GDPR står for «General Data Protection Regulation» og stammer fra en EU-forordring som er vedtatt som norsk lov etter personopplysningsloven § 1. Loven regulerer innsamling og behandling av personopplysninger om enkeltpersoner og gjelder for alle bedrifter og organisasjoner som lagrer en eller annen form for personopplysning.
En personvernopplysning er enhver opplysning som kan knyttes til og indentifisere en enkeltperson. Det kan for eksempel være et navn, et identifikasjonsnummer, opplysninger om hvor noen befinner seg, et bilde, en e-postadresse eller elementer som er spesifikke for noens fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet. Dette vil si at opplysninger som er anonyme/anonymiserte og ikke kan knyttes til noen som person, ikke er å regne som en personopplysning i lovens forstand.
Det viktigste man kan gjøre for å sikre at din bedrift er GDPR compliant er å forstå prinsippene bak reguleringen. Sjekker du av på alle disse har du kommet lang vei.
- Lovlighet, rettferdighet og åpenhet
For det første skal all behandling og innhenting av personopplysninger være lovlig, rettferdig og åpen. Lovlighet innebærer at all informasjonsinnhenting og -oppbevaring må være i tråd med forordningens regler, herunder blant annet at man har et gyldig behandlingsgrunnlag.
Gyldige behandlingsgrunnlag er (1) samtykke fra den personen informasjonen gjelder (heretter: den registrerte), (2) at de er nødvendige for å oppfylle avtale med den registrerte, (3) nødvendig for å oppfylle en rettslig plikt, (4) nødvendig for å beskytte noens vitale interesse, (5) nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet og til slutt (6) nødvendig for å ivareta legitime interesser, med mindre andre grunnleggende rettigheter og friheter går foran.
Rettferdighet innebærer at behandlingen av opplysningene skal gjøres med respekt for den personen informasjonen gjelder og ivareta dennes interesser og rimelige forventinger til oppbevaring av informasjonen.
Til slutt betyr åpenhet at behandling av opplysningene skal være oversiktlig og forutsigbar ovenfor den informasjonen gjelder. Man skal tydelig kommunisere hva, hvorfor og hvordan informasjonen behandles. Hensikten med dette er å skape tillit og gi den informasjonen gjelder mulighet til å ivareta sine interesser og rettigheter.
- Konkret angitt formål
For det andre skal opplysningene kun innhentes og brukes til helt konkrete angitte formål. Man må altså på forhånd definere formålet med innhenting og holde seg til denne. Man kan ikke bruke informasjon innhentet til ett formål, for å senere bruke den til et annet.
- Dataminimering
For det tredje skal personopplysningene være adekvate, relevante og begrenset til kun det som strengt tatt er nødvendig for å oppnå det angitte formålet.
- Korrekt og oppdatert
For det fjerde stilles det krav til at informasjonen skal være av god kvalitet. Dette vil si at informasjonen skal være korrekt og dermed også oppdatert når det har skjedd endringer.
- Lagringsbegrensning og sletting
For det femte skal opplysningene heller ikke være lagret lengre enn det som er nødvendig. Det vil si at dersom det konkret angitte formålet (punkt 2) er oppnådd, skal opplysningene snarest, av eget tiltak slettes.
- Integritet og konfidensialitet
For det sjette har man en plikt til å sørge for at informasjonen behandles trygt og sikkert. Informasjonen er konfidensiell og skal ikke deles med andre eller brukes til andre formål enn det som er angitt.
- Ansvar
Til sist er det den bedriften/organisasjonen som innhenter og behandler personopplysninger som har ansvar for å treffe tiltak for å sørge for at prinsippene overholdes.
Tiltak og konsekvenser
For å ivareta disse prinsippene kan det dermed være lurt å starte med å kartlegge og identifisere hvilke personopplysninger din bedrift innhenter samt oppbevarer. I tillegg bør det etableres gode rutiner for behandling av dem og sørge for at alle ansatte er godt informert om disse.
Konsekvensene av brudd på GDPR-reglene kan være overtredelsesgebyr, samt erstatningsansvarlig for lidt skade.
