GDPR-regler og personvern – hva betyr dette for deg og din bedrift?

GDPR står for General Data Protection Regulation, også kalt personvernforordningen. I Norge gjelder den gjennom personopplysningsloven, og er dermed en del av vår nasjonale lovgivning. Formålet er å styrke personvernet ved å regulere hvordan virksomheter behandler personopplysninger.

En personopplysning er enhver opplysning som kan knyttes til en levende, fysisk person – for eksempel navn, e-postadresse, telefonnummer, men også sensitive data som helseopplysninger eller politiske meninger.

Når vi snakker om GDPR i Norge, handler det om hvordan EUs regelverk er tatt inn i vår egen lov. Alle virksomheter som behandler personopplysninger må følge reglene, uavhengig av størrelse.

GDPR pålegger virksomhetene blant annet å:

• Dokumentere behandlingsaktiviteter.
• Ha et rettslig grunnlag for behandling (samtykke, avtale, lovpålagt plikt).
• Sikre innebygd personvern i systemer og rutiner.
• Ha databehandleravtaler med leverandører.
• Ha rutiner for sletting og avvikshåndtering.

Brudd på disse reglene kan gi gebyrer på flere millioner kroner.

Selv om GDPR har bredt virkeområde, gjelder den ikke alltid. Eksempler:

• Privat bruk (for eksempel en adressebok).
• Myndighetenes arbeid med forebygging eller etterforskning av straffbare forhold.
• Journalistikken, litteraturen eller akademiske formål.

GDPR gir enkeltpersoner en rekke rettigheter:

• Rett til innsyn – du kan se hvilke opplysninger en virksomhet har om deg.
• Rett til retting – uriktige opplysninger kan endres.
• Rett til sletting – ofte kalt «retten til å bli glemt».
• Rett til begrensning – du kan begrense hvordan data brukes.
• Rett til dataportabilitet – du kan flytte data mellom systemer.
• Rett til å protestere – mot visse behandlinger.
• Rett ved automatiserte avgjørelser – et dataprogram kan ikke alene fatte store avgjørelser om deg.

I 2020 kom den såkalte Schrems II-dommen fra EU-domstolen. Den satte et klart punktum for den tidligere avtalen «Privacy Shield», som tillot fri overføring av personopplysninger til USA.

Dette betyr at bruk av tjenester som Google Analytics, Microsoft 365 og ulike skytjenester kan være problematisk, fordi amerikanske lover gir myndighetene tilgang til data – også når serverne står i Europa.

Norske bedrifter må derfor gjøre grundige risikovurderinger og iverksette «ytterligere tiltak» dersom de vil bruke slike tjenester.

Send oss en henvendelse under, så tar vi kontakt:

Et brudd på personvern kan være alt fra manglende sletting av data til ulovlig deling eller feil bruk av personopplysninger. Konsekvensene kan være:

• Administrative bøter fra Datatilsynet.
• Erstatningskrav fra de som er rammet.
• Alvorlig skade på bedriftens omdømme.

I enkelte saker kan erstatning ved brudd på personvern bli en tung økonomisk belastning.

Arbeidsgivere må ha rutiner for behandling av ansattes opplysninger. Dette gjelder blant annet:

• Lønnssystemer og personalmapper.
• E-post og kommunikasjonsplattformer.
• Kameraovervåkning på arbeidsplassen.

Feil håndtering kan raskt føre til personvernbrudd og konflikter.

Mange bedrifter tror de har kontroll på GDPR, men realiteten er at feil ofte oppdages først ved en tilsynssak eller klage. Da kan det være for sent.

En advokat som kan personvern kan:

• Gjennomgå rutiner og systemer.
• Utarbeide databehandleravtaler.
• Gi råd ved internkontroll og risikovurdering.
• Bistå i konflikter med Datatilsynet eller i erstatningssaker.

Jo tidligere du tar kontakt, desto større mulighet har vi for å hjelpe deg.

• Mangler oversikt over hvilke personopplysninger de faktisk behandler.
• Bruker leverandører uten gyldige databehandleravtaler.
• Har uklare rutiner for sletting av data.
• Overfører data til USA uten å vurdere risiko etter Schrems II.
• Tror at GDPR kun gjelder «store selskaper».

Datatilsynet har de siste årene økt kontrollene betydelig. Flere norske virksomheter har fått bøter på millionbeløp. Dersom din bedrift ikke har kontroll på GDPR-reglene, bør du handle nå – før det kommer en kontroll eller et brudd oppdages.