Hva er GDPR?

I dag regulerer Personopplysningsloven hvordan personopplysningene dine behandles. 1. juli 2018 trer den nye europeiske personvernforordningen, General Data Protection Regulation (GDPR), i kraft.

GDPR innebærer en tilstramming av dagens regler. Den vil gjelde for alle selskaper som selger til- og lagrer personlig informasjon om europeiske statsborgere, inkludert selskaper på andre kontinenter. Den gir innbyggere i EU og EØS større kontroll over sine egne personopplysninger og sikrer at informasjonen beskyttes i hele Europa.

Den vil endre måten vi samler inn, bruker, håndhever og lagrer persondata.

Hensikten med GDPR er:

  • Å styrke enkeltpersoner grunnleggende rettigheter i den digitale tidsalderen ved å gi dem retten til å kontrollere bruken av egne personopplysninger.
  • Gjøre organisasjoner ansvarlige for hvordan personopplysningene behandles
  • Legge til rette for forretningsvirksomhet ved å forenkle reglene for foretak i det digitale fellesmarkedet



Hva er personopplysninger?

Ifølge GDPR-forordningen omfatter personopplysninger all informasjon som kan relateres til en person. F.eks. navn, bilde, fødselsnummer (både fødselsdato og personnummer), e-postadresse, bankopplysninger, innlegg i sosiale medier, informasjon om din nåværende og/eller tidligere plasseringer, helseinformasjon eller IP-adressen til datamaskinen din.

Opplysninger om atferdsmønstre er også regnet som personopplysninger.

Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.



Trenger bedrifter personvernombud?

Dagens personvernombudsordning er frivillig. Med den nye forordningen får mange virksomheter en plikt til å opprette personvernombud. De som ikke må opprette ombud, kan selvsagt også velge å følge ordningen på frivillig basis.


De som opprette personvernombud er:

  1. Offentlige virksomheter (unntatt domstolene)
  2. Virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang
  3. Virksomheter som behandler sensitive personopplysninger i stort omfang

Personvernombudet skal velges ut fra faglig kvalitet, ekspertise innen personvernrett og evne til utføre oppgavene. Forordningen stiller altså krav til ombudets fagkunnskap.

Etter forordningen vil det ikke lenger være nødvendig med Datatilsynets godkjennelse av personvernombudet. I stedet vil det opprettes en registreringsordning der virksomheter selv kan registrere sitt personvernombud.



Informasjon om hvilke rettigheter man har

GDPR er EUs måte å gi individer, enten de er prospekter, kunder, underleverandører eller ansatte mer oversikt og kontroll over sine egne personopplysninger og redusere makten til organisasjonene som samler inn og bruker slike opplysninger for egen vinning (egen fortjeneste). Det er ikke et forsøk på å forhindre eller komplisere forretningen, men skape mer bevissthet og åpenhet rundt hvordan personopplysninger lagres og brukes.


1. Det må gis samtykke

Virksomheter kan ikke behandle personopplysninger om enkeltindivider med mindre hver enkelt fritt har gitt en spesifikk, informert og klar indikasjon på samtykke, enten via en erklæring eller via en tydelig «bekreftende handling».


2. Rett til tilgang

Loven gir enkeltpersoner rett til å kreve tilgang sine personopplysninger og til å vite hvordan informasjonen brukes av selskapet etter at den er samlet inn. Selskapet skal levere ut en kopi av disse personopplysningene, uten kostnad og i elektronisk format, dersom enkeltpersonen ber om dette.

 

3. Rett til å bli glemt

Hvis forbrukere ikke lenger er kunder, eller hvis de trekker tilbake samtykket de har gitt et selskap for å bruke vedkommendes personopplysninger, har forbrukeren rett til å få informasjonen slettet.

 

4. Rett til å overføre data 

Individer har rett til å overføre opplysninger fra en tjenesteleverandør til en annen. Og dette må skje i et vanlig og maskinlesbart format.


5. Rett til å bli informert

Dette dekker alle typer innsamling av personopplysninger av selskaper, og enkeltpersoner må informeres før opplysningene samles inn. Forbrukerne må godkjenne at personopplysninger samles inn, og samtykke skal gis aktivt, ikke være underforstått.


6. Rett til å korrigere informasjon

Dette sikrer at enkeltpersoner kan oppdatere informasjonen hvis den er utdatert, ufullstendig eller feilaktig.


7. Rett til begrenset behandling 

Enkeltpersoner kan be om at deres opplysninger ikke brukes i databehandling. Informasjonen kan fortsatt lagres men den skal ikke brukes.


8. Rett til å motsette seg behandling

Dette inkluderer retten til å motsette seg behandling av personopplysninger til bruk i direkte markedsføring. Det er ingen unntak for denne regelen, og all behandling må stoppes så fort denne forespørselen er mottatt. Denne rettigheten må kommuniseres tydelig til enkeltpersoner i starten av enhver kommunikasjon.


9. Rett til å bli varslet

 Hvis det har vært datainnbrudd som kan få følger for enkeltpersoners opplysninger, har personen rett til å få vite dette i løpet av 72 timer etter at innbruddet ble oppdaget.