Hva er den generelle databeskyttelsesforordningen (GDPR)?
GDPR er EUs nye databeskyttelsesforordning. Forkortelsen står for General Data Protection Regulation og den trådte i kraft 25. mai 2018. Forordningen stiller strengere krav til hvordan personopplysninger håndteres og organisasjoner forventes å ha rutiner og prosesser for å kunne håndtere sikker registrering av personopplysninger.
Hva betyr den generelle databeskyttelsesforordningen (GDPR)?
GDPR innebærer blant annet strengere krav til håndtering av personopplysninger. Det stilles primært krav til prosesser og rutiner for å håndtere registre på en sikker måte og på ledelsesnivå. Forskriften bygger på syv grunnleggende prinsipper, disse er:
- Personopplysninger kan kun behandles dersom lovkravene er oppfylt.
- Det må være et uttalt formål for innsamling av personopplysninger.
- Kun data som er nødvendige for å oppfylle det angitte formålet kan samles inn.
- Personopplysningene du har må holdes korrekte og oppdaterte.
- På det tidspunktet det angitte formålet er oppnådd, skal dataene slettes.
- Personopplysningene du har må oppbevares sikkert slik at de ikke blir stjålet eller endret.
- Du må kunne bevise at alle disse kravene er oppfylt.
Er loven så komplisert som den høres ut?
Loven kan oppleves som komplisert fordi den er skrevet på en annen måte enn det vi er vant til. Dette fordi den er skrevet og tilpasset EU, noe som betyr at loven er mer omfattende. Det betyr at loven i seg selv ikke er mer komplisert, men at det kreves noen ekstra vendinger for å forstå den.
Hvem må overholde GDPR?
Alle organisasjoner som til en viss grad håndterer personopplysninger om sine ansatte eller kunder, må overholde personvernforordningen (GDPR). Med dette skal organisasjoner følge de grunnleggende prinsippene, sørge for at behandlingen har rettslig grunnlag og sørge for at de registrerte er informert om hvordan deres personopplysninger håndteres.
Hva betyr loven for brukerne?
Loven innebærer at du som bruker har rett til å be om dine personopplysninger fra en myndighet eller et selskap, og at innehaveren av opplysningene da plikter å returnere med en liste over opplysningene de lagrer om deg. En god huskeregel er at GDPR sier at bedriften/myndigheten kan lagre personopplysninger, men det skal tydelig fremgå og tydeliggjøre hvorfor de lagres.
Rett til å få personopplysninger slettet
Du som bruker har rett til å be om å bli glemt, det vil si å få dine personopplysninger slettet, av alle myndigheter og organer, med unntak av noen få unntak. Et eksempel på et slikt unntak er Skatteverket i Sverige, da det kreves lagring av personopplysninger for at myndigheten skal kunne kontrollere at skatten betales korrekt.
Må ikke lagres lenger enn nødvendig
En annen funksjon innenfor loven, som beskytter deg som bruker, er at en myndighet eller virksomhet ikke kan lagre dine personopplysninger lenger enn nødvendig. Dette betyr at virksomheten eller myndigheten må ha et såkalt rettslig grunnlag for å lagre dataene dine.
Må motta aktiv godkjenning
Videre må virksomheten eller myndigheten også ha fått aktiv godkjenning fra deg som bruker for å få lagre dataene, selv om det er et rettslig grunnlag å stå på. Det betyr at det ikke lenger er lov å lagre data fordi «det er godt å være god».
Et aktivt samtykke betyr at du som bruker må signere en avtale der du gir ditt samtykke til lagring av data. Dette gjøres vanligvis digitalt med et knappetrykk, akkurat som mange kontrakter signeres i dag.
Et klikk på ja er like sterkt som en signatur
Mange tror at et knappetrykk som signatur ikke er like bindende som en håndskrevet signatur, men det stemmer ikke, men ditt klikk på “ja” betyr at du samtykker og dermed godkjenner at dine data lagres hos selskapet eller myndighetene.
Hvordan går jeg frem som bruker hvis en instans ikke overholder loven?
Dersom du mistenker, eller til og med er sikker på, at kroppen ikke følger loven, kontakter du Personvernet med en anmeldelse.
Hva skjer hvis du ikke følger loven?
Byrået skal innen én måned gi deg som bruker en liste over hvilke personopplysninger de har lagret om deg. Dersom instruksen ikke følges, risikerer organet å måtte betale en bot på opptil 20 millioner euro til Personvernet. Sett i lille Sverige og våre selskaper og myndigheter er summen skyhøy, noe som ville ødelagt mange budsjetter, men sett i EU under ett handler det mer om standardsummer.
Hva må byråene gjøre for å oppfylle kravene i GDPR?
Det er noen forskjellige veier å gå for å bli GDPR-kompatibel. Enten bygger byrået om systemet sitt slik at det er teknisk mulig å slette personopplysninger i systemet, eller så bygger det et helt nytt system som oppfyller GDPR-kravene.
Uansett hvilket valg etaten tar, er et veikart for tilpasning til GDPR noe alle relevante etater bør ha på plass for at fremtidige systemoppdateringer skal være GDPR-kompatibel. Et tegn på at mange faktisk bygger om sine systemer er at du som bruker har mottatt – og fortsetter å motta – en håndfull e-poster angående oppdaterte retningslinjer og håndtering av personopplysninger fra ulike selskaper og myndigheter.
En annen ting som er greit for brukere å være klar over, er at enkelte myndigheter forholder seg til lovkrav om arkivering, som betyr at andre lover, for eksempel regnskapsloven, er over GDPR.
Vi hjelper deg med å oppfylle GDPR-kravene
Vi i Consid har mange års erfaring innen datasikkerhet og behandling av personopplysninger. Vi har, siden lenge før innføringen av GDPR, jobbet tett med verdensledende organisasjoner for å sikre personlig integritet og datasikkerhet. Er du usikker på hva du må gjøre? Ta kontakt via skjemaet under.