GDPR-ordliste
Hva betyr egentlig interesseavveining, hva er en databehandleravtale, og hva er et gyldig samtykke for behandling av personopplysninger? Her er en enkel ordliste du kan slå opp i når du lurer på noe om GDPR (General Data Protection Regulation).
Behandling
En behandling i GDPR-sammenheng viser til alt du gjør med personopplysningene: samle dem inn, lagre dem, dele dem, se på dem, bruke dem, analysere dem, sammenstille dem, endre dem, slette dem – alt sammen.
Se også: «Behandlingsansvarlig».
Behandlingsansvarlig
Behandlingsansvarlig er de som bestemmer over behandlingen av personopplysninger. De bestemmer hvordan og hvorfor persondata skal behandles, og har hovedansvaret for å følge GDPR. Det til forskjell fra databehandler, som behandler personopplysninger på vegne av den behandlingsansvarlige. Mellom disse skal man ha en databehandleravtale.
Databehandleren kan ses på som en slags underleverandør, og de har ofte egne underleverandører under seg igjen – som også er databehandlere. Det er viktig å huske på at som behandlingsansvarlig, har du ansvar for alt som skjer nedover i denne kjeden.
Se også: «Databehandleravtale».
Behandlingsgrunnlag
Et behandlingsgrunnlag innebærer at du ikke bare kan ta opplysninger fordi du vil ha dem – du må enten ha et eksplisitt samtykke, eller tungtveiende interesse av å lagre opplysningene, som veier tyngre enn den enkeltes interesse.
Se også: «Interesseavveining», «Samtykke».
Berettiget interesse
Se «Interesseavveining»
Bøter
Se «Overtredelsesgebyr»
Databehandler
Se «Behandlingsansvarlig»
Databehandleravtale
En databehandleravtale sikrer at databehandleren ikke kan gjøre som de vil med personopplysningene de får tilgang på, men behandler dem etter den behandlingsansvarliges føringer.
Databehandleravtalen skal spesifisere behandlingen, den behandlingsansvarliges plikter og rettigheter, og databehandlerens forpliktelser. Datatilsynet har en standardavtale som en kan ta utgangspunkt i.
Se også: «Behandling», «Behandlingsansvarlig»
De registrerte
GDPR har et uttrykk som heter «de registrerte» – som viser til dem opplysningene kan knyttes til. Altså de vi ofte mener når vi sier «de det gjelder».
GDPR
Kort for General Data Protection Regulation. Kalles personvernforordningen på norsk.
Informasjonssikkerhet
Manglende informasjonssikkerhet er en av de vanligste feilene virksomheter gjør i relasjon til GDPR. Det handler om å beskytte dataene tilstrekkelig. Personopplysninger skal ikke komme på avveie, være tilgjengelig for uvedkommende, eller bli urettmessig endret eller manipulert. På den annen side må de være tilgjengelige og kunne oppdrives ved behov.
Når du har et avvik, skal du melde dette til Datatilsynet innen 72 timer.
Se også: «Overtredelsesgebyr»
Interesseavveining
Samtykke er ikke det eneste mulige grunnlaget for å kunne behandle personopplysninger. Noen ganger må du for eksempel få noen personopplysninger for å kunne levere en tjeneste. Du kan også være pliktig å ha visse opplysninger, for eksempel for bokføring og regnskap. Eller du kan ha andre interesser av å ha opplysningene, som veier tyngre enn de enkeltes rett til ikke å få opplysningene behandlet.
I slike tilfeller er det viktig å sette seg grundig inn i reglene, finne en minst mulig inngripende løsning, og dokumentere de vurderingene dere gjør, i tilfelle tilsyn.
Se også: «Behandlingsgrunnlag», «Samtykke»
Overtredelsesgebyr
Brudd på GDPR kan straffes med bøter på opptil 20 millioner euro, eller fire prosent av global omsetning.
I Norge er det hittil gitt få bøter – blant annet fordi GDPR ennå er relativt nytt og det er lang saksbehandlingstid, men også fordi Datatilsynet ikke er ute etter å bøtelegge alle som gjør noe galt. De fleste saker blir avsluttet, når en ser at bedriften faktisk har prøvd å gjøre det riktig, men at de kanskje har misforstått, eller at en ansatt har gjort en feil. Imidlertid vil det være aktuelt med en bot når det har gått veldig galt, og det får store konsekvenser, eller der bedriften rett og slett ikke har satt seg inn i reglene, eller prøvd å etterleve dem.
Personopplysninger
Personopplysninger viser til alle opplysninger som kan knyttes til en bestemt enkeltperson. Dette omfatter langt mer enn navn og telefonnummer: Alt fra identifikatorer i mobilen din og IP-adresser, til kameraopptak, fingeravtrykk og stemmen din, regnes som personopplysninger og omfattes av GDPR.
Noen personopplysninger har særskilt vern. Slike sensitive personopplysninger (som kalles «særlige kategorier» i loven) kan som hovedregel kun behandles dersom du får eksplisitt samtykke, eller når det følger av lov at det er viktig at de behandles. Leger er for eksempel pålagt i loven å føre pasientjournal.
Personvernerklæring
GDPR sier at en skal gi informasjon – som er tilstrekkelig, forståelig, og så videre. Men det er opp til virksomhetene selv hvordan de vil informere. Mange velger å gjøre dette i en personvernerklæring. Dette er en tekst som viser hvordan dere vil behandle personopplysninger.
GDPR inneholder en liste over hva du skal informere om. Typiske ting som må være med, er hvilke data dere samler inn, hva dere skal bruke de ulike dataene til, og hvilke rettigheter du har som bruker. Dette skal være mest mulig kortfattet og forståelig, og tilpasset målgruppen.
Se også: «Personopplysninger»
Personvernombud
De som har mye beskyttelsesverdige, sensitive data, må ha et personvernombud. Et personvernombud er en person i virksomheten som skal rådgi virksomheten om personvern. Vedkommende skal involveres i alt som kan påvirke personopplysninger, for eksempel hvis virksomheten skal ta i bruk en ny sporingsteknikk eller starte et nytt kundeprogram. Han eller hun blir også et kontaktpunkt for brukerne.
Samtykke
Hvis du har fått samtykke av de registrerte, har du et behandlingsgrunnlag, og kan gjøre det du ønsker å gjøre. Men samtykket må være reelt. Det må være frivillig, uten negative konsekvenser om du takker nei. Du må få klar og god informasjon om hva det innebærer. Du må aktivt gi samtykket, det kan ikke være forhåndsutfylt. Det må være spesifikt, så du vet nøyaktig hva du samtykker til – og kan si ja til det ene, men nei til det andre. Og samtykket må kunne trekkes tilbake, uten konsekvenser, like lett som det ble gitt.
Se også: «Behandlingsgrunnlag», «De registrerte», «Interesseavveining»
Sensitive personopplysninger
Se «Personopplysninger»
Introkurs
Innføring i GDPR
Vil du lære det du trenger om GDPR på en rask og lettfattelig måte? Da er du på rett sted!