opplysningene skal samtidig være tilgjengelig for de som behøver opplysningene, når de trenger dem. Det er også et krav om internkontroll, altså etablering og vedlikehold av tiltak for å sikre at personopplysninger behandles i samsvar med lovverket.
  
  

• Protokoll over behandlingsaktiviteter
  Alle virksomheter skal føre protokoll over behandlingsaktiviteter som utføres.
  
  

• Databehandleravtale
  Alle virksomheter som benytter seg av en underleverandør skal ha en databehandleravtale, som sikrer at personopplysningene blir behandlet i samsvar med regelverket.
  
  

• Avvikshåndtering
  Dersom det har skjedd et avvik, altså et brudd på personopplysningssikkerheten, skal dette rapporteres inn til Datatilsynet. Dette skal gjøres senest innen 72 timer fra avviket ble oppdaget.
  
  

• Overføring av opplysninger til utlandet
  Dersom virksomheten skal overføre personopplysninger til et land utenfor EU/EØS, gjelder spesielle krav slik at beskyttelsesnivået fra GDPR ikke undergraves. Personopplysningene skal fortsatt behandles på en forsvarlig måte.

Hvilke rettigheter har enkeltpersoner?

Når personopplysninger om deg blir behandlet av en virksomhet, har du en rekke rettigheter. Disse rettighetene er blant annet:

• Retten til innsyn
  Du har rett til å be om innsyn i hvilke personopplysninger en virksomhet har om deg, og hvordan disse blir behandlet og lagret.
  
  

• Retten til retting
  Dersom en virksomhet har ukorrekte opplysninger om deg, har du rett til å be om å få endret disse opplysningene.
  
  

• Retten til sletting
  I mange tilfeller har du rett til å få slettet personopplysningene dine. Dette kalles gjerne «retten til å bli glemt».
  
  

• Retten til begrensning
  Noen ganger kan du be om at bruken av personopplysningene dine skal begrenses. Dette innebærer at opplysningene vil bli lagret, men ikke kan brukes utover den begrensninen du har satt.
  
  

• Retten til å protestere
  I enkelte tilfeller har du rett til å protestere mot at personopplysningene dine blir behandlet. Virksomheten kan da i utgangspunktet ikke lenger bruke personopplysningene dine. I enkelte tilfeller har en virksomhet rett til å fortsette å behandle personopplysninger, for eksempel dersom en kunde ikke betaler, og det må fremmes inkasso og eventuelle rettslige krav.
  
  

• Retten ved automatiserte avgjørelser
  Et dataprogram kan ikke automatisk ta store og viktige avgjørelser om deg. I slike tilfeller vil du ha rett til å si din mening, si imot avgjørelsen og kreve at et menneske går gjennom avgjørelsen.
  
  

• Retten til dataportabilitet
  Dataportabilitet er muligheten til å flytte informasjon mellom forskjellige systemer og tjenester. Retten til dataportabilitet innebærer at du kan få utlevert personopplysninger om deg, og gjenbruke disse som du selv ønsker på tvers av ulike systemer og tjenester.
  
  

• Retten til informasjon
  Du har krav på å få kort og forståelig informasjon fra virksomheten om hvordan dine personopplysninger blir behandlet.

Databehandleravtale

Alle virksomheter som benytter seg av én eller flere underleverandører plikter å ha en databehandleravtale. Dette er en avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles.

• Les mer om: Databehandleravtale

Har du spørsmål knyttet til GDPR? Snakk med oss.