Hva er GDPR? Alt du trenger å vite om personvernforordningen
GDPR står for General Data Protection Regulation, som kalles personvernforordningen på norsk. Dette er et regelverk hvor EU forener databeskyttelse for innbyggere i EU/EØS-området. GDPR er med på å gi individuelle brukere kontroll over egne data, samt gjøre databehandling lettere for internasjonale organisasjoner. Dersom reglene i personvernforordningen ikke blir fulgt, kan selskaper få alvorlige konsekvenser. Her er alt du trenger å vite om GDPR og dine rettigheter.
Innhold
Hva er GDPR?
GDPR er et regelverk for databeskyttelse og personvern til enkeltpersoner som er tilknyttet EU eller EØS-området. Selv om regelverket er utformet innen EU, gjelder det også for selskaper og organisasjoner utenfor EU som behandler data fra land i EU eller EØS.
Den enorme veksten av internett har skapt bekymring rundt databeskyttelse og potensialet for datalekkasjer. GDPR løste disse bekymringene ved å etablere et nytt sett med regler for behandling av personopplysninger. GDPR gjelder for alle institusjoner som behandler personopplysningene til innbyggere i EU/EØS-land. Den gjelder for hvert datapunkt som brukes til å identifisere en person, og inkluderer blant annet:
- Grunnleggende identitetsopplysninger (navn, adresse, personnummer)
- Nettdata (IP-adresse, sted, informasjonskapsler)
- Helsedata, og genetiske og biometriske data
- Rase og etnisk opprinnelse
- Politiske meninger eller religiøs tro
- Seksuell legning
- Annen informasjon som identifiserer et individ
Dette ene settet med regler har gjort det lettere for internasjonale organisasjoner å behandle sensitiv informasjon og drive forretninger i Europa. Det hjelper også med å bygge tillit mellom selskaper og brukere, noe som er essensielt for å utvikle den digitale økonomien.
Er GDPR aktuelt i Norge?
Norge har et personvernregelverk som består av nasjonale regler, GDPR og særlovgivning. GDPR er absolutt aktuell i Norge og er en del av personopplysningsloven. Det er også slik at EØS-loven skal gå foran norsk lov ved konflikt. Det betyr at alle norske lover om databehandling og personopplysninger må passe inn i GDPR-systemet for å være gyldige. Det er opplyst i GDPR hvilke områder av regelverket som kan ha nasjonale tilpasninger. Her kan Norge ha norske særregler, men ikke ellers.
Historien til GDPR
Personverndirektivet (offisielt kjent som EU-direktiv 95/46) var regelverket for databeskyttelse fra 1995 til 2018. I 2018 ble dette regelverket opphevet og erstattet med GDPR. GDPR ble designet for å harmonisere og styrke lover for databeskyttelse for hele EU. Det styrket rettighetene til brukere rundt det å kunne bestemme hvordan deres data og informasjon samles, brukes og deles. Organisasjoner ble også pålagt nye forpliktelser i forhold til behandling av data.
Forordningen ga også selskaper et sett med regler å følge, som skal gjøre det enklere for dem å drive forretninger innen EU. Alle organisasjoner som håndterer privat informasjon om innbyggere i EU må være GDPR-kompatible for å forhindre lekkasje av data, samt sørge for riktig administrering av brukerdata. Konsekvensene for å ikke overholde personvernforordningen kan være svært katastrofale for selskaper, hvor de kan få bøter på millioner av euro.
Hovedregler og prinsipper ved GDPR
GDPR har syv hovedprinsipper for databeskyttelse. Disse prinsippene definerer hvordan sensitive data skal samles, brukes og sikres. Her er de syv prinsippene til GDPR:
- Lovlighet, rettferdighet og åpenhet. Organisasjoner må sikre at deres databehandling ikke bryter loven, er tydelig og utilslørt, og er fordelaktig for kunden.
- Formålsbegrensning. Organisasjoner som samler privat informasjon må spesifisere formålet med datainnsamlingen og kun beholde den så lenge det er nødvendig for å oppnå dette formålet.
- Minimering av data. Selskaper kan kun samle inn informasjon om kunden som tilstrekkelig og relevant for det tiltenkte formålet.
- Nøyaktighet. Nøyaktigheten av datainnsamlingen er en uunnværlig del av personvernforordningen. Alle irrelevante eller ukorrekte brukerdata skal slettes eller rettes.
- Lagringsbegrensinger. Selskaper kan kun oppbevare personlig informasjon inntil formålet for databehandlingen er oppnådd.
- Integritet og konfidensialitet. Behandlingsansvarlige må behandle personopplysninger for å sikre hensiktsmessig dataovervåking. Databehandlere må ta rimelige skritt for å beskytte privat informasjon mot uautorisert og ulovlig bruk samt utilsiktet ødeleggelse eller tap.
- Ansvarlighet. Det kreves at databehandlere viser samsvar med resten av prinsippene i GDPR. Behandlingsansvarlige må kune bevise at de behandler data i samsvar med loven og regelverket.
Bøter og straffer for manglende overholdelse av GDPR
Organisasjoner som ikke overholder lover og regler i henhold til GDPR kan få kraftige bøter og andre straffer. De spesifikke bøtene og straffene avhenger av alvorlighetsgraden av overtredelsen, samt størrelsen og ressursene til organisasjonen.
Det er lagt ut to forskjellige overtredelsesnivåer, og disse har følgende konsekvenser:
- Mindre brudd: For mindre alvorlige overtredelser, som for eksempel manglende føring av registre over databehandlinger eller manglende personvernombud, kan det forekomme bøter på opptil 10 millioner euro eller 2% av selskapets årlige inntekt.
- Alvorlige brudd: Behandling av personopplysninger uten rettslig grunnlag eller manglende rapportering av en lekkasje av personlig informasjon, er eksempler på alvorlige overtredelser. For alvorlige brudd kan selskaper få bøter på opptil 20 millioner euro eller 4% av deres årlige inntekt.
Forutenom bøter kan selskaper også få andre straffer dersom de ikke har overholdt prinsippene i GDPR. Dette kan være midlertidige eller permanente forbud mot å behandle personopplysninger, eller innstilling av all databehandling.
Hva betyr det å være GDPR-kompatibel?
For å bli GDPR-kompatibel, må et selskap følge alle prinsipper, lover, regler og krav som er skissert i GDPR når de behandler brukerdata. Det at et selskap er GDPR-kompatibelt betyr at det overholder alle disse reglene når det gjelder databehandling og behandling av brukerdata i EU og EØS-området. Alle organisasjoner i hele verden som ønsker å samle, bruke og behandle brukerdata fra innbyggere i EU/EØS-området, må bli GDPR-kompatible og dermed følge personvernforordningen i EU. Brudd på forordningen eller manglende overholdelse av prinsipper i loven kan føre til bøter og andre former for straff.
Brukere sine GDPR-rettigheter
Et av hovedpoengene med GDPR er å styrke individets rettigheter når det gjelder personopplysninger, samt gi dem større kontroll over behandlingen av personlig informasjon. Personer kan også benytte seg av en VPN for å begrense informasjonen man selv sender ut på internett. Det er viktig å lære mer om rettighetene man har innen internett og teknologi. Husk at man alltid har rett til å få tilgang til personlige data som oppbevares av databehandlere, samt rett til å bli slettet og glemt.
GDPR har listet åtte grunnleggende rettigheter en person har når man gir organisasjoner tilgang til sin personlige informasjon.
Rett til å bli informert
Brukere har rett til å bli informert om hvordan selskaper samler og bruker deres personopplysninger. Individer har også rett til å vite hvor lenge organisasjonen kommer til å oppbevare denne informasjonen, samt hvem som har tilgang til den.
Rett til tilgang
Brukere har rett til å be om innsyn til deres personlige informasjon og å motta informasjon om formålet til oppbevaring, samt hvordan databehandleren lagrer og behandler informasjonen. Dersom man ønsker å vite hva slags informasjon en organisasjon oppbevarer om seg, kan man sende inn et innsynsskjema. Dette skjemaet kan man finne på Datatilsynet sine sider. Etter man har sendt inn skjemaet, må databehandleren sende en respons i et lesbart format innen én måned.
Rett til retting av feil
Brukere har rett til å be om at hvilken som helst feil og ufullstendig eller unøyaktig personopplysning om dem blir rettet.
Rett til sletting
Dette er også kjent som “retten til å bli glemt”. Brukere har rett til å be om at databehandlere permanent sletter all personlig informasjon om dem. Selskapet er imidlertid ikke forpliktet til å slette et individs personopplysninger dersom de er nødvendige for å kunne overholde selskapets juridiske forpliktelser.
Rett til å begrense behandling
Dersom en person ikke kan be om sletting av data av en eller annen grunn, har de rett til å be om at bruken og behandlingen av informasjonen blir begrenset.
Rett til dataportabilitet
Brukere har rett til å be om at personlig informasjon blir overført til en annen organisasjon i et strukturert, vanlig og lesbart format.
Rett til å protestere
I noen tilfeller har brukere rett til å protestere mot behandlingen av personlig informasjon. Dette er for eksempel hvis informasjonen brukes til direkte markedsføring, vitenskapelig forskning eller alle andre oppgaver som er i allmennhetens interesse.
Rett til å ikke bli utsatt for automatiserte beslutninger
Brukere har rett til å be om at beslutninger som omhandler eller påvirker dem betydelig, skal gjøres av mennesker og ikke en automatisk prosess.
Disse rettighetene gjelder for alle innbyggere i EU/EØS-området, uavhengig av hvor informasjonen behandles eller hvor selskapet holder til. Det er viktig å bemerke seg at dette ikke er svart-hvitt, og at det kan være unntak eller begrensninger. Ellers er det viktig for brukere av tjenester på internett å alltid beskytte seg. Riktig databeskyttelse er en viktig del av hverdagen vår i den nye teknologiske verden.