GDPR, du har kanskje hørt om det i forbindelse med datasikkerhet og personvern, men vet du nøyaktig hva det står for? Selv om det kan virke komplisert og innviklet er det utrolig viktig å sette seg inn i hva GDPR betyr for driften av din organisasjon.
Manglende overholdelse av GDPR kan få store konsekvenser for organisasjonen din, inkludert bøter og skade på omdømmet. Derfor er det viktig å ta ansvar for å sette seg inn i og overholde personvernreglene, ettersom det kan påvirke både hvordan organisasjonen din oppfattes utenfra, eller ha mer alvorlige, økonomiske konsekvenser.
Hva er GDPR?
GDPR står for General Data Protection Regulation, og er den europeiske forordningen som trådte i kraft den 25. mai 2018 for å styrke og effektivisere personopplysningsvernet og beskyttelsen av personopplysninger i Europa.
Først og fremst gir GDPR-regelverket enkeltpersoner større kontroll over sine egne personopplysninger. Samtidig holder den organisasjoner ansvarlige for sin håndtering og beskyttelse av personopplysninger, uavhengig av om de befinner seg i EU eller ikke.
Dette stiller derfor store krav til organisasjonen fordi det ikke vil være nok å kun ha en strategi for databestkyttelse, det skal også kunne vises i praksis. Organisasjonen må kunne ettergås i forhold til hvordan den overholder personvernforordningen gjennom handling, ved å fremlegge bevis på at interne prosedyrer og retningslinjer overholdes. Hvis en organisasjon ikke kan dokumentere GDPR-arbeidet sitt eksisterer den heller ikke - i hvert fall ikke i Datatilsynets øyne - noe som kan få vidtrekkende konsekvenser for organisasjonen.
Hvem gjelder GDPR for?
Det korte svaret er alle. Det finnes ikke en eneste organisasjon i dag som ikke behandler personopplysninger på en eller annen måte. Alle må derfor vurdere hvordan de best kan oppfylle de europeiske lovkravene så lenge de opererer innenfor EU og EØS' grenser og/eller behandler opplysninger om EU og EØS-borgere.
Det vil i praksis si at om du så selger hjemmestrikka luer eller jobber i en stor organisasjon, vil du måtte forholde deg til GDPR. Imidlertid vil det variere noe i nettopp hvor stor grad en organisasjon er påvirket av GDPR. Omfanget av en GDPR-implementering avhenger derfor av organisasjonens tjenester og størrelse, samt hvor mange sensitive personopplysninger den behandler.
Hvorfor er GDPR viktig?
GDPR er en viktig forordning for alle i det moderne samfunnet, og gir innbyggerne en forsterket beskyttelse og kontroll over personopplysningene og personvernet sitt.
I den digitale tidsalderen hvor personopplysningene våre ofte er spredt på tvers av ulike plattformer og tjenester, er det helt sentralt å ha et regelverk som kan garantere for sikkerhet og konfidensialitet. GDPR sikrer også at organisasjoner tar ansvar for sin behandling av personlig, identifiserbar informasjon og treffer nødvendige tiltak for å beskytte disse.
Etterlevelse av GDPR er derfor viktig for bedrifter og organisasjoner ettersom manglende dokumentasjon og implementering kan få alvorlige konsekvenser. Dette kan dreie seg om blant annet store bøter og skade på omdømmet, noe som igjen kan ha en negativ innvirkning på inntekter og vekstpotensial. På plussiden kan organisasjoner også øke forretningsverdien sin gjennom etterlevelse av GDPR, i form av økt tillit og et konkurransefortrinn opp mot konkurrenter som ikke tar personvern på alvor.
LES OGSÅ: 5 grunner til at du IKKE bør bruke Excel til GDPR
Behandlingsansvarlig vs. databehandler?
GDPR skiller mellom to ulike roller som en organisasjon kan påta seg når det gjelder databehandling. Det er alltid viktig at organisasjonen er klar over hvilken rolle den innehar når den behandler data, ettersom kravene til behandlingsansvarlige og databehandlere er forskjellige.
Behandlingssvarlig:
Behandlingsansvarlig er den personen, eller organisasjonen, som er ansvarlig for de personopplysningene som samles inn, og dermed også ansvarlig for å sikre at opplysningene håndteres i samsvar med personvernforordningen. Den behandlingsansvarlige er den som bestemmer:
- Formålet med databehandlingen.
- Hvordan personopplysningene behandles.
- Hvem som er autorisert til å behandle personopplysningene.
Hvis den som er registrert ønsker å utøve sine rettigheter, er det den behandlingsansvarlige som den enkelte må kontakte.
Databehandler:
En databehandler er en person, eller organisasjon, som lagrer og/eller behandler personopplysninger på vegne av en behandlingsansvarlig. I motsetning til en behandlingsansvarlig bestemmer ikke en databehandler formålet med databehandlingen.
Når en databehandler håndterer personopplysninger på vegne av en behandlingsansvarlig, gjelder en rekke forpliktelser. Blant annet må det foreligge en formell, skriftlig avtale som setter rammene for databehandlingen - en databehandleravtale - og databehandleren skal kun behandle personopplysningene i samsvar med denne. Det vil være den behandlingsansvarliges plikt og ansvar å sørge for at en slik avtale er på plass, ettersom det i siste instans er den behandlingsansvarliges ansvar å sikre at GDPR-reglene overholdes.
Ulike typer personlig, identifiserbar informasjon
GDPR opererer med to kategorier av personopplysninger: generelle og sensitive. Det skilles ikke mellom den registrertes private eller profesjonelle rolle. I B2B-situasjoner må derfor organisasjonen fortsatt beskytte personopplysninger knyttet til den registrerte som den interagerer med.
Hva regnes som generelle personopplysninger?
Generelle personopplysninger kategoriseres som alle typer personopplysninger som ikke er definert som sensitive. Dette kan være identifikasjonsinformasjon som navn, adresse og e-post eller annen informasjon som informasjon om økonomi, familie, arbeid eller bosted.
Siden personopplysninger finnes i mange ulike former er det viktig å ha en oversikt over alle disse i organisasjonen. En organisasjon bør gjennomgå alle sine arbeidsprosesser med GDPR-brillene på for å identifisere datastrømmer. For eksempel er et portrettbilde av en ansatt på nettsiden også kategorisert som en personopplysning. Et stilltiende samtykke til å legge bildet ut på nettsiden vil derfor ikke være nok, siden det ikke oppfyller kravene i GDPR.
Hva er sensitive personopplysninger?
Sensitive personopplysninger er eksplisitt avgrenset i GDPR, ettersom det ikke skal være noen tvil omkring denne typen personopplysninger. For å kunne behandle slike opplysninger kreves det en rekke behandlingstillatelser.
Sensitive personopplysninger er klassifisert som:
- Etnisitet
- Politiske meninger
- Fagforeningsmedlemskap
- Religiøs eller filosofisk overbevisning
- Opplysninger om genetikk
- Biometriske opplysninger med henblikk på unik identifikasjon
- Opplysninger om en persons seksualliv eller seksuelle orientering
Hva skjer om organisasjonen din ikke overholder GDPR?
Hvis databehandlingen din ikke er i samsvar med GDPR kan det få alvorlige konsekvenser i form av erstatningskrav og store bøter på opptil 4% av organisasjonens årlige omsetning, eller en bot på opp mot 20 millioner euro, avhengig av hva som er høyest.
I tillegg til økonomiske konsekvenser kan manglende overholdelse av GDPR føre til skade på organisasjonens omdømme og manglende tillit til organisasjonens framtidige databehandling. Dette kan føre til nedgang i salg, kunder og leverandører. Dette er langsiktige konsekvenser som det vil være vanskelig for en organisasjon å komme seg etter.
LES OGSÅ: Retningslinjer for sletting av data - Så lang tid kan du lagre data
