GDPR forklart. Hva er
Personverforordningen? Hva betyr den nye forordningen for deg som
individ? Hva betyr den for deg som et selskap eller en organisasjon? Les
våre FAQer og finn ut mer, eller send oss et spørsmål og vi vil forsøke
å besvare det her.
GDPR: Alt du trenger å vite
-
Hva er GDPR?Personvernforordningen (GDPR) (engelsk: General Data Protection Regulation) er den nye Europeiske reguleringen av personlige data som trer i kraft 20. juli 2018 i Norge.
-
Hvem gjelder det?GDPR er laget for å beskytte personlige data for alle som bor i EU og EØS.
-
Hva gjør den?Regulerer hvordan personlige data kan behandles av bedrifter, myndigheter og andre organisasjoner. ("Prosessering" inkluderer alt som relaterer seg til innsamling, sammenstillng, analyse og deling av data.)GDPR regulerer også hvordan personlige data skal lagres og prosesseres sikkert.
-
Hva er egentlig personlige data?Personlige data er det GDPR handler om - forordningen gjelder ikke alle data bedrifter har.Personlige data kort forklart all informasjon som kan identifisere individer. Siden identifikasjon av individer ofte kan gjøres ved å sette deler av informasjon sammen (også uten et tilknyttet navn), kan hva som regnes sompersonlige data ofte være ganske mye. Skostørrelse, en hobby elle et bilde kan alle bli klasifiisert som personlige data hvis det er mulig å identifisere hvilke personer dette gjelder.Merk også at det trenger ikke nødvendigvis å være databehandleren selv (organisasjonen som behandler data) som er i stand til å identifisere.
-
Hva er nytt?Selv om GDPR er mer en evolusjon enn revolusjon av eksisterede EU forordninger er det likevel noen substansielle endringer fra hva som var før. Blant disse: Though the GDPR is more of an evolution than a revolution of existing EU rules, it nonetheless includes some substantial changes to what came before. Among other things, the new regulation:
- Gir individer noen nye rettigheter. (f.eks. retten til å flytte data fra en organisasjon eller tjeneste til en annen, eller retten til å om en kopi av data fra selskaper som besitter disse); og krever at organisasjoner er mer transparente. (f.eks. trenger de å informere deg om hvor data de prosesserer kommer fra og for hvilke hensikt de blir prosessert; de må informere deg om du blir profilert.)
- Gjør det enklere og håndheve loven (f.eks. gjennom bøter og at den tillater individer å gå direkte til domstolene ved brudd)
- Forenkler reglene ved at den samme loven gjelder i hele EØS men tilbyr mer fleksibilitet til bedrifter som faktisk følger den.
-
Hvem trenger ikke følge GDPR?
- Visse statlige organer, slik som etterretning, politiet og domstolene som styres av egne nasjonale lovverk.
- Invidivder er unntatt hvis de samler data for ‘personlig or hjemlig bruk’ - f.eks om de har kontaktdetaljer i telefonboken på telefonen sin.
- Kirker kan ha deres egne reguleringer for personlige data og deres egne kontrollorganer - men reglene må fremdeles være på linje med GDPR.
-
Hvem er ansvarlig for at reglene overholdes?EU, EØS og medlemslanden er ansvarlige for at reglene følges. Hvert land må sette opp et uavhengig Datatilsyn som sikrer at GDPR gjelder, håndterere klager fra individer mot selskaper og ilegger bøter der det er nødvendig, godkjenne adferdskodekser og å gjøre reglene kjent. (f.eks. undervisningskampanjer) Each country is required to set up an independent public Data Protection Authority (DPA) to make sure that the GDPR is being applied, to handle complaints lodged by individuals, and to impose fines when necessary, approve codes of conduct, and raise awareness (e.g. by running educational campaigns). Direkte klager mot selskaper vil bli håndert av det enkelte lands Datatilsyn og nasjonale domstoler, med konsultasjon av EU-domstolen når det er nødvendig.
-
Vil de bli tilleggg eller endringer i GDPR i nærliggende fremtid?Det er lite sannsynlig at nye regler vil bli introdusert i nærmeste fremtid, men vi kan forvente at detaljer i GDPR blir klargjort de nærmeste årene gjennom retningslijer etablert av Datatilsyn, rettsaker og presedens. EU jobber for tiden med en ny regulering som kalles ePrivacy, som vil komplimentere GDPR når det komme til prosessering av data online.
-
Hvordan vil disse rettighetene bli ivaretatt?Hvert land skal ha et uavhengig Datatilsyn, som sikrer at organisasjoner overholder reguleringen. Du har rett til å melde inn en klage til Datatilsynet eller å gå til retten hvis du føler at dine rettigheter har blitt brutt.
-
Betyr dette at jeg kan "slette" meg selv?Ikke akkurat. Du kan ikke slette alle dine personlige data når som helst. Men du kan be om at dine personlige data slettes i spesifikke situasjoner - for eksempel om et selskap/organisasjon ikke lenger trenger data for å tilby den tjenesten du bruker, eller hvis du bestemmer deg for å trekke tilbake samtykke. Men selv i disse tilfellene kan selskapene ha gyldige grunner for å beholde dataene, for eksempel av skattegrunner, eller for å beskytte dem mot fremtidige krav.
-
Kan jeg snakke med selskaper om deres bruk av mine data?Absolutt! GDPR krever at selskaper og organisasjoner svarer på spørsmål om dine personlige data. Dette inkluderer hvorvidt de prosesserer dine personlige data til å begynne med, og med hvilken hensikt, hvor lenge det blir lagret, og med hvem det blir delt. Hvis du skulle endre mening om hva du samtykker til eller aksepterer, så må selskaper og organisasjoner ikke bare gjøre det enkelt for deg å kommunisere valget, men også agere på det.
-
Hvor kan jeg finne mer informasjon om GDPR?
- Nettstedet til ditt nasjonale Datatilsyn bør ha mer detaljert informasjon, rettningslinjer og praktiske tips.
-
Hva er mine rettigheter under GDPR?1. Du har retten til informasjon
- Selskaper og organisasjoner er nå påbudt å kommuniserer med deg i lett tiljgenglig språk, hvilke personlige data de behandler og hvordan de bruker det.("Behandling" inkluderer alt relatert til innsamling, aggregering, analyse og deling av data)
- Hvis et selskap bygger en profil av deg (eksempelvis setter sammen data fra forskjellige kilder, har du rett til å vite hva som er i profilen)
- Hvis data er feilaktig, kan du rette eller komplettere dem.
- Hvis data ikke lenger er nødvendig, kan du be organisasjone om å slette dem.
- Hvis du ga organisasjonen mer informasjon enn nødvendig for å motta en tjeneste. (f.eks. markedsføringshensikter), men ikke lenger ønsker at de skal ha dette, kan du be dem om å slette det.
5. Med automatiske beslutninger, har du rett til forklaring og menneskelig intervensjon- Hvis en beslutning er gjort om deg gjennom automatierte mekanismer, har du retten til å vite hvordan beslutningen ble fattet. (du har retten til en forklaring av logikken bak mekanismen som er brukt)
- Når det kommer til automatiserte beslutninger, har du retten til menneskelig intervensjon og retten til å bestride beslutninger som er foretatt.
-
Trenger jeg foreta meg noe?Nei. Det er opp til selskaper og organisasjoner å sikre at personlige data er beskyttet. Det er allikevel fremdeles valg du trenger å foreta deg.
- For nye tjenester jeg ønsker å bruke: Hvis selskapet ber deg om å gi dem data, vil du virkelig si ja? (Hvis tjenestetilbyderen bare prosesserer nødvendige data, må de informere deg, men trenger ikke spørre deg om særlig samtykke for å gjøre dette. De må imidlertid be om eksplisitt samtykke hvis data ikke er nødvendig.)
- For tjenestene du bruker nå: Er du fremdeles komfortabel med at selskapet/organisasjonen samler inn, analyserer og deler dine personlige data? Hvis du ikke lenger er enig, kan du bare si "nei".
- Til skutt: Hvis du mener at rettighetene dine ikke blir beskyttet, kan du bestemme deg for å rapportere til Datatisynet, eller tom. ta selskapet til retten.
-
Hva kan jeg gjøre hvis et selskap bruker mine data mot min vilje?
- Det kan være hensiktsmessig å kontakte selskapet først. Uavhengig av om du gjør dette, kan du også legge inn en klage hos ditt nasjonal Datatilsyn - selv om selskapet ikke har et kontor i ditt land. Er du ikke fornøyd med Datatilsynets avgjørelse kan du ta selskapet til retten.
- Du kan også hoppe over Datatilsynet og gå direkte til retten hvis du føler at dine rettiigheter har blitt brutt.
- Hvis du som et resultat av et avvik har lidd materiell eller ikke-materiell skade, kan du be om finansielll kompensasjon.
- Tredjepart, slik som forbrukerorganisasjoner, digitale rettighets organisasjoner, stiftelser og interessegrupper, kan også føre saken på dine vegne.
-
Hvorfor er noen selskaper kritisike til GDPR?Mange selskaper har blitt van til å behandle dine data som en ‘gratis ressurs’ - noe de kan ta uten tillatelse og bruke for deres eget komersielle behov; noe de kan samle inn uten begrensningl uten å beskytte det. GDPR er et sterkt verktøy for å tvinge selskaper til reevaluere risiki involvert - ikke bare individers data, men også dem selv, med tanke på kundenes tiltro - og å beskytte dine data med det folkevettet som burde vær på plass fra begynnelsen av.
-
Gjelder GDPR for data arbeidsgiver har om meg?Ja. Arbeidsgiveren din, slik som en hvilken som helst annen organisasjons som behandler data, må overholde GDPR. Men alle EØS stater kan lage mer spesifikke regler som gjelder for arbeidsforhold. Hvis du er interessert i dette, bør du se etter mer informasjon hos ditt lokale Datatilsyn.
-
Gjelder GDPR for amerikanske selskaper?Ja. Så snart et selskap overvåker eller sporer adferd av brukerer innefor EØS, gjelder reguleringen også for dem - uavhengig av hvor selskapet er basert.
-
Finnes det en offisiell måte å implemetere GDPR?Tatt i betraktning det store antallet forhold som må ta i betrakning når et selskap prosesserer personlige data er ikke GDPR en one-size-fits-all sjekkliste for implementasjon. Generelt, så gir GDPR individer (eller "datasubjekter") visse rettigheter, og dere må forsikre dere om at dere kan gi dem disse rettightene. Grunnleggende må dere forstå alle aspekter av data dere prosesserer og hvordan dere prosesserer dem, og vurdere hvilke risiki dette ugjør for datasubjektene. Overordnet så, jo høyere risiko, jo mer må dere gjøre for å beskytte data; hvis dere lagrer sensitiv informasjon (relatert til helse, seksualitet mm.) og betalingsdetaljer, så har dere større ansvar for å beskytte dem enn om dere har data om personers skostørrelser. For å forsikre dere om at deres organisasjon overholder GDPR regelverket, bør dere starte med å vurdere deres nåværende databehandling og prosedyrer (kartlegg flyten av data(, og evaluere dem og tilpasse dem for å være samstemt med GDPR. Dokumenter tankegangen og tiltak; og gjennomfør periodisk gjennomgang av disse.
-
Må dere registrere dere noe sted?Nei, ikke i hht. GDPR i motsetning til EUs databeskyttelsesdirektiv fra 1995, krever ikke GDPR at dere registrerer databasen deres hos Datatilsynet. Men hvis dere utpeker en datbehandlingsansvarlig bør dere sende kontaktopplysninger til Datatilsynet. I Norge må du imidlertid også følge personopplysningsloven som har meldeplikt til Datatilsynet ved behandling av personopplysninger. Under GDPR, må dere utpeke en databehandlingsansvarlig hvis:
- dere er et offentlig organ (f.eks. departement, skole, sykehus mm,)
- deres selskap er involvert i systematisk overvåkning av personers data i større skala (f.eks. store teknologiselskap, eller selskaper som driver med kredittopplysninger og videoovervåkning)
- dere proseerer sensitive data i stor skala. (f.eks. sykehus)
-
Hvordan vet vi om vi er klare?Som et mimum må dere være i stand til å svare JA på følgende spørsmål:
- Har vi kartlagt hvilke personlige data vi prosesserer og hensikten?
- Kan vi berettige prosesseringen av hver kategori med data( f.eks. navngi hvilket rettsgrunnlag vi har for å gjøre det?)
- Gir vi tilstrekkelig informasjon til brukere/klienter om hvordan vi behandler deres personlige data?
- Har vi forsikret oss om at vi behandler data sikkert slik at ikke uvedkommende får adgang?
- Har vi prosedyrer for å slette data vi ikke lenger trenger?
- Vet vi hva vi skal gjøre hvis et individ bestemmer seg for at vi benytte seg av rettighetene sine under GDPR, slik som retten til en kopi av deres data?
- Har vi kartlagt kilder til risiko og graden av disse i databehandlingen? Har vi tatt steg for å avhjelpe disse?
- Har vi prosedyrer på plass hvis uvedkommende får tilgang til personlige data?
- Har vi forsikret oss om at alle i organisasjonen vet om de korrekte prosedyrerne for behandling og sikring av personlige data?
- Har vi en plan for periodisk reevaluering av våre behandlingrutiner?
-
Gjør vi nok?Som organisasjon, er det opp til dere å evaluere dette, se spesielt på forretningsmodellen og personvernrisiki assosiert med denne. Et godt sted å starte er hos deres nasjonale Datatilsyn, som vanlighvis har gode tips og retningslinjer.
-
Kan jeg få en bot, og hvordan vil dette arte seg?Hvis dere ikke overholder GDPR, kan Datatilsynet gi dere en bot. Dette kan være et resultat av en klage fra et individ, eller en kontroll initiert av Datatilsynet selv. Datatilsynet må forsikre seg i hvert enkelt tilfelle om at boten er effektiv, proporsjonal og avskrekkende. Datatilsynet vil ta hensyn til bl.a. arten og grovheten av forholdet, og graden av forsømmelse; hvorvidt dere har gjennomført tiltak for å avhjelpe forholdet og omsetningen i organisasjonen. Bøter kan komme opp i 4% av et selskaps årlige omsetning eller 20 millioner EUR - avhengig av hva som er størst.
-
Er det en minstetilnærming?GDPR dreier seg primært om en risikovurdering som hvert selskap må gjøre for seg selv, ikke om "one size fits all" løsninger. Et utgangspunkt er å forstå viktigheten av personers rett til kontroll på informasjon om dem selv, og ditt ansvar for å sikre at når folk bruker deres tjenester så er rettighetene dere ivaretatt. Rettningslinjer utgitt av Article 29 Arbeidsgruppen tilbyr eksempler på gode og dårlige praksiser. Dere bør finne gode retningslinjer på nettstedet til ditt nasjonale Datatilsyn også.
-
Hvilke risiki har vi om vi ikke implementerer GDPR korrekt?Dere risikerer å bli bøtelagt av Datatilsynet; og kan også bli saksøkt av individer hvis dere har begått overtramp mot individets rettigheter. Men sannsyligvis er den største risikoen at dere mister kunders tiltro til din organisasjon. Undersøkelser viser at folk flest vil at deres data behandles korrekt, og er mer og mer opptatt av beskyttelse av deres privatliv.
-
Hvordan skal vi håndtere data på avveie?Under GDPR, må dere rapportere et avvik til Datatilsynet innen 72 timer etter at dere har fått kjennskap til det. Dere må også informere de individer dere har prosessert, når det er sannsynlig at avviket vil ha en negativ innvirkning på disse - f.eks. at finansielle data er lekket, eller uautoriserte personer kan ha fått adgang til medisinsk informasjon
-
Hvordan kan vi sikre at data vi behandler er skikkelig sikret?Din organisasjons handlingsplan for å sikre data vil avhenge av et vidt spenn av faktorer: for eksempel hvilke type data dere lagerer, hvor sensitive de er, hvor mye dere har, hvor kompleks deres digitale infrastruktur er, og hvorvidt dere har in-house digital sikkerhetskunnskap eller har valgt å outsource. Som et minimum bør dere ta følgende steg:
- List opp hvilke personlige data dere besitter og klargjør hvor dere lagrer disse.
- Gjør en risikovurdering og synliggjør de mest sannsynlige kildene til uatorisert tilgang/lekasjer.
- Implementer en databeskyttelsesplan som underbygger deres risikovurdering, som inkluderer: data minimalisering (samle inn, behandle og lagre kun de data dere absolutt trenger); adagangskontroll (begrens hvem som har adgang til personlige data); lagringssikkerhet (hvor dere lagrer personlige og/eller sensitive data? Er det lagret separat fra ikke-personlig/ikke-sensitiv data? Er det lagret kryptert?); ansattes digitale hygiene; og datalagrings, arkiverings og slette erklæringer.
- Test sikkerheten til alle systemer som lagrer personlige data (servere, epost, arkiver etc.)
- Skriv ned alle handlinger dere foretar dere for å beskytte personlige data dere besitter.
- Sett opp og test aksjonsplaner dere har for avvik, som skal inkludere roller og ansvarlige for rapportering til Datatilsynet ol.
- Sett opp en plan for periodisk å gjennomgå disse stegene.