Hva er GDPR – Personvernforordningen

Publisert 8. desember 2021
#GDPR #Personvernforordningen
This post thumbnail

I dagens digitale tidsalder har bedrifter tilgang til store mengder personopplysninger. Fra kundedata til ansattopplysninger, er det viktig å forstå hvordan disse opplysningene skal behandles og beskyttes. Personvernforordningen, kjent som GDPR, er en lov som har som formål å sikre personvern og beskytte personopplysninger i Europa. I denne artikkelen vil du få et godt overblikk over GDPR er og hva det betyr for din virksomhet.

Hva er GDPR?

GDPR står for General Data Protection Regulation, eller Personvernforordningen på norsk. Loven ble innført i 2018 og gir en enhetlig og streng regulering for personvern i Europa. Formålet med GDPR er å gi enkeltpersoner kontroll over sine egne personopplysninger, samt å regulere hvordan bedrifter og organisasjoner samler inn og bruker personopplysninger.

Hvem gjelder loven for?

GDPR gjelder for alle organisasjoner som behandler personopplysninger for enkeltpersoner som befinner seg innenfor EU. Dette inkluderer både europeiske og utenlandske selskaper, uavhengig av størrelse.

Bakgrunnen og formålet med loven

Bakgrunnen for GDPR ligger i det økende behovet for å beskytte personvernet i en digital verden. I dag deler vi stadig mer av våre personlige opplysninger på nettet, og GDPR skal hjelpe oss å beskytte oss mot misbruk av disse opplysningene. GDPR gir også en standardisert regulering for alle bedrifter som opererer innenfor EU, slik at personvernet til enkeltpersoner blir beskyttet på samme nivå uavhengig av hvor i Europa man befinner seg.

Hva er GDPR prinsippene?

Prinsippene i GDPR danner grunnlaget for hvordan personvern og personopplysninger skal håndteres og beskyttes. Det er viktig å følge disse prinsippene for å sikre at personvern og personopplysninger blir behandlet på en sikker og tillitsfull måte.

De syv prinsippene i GDPR er som følger:

  1. Lovlighet, rettferdighet og åpenhet: Behandling av personopplysninger må være lovlig, rettferdig og åpen, og det skal informeres om hvordan personopplysningene skal brukes.
  2. Formål: Personopplysninger kan bare samles inn for et spesifikt, uttrykkelig og legitimt formål.
  3. Data-minimering: Personopplysninger må være tilstrekkelige, relevante og begrenset til det som er nødvendig for formålet de ble samlet inn for.
  4. Nøyaktighet: Personopplysninger skal være nøyaktige og oppdaterte.
  5. Lagringsbegrensning: Personopplysninger skal bare lagres så lenge det er nødvendig for formålet de ble samlet inn for.
  6. Integritet og konfidensialitet: Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet, inkludert beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade.
  7. Ansvarlighet: Behandlingsansvarlige og databehandlere må påta seg ansvar for å overholde GDPR-reglene, og må kunne dokumentere at de har gjort dette.

Disse prinsippene legger grunnlaget for hvordan personvern og personopplysninger skal håndteres og beskyttes, og er sentrale for å sikre at GDPR-reglene følges. Å følge disse prinsippene vil bidra til å bygge tillit og sikre at personopplysninger håndteres på en sikker og tillitsfull måte.

Hvilke plikter har virksomheter som behandler personopplysninger?

GDPR setter klare krav til hvordan virksomheter og organisasjoner skal håndtere personopplysninger. Dette inkluderer blant annet:

  • Å informere enkeltpersoner om hvilke opplysninger som samles inn, hvordan de blir brukt og hvor lenge de blir lagret. Dette kan gjøres med en personvernerklæring.
  • Å ha en gyldig juridisk grunn for å behandle personopplysninger, som samtykke fra personen eller berettiget interesse.
  • Å slette eller endre personopplysninger på forespørsel fra personen.
  • Å rapportere eventuelle brudd på personopplysninger til myndighetene innen 72 timer etter oppdagelsen
  • Å ha en personvernansvarlig i organisasjonen hvis virksomheten er stor nok.

Behandlingsgrunnlag

For å samle inn og behandle personopplysninger må en virksomhet ha et gyldig behandlingsgrunnlag. Dette kan være samtykke fra personen, en kontrakt eller berettiget interesse fra virksomheten. Det er viktig at virksomhetene har et gyldig behandlingsgrunnlag, ellers kan de risikere å bryte GDPR-reglene.

Hvilke rettigheter har privatpersoner?

GDPR gir enkeltpersoner en rekke rettigheter når det kommer til personvern og personopplysninger. Noen av disse rettighetene inkluderer:

  • Rett til å bli informert om hvilke personopplysninger som samles inn og hvordan de blir brukt
  • Rett til å få tilgang til egne personopplysninger og be om at de blir slettet eller endret
  • Rett til å kreve begrensninger i behandlingen av personopplysninger
  • Rett til å klage til datatilsynet hvis man mener at ens rettigheter er blitt krenket.

Potensielle sanksjoner og bøter

GDPR gir datatilsynsmyndigheter muligheten til å utstede bøter og sanksjoner til virksomheter som bryter loven. Dette kan inkludere bøter på opptil 20 millioner euro eller 4% av virksomhetens globale omsetning, avhengig av hva som er størst. I tillegg kan virksomheter som bryter loven bli pålagt å stanse all behandling av personopplysninger.

Erstatningsansvar ved brudd

Artikkel 82 i GDPR fastslår at enkeltpersoner som har lidd materiell eller ikke-materiell skade som følge av brudd på GDPR-reglene, har rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren. Dette inkluderer tap av inntekt eller utgifter knyttet til å gjenopprette tapte data.

Hvis en behandlingsansvarlig eller databehandler har brutt GDPR-reglene og dette har ført til skade for en enkeltperson, vil de være ansvarlige for å betale erstatning for den forvoldte skaden. Hvis flere enn én behandlingsansvarlig eller databehandler er involvert i samme behandling, vil hver av dem bli holdt ansvarlige for hele skaden for å sikre at den enkeltpersonen mottar effektiv erstatning.

10 vanlige spørsmål og svar om GDPR:

  1. Hva er formålet med GDPR?
    Formålet med GDPR er å beskytte personvern og personopplysninger i Europa.

  2. Hvem gjelder loven for?
    GDPR gjelder for alle organisasjoner som behandler personopplysninger for enkeltpersoner som befinner seg innenfor EU.

  3. Hva er behandlingsgrunnlag?
    Behandlingsgrunnlag er det som gir en virksomhet rett til å samle inn og behandle personopplysninger. Les mer om behandlingsgrunnlag.

  4. Hva slags rettigheter har privatpersoner under GDPR?
    Privatepersoner har en rekke rettigheter under GDPR, inkludert rett til å få tilgang til egne personopplysninger og be om at de blir slettet eller endret.

  5. Hva skjer hvis en virksomhet bryter GDPR-reglene?
    Datatilsynsmyndigheter kan utstede bøter og sanksjoner til virksomheter som bryter loven. Se oversikt over datatilsynets største bøter her.

  6. Hva er en databehandler (data processor) og en behandlingsansvarlig (data controller) under GDPR?
    En behandlingsansvarlig bestemmer formålet og midlene for behandlingen av personopplysninger. Den behandlingsansvarlige har det overordnede ansvaret for personopplysningene og er juridisk ansvarlig for å sikre at behandlingen skjer i samsvar med GDPR. En databehandler behandler personopplysninger på vegne av den behandlingsansvarlige. Det kreves vanligvis en skriftlig databehandleravtale mellom behandlingsansvarlig og databehandleren for å klargjøre deres respektive roller og ansvar, samt for å sikre at behandlingen av personopplysninger skjer i samsvar med GDPR.

  7. Hva er en personvernerklæring?
    En personvernerklæring er et dokument hvor en organisasjon forklarer hvordan de samler, bruker, deler og behandler personopplysninger. Det gir også informasjon om individets rettigheter i forhold til deres personopplysninger. Alle virksomheter som behandler personopplysinger bør ha en personvernerklæring. Her kan du enkelt og gratis lage din egen personvernerklæring.

  8. Hva er profilering?
    Profilering i kontekst av GDPR refererer til bruken av personopplysninger til å analysere, kategorisere eller evaluere bestemte egenskaper, preferanser eller adferdsmønstre hos enkeltpersoner. Dette brukes ofte i målrettet markedsføring for å tilpasse budskap og tilbud til individuelle forbrukere basert på deres profil. Profilering krever et gyldig behandlingsgrunnlag, som for eksempel samtykke, og det er viktig å informere forbrukerne om bruken av deres opplysninger til profilering.

  9. Hva er en personopplysning?
    En personopplysning er all informasjon som kan knyttes til en identifiserbar person direkte eller indirekte. Det betyr at pseudonymiserte data også er personopplysninger. Les mer om pseudonymisering her.

  10. Hvor lenge kan en virksomhet lagre personopplysninger?
    En virksomhet kan bare lagre personopplysninger så lenge det er nødvendig for det formålet de ble samlet inn for. Etter dette må de slettes eller anonymiseres. Lagringstiden kan variere avhengig av formålet, juridiske krav og bransjestandarder. Det er viktig å ha klare retningslinjer og rutiner for å vurdere og slette personopplysninger når de ikke lenger er nødvendige for det opprinnelige formålet. Les mer om lagringstid og sletterutiner.

© 2023 GDPRControl. Av Anders Svensson og Jan Ove Skogheim.