Hva er GDPR? En enkel guide til EUs personvernregelverk

Hvis organisasjonen din samler inn, bruker eller sporer personopplysninger fra personer i EU, gjelder personvernforordningen (GDPR). Det spiller ingen rolle hvor selskapet ditt har hovedkontor: denne europeiske personvernloven har global rekkevidde og endrer måten bedrifter håndterer personopplysninger på.

Personvernforordningen ble vedtatt i 2016 og trådte i kraft i mai 2018. Den fastsetter klare regler for hva som regnes som personopplysninger, hvordan de kan brukes og hvilke rettigheter enkeltpersoner har over opplysningene om dem.

Denne veiledningen beskriver hva personvernforordningen er, hvem den gjelder for og hva bedrifter må vite for å overholde regelverket.

Hva er personvernforordningen, enkelt forklart?

Personvernforordningen er en personvernlov i EU som beskytter personopplysningene til personer i EU. Dette omfatter all informasjon som kan identifisere noen direkte eller indirekte, som for eksempel navn, e-postadresser, IP-adresser eller informasjonskapsler.

Personvernforordningen gir folk større kontroll over sine egne opplysninger. Den pålegger også bedrifter å behandle disse opplysningene på en rimelig måte, forklare hvorfor de samler dem inn og sikre dem. Den erstattet eldre EU-dataregler da den trådte i kraft 25. mai 2018.

Bakgrunnen for innføringen av personvernforordningen

Før personvernforordningen trådte i kraft, var personvern i EU basert på personverndirektivet fra 1995. Den gang var internett nytt, og bedriftene håndterte langt mindre personopplysninger. Etter hvert som teknologien utviklet seg og nettbaserte tjenester ble en del av hverdagen, ble det klart at de gamle reglene ikke lenger var tilstrekkelige.

I 2012 foreslo EU-kommisjonen ny lovgivning for å styrke personvernrettighetene og tilpasse seg den digitale økonomien. Etter flere års diskusjon ble personvernforordningen vedtatt i 2016 og trådte i kraft i 2018.

I motsetning til det eldre direktivet gjelder det direkte i alle EU-land, og setter ensartede standarder og gir folk sterkere rettigheter over personopplysningene sine.

Personvern er viktigere enn noensinne i en digitalisert verden, og lover som GDPR er utformet for å gi brukerne kontroll over sine egne data igjen.

Hvem personvernforordningen gjelder for

Personvernforordningen gjelder for alle organisasjoner som samler inn, bruker eller lagrer personopplysninger om personer i EU, uavhengig av om selskapet er basert innenfor eller utenfor Det europeiske økonomiske samarbeidsområdet (EØS). Loven følger opplysningene, ikke selskapets beliggenhet.

Forordningen definerer to sentrale roller:

• Behandlingsansvar: Bestemmer hvorfor og hvordan personopplysninger behandles.
• Databehandling: Behandler opplysninger på vegne av den behandlingsansvarlige, for eksempel skyleverandører eller betalingsformidlere.

Bedrifter i EØS

EØS omfatter de 27 EU-medlemslandene samt Island, Liechtenstein og Norge. Enhver organisasjon som er etablert innenfor EØS, må overholde personvernforordningen ved behandling av personopplysninger, selv om behandlingen foregår utenfor Europa. For eksempel må et selskap med base i Norge som bruker servere i USA, likevel følge reglene i personvernforordningen.

Bedrifter utenfor EØS

Det at en organisasjon befinner seg utenfor EØS, fritar den ikke fra å følge personvernforordningen. Hvis virksomheten din behandler personopplysninger om personer bosatt i EU på følgende måter, gjelder loven likevel:

• Tilbyr varer eller tjenester til personer i EU, enten gratis eller mot betaling.
• Overvåker atferden til personer i EU, for eksempel ved å spore nettaktivitet gjennom informasjonskapsler eller profilering

For eksempel må en utdanningsplattform med base i USA, men som retter seg mot universitetsstudenter i Norge, overholde personvernforordningen. Og ethvert selskap utenfor EØS som fungerer som databehandler for et selskap innenfor EØS, må også overholde den.

Hvis en tjeneste bare tilfeldigvis er tilgjengelig fra EU, uten å rette seg spesifikt mot EU-brukere eller behandle deres personopplysninger, kan den falle utenfor personvernforordningens virkeområde. Men hvis et selskap ikke gjør noen tydelig innsats for å ekskludere EU-innbyggere, kan tilsynsmyndighetene likevel bestemme at personvernforordningen gjelder.

Det finnes også noen få spesifikke typer data som er unntatt fra forordningen, inkludert data som samles inn for nasjonale sikkerhetsformål, rettshåndhevelsesformål eller rent personlige, innenlandske formål.

Hva regnes som personopplysninger under personvernforordningen?

I henhold til personvernforordningen er personopplysninger all informasjon som knytter seg til en levende person som kan identifiseres direkte eller indirekte. Eksempler på dette er:

• Fullt navn
• Hjemmeadresse
• E-postadresser som inneholder personens navn
• Personnummer eller passnummer
• IP-adresser
• ID-nummer for informasjonskapsler
• Annonse-ID-er på enheter
• Helseopplysninger

Personvernforordningen skiller også mellom pseudonymiserte opplysninger, som fortsatt kan knyttes til en bestemt person, og fullstendig anonymiserte opplysninger, som ikke kan det. Kun sistnevnte faller utenfor forordningens virkeområde.

I tillegg definerer personvernforordningen særlige kategorier av personopplysninger, som for eksempel etnisk opprinnelse, religiøs overbevisning, politiske meninger og biometriske opplysninger. Behandling av denne typen opplysninger er forbudt, med unntak av svært spesifikke omstendigheter, på grunn av den økte risikoen som er forbundet med dette.

Hva er det rettslige grunnlaget for behandling av personopplysninger?

Personvernforordningen tillater ikke at organisasjoner behandler personopplysninger bare fordi de ønsker det. Det må foreligge en klar, rettslig grunn, og forordningen definerer seks alternativer:

• Samtykke: Når noen har gitt klart samtykke til at opplysningene deres skal brukes. Samtykket må være frivillig, konkret og enkelt å trekke tilbake. Taushet rundt dette og bokser som er avmerket på forhånd, er ikke akseptabelt.
• Kontrakt: Behandlingen er nødvendig for å oppfylle en kontrakt med den enkelte (for eksempel behandling av betalingsinformasjon for å fullføre et kjøp).
• Plikt ved lov: Noen ganger krever loven at en organisasjon behandler personopplysninger, for eksempel når sykehus er pålagt å oppbevare medisinske journaler.
• Livsviktige interesser: Behandling av data er nødvendig for å beskytte noens liv, for eksempel i en medisinsk nødsituasjon.
• Offentlig oppgave: Databehandling er nødvendig for å utføre en offisiell plikt eller oppgave i allmennhetens interesse (ofte relevant for offentlige instanser).
• Berettigede interesser: Tillater organisasjoner å behandle data hvis de har en gyldig grunn som ikke overstyrer den enkeltes rettigheter, for eksempel bruk av data for å opprettholde datasikkerhetssystemer.

De 7 hovedprinsippene i personvernforordningen

Personvernforordningen bygger på syv sentrale prinsipper som fastsetter hvordan personopplysninger skal behandles. Disse prinsippene setter standardene for rimelighet, sikkerhet og ansvarlighet ved behandling av opplysninger.

1. Lovlighet, rimelighet og åpenhet

Dette prinsippet innebærer at data kun skal samles inn og brukes av gyldige grunner som er tillatt i henhold til personvernforordningen, for eksempel ved at man har personens samtykke eller trenger opplysningene for å kunne levere en tjeneste. Det innebærer også at data må brukes på en rimelig måte, uten å villede folk eller bruke opplysningene deres på måter de ikke ville forventet. Til slutt er åpenhet sentralt: organisasjoner må på en enkel måte forklare hvilke data de samler inn, hvorfor og hvordan de har tenkt å bruke dem.

2. Formålsbegrensning

I henhold til personvernforordningen kan personopplysninger kun samles inn til et bestemt og klart formål. Organisasjoner må informere den registrerte om hvorfor opplysningene samles inn på det tidspunktet de innhentes. Når opplysningene er innhentet, kan de ikke brukes til formål som ikke er forenlige med det opprinnelige formålet.

3. Minimering av personopplysninger

Personvernforordningen krever at organisasjoner kun samler inn personopplysninger som er nødvendige for et bestemt formål. Dette prinsippet bidrar til å begrense hvor mye data som lagres om en person, noe som reduserer risikoen dersom disse opplysningene skulle gå tapt eller bli misbrukt. Det sikrer at datainnsamlingen forblir målrettet og relevant.

4. Nøyaktighet

Personopplysninger skal være korrekte. Hvis en organisasjon lagrer opplysninger om en person, må den sørge for at opplysningene er korrekte og oppdateres ved behov. Hvis opplysningene endres eller det oppdages feil, er organisasjonen ansvarlig for å rette dem. Å holde opplysningene korrekte bidrar til å unngå feil som kan få konsekvenser for enkeltpersoner, særlig når opplysningene brukes til å ta beslutninger som angår dem.

5. Lagringsbegrensning

Organisasjoner bør ikke lagre personopplysninger lenger enn det er nødvendig. Når opplysningene har tjent sitt formål, bør de slettes eller anonymiseres. Dette prinsippet sikrer at opplysninger ikke oppbevares «for sikkerhets skyld» uten en klar grunn. Det bidrar også til å redusere risikoen forbundet med unødvendig lagring av informasjon, som for eksempel datainnbrudd eller problemstillinger knyttet til personvern.

6. Integritet og konfidensialitet

Det er viktig å sikre personopplysninger. Organisasjoner må beskytte dem mot innsyn, tyveri eller endringer fra personer som ikke skal ha tilgang. Dette innebærer at man må ha gode sikkerhetstiltak på plass for teknologi og databehandling.

7. Ansvarlighet

Ansvarlighet innebærer at organisasjoner ikke bare forventes å følge reglene i personvernforordningen, men også å kunne bevise at de gjør det. Dette innebærer å vise at de har iverksatt relevante tiltak for å beskytte personopplysninger, for eksempel ved å føre logg over hvordan de behandler opplysningene, gi opplæring til ansatte og innføre personvernregler.

Brukeres rettigheter i henhold til personvernforordningen

Rett til informasjon

Du har rett til å vite når en organisasjon samler inn personopplysningene dine og hvorfor. Dette innebærer at bedrifter må være tydelige fra starten av om hvilke opplysninger de samler inn, hvordan de har tenkt å bruke dem og hvem de kan komme til å dele dem med.

Informasjonen skal være lett å forstå, slik at du kan ta en informert beslutning på om du er komfortabel med å dele opplysningene dine.

Innsynsrett

Dette betyr at du kan spørre enhver organisasjon om hvilke personopplysninger de har om deg. Du kan be om å få tilsendt en kopi av opplysningene, samt informasjon om hvordan de brukes og hvem de deles med. Organisasjonene er forpliktet til å gi deg denne informasjonen innen rimelig tid.

Denne retten er imidlertid ikke ubegrenset; den må ikke gå på bekostning av andres rettigheter og friheter, herunder forretningshemmeligheter eller immaterielle rettigheter.

Endringsrett

Hvis noen av dine personopplysninger som en organisasjon har lagret er feil eller ufullstendige, har du rett til å be om at de blir rettet. Enten det dreier seg om et feilstavet navn, en utdatert adresse eller manglende opplysninger, skal organisasjonen rette opp i dette.

Rett til sletting (retten til å bli glemt)

Du kan be en organisasjon om å slette personopplysningene dine når det ikke lenger er noen god grunn til at de skal lagre dem. Dette kalles ofte «retten til å bli glemt». Den gjelder når opplysningene ikke lenger er nødvendige for det formålet de ble samlet inn til, eller når organisasjonen har håndtert opplysningene dine på en ulovlig måte.

Denne retten er imidlertid ikke absolutt, da bedrifter kan beholde opplysningene hvis de har en lovpålagt plikt til å lagre dem eller av andre gyldige grunner.

Rett til å begrense bruken

Denne retten gir deg mulighet til å be en organisasjon om å begrense bruken av personopplysningene dine. Du kan be om dette hvis du mener at opplysningene er uriktige, hvis de er håndtert på ulovlig vis, eller hvis organisasjonen ikke lenger har behov for dem, men du ønsker at de skal lagre dem med tanke på et eventuelt rettslig krav. Så lenge begrensningen gjelder, kan organisasjonen lagre opplysningene, men kan ikke bruke dem til andre formål med mindre du gir tillatelse til det eller det foreligger rettslige grunner til det.

Rett til dataportabilitet

Denne retten gir deg mulighet til å få en kopi av personopplysningene dine i et brukervennlig format. Du kan også be om at opplysningene sendes direkte til en annen organisasjon, dersom dette er teknisk mulig. Hensikten er å gi deg større kontroll over informasjonen din, slik at det blir enklere å bytte tjeneste eller flytte informasjonen din til et annet sted uten å måtte starte helt på nytt.

Innsigelsesrett

Du har rett til å protestere mot hvordan personopplysningene dine blir brukt, særlig når det gjelder direkte markedsføring. Hvis du protesterer, må organisasjonen slutte å bruke opplysningene dine, med mindre de kan påvise at de har en tungtveiende, legitim grunn til å fortsette håndteringen.

Rettigheter knyttet til automatisert beslutningstaking

Du har også rett til å bestride avgjørelser som er truffet kun med automatiserte prosesser, særlig hvis avgjørelsen har betydelige konsekvenser, for eksempel rundt om du får innvilget et lån eller får en jobb. Personvernforordningen gir deg rett til å be om menneskelig involvering i slike tilfeller; du kan be om at noen vurderer avgjørelsen i stedet for at den utelukkende overlates til algoritmer eller automatiserte systemer.

Hva er samtykke under personvernforordningen, og hvordan innhentes det?

Samtykke under personvernforordningen må oppfylle strenge krav for å være gyldig. For at det skal være gyldig, må samtykket ditt være:

• Gitt frivillig: Du må ha et reelt valg, uten press eller negative konsekvenser for å si nei.
• Konkret og informert: Organisasjonen må fortelle deg hvem de er, hvilke opplysninger de samler inn, hvorfor de trenger dem og hvordan de skal brukes.
• Entydig: Samtykket må komme til uttrykk gjennom en klar, bekreftende handling, for eksempel ved å krysse av i en rute eller signere et skjema. Taushet eller forhåndsavmerkede bokser teller ikke.

Folk har også rett til å trekke tilbake samtykket når som helst, og det skal være like enkelt som det var å gi det. Når samtykket er trukket tilbake, må selskapet slutte å bruke opplysningene dine til det formålet.

For tjenester rettet mot brukere under 16 år kreves det vanligvis foreldresamtykke, selv om noen EU-land har senket denne aldersgrensen til 13 år.

Hvordan bedrifter kan oppfylle kravene i personvernforordningen

Det er visse tiltak alle organisasjoner bør iverksette for å sikre at de overholder personvernforordningen og beskytter personvernet.

Register over behandlingsaktiviteter

Artikkel 30 i personvernforordningen krever at bedrifter dokumenterer hvordan de behandler personopplysninger. Denne dokumentasjonen bør omfatte formålet med behandlingen, hvilke typer opplysninger som samles inn, hvem opplysningene deles med, hvor lenge de lagres og hvilke sikkerhetstiltak som er iverksatt.

Selv om små bedrifter kan være unntatt dersom behandlingen er sporadisk og innebærer lav risiko, er det likevel viktig å føre slik dokumentasjon for å kunne bevise at man overholder personvernforordningen dersom myndighetene ber om det.

Konsekvensutredninger for personvern

Når et selskap planlegger å håndtere personopplysninger på en måte som kan utgjøre en høy risiko for enkeltpersoners rettigheter og friheter, må det gjennomføre en konsekvensutredning. Dette er obligatorisk i tilfeller som bruk av ny teknologi, overvåking av offentlige områder i stor skala eller omfattende behandling av særlige kategorier av personopplysninger.

Formålet med konsekvensutredning er å identifisere og redusere potensielle risikoer før databehandlingen påbegynnes. Dersom det fortsatt foreligger høy risiko til tross for de iverksatte tiltakene, må selskapet rådføre seg med datatilsynet – det nasjonale organet i hvert EU-land som har ansvar for å håndheve overholdelsen av personvernforordningen – før det går videre.

Utnevnelse av personvernansvarlig

Noen organisasjoner er pålagt å utpeke en datavernansvarlig i henhold til personvernforordningen. Denne personen har ansvaret for å overvåke hvordan personopplysninger behandles i selskapet og sikre at kravene i personvernforordningen overholdes.
Du må utpeke en datavernansvarlig hvis:

• Du regelmessig eller systematisk observerer brukere i stor skala, for eksempel ved å spore atferd på nettet.
• Du behandler spesielle kategorier av personopplysninger, som helse-, genetiske eller biometriske data, i stor skala.
• Du er en offentlig myndighet eller et offentlig organ (med unntak av domstoler eller uavhengige rettsinstanser).

Datavernansvarlig kan være en ansatt eller en ekstern ekspert engasjert gjennom en tjenesteavtale. Uansett må vedkommende arbeide uavhengig, gi råd til ansatte, føre tilsyn med personvernstiltak og fungere som hovedkontaktpunkt overfor datatilsynsmyndigheter.

Sikkerhetstiltak for dataoverføring

Ved overføring av personopplysninger utenfor EU krever personvernforordningen at bedrifter sørger for at opplysningene er underlagt samme beskyttelsesnivå. Bedrifter må iverksette sikkerhetstiltak for å sikre opplysningene og overholde standardene i personvernforordningen.

Det finnes flere godkjente måter å beskytte dataoverføringer på:

• Beslutninger om tilstrekkelighet: Data kan sendes til land som EU har fastslått tilbyr datavern på et tilstrekkelig nivå av.
• Kontraktsmessige sikkerhetstiltak: Bedrifter kan inkludere spesifikke klausuler i kontrakter med mottakere utenfor EU for å garantere datavern.
• Unntak: I noen tilfeller er overføringer tillatt dersom den enkelte har gitt uttrykkelig samtykke eller dersom det er nødvendig av kontraktsmessige årsaker.

Sikkerhetstiltak og kryptering i henhold til personvernforordningen

Organisasjoner må også innføre strenge sikkerhetstiltak for å beskytte personopplysninger mot uautorisert tilgang, endring eller tap. Dette omfatter tekniske tiltak, som kryptering, og organisatoriske tiltak, som for eksempel å begrense tilgangen til kun autorisert personell.

Kryptering spiller en sentral rolle i å beskytte personvernet og friheten i åpne samfunn, og er fortsatt et av de mest effektive virkemidlene mot datainnbrudd.

Rapportering av datainnbrudd

Dersom et datainnbrudd utgjør en risiko for enkeltpersoners rettigheter eller friheter, må bedrifter varsle den relevante datatilsynsmyndigheten innen 72 timer. Dersom risikoen er høy, må også de berørte personene informeres.

Manglende innrapportering av et datainnbrudd innen den fastsatte fristen kan gi straffereaksjon, og det er derfor viktig at bedrifter har klare rutiner på plass for å oppdage, vurdere og håndtere datainnbrudd på en effektiv måte.

Ansattes bevisstgjøring og opplæring

Overholdelse av personvernforordningen avhenger ikke bare av retningslinjer, men også av hvor godt de ansatte forstår og følger dem. De ansatte trenger tydelige retningslinjer og jevnlig opplæring for å kunne håndtere personopplysninger på en ansvarlig måte og respektere den enkeltes rettigheter. Denne bevisstheten i hele organisasjonen bidrar til å forhindre brudd og støtter det løpende arbeidet med å sikre etterlevelse.

Håndheving av personvernforordningen og sanksjoner ved brudd

Hvert land i EØS har en datatilsynsmyndighet som fører tilsyn med hvordan organisasjoner overholder personvernreglene. Disse myndighetene kan gjennomføre undersøkelser, be om dokumentasjon og til og med foreta inspeksjoner for å sikre at bedrifter oppfyller sine forpliktelser.

Hvis det konstateres at et selskap bryter personvernforordningen, kan straffene bli betydelige. De alvorligste bruddene kan føre til bøter på opptil 20 millioner euro eller 4 % av selskapets globale årlige omsetning. I tillegg til økonomiske straffer kan myndighetene også pålegge korrigerende tiltak, som for eksempel å beordre selskapet til å slutte å håndtere visse opplysninger eller å forbedre personvernstiltakene sine.

Disse håndhevelsesmyndighetene sikrer at overholdelse av personvernforordningen ikke er valgfritt. Bedrifter som behandler personopplysninger må ta dette ansvaret på alvor, ellers risikerer de kostbare konsekvenser.

Gjelder personvernforordningen i USA?

Personvernforordningen er en EU-forordning, men den gjelder ikke bare innenfor Europas grenser. Amerikanske bedrifter kan falle inn under forordningens virkeområde dersom de behandler personopplysninger om personer i EU. Dette innebærer at selv uten fysisk tilstedeværelse i Europa kan amerikanske selskaper likevel være pålagt å overholde personvernforordningen dersom deres virksomhet oppfyller visse kriterier.

Overholdelse av personvernforordningen for amerikanske selskaper

I henhold til artikkel 3 i personvernforordningen må amerikanske selskaper overholde regelverket dersom de enten har et forretningssted i EU eller tilbyr varer eller tjenester til personer i EU, selv om tjenesten er gratis. Overvåking av EU-borgeres atferd på nettet, for eksempel gjennom informasjonskapsler, sporing eller målrettet annonsering, fører også til at et amerikansk selskap faller inn under personvernforordningens virkeområde.

For å overholde regelverket må amerikanske selskaper:

• Gjennomføre en revisjon av hvilke typer personopplysninger de samler inn.
• Etablere et klart rettslig grunnlag for behandling av hver type data, som for eksempel samtykke eller kontraktsmessig nødvendighet.
• Vurdere eventuelle dataoverføringer fra EU til USA, og sikre at passende sikkerhetstiltak som standardkontraktsklausuler er på plass.
• Utpeke en personvernforordning-representant innenfor EU hvis de ikke har fysisk tilstedeværelse der.
• Innhente forhåndssamtykke til datainnsamling på nettstedet og bruk av informasjonskapsler.
• Oppdatere personvernerklæringer for å gjenspeile forpliktelsene i personvernforordningen og rettighetene til de registrerte.

GDPR vs. CCPA og CPRA

Mens personvernforordningen krever uttrykkelig samtykke før behandling av personopplysninger, følger California Consumer Privacy Act ( CCPA) og dens tilføyelse California Privacy Rights Act ( CPRA), en annen tilnærming ved å benytte en utmeldingsmodell.

I California trenger bedrifter generelt ikke forhåndssamtykke for å samle inn eller behandle personopplysninger, bortsett fra i spesielle tilfeller som ved salg eller deling av data, håndtering av data fra mindreårige eller behandling av sensitive opplysninger.

I stedet fokuserer disse lovene på åpenhet, og krever at bedrifter informerer brukerne om datapraksiser og tilbyr enkle måter å velge bort salg eller deling av personopplysningene sine på. Samlet sett ligger vekten i California på brukerkontroll og synlighet fremfor forhåndssamtykke.

For amerikanske selskaper understreker dette en viktig forskjell: personvernforordningens strenge samtykkekrav gjenspeiles ikke i USA, så bedrifter som opererer i begge regioner må tilpasse praksisene sine deretter.

Hvilken rolle spiller informasjonskapsler under personvernforordningen?

I henhold til personvernforordningen regnes informasjonskapsler som kan identifisere en person eller spore vedkommendes atferd på nettet som personopplysninger. Dette omfatter også teknikker som går utover tradisjonelle informasjonskapsler, som for eksempel fingerprinting, som kan identifisere brukere basert på enhetens og nettleserens innstillinger.

Nettsteder må la brukerne velge hvilke typer informasjonskapsler de godtar, et konsept som kalles detaljert samtykke. Strengt nødvendige informasjonskapsler krever imidlertid ikke samtykke.

Selv om personvernforordningen definerer hvordan samtykke skal innhentes, reguleres bruken av informasjonskapsler i EU også av ePrivacydirektivet, som utfyller personvernforordningen ved å regulere nettbaserte sporingsteknologier som informasjonskapsler spesifikt. Dette er grunnen til at mange nettsteder viser informasjonsbannere om informasjonskapsler til besøkende fra EU, der de blir bedt om å administrere sine preferanser før ikke-nødvendige informasjonskapsler settes.

Hvis du ønsker å minimere sporing mens du surfer, kan bruk av et virtuelt privat nettverk (VPN) også hjelpe deg med å surfe mer privat ved å skjule IP-adressen din og kryptere trafikken din.

Vanlige misoppfatninger om personvernforordningen

Selv om personvernforordningen har vært i kraft i flere år, finnes det fortsatt mange misforståelser om hva den egentlig innebærer for bedrifter. La oss oppklare disse.

Personvernforordningen gjelder kun for selskaper i EU

Det antas ofte at personvernforordningen kun gjelder for virksomheter innenfor EU, men forordningen rekker langt utover det. Ethvert selskap med base utenfor EU, inkludert i USA, må overholde forordningen dersom det tilbyr varer eller tjenester til personer i EU eller overvåker deres atferd på nettet, for eksempel gjennom sporingsteknologi.

Det kreves alltid samtykke

En annen vanlig misforståelse er at personvernforordningen alltid krever samtykke for å behandle personopplysninger. I virkeligheten er samtykke bare ett av flere rettslige grunnlag. Bedrifter kan også basere seg på en avtale, en rettslig forpliktelse, en livsviktig interesse, en offentlig oppgave eller en berettiget interesse, forutsatt at den enkeltes rettigheter respekteres. Samtykke blir sentralt når ingen andre rettslige grunnlag gjelder.

Personvernforordningen handler bare om bøter

Mange ser på personvernforordningen utelukkende som et system for å ilegge bedrifter store bøter, men hovedformålet er å styrke personvernrettighetene og fremme ansvarlig håndtering av data. Selv om straffene kan være betydelige, ligger hovedfokuset på å sikre at organisasjoner behandler personopplysninger på en åpen, sikker måte og i tråd med individenes rettigheter.

Personvernforordningen hindrer all markedsføring

Det er også en feilaktig oppfatning om at personvernforordningen gjør markedsføring umulig. Forordningen forbyr ikke markedsføring helt, men setter grenser for å sikre at personopplysninger brukes på en rettferdig måte. Med et passende rettslig grunnlag, enten det er samtykke eller berettiget interesse, kan bedrifter fortsette å markedsføre seg overfor personer i EU, så lenge personvernrettighetene respekteres.

Ofte stilte spørsmål: Vanlige spørsmål om personvernforordningen