Søk Book demo
Choose your language:

Hva er GDPR?

glossary_se_gdpr_377570130

General Data Protection Regulation (GDPR) er en omfattende personvernforordning som trådte i kraft 25. mai 2018. Det erstattet det forrige databeskyttelsesdirektivet fra 1995 og har som mål å harmonisere databeskyttelseslover i hele EU (EU), styrke beskyttelsen av enkeltpersoners rettigheter og gi dem større kontroll over sine personopplysninger. GDPR gjelder for alle organisasjoner som behandler personopplysninger om enkeltpersoner i EU, uavhengig av hvor organisasjonen er basert.

 

Grunnleggende prinsipper

GDPR er basert på flere grunnleggende prinsipper som styrer hvordan personopplysninger skal behandles:

  • Lovlighet, nøyaktighet og åpenhet: Behandling av personopplysninger må være lovlig, rettferdig og gjennomsiktig for den registrerte.
  • Formålsbegrensning: Personopplysninger kan bare samles inn for spesifikke, eksplisitte og legitime formål og kan ikke behandles på en måte som er uforenlig med disse formålene.
  • Dataminimering: Kun de personopplysningene som er relevante og nødvendige for formålene med behandlingen, kan samles inn.
  • Nøyaktighet: Personopplysninger må være nøyaktige og oppdaterte. Uriktige opplysninger må rettes eller slettes uten opphold.
  • Lagringsminimering: Personopplysninger kan ikke lagres lenger enn det som er nødvendig for formålene de behandles for.
  • Personvern og konfidensialitet: Personopplysninger må behandles på en måte som sikrer passende sikkerhet, inkludert beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade.

 

De registrertes rettigheter

GDPR styrker rettighetene til enkeltpersoner i forhold til deres personopplysninger. Noen av de viktigste rettighetene inkluderer:

  • Rett til innsyn: Den registrerte har rett til å få bekreftelse på om personopplysninger om ham eller henne blir behandlet, og i så fall å få tilgang til disse dataene samt informasjon om behandlingen.
  • Rett til retting: Den registrerte har rett til å få unøyaktige personopplysninger om ham eller henne rettet uten unødig forsinkelse.
  • Rett til sletting («rett til å bli glemt»): Under visse omstendigheter har den registrerte rett til å få sine personopplysninger slettet.
  • Rett til begrensning av behandling: Den registrerte har rett til å be om at behandlingen av hans eller hennes personopplysninger begrenses under visse betingelser.
  • Rett til dataportabilitet: Den registrerte har rett til å motta personopplysningene som han eller hun har gitt til en behandlingsansvarlig i et strukturert, vanlig brukt og maskinlesbart format, og har rett til å overføre disse dataene til en annen behandlingsansvarlig.
  • Rett til å protestere: Den registrerte har rett til når som helst å protestere mot behandling av personopplysninger basert på behandlingsansvarliges legitime interesser eller offentlige interesse, inkludert profilering.

 

Ansvar og etterlevelse

Organisasjoner som behandler personopplysninger er pålagt å overholde GDPR og kan holdes ansvarlige for brudd. Noen av de viktigste kravene inkluderer:

  • Behandlingsansvarlig og databehandler: Organisasjoner må tydelig definere roller og ansvar. Den behandlingsansvarlige bestemmer formålene og midlene for behandlingen av personopplysninger, mens databehandleren behandler opplysningene på vegne av den behandlingsansvarlige.
  • Personvernombud (DPO): Noen organisasjoner er pålagt å utnevne et personvernombud (DPO) for å overvåke overholdelse av GDPR, gi råd og fungere som kontaktpunkt for registrerte og regulatorer.
  • Konsekvensvurderinger (DPIA): Når behandling sannsynligvis vil resultere i en høy risiko for enkeltpersoners rettigheter og friheter, må organisasjonen gjennomføre en vurdering av personvernkonsekvenser.
  • Varsling av brudd på personopplysninger: Organisasjoner må rapportere brudd på personopplysninger til tilsynsmyndigheten innen 72 timer etter at de ble kjent med dem, hvis bruddet sannsynligvis vil føre til en risiko for enkeltpersoners rettigheter og friheter.
  • Innebygd personvern og personvern som standard: Organisasjoner må integrere databeskyttelsestiltak i sine prosesser og systemer fra begynnelsen, og sikre at bare personopplysningene som er nødvendige for hvert spesifikke formål behandles.

 

Sanksjoner

Brudd på GDPR kan føre til betydelige straffer. Tilsynsmyndigheter kan gi advarsler, pålegg og overtredelsesgebyr. Bøtene kan beløpe seg til 20 millioner euro eller 4 % av den globale årsomsetningen, avhengig av hva som er høyest.

 

Sammendrag

GDPR er en omfattende og streng forskrift som tar sikte på å beskytte personopplysningene til enkeltpersoner i EU. Det stiller høye krav til organisasjoner om å behandle personopplysninger på en lovlig, rettferdig og transparent måte, og gir enkeltpersoner sterke rettigheter over dataene sine. Overholdelse av GDPR er avgjørende for å unngå betydelige straffer og for å bygge tillit hos kunder og ansatte.

Relaterte sider:

Hva er data leakage?

Hva er en database?

Hva er skytjenester?

HR-avdelingens endrede rolle E-bok

HR-begrep og forkortelser - Dette er vår HR-ordbok

Enten du jobber med HR og vil ha oppfriskning på din kunnskap, eller om du bare er nysgjerrig på å lære deg HR-terminologi, så er denne ordboken for deg.
Tilbake til HR-ordboken

Copyright © CatalystOne Solutions AS / Karenslyst Allé 2, Skøyen, 0278 Oslo, Norway