Domene og webhotell fra OnNet.no

Hva er GDPR?

GDPR er en forkortelse for «General Data Protection Regulation». GDPR er EU`s nye personvernlov og gjelder også for Norge som EØS-land fra og med 1 juli 2018. På norsk kalles denne loven for Personvernforordningen.

Lovens formål er å gjøre det enklere for den enkelte å finne ut hva som lagres om dem og hva denne informasjonen brukes til. Loven gjelder ikke for behandling av personopplysninger av hensyn til nasjonal sikkerhet eller kriminalitetsbekjempelse.

Innføringen av GDPR reglene var en kraftig skjerping av personvernreglene. Myndighetene har nå anledning å gi bøter som starter på 20 millioner Euro eller opp til 4% av omsetningen til selskapet hvis GDPR reglene ikke følges. Av den grunn er det viktig at alle lærer seg disse reglene slik at man kan sørge for at man selv ikke bryter dem, da konsekvensene kan bli store.

Selv om regelverket ble presset frem i Europa for å gi myndighetene en lov som regulerte hvilke personopplysninger de store sosiale mediene og nettbutikkene som Facebook, YouTube, Instagram, Linkedin og Amazon har lov til å samle inn og bruke om den enkelte borger, gjelder GDPR reglene ikke bare for personopplysninger på Internett. De gjelder personopplysninger generelt, uavhengig av hvordan de er samlet inn og bearbeidet.

GDPR reglene gjelder kun behandlingsansvarlig

Når det gjelder hvem som er pliktig til å følge GDPR reglene så sier loven at det kun er “behandlingsansvarlig” som er ansvarlig å følge reglene. Vi må dermed ha det klart hva en behandling er og hvem som er behandlingsansvarlig.

Med “behandling” menes enhver befatning, f.eks. innhenting, analyse, lagring og bruk. Å sende en epost er en behandling. Det samme gjelder å lagre telefonnumre og kontaktinformasjon på mobilen.

En bedrift regnes som behandlingsansvarlig hvis de bestemmer formålet med behandlingen av personopplysninger og hvordan de skal brukes. Dette ansvaret kan ikke settes bort til en tredjepart. Noe som betyr at bedriften beholder ansvaret selv de bruker f.eks en systemleverandør eller regnskapsfører til det praktiske (de regnes som “databehandlere”), sier NHO.

Konsesjonsplikten forsvant 1 juli 2018

Før GDPR loven til EU kom var det et krav at man måtte søkte Datatilsynet om konsesjon før et personregisteret ble opprettet, med noen unntak. Dette kravet forsvant 1 juli 2018 når GDPR loven i EU trådde i kraft. Ingen trenger dermed konsesjon fra Datatilsynet for å kunne opprette et digitalt personregistrer. 

Behandlingsgrunnlag

Alle kan nå opprette et personregistrer hvis de har et behandlingsgrunnlag. Har man ikke et behandlingsgrunnlag kan man heller ikke opprette personregisteret eller behandle personopplysningene i følge GPDR reglene.

I følge NHO finnes det fire typer behandlingsgrunnlag som er legitime grunner for å registrere personopplysningene i et personregister:

  1. den registrerte personen har gitt bedriften samtykke til behandlingen (det er egne krav til hvordan man innhenter samtykke)
  2. det er nødvendig for bedriften for å oppfylle en avtale med den registrerte personen
  3. det er nødvendig for å overholde lover og regler (for eksempel innrapportering av ansatte til skatteetaten og NAV)
  4. bedriften har en berettiget interesse i behandlingen, som er nødvendig og som er viktigere enn å beskytte personopplysningene for den registrerte (dette forutsetter en konkret avveining av disse interessene)

Selv om bedriften har et behandlingsgrunnlag, kan det være andre regler som begrenser hvordan man kan bruke dem. Markedsføringsloven har for eksempel egne regler om markedsføring og om hvordan bedrifter kan kommunisere med kundene, påpeker NHO.

Brukeren bestemmer hva som kan lagres

GDPR krever at brukeren skal vite hva som blir lagret om dem, og de må samtykke til at disse opplysningene lagres, med noen få unntak. Brukerne skal også vite hva informasjonen skal brukes til.

Dette innebærer at brukerne skal kunne se den profilen som lages av dem når de f.eks. liker eller kommenterer noe på Facebook eller andre steder. Det de ikke har krav på å se er, i følge Datatilsynet, hvordan profilen lages, dvs. algoritmen til leverandøren. Dette er å betrakte som en bedriftshemmelighet og er noe bedriften har rett å beskytte mot innsyn fra andre. Her kommer man imidlertid lett inn et gråsone land som ennå ikke er regulert.

Brukeren må aktivt samtykke til bruke

Loven krever at brukeren aktivt skal bekrefte at de gir leverandøren tillatelse til å behandle sine personopplysninger. Brukeren skal også kunne nekte leverandøren å bruke deres personopplysninger og de skal kunne trekke tilbake et samtykke de tidligere har gitt. Regelverket krever at det skal være like enkelt å si nei til at det lagres informasjon om noen som det er å si ja til at dette lagres. Normalt gis samtykke ved å klikke på en stor synlig knapp e.l.

Det skal tydelig fremgå hva brukeren sier ja til

You need to be logged in to view the rest of the content. Vennligst . Ikke medlem? Bli med oss
Kjetil Sander
Kjetil Sander (f.1968) grunnlegger, redaktør, forfatter og serieentreprenør. Gunnla Kunnskapssenteret.com i 2001 (i dag eStudie.no) og har siden vært portalens redaktør. Utdannet Diplom økonom og Diplom markedsfører fra BI/NMH. Har i dag mer enn 30 års erfaring som serieentreprenør, leder og styremedlem.