GDPR-OVERHOLDELSE

En ny tidsregning for personvern

Hva er GDPR?

Personvernforordningen (GDPR) er en stor oppdatering av personvernlovgivningen. Den nye forordningen, som trer i kraft 25. mai 2018, definerer ansvaret til alle enheter innenfor EU som behandler personopplysninger, samt alle enheter, uavhengig av geografisk beliggenhet, som behandler personopplysninger for å tilby et produkt eller en tjeneste i EU. I tillegg definerer den tydelig rettighetene til de registrerte som får sine personopplysninger behandlet av disse enhetene.

GDPR erstatter Personverndirektivet 95/46/EC, som trådte i kraft i 1995. Det var i bunn og grunn før internett. Med tanke på alle endringene vedrørende innsamling og bruk av personopplysninger som har skjedd siden da, var det på høy tid at GDPR kom og oppgraderte personvernet vårt til det 21. århundre.

Gjennomsiktighet er en kjerneverdi i GDPR. Kort fortalt har ingen rett til å lagre og behandle personopplysningene våre uten vår viten og vårt samtykke, med unntak av i tydelig spesifiserte situasjoner.

GDPR pålegger virksomheter større ansvar for å beskytte personopplysningene de innhenter eller behandler. For å oppnå overholdelse er «personvern gjennom design» og «personvern som standard» to konsepter som må styre utviklingen av alle nye produkter, systemer og prosesser. Videre krever GDPR at virksomheter ikke bare overholder forordningen, men også at de tydelig kan demonstrere at de gjør det. Alvorlige overholdelsesbrudd kan medføre bøter på opptil 20 millioner EUR eller 4 % av den globale årsomsetningen, hva som enn er størst.

Nøkkelkonsepter

Terminologi

Den registrerte – enhver identifisert eller identifiserbar enkeltperson.

Behandlingsansvarlig – enhver enkeltperson, juridisk person eller annen enhet som bestemmer hensiktene og midlene for behandling av personopplysninger. Et selskap er en behandlingsansvarlig med hensyn på personopplysninger de besitter om sine ansatte, kunder, leverandører og andre på sine egne vegne. Et typisk eksempel er oppbevaring og bruk av personopplysninger, som e-postadresser, til sine markedsføringsformål.

Databehandler – en enhet som behandler personopplysninger på vegne av en behandlingsansvarlig. Et typisk eksempel er en leverandør av markedsføringsautomatisering som sender ut markedsførings-e-poster på vegne av et annet selskap.

Personopplysninger

Generelt betyr «personopplysninger» alle opplysninger som kan brukes til å identifisere en person. GDPR utvider tidligere juridiske definisjoner ved å inkludere identifikatorer som:

  • genetisk

  • mentalt

  • kulturelt

  • økonomisk

  • sosialt

Samtykke

GDPR stiller strengere krav til hva som utgjør et samtykke når registrerte gir fra seg personopplysningene sine. Et typisk eksempel er når en besøkende på et nettsted melder seg på en e-markedsføringskampanje ved å oppgi e-postadressen sin.

GDPR sier at samtykket må være:

  • frivillig gitt – en arbeidsgiver som ber om personopplysninger fra en ansatt, ville ikke oppfylt dette kravet pga. forholdet mellom dem

  • spesifikt – det må være tydelig at dataene som samles inn, kun vil bli brukt til spesifikke aktiviteter

  • informert – den registrerte må ha nok informasjon om disse aktivitetene til å fatte en informert beslutning

  • utvetydig – «samtykke skal gis med en tydelig, bekreftende handling». Dette er en av de mest betydningsfulle endringene med GDPR, siden den betyr at det ikke lenger er lovlig å innhente samtykke fra den registrerte via metoder som f.eks. en påmeldingsboks som på forhånd er avkrysset

Behandlingsansvarlige har nye overholdelseskrav, blant annet:

  • Ved innhenting av samtykke må behandlingsansvarlige ordlegge seg tydelig og lettfattelig i kommunikasjon med de registrerte.

  • Samtykket må være verifiserbart. Virksomheter er pålagt å ta vare på samtykkejournaler som kan kontrolleres for å verifisere:

    • at den registrerte har samtykket

    • hva de samtykket i

    • når de samtykket

Rettighetene til den registrerte (DSR)

GDPR definerer diverse rettigheter som alle EU-borgere har som registrerte. Vi har alle rett til å vite hvem som besitter og behandler personopplysningene våre, og til hvilke formål. Vi har også rett til å:

  • be om en kopi av personopplysningene våre og motta den i et flyttbart format

  • korrigere eventuelle feil

  • be om at opplysningene våre slettes permanent

  • begrense typene data som kan lagres og behandles

  • begrense måtene dataene våre kan behandles på

  • trekke tilbake samtykket vårt når som helst

  • være tydelig informert om alle disse rettighetene

I sin tur pålegges behandlingsansvarlige å:

  • gjøre det akkurat like enkelt for de registrerte å trekke tilbake samtykket sitt som det er å gi det

  • ta alle rimelige forholdsregler for å verifisere identiteten til de registrerte som sender disse forespørslene

  • besvare og oppfylle disse forespørslene uten ugrunnet opphold (innen én måned etter at forespørselen er mottatt)

  • slette personopplysninger så snart formålet de ble innhentet til, er utløpt (ikke avhengig av forespørsler fra de registrerte)

  • sikre at kontraktene deres med databehandlere spesifiserer at GDPR-overholdende sikkerhetstiltak er på plass for å beskytte personopplysninger

Forenklet GDPR-overholdelse for deg

Digitalisering av prosessene dine gjør alltid overholdelse enklere. Men selv om du allerede er 100 % papirløs, vil GDPR kreve en rekke endringer i systemene og prosessene dine. Scrive kan gjøre dette enklere.

Som både behandlingsansvarlig og databehandler er Scrive på god vei mot full GDPR-overholdelse, så vi forstår utfordringene våre kunder står overfor. Som betrodde partnere innen digital transformering tilbyr vi elegante løsninger som forenkler prosessene dine, senker kostnadene og styrker merkevaren din. Faktisk benytter vi oss av Scrive-løsninger og -ekspertise i vår egen drift, og det gjelder også GDPR-overholdelsen vår!

Finn ut hvordan Scrive kan hjelpe deg med å overholde GDPR.