Idium  |  02/04/2020

Hva er GDPR?

GDPR har allerede vært snakket om i lang tid, men hva er det egentlig og hva betyr det for bedriften din? Vi har prøvd å sette enkle ord på det som mange fortsatt synes er vanskelig å forstå.

Først og fremst; GDPR er forkortelsen for General Data Protection Regulation, også omtalt som personvernforordningen. Dette er altså en forordning, eller en ny personvernlov om du vil, som ble vedtatt i EU og trer i kraft fra 25. mai 2018.

Hensikten med GDPR

Hele poenget med denne nye loven er å verne personopplysninger og behandlingen av disse i EU. Altså for å kontrollere at personopplysninger om meg og deg blir innhentet og ivaretatt på en sikker måte, og samtidig gi oss brukere flere rettigheter når det kommer våre egne opplysninger.

Hvem er berørt av GDPR

Men Norge er jo ikke i EU, hvorfor skal vi bry oss om dette? Som medlem av både EØS og Schengen vil den nye loven også gjelde i Norge. Det vil si at alle norske bedrifter er nødt til å overholde den nye personvernforordningen, uansett størrelse, så lenge de mottar og behandler opplysninger som kan knyttes til enkeltpersoner. Det være kunder, interessenter eller egne ansatte. Den vil også faktisk berøre alle utenlandske virksomheter som innehar og behandler personopplysninger om EUs borgere.

Hva er personopplysninger?

En personopplysning er en opplysning som kan knyttes til deg som enkeltperson som for eksempel:

  • navn
  • kjønn
  • adresse
  • telefonnummer
  • e-postadresse
  • IP-adresse
  • fødselsdato og -nummer
  • sosiale medier-kontoer

Men det stopper ikke der, for mye av grunnen til at denne loven ble vedtatt er fordi vår adferd på internett også blir lagret, knyttet opp mot vår bruker og brukt i kommersiell sammenheng. Ofte uten samtykke. Dette kan være atferd som hva du liker å spise, hvilke arrangementer du har eller skal delta på, hva du søker på i søkemotorer, hvilke butikker du handler i, hvor du beveger deg og oppholder deg til enhver tid og så videre. Altså alle elektroniske spor du legger igjen hver eneste dag er personopplysninger.

For deg som bedrift betyr det at all informasjon du måtte ha om dine kunder og interessenter anses å være personopplysninger, fra kontaktinformasjon til informasjon om de åpnet det siste nyhetsbrevet du sendte eller ikke. Derfor er du også berørt av denne nye loven.

Hva betyr GDPR i praksis?

De største endringene i denne nye personvernloven som din bedrift må ta hensyn til er følgende:

  • Din bedrift får større ansvar for personvernet og at dataene dere besitter behandles på en sikker måte.
  • Personopplysningene dere har lagret skal være lett tilgjengelig og lett forståelig
  • Bedriften må utrede og vurdere hvilke konsekvenser behandling av personopplysninger får for personvernet
  • Nye tiltak og systemer skal utarbeides på en så personvernvennlig måte. Den mest personvernvennlige innstillingen skal være standard i alle systemer
  • Det blir obligatorisk for mange private virksomheter å utnevne personvernombud. Et personvernombud er en person som er utpekt av en behandlingsansvarlig og godkjent av Datatilsynet. Personen har som oppgave å bidra til at den behandlingsansvarlige følger personopplysningsloven med forskrift

Nye rettigheter for oss brukere

Personvernforordningen gir også flere rettigheter til oss brukere og hvordan våre opplysninger blir lagret og brukt:

  • Personer som ønsker å få innsyn i opplysningene du har om dem og hvordan de brukes har rett til dette, men nytt for loven er at de også kan få overført denne informasjonen til andre systemer og virksomheter
  • Personer har rett til å motsette seg at deres personopplysninger blir brukt til å analysere og forutse deres adferd
  • Personer må gi samtykke til hvordan deres personopplysninger blir brukt
  • Retten til å bli glemt – gir brukere rett til å få fjernet feilaktige eller utdaterte opplysninger

Hva skjer om bedrifter bryter loven?

Brudd på loven kan i verste fall medføre bøter på opptil 4 prosent av en den samlede omsetningen til virksomheten eller 20 000 000 euro. Det er den høyeste summen som gjelder.

Hva må jeg gjøre?

Om du ikke allerede har fått ut den berømte fingeren er det på tide å erkjenne at denne endringen kommer til å tre i kraft og du er helt nødt til å forholde deg til den enten du vil eller ikke. Her er det mye jobb som må gjøres, og det er bare å brette opp ermene og komme i gang før det er for seint.

Kilde: Datatilsynet

Flere blogginnlegg om GDPR:

GDPR og markedsføring

GDPR og nettsider

GDPR og SMS-markedsføring

GDPR: Hva gjør du med dataen du har i dag?

GDPR og cookies

Se video fra vårt GDPR-seminar