Skip to main content

GDPR

TL; DR

General Data Protection Regulation (GDPR)er en av de strengeste personvern- og sikkerhetslovene i verden. Selv om den er utarbeidet og godkjent av EU, pålegger forordningen forpliktelser for organisasjoner uavhengig av hvor de opererer, så lenge de retter seg mot eller samler inn data om personer i EU. Forskriften trådte i kraft 25. mai 2018. GDPR belaster bøtermot de som bryter dens personvern- og sikkerhetsstandarder, med sanksjoner på titalls millioner euro.

Hva er GDPR?

GDPR (General Data Protection Regulation) er en lov for EUs databeskyttelses- og personvernlovgivning i EU og EØS og overføring av personopplysninger utenfor EU og EØS. Hovedformålet med GDPR er å gi enkeltpersoner kontroll over sine personopplysningerog å forenkle det regulatoriske miljøet for internasjonale anliggender ved å forene personvernlovgivningen i EU. Forskriften er obligatoriskog alle organisasjoner som innehar eller behandler personopplysninger må overholde.

Reglene trådte i kraft 25. mai 2018 og ble gjenspeilet i 2018 Data Protection Act. Forskriften gjelder både for «operatører» og «databehandlere» og dekker gamle regler som er konsolidert, samt en rekke nye rettigheter for registrerte.

Hva er personopplysninger?

Personopplysninger er data som refererer til en person som kan identifiseres direkte eller indirekte, og som er:

  • elektronisk behandlet;
  • oppbevart i arkiver;
  • del av et tilgjengelig sett med informasjon, for eksempel pedagogisk informasjon;
  • holdt av en offentlig myndighet;
  • ikke nødvendigvis personspesifikk, men som fører til identifikasjon;
  • Eksempler: navn, e-postadresser, plassering, religion, etnisitet, kjønn, data lagret i nettinformasjonskapsler, IP-er, politiske meninger, biometriske data, etc.

GDPR-prinsipper

Personopplysninger bør behandles rettferdig, lovlig og transparent.

  • Data bør samles inn for definerte og legitime formål og bør ikke behandles videre på en måte som er uforenlig med disse formålene.
  • Dataene skal ikke være for store, kun behandle så mye data som er absolutt nødvendig.
  • Dataene skal være korrekte og om nødvendig oppdatert.
  • Data bør ikke lagres lenger enn nødvendig.
  • Data må oppbevares sikkert.
  • Ledere er ansvarlige for typen personopplysninger de samler inn og hvordan de bruker dem. Ansatte bør ikke avsløre personopplysninger utenfor organisasjonens prosedyrer eller bruke personopplysninger som holdes av andre til egne formål.

Hvem gjelder GDPR for?

GDPR gjelder for enhver organisasjon som opererer i EU, så vel som for enhver organisasjon utenfor EU som leverer varer eller tjenester til EU-kunder eller bedrifter. Dette inkluderer alle nettsider som samler inn direkte, til eget formål, eller indirekte, for tredjepartsapper og -verktøy (f.eks. Google Analytics) data om de besøkende.

En person som har data om en annen person på et personlig nivå, for eksempel telefonnummeret til et familiemedlem lagret i en telefon, vil ikke måtte vurdere GDPR for disse dataene.