Hva er General Data Protection Regulation (GDPR) ?

xpeamedia.no

Driver du eller har du tenkt til å drive eget selskap? Da har du sikkert hørt om begrepet GDPR? Ikke? Da bør du lese videre.

Hva er GDPR?
General Data Protection Regulation (GDPR), eller på norsk Personvernforordningen, er et sett med lover som ble utformet for å styrke personvernet og skjerper kravene til virksomheter som behandler personopplysninger. Forordningen er et sett regler som gjelder for alle EU/EØS-land. GDPR ble offisielt godkjent av Europaparlamentet i 2016. Etter dette fikk alle selskaper å organisasjoner 2 år på seg til å etterkomme og tilrettelegge seg alle de nye reglene. Siden 25. Mai 2018, vil alle bedrifter som ikke følger de nye GDPR-reglene bryte loven og straffes med store bøter og konsekvenser.

Hvem blir påvirket av GDPR?
GDPR gjelder alle organisasjoner som opererer i EU eller de som behandler “personidentifiserbare data” fra EU-innbyggere. Personopplysninger er all informasjon som er personlig identifiserbar for et levende individ, for eksempel et navn, et identifikasjonsnummer, stedsdata eller en online identifikator.

Trenger nettsiden min retningslinjer for personvern?
ALLE nettsteder samhandler med brukerdata på noen måte. Dette betyr at hvis du har et nettsted og du har tenkt å få folk til å besøke det nettstedet, er det obligatorisk at du inkluderer en personvernserklæring. Loven krever at du informerer brukerne om hvilke data du samler inn, hvordan de brukes, lagres og beskyttes. Faktisk, i henhold til den nye GDPR-lovgivningen er det også nødvendig at personvernreglene dine informerer brukerne om deres rettigheter med hensyn til deres data. Informasjonen skal være transparente, lett forståelige, omfattende og oppdaterte. Unnlatelse av å oppfylle myndighetskrav kan føre til store bøter. Denne forskriften gjelder for alle organisasjoner (inkludert ideelle organisasjoner) som får tilgang til data eller tilbyr varer eller tjenester til mennesker i EU. GDPR gjelder enten organisasjonen din er lokalisert i EU eller ikke. Ikke bare er en personvernpolitikk avgjørende for å sikre at juridiske krav blir oppfylt og kundenes tillit opprettholdes, men mange tredjepartsapper og -tjenester krever det. Et eksempel er Google. For å få tilgang til visse tjenester og verktøy (for eksempel AdSense, Google Analytics osv.), Krever Google at du har en omfattende og oppdatert personvernserklæring på plass på nettstedet ditt.

Hva vil dine retningslinjer for personvern inneholde?
Dine retningslinjer for personvern vil inneholde en forklaring av 5 nødvendige ting:

  1. Hva slags informasjon du samler
  2. Hvordan denne informasjonen samles
  3. Hvordan informasjonen er lagret og beskyttet
  4. Retting og sletting av personopplysninger
  5. Rettigheter til innsyn i data

Finnes det forskjell på innsamlet informasjon?
Ja – retningslinjene for personvern skiller mellom Personlig identifiserbar informasjon og ikke-privat informasjon.

Personlig identifiserbar informasjon er definert som:
«All informasjon om en enkeltperson vedlikeholdt av et byrå, gjelder også (1) all informasjon som kan brukes til å skille eller spore en enkeltperson sin identitet, som navn, personnummer, fødselsdag og fødested, mor sitt pikenavn, eller biometrisk informasjon; og (2) all annen type informasjon som er knyttet eller kan knyttes til en enkeltperson, som medisinsk, utdannelse, finansiell, og arbeidsinformasjon.»

  • Fornavn & Etternavn
  • Fysiske adresser
  • E-post adresse
  • Telefonnumre
  • Personnummer
  • Al annen kontaktinformasjon som deles med en bedrift, enten fysisk eller online
  • Detaljer om fysisk utseende(Høyde,vekt,hårfarge)
  • All annen informasjon som er lagret online som kan identifisere en person

Mens ‘ikke-privat informasjon’ er definert som:

«Informasjon som kan tilsvare til en bestemt person, konto eller profil, men kan ikke identifisere, kontakte, eller finne personen som informasjonen vedrører.»

Dersom jeg ikke utgir retningslinjer for personvern på nettsiden min, kan det bli konsekvenser?
Det er straffbart å samle data uten at brukeren eller besøkende på ditt nettsted vet det. Du må oppgi nøyaktig hvilken type informasjon du samler, og jevnlig oppdatere dine retningslinjer for personvern hvis denne informasjonen endres. Dersom du ikke gjør det, vil du møte en betydelig bot på 20 millioner euro eller 4% av dine globale inntekter.

Hva slags type data havner under GDPR?
All type informasjon som er klassifisert som personlig informasjon som kan brukes til å identifisere en EU-borger er beskyttet av GDPR. Eks:

  • Fornavn & Etternavn
  • Fysiske adresser
  • E-post adresse
  • Telefonnumre
  • Personnummer
  • Al annen kontaktinformasjon som deles med en bedrift, enten fysisk eller online
  • Detaljer om fysisk utseende(Høyde,vekt,hårfarge)
  • All annen informasjon som er lagret online som kan identifisere en person

Mindreårige kan ikke lovlig gi samtykke til å bruke deres personlige data; derfor må foreldre eller foresatte til barn under 16 bli spurt for tillatelse før et selskap kan bruke mindreårige sin informasjon.

Hvorfor burde selskaper overholde GDPR?
Alle bedrifter som ikke overholder GDPR fra 25. mai 2018 vil bli utsatt for store bøter av EU for opptil 4% eller 20 millioner euro av de globale inntektene, den som er høyest. Det er flere straffer, avhengig av hvor stor overtredelsen er. Kanskje enda mer viktig, selskaper som ikke overholder GDPR vil møte et tap av troverdighet på markedet. Bedrifter som har GDPR på plass og som tar sine besøkende,kunder og potensielle kunder sitt personvern på alvor vil skape større tillit en de som ikke gjør det. Når folk føler seg trygge, er de mer villige til å gjøre forretninger med organisasjonen. Å følge GDPR lovene er ikke bare loven – det er god business og skaper trygghet.

Hva skjer dersom det er et datainnbrudd?
Dersom det er et datainnbrudd, som er når en utenforstående får tilgang til en enkeltperson sin informasjon uten tillatelse, krever GDPR lovene at selskapet gir beskjed til de aktuelle databeskyttelses myndighetene innen 72 timer. Firmaet må også gi beskjed til de berørte så fort som mulig. Det er viktig å vite at GDPR reglene sitt hovedmål er å beskytte brukere sin private informasjon.

Hvordan vil de nye retningslinjene for personvern se ut?
Nå som du forstår resonnementet for lovene og det grunnleggende om lovene selv, har du her noen retningslinjer om hvordan du kan skrive dine retningslinjer for personvern på en GDPR kompatibel måte.

  1. Vær sikker på at retningslinjene er korte og konsis. Retningslinjene for personvern må ha tre grunnleggende elementer: de må være konsise og lett tilgjengelige; de må være skrevet på et helt klart og på et enkelt språk som selv et barn kunne forstått; og det må være gratis.
  2. Forklar din bruk av informasjonen.Beskriv hva du sjal gjøre med informasjonen med en gang du samler den. For eksempel forklar om du skal bruke den for markedsføringstiltak eller selge den til tredjeparter.
  3. Forklar din bruk av “cookies”.Dersom du bruker “cookies” for online atferdsannonser, som sporer besøkere sine interesser og vaner på nett, må du la informere dine nettsidebesøkere.
  4. Vær klar på om deling av data med tredjeparter. Vær klar på hvem du vil dele informasjonen du samler med og for hvilket formål. Når det er lovlig å dele informasjon om enkeltpersoner med revisorer, sosiale nettverk, og leverandører av kundeservice, for å nevne noen, det er ikke ulovlig å informere dine nettsidebesøkere.
  5. Forklar enkeltpersonens rettigheter. Du er påbudt til å forklare hvilke personvernsrettigheter dine besøkere har. Rettighetene deres inneholder de følgende:
  • Det må gis samtykke
  • Rett til tilgang
  • Rett til å bli glemt
  • Rett til å overføre data
  • Rett til å bli informert
  • Rett til å motsette seg behandling
  • Rett til å bli varslet

Vi vet at GDPR kan virke skummelt, avansert og frustrerende. Ønsker du hjelp til å bli GDPR kompatibel for din nettside er det bare å ta kontakt.