Hva er GDPR, og hva betyr det for din forretning?

Publisert: 20.07.2019

Alle snakker om GDPR og blant mange blir det fremstilt som noe farlig som nærmest kan «drepe deg» med sitt strenge maksimale bøte-nivå. GDPR er en felles EU-forordning som påvirker organisasjoner over hele verden.

Av: Torger Bjørnstad

I denne artikkelen forklarer vi hvorfor vi trenger GDPR og hvordan GDPR påvirker din forretning. Hvordan skal du forholde deg til «artiklene» i GDPR?

Måten vi kommuniserer på er i endring og dag for dag tas det nye skritt. Det som var manuelt i går, betjenes kanskje av en robot i morgen. Det stiller krav til hvordan vi behandler data om personer, både nye og eksisterende kunder.

Vi kommuniserer digitalt. Vi sender e-post, deler dokumenter, betaler regninger og handler varer, og hver gang oppgir vi personopplysninger på Internett uten å ofre det en tanke.

Etterhvert har det blitt enorme mengder personlig informasjon som er lagret på Internett. Det inkluderer bankopplysninger, kontakter, adresser, innlegg i sosiale medier, IP-adressen din og nettsidene du har besøkt – alt lagres digitalt.

Selskaper forteller deg at de samler inn denne typen informasjon slik at de kan yte bedre service og tilby mer målrettet og relevant kommunikasjon, alt for å gi deg en bedre kundeopplevelse – uten at du egentlig vet hva denne informasjonen brukes til.

Eller forstår konsekvensene av bruken?

Derfor trenger vi GDPR som ble innført for et år siden.

 

Hva er GDPR?

Forordningen *) er felles i hele EU og EØS-området. Den gjelder for alle selskaper som selger til – og lagrer personlig informasjon om europeiske statsborgere, inkludert selskaper på andre kontinenter. Den gir innbyggere i EU og EØS større kontroll over sine egne personopplysninger og sikrer at informasjonen beskyttes i hele Europa.

GDPR-forordningen definerer all informasjon som kan relateres til en person, f.eks. navn, bilde, e-postadresse, bankopplysninger, innlegg i sosiale medier, informasjon om din nåværende og/eller tidligere plasseringer, helseinformasjon eller IP-adressen til datamaskinen din.

Det skilles ikke mellom personopplysninger for private, offentlige, jobb eller forretningen du driver som direkteselger – også i en B2B-situasjon er det enkeltpersoner som deler informasjon med og om hverandre. (Kundene i B2B-markedet er åpenbart selskaper, men relasjonene som håndterer forretningene består av enkeltpersoner.)

Slik gis enkeltpersoner sine rettigheter:

  1. Det må gis samtykke

Virksomheter kan ikke behandle personopplysninger om enkeltpersoner uten at hver enkelt fritt har gitt en spesifikk, informert og klar indikasjon på samtykke, enten via en erklæring eller via en tydelig «bekreftende handling».

  1. Rett til tilgang

Loven gir enkeltpersoner rett til å kreve tilgang sine personopplysninger og til å vite hvordan informasjonen brukes av selskapet etter at den er samlet inn. Selskapet skal levere ut en kopi av disse personopplysningene, uten kostnad og i elektronisk format, dersom enkeltpersonen ber om dette.

  1. Rett til å bli glemt

Hvis forbrukere ikke lenger er kunder, eller hvis de trekker tilbake samtykket de har gitt et selskap for å bruke personopplysninger, har forbrukeren rett til å få informasjonen slettet.

  1. Rett til å overføre data 

Individer har rett til å overføre opplysninger fra en tjenesteleverandør til en annen. Og dette må skje i et vanlig og maskinlesbart format.

  1. Rett til å bli informert

Dette dekker alle typer innsamling av personopplysninger av selskaper, og enkeltpersoner må informeres før opplysningene samles inn. Forbrukerne må godkjenne at personopplysninger samles inn, og samtykke skal gis aktivt, ikke være underforstått.

  1. Rett til å korrigere informasjon

Dette sikrer at enkeltpersoner kan oppdatere informasjonen hvis den er utdatert, ufullstendig eller feilaktig.

  1. Rett til begrenset behandling 

Enkeltpersoner kan be om at deres opplysninger ikke brukes i databehandling. Informasjonen kan fortsatt lagres men den skal ikke brukes.

  1. Rett til å motsette seg behandling

Dette inkluderer retten til å motsette seg behandling av personopplysninger til bruk i direkte markedsføring. Det er ingen unntak for denne regelen, og all behandling må stoppes så fort denne forespørselen er mottatt. Denne rettigheten må kommuniseres tydelig til enkeltpersoner i starten av enhver kommunikasjon.

  1. Rett til å bli varslet

Hvis det har vært datainnbrudd som kan få følger for enkeltpersoners opplysninger, har personen rett til å få vite dette i løpet av 72 timer etter at innbruddet ble oppdaget.

GDPR er EUs måte å gi individer, enten de er prospekter, kunder, underleverandører eller ansatte mer oversikt og kontroll over sine egne personopplysninger og redusere makten til organisasjonene som samler inn og bruker slike opplysninger for egen vinning (egen fortjeneste). Det er ikke et forsøk på å forhindre eller komplisere forretningen, men skape mer bevissthet og åpenhet rundt hvordan personopplysninger lagres og brukes.

 

Denne artikkelen tar utgangspunkt i hvordan forskrifter og lov var da GDPR ble innført i Norge 20. juli 2018. Kilder: Superoffice, Europalov og Wikipedia.

 *) Forordning i EU er betegnelsen på de lover (rettsakter) som i sin helhet får bindende virkning i medlemsstatene, fra det tidspunkt som er bestemt. Det er ikke nødvendig med ytterligere gjennomføring i de enkelte medlemsland. 

 Norge og andre EØS-land er forpliktet til å gjennomføre forordninger som innlemmes i EØS-avtalens vedlegg. Gjennomføringen i Norge skjer gjennom forskrifter eller lov.

 Merk:Innholdet i denne artikkelen kan ikke betraktes som juridisk rådgivning men innholdet kan du betrakte som god informasjon.