Hva er GDPR?
GDPR (General Data Protection Regulation) er EUs personvernforordning som regulerer hvordan virksomheter samler inn, lagrer, bruker og deler personopplysninger om enkeltpersoner i EU og EØS.
Kort forklart GDPR er en lov som gir deg rett til å vite hva bedrifter vet om deg, kreve at de sletter det, og bestemme hvem som får bruke opplysningene dine. Bedrifter som bryter reglene risikerer enorme bøter.
Hva betyr begrepet
«GDPR» står for General Data Protection Regulation – på norsk kalt personvernforordningen. Den ble vedtatt av EU i 2016 og trådte i kraft 25. mai 2018. I Norge gjelder den gjennom personopplysningsloven, som inkorporerer GDPR via EØS-avtalen.
«Personopplysninger» er all informasjon som kan knyttes til en identifisert eller identifiserbar person – navn, e-post, IP-adresse, bilder, helseopplysninger, lokasjonsdata og mye mer. Selv et kundenummer som kan kobles til deg er en personopplysning.
Hvordan fungerer det
GDPR bygger på et sett med prinsipper som all behandling av personopplysninger må følge.
Virksomhet vil behandle data → Har de lovlig grunnlag? → Informer den registrerte → Behandle kun nødvendige data → Slett når formålet er oppfylt → Sikre dataene
Lovlig grunnlag kreves for all behandling. De vanligste er samtykke (du sier ja), avtale (nødvendig for å levere en tjeneste), rettslig forpliktelse (loven krever det) og berettiget interesse (virksomhetens behov veier tyngre enn personvernet, etter en avveining).
Dataminimering betyr at virksomheten bare skal samle inn opplysninger som er nødvendige for det konkrete formålet. En nettbutikk trenger leveringsadressen din, men ikke fødselsdatoen.
Formålsbegrensning betyr at data samlet inn for ett formål ikke kan brukes til noe helt annet uten nytt grunnlag. E-postadressen din fra en bestilling kan ikke automatisk brukes til markedsføring.
Lagringsminimering betyr at data skal slettes når formålet er oppfylt. En bedrift som ikke lenger har et kundeforhold, skal ikke beholde opplysningene dine på ubestemt tid.
Hvorfor er det viktig
I den digitale tidsalderen genererer vi enorme mengder persondata daglig – gjennom netthandel, sosiale medier, apper, helsevesenet og offentlige tjenester. Uten regulering kan disse dataene misbrukes til overvåking, manipulasjon og diskriminering.
GDPR gir individet kontroll tilbake. Du har rett til innsyn (se hva som er lagret om deg), retting (korrigere feil), sletting (bli «glemt»), dataportabilitet (flytte dataene til en annen tjeneste) og å protestere mot behandling.
For bedrifter er GDPR et rammeverk som tvinger frem gode rutiner. Brudd kan medføre bøter på opptil 20 millioner euro eller 4 prosent av global omsetning – det høyeste beløpet gjelder. I Norge håndheves loven av Datatilsynet.
Eksempler
Informasjonskapsler (cookies): Når en nettside ber deg godkjenne cookies, er det GDPR i praksis. Siden må ha ditt samtykke før den lagrer sporingsinformasjon i nettleseren din. Du har rett til å si nei uten å miste tilgang til grunnleggende funksjoner.
Innsynsbegjæring: Du kan sende en e-post til en bedrift og be om kopi av alle personopplysninger de har om deg. De har 30 dager på å svare. Mange blir overrasket over mengden data bedrifter har lagret.
Retten til å bli glemt: Du kan be Google om å fjerne søkeresultater som inneholder utdatert eller irrelevant informasjon om deg. Google har mottatt over en million slike forespørsler siden GDPR trådte i kraft.
Bøter for brudd: Meta (Facebook) ble i 2023 ilagt en bot på 1,2 milliarder euro for å ha overført europeiske brukerdata til USA uten tilstrekkelig beskyttelse. I Norge har Datatilsynet bøtelagt kommuner, sykehus og private virksomheter for brudd.
Vanlige spørsmål
Gjelder GDPR for alle bedrifter?
GDPR gjelder for alle virksomheter som behandler personopplysninger om personer i EU/EØS, uansett hvor virksomheten er lokalisert. En amerikansk nettbutikk som selger til norske kunder, må følge GDPR. Små bedrifter med enkle behandlinger har noen forenklede krav.
Hva betyr samtykke under GDPR?
Samtykke må være frivillig, spesifikt, informert og utvetydig. Du må aktivt si ja – forhåndsavkryssede bokser er ikke gyldig samtykke. Du skal kunne trekke samtykket tilbake like enkelt som du ga det. Samtykke er bare ett av flere lovlige grunnlag.
Kan jeg kreve at en bedrift sletter dataene mine?
Ja, du har rett til sletting (retten til å bli glemt) i de fleste tilfeller. Unntak gjelder når bedriften har en rettslig forpliktelse til å beholde data (for eksempel regnskapsloven krever lagring i 5 år) eller når data er nødvendig for å oppfylle en avtale.
Hva gjør Datatilsynet?
Datatilsynet er Norges uavhengige tilsynsmyndighet for personvern. De fører tilsyn med at GDPR og personopplysningsloven overholdes, behandler klager fra enkeltpersoner, utsteder bøter ved brudd og gir veiledning til både virksomheter og privatpersoner.
Dekker GDPR også AI og maskinlæring?
Ja. Hvis AI-systemer behandler personopplysninger, gjelder GDPR. Du har rett til informasjon om at automatiserte avgjørelser tas, og i noen tilfeller rett til å kreve menneskelig overprøving. EUs AI-forordning utfyller GDPR med egne regler for AI-systemer.
Relaterte begreper
- Forbrukerkjøpsloven – en annen lov som beskytter individets rettigheter
- Arbeidsmiljøloven – regulerer også behandling av ansattes persondata
- Personopplysninger – all informasjon som kan knyttes til en person
- Datatilsynet – norsk tilsynsmyndighet for personvern
- Samtykke – ett av de lovlige grunnlagene for databehandling
Se også
Oppsummering
GDPR er EUs personvernforordning som gir enkeltpersoner kontroll over egne personopplysninger og stiller strenge krav til virksomheter som behandler dem. Loven gjelder i Norge gjennom personopplysningsloven og håndheves av Datatilsynet. Brudd kan medføre bøter på opptil 4 prosent av global omsetning.