GDPR er en EU-lov som beskytter personopplysninger til EU-borgere og gir et felles rammeverk for selskaper som opererer i Europa. Denne artikkelen gir deg nyttig informasjon om forordningen og dens formål.
GDPR står for General Data Protection Regulation, på norsk omtales det gjerne som personvernforordningen. Det er en lov vedtatt i EU i 2016 og som trådte i kraft tilbake i mai 2018. Formålet med personvernforordningen(GDPR) er å skape et felles grunnlag for europeiske selskaper og å beskytte personopplysninger til EU -borgere mot misbruk. Forordningen gjør det dermed klart at du som EU-borger eier dine egne data, derfor får du en rekke rettigheter. Du kan blant annet kreve at informasjonen din blir avslørt og slettet hvis den ikke tjener noen juridisk hensikt.
Konsekvenser av GDPR
Det er ennå ikke klart hvor stor innvirkning reguleringen faktisk vil ha, men konsekvensene er potensielt vidtrekkende. For det første har forskriften en ekstraterritoriell effekt, noe som gjør den gjeldende for alle selskaper som behandler personopplysninger om europeiske borgere – uansett om de har adresse i Europa eller ikke. For det andre fordi forskriften har gitt strafferammen med bøter på opptil 4% av selskapets årlige omsetning.
Hva definerer GDPR som personopplysninger?
Personopplysninger er informasjon som gjør en person identifiserbar. Derfor er det ingen uttømmende liste over typer personopplysninger. Det kan være navn, adresse og HLR-nummer, men det kan også være IP-adresse eller fotografier. Det viktige er at informasjonen kan spores tilbake til en privatperson. Hvis de ikke gjør det, vil det være anonymiserte data, og reglene vil bli lempeligere umiddelbart.
Artikkel 9 i personvernforordningen definerer imidlertid en fast liste over personopplysninger definert som spesielt sensitive. Det er informasjon om rasemessig og etnisk opprinnelse, politisk og religiøs tilhørighet, genetiske og biometriske data, samt informasjon om helse og seksualitet.
Rettigheter i GDPR
Ettersom et individ får rett over sine egne data, er en rekke rettigheter til den enkelte innbygger inkludert. Den viktigste og kanskje mest omtalte er retten til å bli glemt, noe som gir en innbygger rett til å få sine personopplysninger slettet hvis lagring eller behandling av dem ikke tjener noe formål eller er skadelig for personen. I tillegg er det tilgangsrett, som gir rett til å vite hva et selskap eller en myndighet har av informasjon om en, samt retten til dataportabilitet, som gir innbyggeren rett til å få sine data flyttet fra én enhet til en annen. I tillegg gis et individ rett til utbedring. Selvfølgelig er dette ikke en korreksjon som er kjent fra boligkjøp, men heller retten til å få feil informasjon om deg rettet.
Behandling av data
I mange tilfeller vil imidlertid et selskap eller en myndighet ha hjemmel til å behandle personopplysninger. Det kan være nødvendig å kunne utføre en oppgave. For eksempel må et apotek med rette ha et personnummer for å gi medisin. Det kan også være av juridiske årsaker – for eksempel hvis et selskap må beholde sine ansattes informasjon i 5 år av skatte- og regnskapsmessige årsaker, og ansetter en profesjonell skatterådgiver.
Et tredje alternativ for å få juridisk myndighet er samtykke. Et samtykke kan imidlertid alltid trekkes tilbake, og det forutsetter at samtykket er frivillig, legitimt, spesifikt, informert og utvetydig.
Om du vil vite mer om GDPR, kan vi anbefale å lese Contract Guides mer detaljerte guider og filmer. Her er kunnskap om databehandler / databehandler og mye mer kunnskap om de mange dokumentasjonskravene.