GDPR

Personvernforordningen kan nok ved første øyekast oppleves som et ork. Flere regler! Vanskelige lovtekster! Mye greier! Men faktisk er det mange gode grunner til å være glad for GDPR.
Én ting er rettighetene våre som enkeltpersoner. Ikke bare er disse styrket, de er like overalt. De samme reglene gjelder enten vi er – eller etterlater digitale fotspor – i Norge, Sverige, Portugal, Ungarn, Polen, Tsjekkia eller hvor som helst ellers i EU/EØS.
På mange måter gjør loven det også enklere for bedrifter. Den tydeliggjør hva som er greit og ikke. Et viktig formål for lovverket er faktisk å åpne for fri flyt av personopplysninger innenfor EU og EØS. Ønsket om åpne grenser og et åpent marked gjelder her akkurat som på andre områder.
Dessuten kan loven gi en konkurransefordel til europeiske virksomheter, ettersom forbrukere kan stole på at disse ivaretar personvernet deres. Overtredelser kan i verste fall bli straffet med store bøter – på opptil 20 millioner euro, eller fire prosent av global omsetning.

Hva regnes som en personopplysning?

Åpenbare eksempler på personopplysninger er ting som navn, personnummer, adresse og telefonnummer. Det samme med lokasjon og ulike sporingsteknologier og identifikatorer som gjør det mulig å følge aktiviteten din på nettet.
Men som vi allerede har sett, favner begrepet enda bredere. Det gjelder all informasjon som er spesifikk for personens fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet – inklusive helseopplysninger, fingeravtrykk, IP-adresser, sosiale medier-profiler, DNA, og så videre.
Noen ganger kan vi ha opplysninger der det ikke egentlig er tydelig hvem det gjelder. Dette kan likevel være personopplysninger, fordi det kan knyttes til en person når informasjonen kombineres med andre datasett – som et puslespill som faller på plass.

GDPR: Hvem er hvem og hva er hva

Det er en del ord og uttrykk du garantert vil møte på i forbindelse med personvernforordningen. La oss gå kjapt gjennom noen av de viktigste før vi går videre, sånn at vi har det samme ordforrådet.

Behandlingsansvarlig og databehandler

En behandlingsansvarlig er den virksomheten som bestemmer over behandlingen av personopplysninger og har hovedansvaret for å følge GDPR. De bestemmer formålet med behandlingen og hvilke midler som skal brukes.
Det til forskjell fra en databehandler, som behandler personopplysninger på vegne av den behandlingsansvarlige – for eksempel en IT-leverandør. Mellom disse skal man ha en databehandleravtale.
Databehandleren kan ses på som en slags underleverandør, og de har ofte egne underleverandører under seg igjen – som også er databehandlere. Det er viktig å huske på at som behandlingsansvarlig, har du ansvar for alt som skjer nedover i denne kjeden.

Databehandleravtale

En databehandleravtale sikrer at databehandleren ikke kan gjøre som de vil med personopplysningene de får tilgang på, men behandler dem etter den behandlingsansvarliges føringer.
Databehandleravtalen skal spesifisere behandlingen, den behandlingsansvarliges plikter og rettigheter, og databehandlerens forpliktelser. Datatilsynet har en standardavtale som en kan ta utgangspunkt i.

Datatilsynet og Personvernnemnda

Tilsynsmyndighet for personvernforordningen. De skal sørge for at loven overholdes i Norge, og kan ilegge bøter. Hvis en vil klage på et vedtak fra Datatilsynet, skal man klage til Personvernnemnda, som er andre instans.

De registrerte

GDPR har et uttrykk som heter «de registrerte» – som viser til dem opplysningene kan knyttes til. Tenk på det som en mer formell måte å si «dem det gjelder».

Personvernombud

Et personvernombud er enkelt sagt virksomhetens personvernekspert. Alle behandlingsansvarlige kan ha et personvernombud, mens for enkelte er det påbudt – for eksempel dersom en behandler personopplysninger i stor skala.

Når og hvor gjelder GDPR?

Bryter du loven hvis du deler en kollega sitt telefonnummer med andre på jobben? Eller hvis du skriver noen sitt navn på en bursdagspresang? Selvfølgelig ikke. Men hvis personvernforordningen da ikke gjelder i alle sammenhenger, hvor går egentlig grensen?
Her lar lovverket seg vanskelig oppsummere på et par setninger, men vi kan gi noen tommelfingerregler for når og hvor GDPR slår inn – og ikke.

Når gjelder GDPR?

GDPR gjelder typisk i tilfeller der en eller flere av disse er sant:
  • Behandlingen er helt eller delvis automatisert (typisk behandling som gjøres av datamaskiner eller inngår i digitale systemer)
  • Personopplysningene er strukturerte, de inngår i et register
  • Behandlingen er tilknyttet kommersiell virksomhet
Du skal være mest obs på GDPR om du jobber med digitale data hvor behandlingen er helt eller delvis automatisert. Men merk at det også kan omfatte manuell behandling, ettersom loven omfatter opplysninger i registre. GDPR gjelder med andre ord ikke bare digitale data – selv om det jo er nokså sjelden at vi har slike registre på papir nå for tiden.
Et unntak for disse reglene er dersom behandlingen er knyttet til rent personlige eller familiemessige aktiviteter. Du er altså fortsatt i din fulle rett til å skrive ned hvem du ønsker å invitere til bursdagsfesten din – med fullt navn og telefonnummer – uten å være bekymret for at Datatilsynet kommer på døra.
Tilfeller som etterforskning, straffeforfølgelse og nasjonal sikkerhet kan også gi unntak for GDPR.
Personvernforordningen ble som nevnt innført i EU/EØS i 2018. Alle behandlingsansvarlige som er etablert i EU/EØS er pålagt å følge lovverket. Men hva om du for eksempel bruker nettsider og tjenester fra selskaper og servere i Tyrkia, Russland, USA eller Kina?
GDPR skal beskytte rettighetene dine også da. Hvis selskaper fra andre deler av verden vil tilby varer og tjenester innenfor EU/EØS – eller de ønsker å spore, monitorere eller målrette budskap mot europeiske borgere – da må de også rette seg etter personvernforordningen.