GDPR

Hva er GDPR?

GDPR (General Data Protection Regulation) er en forordning fra EU som trådte i kraft 25. mai 2018.

Den har som formål å styrke og harmonisere personvernreglene på tvers av medlemslandene i EU og EØS (Det europeiske økonomiske samarbeidsområdet), og gir enkeltpersoner mer kontroll over sine egne personopplysninger.

GDPR setter klare retningslinjer for hvordan organisasjoner skal håndtere, lagre og behandle persondata.

Hovedmålene med GDPR:

• Styrke personvernet: Beskytte enkeltpersoners rettigheter når det gjelder hvordan deres personopplysninger samles inn, lagres, behandles og deles.

• Harmonisering: Skape en enhetlig lovgivning som gjelder på tvers av alle EU- og EØS-land, for å gjøre det enklere for organisasjoner å drive virksomhet i flere land.

• Økt ansvarlighet: Legge ansvar på organisasjoner når det gjelder hvordan de behandler persondata, og stille strengere krav til dokumentasjon og rapportering.

Viktige prinsipper i GDPR:

• Lovlighet, rettferdighet og åpenhet: Behandling av personopplysninger skal være lovlig, rettferdig og åpen for de registrerte (de som personopplysningene tilhører).

• Formålsbegrensning: Personopplysninger skal kun samles inn for spesifikke, legitime formål og ikke behandles på en måte som er uforenlig med disse formålene.

• Dataminimering: Bare de personopplysningene som er nødvendige for formålet de samles inn for, skal behandles.

• Riktighet: Personopplysninger skal være nøyaktige og, om nødvendig, oppdaterte.

• Lagringsbegrensning: Personopplysninger skal ikke lagres lenger enn nødvendig for å oppfylle formålet.

• Integritet og konfidensialitet: Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet, inkludert beskyttelse mot uautorisert eller ulovlig behandling, samt mot tap, ødeleggelse eller skade.

• Ansvarlighet: Organisasjoner er ansvarlige for at de overholder prinsippene for databehandling og må kunne dokumentere dette.

Viktige rettigheter for personer under GDPR:

• Retten til innsyn: Personer har rett til å få tilgang til sine egne personopplysninger og informasjon om hvordan disse behandles.

• Retten til retting: Personer kan be om at feilaktige eller ufullstendige opplysninger blir rettet.

• Retten til sletting ("retten til å bli glemt"): I visse tilfeller kan personer be om at deres personopplysninger blir slettet, for eksempel når opplysningene ikke lenger er nødvendige for formålet de ble samlet inn for.

• Retten til dataportabilitet: Personer har rett til å få sine personopplysninger utlevert i et strukturert, maskinlesbart format og overføre dem til en annen tjenesteleverandør.

• Retten til å protestere: Personer kan motsette seg behandlingen av deres personopplysninger, spesielt ved direkte markedsføring.

• Retten til å begrense behandling: I visse tilfeller kan personer be om at behandlingen av deres personopplysninger begrenses, for eksempel hvis de mener at opplysningene er unøyaktige eller behandlingen er ulovlig

Ansvar for organisasjoner:

• Dataansvarlig: Den enheten som bestemmer formålet og midlene for behandlingen av personopplysninger. Det kan være en bedrift, organisasjon eller offentlig myndighet.

• Databehandler: En tredjepart som behandler personopplysninger på vegne av den dataansvarlige. For eksempel, et eksternt IT-selskap som håndterer data på vegne av en bedrift.

• Databehandleravtale: Det må inngås en skriftlig avtale mellom den dataansvarlige og databehandleren for å sikre at personopplysningene behandles i samsvar med GDPR.

Sanksjoner og bøter:

• Bøter:Brudd på GDPR kan medføre betydelige bøter. Maksimal bøtebeløp kan være opptil €20 millioner eller 4% av den globale årlige omsetningen, avhengig av hva som er høyest. Dette gjelder for de alvorligste overtredelsene, som for eksempel manglende innhenting av samtykke eller brudd på prinsippet om dataminimering.

• Håndheving: Hver EU-medlemsstat har en tilsynsmyndighet som er ansvarlig for håndheving av GDPR, og det finnes et samarbeid mellom nasjonale datatilsyn for å sikre en konsekvent tilnærming på tvers av EU.

GDPR i praksis:

• Samtykke: Organisasjoner må få eksplisitt samtykke fra individer før de samler inn eller behandler deres personopplysninger (med noen unntak, som for eksempel når det er nødvendig for å oppfylle en kontrakt eller rettslig forpliktelse).

• Sikkerhet: Organisasjoner er pålagt å gjennomføre nødvendige tekniske og organisatoriske tiltak for å sikre personopplysningene mot uautorisert tilgang, tap eller lekkasje. Dette kan inkludere kryptering, tilgangskontroller og beredskapsplaner.

• DPIA (Data Protection Impact Assessment): Organisasjoner må gjennomføre en vurdering av personvernkonsekvenser (DPIA) før de iverksetter prosesser som kan medføre høy risiko for personvernet til enkeltpersoner.

Hva betyr GDPR for virksomheter utenfor EU?

GDPR gjelder ikke bare for organisasjoner som er basert i EU, men også for organisasjoner utenfor EU som behandler personopplysninger til individer i EU. Dette betyr at for eksempel et amerikansk selskap som samler inn data om europeiske kunder, også må overholde GDPR. Dette prinsippet kalles ekstraterritorial anvendelse.

Oppsummering:

GDPR har satt en høy standard for hvordan personopplysninger skal beskyttes i EU og EØS. Den gir enkeltpersoner flere rettigheter over egne data og pålegger organisasjoner strengere krav til hvordan de håndterer og beskytter personopplysninger. Overholdelse av GDPR er ikke bare en lovpålagt forpliktelse, men også et viktig tiltak for å bygge tillit hos kunder og partnere.

Sicra og GDPR

Sicra benytter kun leverandører, produkter og tjenester som følger GDPR internt og eksternt. Dette er sikret gjennom Sicras ISO27001 sertifisering med tilhørende ISMS (Information Security Management System).

Tjenester:

Les mer om vår "CISO-for-hire" tjeneste her >

Les om "regulatoriske krav og compliance" >

Relaterte ord: Personvern, Informasjonssikkerhet