Vanlige spørsmål om personvern og GDPR

De nye reglene for personvern fører til at alle som får sine personopplysninger registrert, får nye og tydeligere rettigheter. Dette innebærer nye plikter og større ansvar for alle virksomheter som behandler personopplysninger.

Hva er GDPR?
General Data Protection Regulation er en europeisk forordning som tredde i kraft 20. juli i Norge og er ment å ivareta privat persondata som virksomheter (bedrifter/organisasjoner/foreninger) håndterer. Kort fortalt, GDPR krever at virksomheter som innhenter informasjon om privatpersoner, også sikrer informasjonen og har klare og forståelige retningslinjer for hvorfor de skal beholde informasjonen, hva de skal gjøre med den og hvor lenge de trenger å oppbevare denne type data.

Hva står GDPR for?
EUs General Data Protection Regulation, kalles i Norge for Personvernforordningen, og hele GDPR er implementert i "Lov om behandling av personopplysninger (personopplysningsloven)"

Hvorfor GDPR?
Personvernforordningen kom som følge av at bruken av sensitiv og personlig informasjon ikke var regulert. Privatpersoner ga fra seg altfor mye informasjon til store og små selskaper, uten å være sikre på hva dataen skulle benyttes til, hvorfor de skulle ha så mye informasjon, og hvor lenge tenkte å beholde informasjonen.

Hvem gjelder GDPR for?
Alle virksomheter som i stor eller liten grad lagrer opplysninger om kunder, brukere, pasienter og/eller ansatte faller inn under regelverket, så lenge de opererer i EU eller benytter persondata anskaffet innen EU/EØS.

Hva er personopplysningsloven?
Lov om behandling av personopplysninger (personopplysningsloven) handler om behandling av personopplysninger – altså innsamling, bruk og oppbevaring. Loven inkluderer en gjennomføring av EU’s personvernforordning GDPR i Norge. Loven gir virksomhetene en rekke plikter samtidig som den gir enkeltpersoner, ofte kalt registrerte, en rekke rettigheter. Loven gjelder stort sett alle virksomheter. Det finnes noen få begrensede situasjoner der loven ikke gjelder.

Når gjelder ikke loven?
I følge Datatilsynet gjelder personopplysningsloven ikke ved behandling av personopplysninger som utføres

Hva betyr GDPR for meg?
For en virksomhet medfører personopplysningsloven at kundenes, medlemmenes og de ansattes data må sikres fra dag én!

Protection by design er et krav som gjør at virksomheter har fått en del plikter som går ut på å beskytte all persondata som håndteres etter best mulig evne – og man skal ikke innhente og lagre mer data enn nødvendig.

For deg og meg som privatpersoner vil personvernforordningen si at vi kan forvente visse ting fra foretak som ber oss om å legge igjen personopplysninger. Enten det skulle være i form av en cookie i nettleseren eller når vi registrerer oss for å kjøpe noe.

Hva er konsekvensene av GDPR?
Hovedregelen er at brudd på personopplysningssikkerheten i GDPR kan gi et gebyr på enten 4% av global omsetning eller 20 millioner Euro. Dette er det høyeste gebyret man kan bli pålagt å betale for de mest alvorlige bruddene. Dette kan for eksempel være å ikke ha tilstrekkelig kundesamtykke til å behandle data eller krenke kjernen i Personvern ved Design-konseptet.

Et selskap kan også få et gebyr på 2% av Global omsetning for å ikke ha sine registre i orden (artikkel 28), ved å ikke varsle tilsynsmyndighetene, og ved å ikke registrere brudd på GDPR.

Vi minner om at "skyene" ikke er unntatt fra GDPR-håndhevelse.

Hva er forskjellen på en Databehandler og en Behandlingsansvarlig?
Personvernforordningen skiller mellom begrepene behandlingsansvarlig og databehandler. Den behandlingsansvarlige bestemmer over personopplysningene, mens databehandleren opptrer på vegne av den behandlingsansvarlige. Databehandleren kan derfor bare behandle personopplysninger etter instruks fra den behandlingsansvarlige.

- Personvernforordningen artikkel 4 nr. 7

Lenker

Datatilsynets sider om virksomhetens plikter

Personvernprinsippene

Lov om behandling av personopplysninger (personopplysningsloven)

EUs offisielle sider om GDPR

Personvernbloggen

LinkedIn Artikler

Cookies og GDPR, hva skjer nå?

GDPR Dokumentasjon AS

Interessert?
Vi ringer deg »