3 minute read
FEM MYTER OM GDPR
Du har kanskje merket at du stadig får e-poster om personvern? Det kan være nettsteder som vil ha ditt samtykke, bedrifter som ber deg lese oppdaterte personvernerklæringer og systemer som vil gi deg beskjed om at du er registrert hos dem. Er dette virkelig nødvendig? Må vi sette oss inn i alt? Hvem gjelder egentlig dette? Vi har samlet 5 myter om personvern.
«Den nye forordningen er kun byråkrati»
Advertisement
GDPR er først og fremst et lovverk for å styrke rettighetene til «vanlige folk». GDPR kaller oss for «de registrerte». Regelverket medfører noen plikter for bedrifter som henter inn informasjon om oss. De kaller disse bedriftene for «behandlingsansvarlige».
Retningslinjer for hvordan våre personopplysninger behandles er et veldig viktig sikkerhetstiltak i et samfunn som i stor grad digitaliseres. Dette er fire nye rettigheter som GDPR gir Europas innbyggere:
Rettigheten til å få behandlingen begrenset
Retten til dataportabilitet
Retten til å motsette seg en behandling
Rettigheter til å motsette deg profilering og automatiserte avgjørelser «Vi trenger ikke ta dette så alvorlig, vi behandler nesten ikke personopplysninger»
GDPR gjelder for alle som behandler personopplysninger i strukturert form. En personopplysning er all informasjon som kan bukes til å identifisere deg som person. F.eks: navn, adresse, telefonnummer, e-postadresse, bilder, fingeravtrykk og fødselsnr. Registreres slike, eller liknende opplysninger i din bedrift, er bedriften behandlingsansvarlig og dere er omfattet av regelverket.
«Det blir forbudt å behandle personopplysninger»
Å behandle personopplysninger er i de fleste tilfeller helt nødvendig for å kommunisere, administrere en bedrift eller f.eks utbetale lønn. Heldigvis er reglene bygget opp rundt disse behovene. Det er altså ikke forbudt å behandle personopplysninger, men du må først tenke gjennom hvorfor det er nødvendig. Er formålet forenelig med et lovlig grunnlag, er det i tråd med GDPR. Følgende behandlingsgrunnlag er oppgitt som lovlige:
den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål
behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse
behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser
behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt
behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn
«Samtykke er det sikreste grunnlaget»
Det er strenge krav til hva som er et gyldig samtykke, og kort fortalt bør samtykke brukes kun der andre lovlige grunnlag ikke er dekkende. Her er noen punkter som du må tenke gjennom før du benytter deg av samtykke som behandlingsgrunnlag:
1. Samtykket må være frivillig, dvs. at det ikke skal være fordeler eller ulemper ved å samtykke til behandlingen. Det må være like lett å trekke samtykke som det er å gi det. Trekkes samtykke, må behandlingen opphøre og opplysningene må slettes. 2.
3.
Samtykket skal gis til ett spesifikt formål av gangen.
Samtykket skal være utvetydig og gis aktivt av den registrerte, ved avhuking skal f.eks ikke samtykke være automatisk utfylt, men stå åpen slik at man selv huker av.
4. Den registrerte må få tydelig informasjon om hva det samtykkes til.
«Vi kan beholde personopplysninger så lenge ingen ber oss slette»
Retten til å bli glemt er sentral i GDPR, dette innebærer at behandlingsansvarlig må slette personopplysninger dersom den registrerte ber om det, men kun hvis det ikke foreligger pågående grunnlag for behandling.
I tillegg til dette må alle ha en plan for hvor lenge det er nødvendig å lagre personopplysningene som behandles. Hvor lenge er det nødvendig å ta vare på arbeidsavtaler, timeregistreringer eller medarbeidersamtaler etter at en ansatt har sluttet? For noen opplysninger setter lovverket krav til arkivering, andre opplysninger er nødvendig for bedriftens historikk.
Det er den behandlingsansvarlige som skal gjøre disse vurderingene og sette frister for sletting. Når formålet er over, skal opplysningene slettes.
Les mer om vår GDPR-tjeneste her!
