GDPR-guide: Alt om personvernordningen

EUs nye personvernregler, GDPR, trådde i kraft 25. mai 2018, og er gjeldende for alle foretak og foreninger som behandler personopplysninger i EU og EØS. For deg som bedriftseier er det kritisk å sørge for at ditt foretak bedriver riktig praksis vedrørende datainnsamling på nett, og etterfølgende, behandlingen av denne dataen. 

I denne artikkelen tar vi opp de viktigste aspektene ved GDPR, og hvordan du skal forholde deg til reglene. Avslutningsvis presenterer vi en checkliste til GDPR.

 Innholdsfortegnelse


GDPR forklart

Hva innebærer GDPR?

Oppsummert innebærer GDPR strengere regler for bedrifter, og økt sikkerhet for privatpersoner.

Det finnes flere årsaker til at EU har valgt å gjennomføre GDPR. Først og fremst er det etisk motivert; EU ønsker å beskytte privatpersoners integritet. Videre er det økonomisk motivert; det forutses at reglene skal lede til økt tillitt til markedene, som skal føre til økt vekst, samt mer handel på tvers av grensene.

Er det viktig å følge GDPR?

Et foretak som ikke følger GDPR kan bli straffet. Straffen beror på hvor grovt bruddet er, og kan variere fra advarsler til bøter. Sistnevnte kan beløpe seg til 20 millioner EUR, eller 4 prosent av årlig omsetning.

Hvem bør tenke på GDPR?

Forandringene berører alle foretak, små og store, men først og fremst selskapene som samler data kontinuerlig eller behandler sensitiv informasjon, hvilket vi kommer til nedenfor. Reglene gjelder ikke kun data om kunder eller andre samarbeidspartnere, men også for ansatte, hvilket betyr at samtlige selskaper påvirkes på en eller annen måte.

Norge har for øyeblikket personopplysningsloven på plass, som har flere fellestrekk med GDPR. Dersom foretaket ditt er innenfor dens rammeverk er det et godt utgangspunkt, men det er flere kommende forandringer som bør betraktes.

Med det sagt anbefales det å vurdere hvordan dere arbeider med personopplysninger i dag for å kartlegge hva som må gjøres i god tid før 25. mai. Nedenfor er en guide til hvordan ditt foretak kan stå sterkt når GDPR inntreffer.

Se også: GDPR - 10 spørsmål og svar

Guide til GDPR

Se over nåværende database

Gjennomgå og dokumenter hvilke opplysninger dere har lagret, og hvilke dere samler inn. Utgangspunktet for GDPR er at det ikke er tillatt å holde personopplysninger. Innebærer det at ingen data vil bli lovlig? Nei, men det må være motiver bak som støttes av loven. La oss se på hva det innebærer.

Opplysningenes relevans

Mange foretak har gamle personal- og kunderegistre som forblir ubrukt. I samsvar med GDPR artikkel 5.1. e) får personopplysninger ikke lagres lenger enn nødvendig for formålene som personopplysningene behandles for. Det innebærer at du bør slette informasjon om tidligere ansatte og kunder hos selskapet datert lang tid tilbake, dersom de ikke det finnes et formål bak lagringen. Et unntak er om informasjonen er nødvendig for å avslutte forpliktelser med den berørte.

Opplysningens karakter

Det er nødvendig å vurdere dataens karakter. I GDPR er det et skille mellom «vanlige personopplysninger» og «sensitive personopplysninger». Sensitive personopplysninger er vanligvis ikke tillatt å behandle. Unntaket er om de er sentrale for din virksomhet. Et eksempel på et foretak som kan ha rett til å anvende sensitiv informasjon er helserelaterte virksomheter som besitter pasientjournaler.

Opplysninger som er relatert følgende kategorier anses som sensitive:

  • Etnisitet
  • Religion
  • Medlemskap i fagforeninger
  • Politisk ståsted
  • Helse
  • Seksualitet

Om ditt foretak behandler persondata som faller i noen av overstående kategorier kreves streng databeskyttelse. Er derimot ikke opplysningene av faktisk interesse for din virksomhet bør de umiddelbart slettes.

Når er det lovlig å behandle persondata?

Samtykke

Når du behandler persondata må individet gi sin godkjennelse. For at et samtykke skal regnes som gyldig kreves det at du tydelig informerer om 1) hvem som samler inn informasjonen, 2) hvilken informasjon som behandles, 3) hva de skal anvendes til og 4) at samtykket uttrykket konkret. Det skal også finnes en mulighet til å tilbaketrekke sitt samtykke, og hvordan det gjøres i praksis skal informeres.

EU gir ingen eksakt beskrivelse for hvordan samtykket skal gjennomføres, men det viktigste er at det skjer på et tydelig vis gjennom en handling som ikke kan misoppfattes. Å bla i en tekst som beskriver reglene er eksempelvis ikke tilstrekkelig. Men, å sveipe eller klikke på en knapp kan være det om det er åpenbart hva handlingen leder til. Et annet sentralt aspekt er at informasjonen som leder til samtykket har en høy tilgjengelighet med et språk som er enkelt å forstå. Dermed frarådes tunge og upresise formuleringer.

Det holder ikke at personen kun godtar at du lagrer dataen. Du må i tillegg inneha et bevis på at samtykket har skjedd. Igjen er formuleringen i GDPR upresis vedrørende den praktiske utføringen av dette, noe som gir spillerom til varierte løsninger.

Avtale

En annen godkjent anledning til behandling av personopplysninger er om du har en avtale med personen. Det kan eksempelvis gjelde en ansettelseskontrakt eller faktura. Igjen sier GDPR at kun informasjonen som trengs for å oppfylle avtalen kan bli lagret.

Rettslig forpliktelse

Det finnes tilfeller hvor ditt foretak må behandle data for å overholde de lovlige forpliktelsene. Et eksempel er når du betaler skatt eller arbeidsgiveravgifter. Deretter må arbeidsgiveren holde informasjon om adresse, blant annet.

Beskyttelse av vitale interesser

Noen data er nødvendig for å sikre en persons sikkerhet, og i disse tilfellene har selskapene rett til å behandle personopplysninger. For eksempel kan dette innebære en ansatt med livstruende allergier.

Balansering av interesser

I enkelte tilfeller kan det være berettiget å samle inn persondata dersom en organisasjons interesse av å gjøre dette veier tyngre enn individets interesse av å være anonym. Det baseres da på en såkalt interessebalanse. Sensitiv data, som tidligere beskrevet, bør ikke behandles basert på en interessebalanse.

Organiser for GDPR og informer internt

Når du vet at fremtidig datainnsamling vil gjøres i overenstemmelse med loven er det på tide å sikre at resten av organisasjonen er oppmerksom på GDPR, og potensielle endringer. Vær transparent og informer om hvilke data du har, og hvordan det skal jobbes fremover. Sørg for at alle i organisasjonen er om bord og drar i samme retning.

Planlegg på forhånd og sett opp systemer som sikrer at du kontinuerlig rensker opp i persondataen, og at du ikke samler uautorisert data. I forlengelse ved GDPR er at individer vil få mer kontroll over deres personlige data. Vær derfor forberedt på å fjerne, endre, utstede og protestere mot bruken av personopplysninger, eksempelvis direktereklame.

Opprett et register for GDPR

Den nye databeskyttelsesforskriften krever at selskaper som kontinuerlig samler inn personopplysninger har et databehandlingsregister. I et slikt register bør det være mulig å lese om formålene med databehandlingen, kategoriene av personer og eventuelle tidsfrister for sletting av data. Du bør også inkludere eksterne mottakere av dataen og landet de befinner seg i.

Checkliste for GDPR

GDPR: 10 spørsmål og svar

1. Hva bør settes i fokus? Hovedregelen til GDPR er at organisasjoner kun skal lagre data nødvendig for å gjennomføre ordre eller tjenester. Det må videre opplyses om hvorfor informasjonen er nødvendig, og dataen kan kun anvendes til innsamlingsårsaken.

2. Hva er i Artikkel 32 i GDPR? Artikkel 32 regulerer prinsippet om datasikkerhet. Dataprosessorer må vurdere følgende: implementeringskostnader og type kostnader, omfang og risikoanalyser. Det må også utføres organisatoriske tiltak for å sikre et passende nivå av sikkerhet, hvor blant annet følgende er et krav:

  • Evnen til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og robusthet av prosesseringssystemer og tjenester.

3. Finnes det en rett til å bli «glemt»? Retten til å bli glemt er et krav om at personopplysninger må slettes eller blokkeres dersom det ikke lenger er nødvendig å bruke den. Dette er en rett som kan påberopes mot samtlige organisasjoner. Det er nemlig en generell misforståelse at brukerne kun kan håndheve dette mot søkemotorer, men nytt i GDPR er en uavhengig regulering vedrørende retten til å bli glemt, presentert i artikkel 17.

I følgende tilfeller gjelder retten til å bli glemt:

  • Formålet med databehandlingen er opphørt (Artikkel 17 (a))
  • Samtykket ble tilbakekalt av den berørte personen (Artikkel 17 (b))
  • Databehandlingen var ulovlig (Artikkel 17 (c))

4. Finnes det en rett til å overføre data? Overførbarheten av data reguleres av artikkel 20 i GDPR. Dette er retten til å overføre data til en annen leverandør, og kan altså medføre at datainnehaveren må videreføre dataen til en annen person. Overførbarheten av data er relevant i følgende tilfeller:

  • Endring til andre (sosiale) nettverk
  • Endring av bank
  • Endring av arbeidsplass

NB: Retten til å overføre data er kompleks. Det lønner seg derfor å rådføre seg med en spesialist for å unngå brudd på regelverket og høye kostnader.

5. Hva er det juridiske ansvaret? Artikkel 5 (2) i GDPR regulerer ansvarlighet. Alle databeskyttelsesansvarlige må kunne påvise overholdelse av alle databeskyttelsesprinsipper. Det anbefales dermed å implementere effektiv databeskyttelse, og videre dokumentere samsvar med databeskyttelseskrav. Merk: Ved manglende overholdelse er straffen betydelig høyere enn tidligere.

6. Når er en databeskyttelsesjef nødvendig? En databeskyttelsesansvarlig må utpekes dersom minst ti ansatte er sysselsatt for å behandle personopplysninger. Hver ansatt teller, selv om de bare behandler personopplysninger en gang i uken.

Videre må en databeskyttelsesansvarlig utnevnes når det arbeides med sensitive data. Dette gjelder uansett antall ansatte. Følsomme data inkluderer informasjon om seksuell orientering, religiøs tro eller helseinformasjon.

Når personlige opplysninger overføres til tredjeparter, må selskapene ha en databeskyttelsesansvarlig. For blant annet markeds- og meningsundersøkelser er en databeskyttelsesansvarlig obligatorisk.

NB: Databeskyttelsesansvarlig trenger ikke å være ansatt på heltid. Rollen kan også fylles av en ekstern tjenesteleverandør.

7. Hva gjelder nettsider? Hvis du driver et nettsted, må personvernreglene kontrolleres og suppleres. Vær varsom vedrørende lagring bakgrunnsdataen til besøkende, og finn ut hvilke data som loggføres.

8. Hva gjelder konkurranser og GDPR? Ved konkurranser må datainnsamling og databehandling legitimeres ved samtykke eller ved annen lovlig bestemmelse. Samtykket må være frivillig. Deltakelse i konkurranser må videre ikke kombineres med samtykke til utsendelse av reklamemateriale.

9. Kan data lagres i skyen? Personlige data kan fortsatt lagres i skyen. Det skal imidlertid bemerkes at sky-operatøren må garantere at de nødvendige tekniske og organisatoriske tiltak møtes for å sikre databehandlingen i samsvar med gjeldende lovverk, og videre at personopplysningene overholder bestemmelsene i GDPR.

10. Hva er konsekvensene av et brudd på forskriften? Et brudd på den nye GDPR er kostbart. Sanksjonene er regulert i Federal Data Protection Act (BDSG), hvor det heter at bøtene kan strekke seg til 20 millioner euro eller 4% av selskapets globale årlige omsetning. Dette er maksimale straffer satt for å avskrekke store selskaper.

Vi anbefaler å lese GDPR i sin helhet: 

Posted: 16 Feb, 2018 (Updated: 12 Jun, 2018)

Mikkel  Sørseth

Les mer av denne skribenten

Ageras yter ikke individuell økonomisk eller juridisk rådgivning, men har i stedet samarbeid med advokater, revisorer og regnskapsførere som hjelper deg videre. Fyll ut et av skjemaene nedenfor og motta tilbud fra profesjonelle rådgivere innen kort tid.

Få tilbud fra regnskapsførere

Få tilbud fra advokater

Kategorier

Om Ageras

Ageras streber etter å skape gjennomsiktighet på markedet for finansielle og juridiske tjenester - til formål for kunder, bedrifter og markedet som helhet.

Om Ageras »