GDPR FAQ

Hva er GDPR?

The General Data Protection Regulation er forkortet til GDPR, og er en forordning fra EU. Den er en norsk lov som trådde i kraft i 2018, og omfatter behandling av personopplysninger. GDPR styrker på mange måter personvernet i Norge.

Hva må jeg ha klart?

For det første, sett deg inn i reglene. Kartlegg virksomhetens bruk av personopplysninger. En risikovurdering og -analyse av hvilke trusler som finnes mot informasjonssikkerheten er neste steg. Gå gjennom rutinene som virksomheten allerede har, og se i hvilken grad de samsvarer med de nye kravene. Deretter bør en analyse og en plan om hvordan kravene skal oppfylles lages.

Hva betyr GDPR for meg?

Konkret vil det si at virksomheter som håndterer persondata får nye plikter og at personer hvis data håndteres får nye rettigheter. Alle virksomheter må ha en personvernerklæring. En person kan nå kreve å bli slettet, alle kan kreve dataportabilitet, og ikke minst kan alle kreve å vite hva som er lagret om den. Nye løsninger skal ta hensyn til personvernet når de utvikles.

Hva regnes som «behandling av personopplysninger»?

All bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter (Datatilsynet)

Hva er «dataportabilitet»?

Dataportabilitet er retten til å ta med seg sine personopplysninger fra en virksomhet til en annen. Det kan skje på to måter: Den registrerte kan få utlevert opplysningene slik at de kan overføres til en annen behandlingsansvarlig, eller kreve at personopplysningene overføres direkte til en ny behandlingsansvarlig. Dette kan omfatte ulike former for kundedata, og er verdt å ha i mente når systemer settes opp og utvikles.

Hva er en «behandlingsansvarlig»?

Kort sagt, den som behandler personvernopplysninger, altså din virksomhet.

Trenger vi et personvernombud?

Ikke alle virksomheter må ha det, men enkelte er pålagt. Det gjelder:

• Offentlige virksomheter
• Virksomheter som behandler sensitive personopplysninger i stor skala
• Virksomheter som systematisk overvåker europeiske borgere i stor skala

Norge kan ved lov pålegge flere typer virksomheter å ha personvernombud.

Kilde: Datatilsynet

Hva er «databehandlere»?

Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten, som for eksempel virksomhetens leverandør av IT-tjenester.

Hva er «profilering»?

Datatilsynet definerer det som analysering av personopplysninger for å avdekke adferd, preferanser, evner eller behov. Kortform av personprofilering.

Jeg har hørt noen nevne en «bransjenorm», hva er det?

Bransjenormen er, slik Datatilsynet definerer det, en samling av retningslinjer som virksomheter innenfor en bransje er enige om å følge. Normen vil nødvendigvis måtte ha hensyn til hvilke typer virksomheter og deres størrelse som er i bransjen, og skal godkjennes av Datatilsynet. Bransjenormen kan dermed benyttes for å dokumentere at en virksomhet følger personvernreglene.

Hva ligger i begrepet «informasjonssikkerhet»?

Datatilsynet definerer i sammenheng med GDPR informasjonssikkerhet som «sikring av opplysninger ved å bruke prinsippene om konfidensialitet, integritet og tilgjengelighet».

Hva er en personvernerklæring?

Først og fremst forteller personvernerklæringen på en enkel og forståelig måte hvilke data som lagres og hvorfor og hvordan. Det stilles sterkere krav til tilgjengeligheten, språkmessig og ellers, enn tidligere, og må tilpasses ulike målgrupper. Registrerer dere personopplysninger om barn, må også barn kunne forstå personvernerklæringen.

Hva er et personvernombud?

Personvernombudet er virksomhetens bindeledd mellom ledelsen, de registrerte og Datatilsynet (tilsynsmyndigheten). Det kan være en ansatt, eller en profesjonell tredjepart. Vi tilbyr personvernombud som en tjeneste for virksomheter der det ikke er hensiktsmessig med egne ansatte personvernombud.