Hensikten med GDPR, eller General Data Protection Regulation, er å gi en mer enhetlig regulering for hvordan personopplysninger behandles i EU, og å styrke personvernet til enkeltpersoner.
GDPR gir enkeltpersoner kontroll over sine personopplysninger og krever at organisasjoner som samler inn og behandler personopplysninger, følger strenge regler for å beskytte personvernet. Reglene gjelder for alle organisasjoner som behandler personopplysninger om enkeltpersoner i EU, uavhengig av hvor i verden organisasjonen befinner seg.
Ved å innføre GDPR, ønsker EU å sikre at personopplysninger håndteres på en ansvarlig måte, og at personvernet blir beskyttet på en effektiv måte. Dette vil bidra til å skape større tillit mellom forbrukere og organisasjoner, og sørge for at personopplysninger blir behandlet på en måte som respekterer enkeltpersoners rettigheter og privatliv.
GDPR i Norge
I Norge er Datatilsynet den offisielle tilsynsmyndigheten for personvern og har ansvar for å håndheve GDPR og andre personvernlover.
Datatilsynet har som oppgave å veilede og informere norske virksomheter om deres plikter etter GDPR og andre personvernlover, samt å føre tilsyn og iverksette tiltak ved brudd på personvernreglene.
I tillegg til Datatilsynet har også virksomheter og organisasjoner selv et ansvar for å sikre at de følger GDPR-reglene og beskytter personopplysninger på en forsvarlig måte. Det innebærer blant annet å ha et system for internkontroll, å gjennomføre risikovurderinger, å sørge for informasjonssikkerhet og personvernbevissthet blant ansatte, og å melde fra til Datatilsynet ved eventuelle brudd på personvernreglene. Du kan også finne nyttig informasjon om GDPR på nettsider som IKT-Norge, Difi og Virke. Disse organisasjonene tilbyr også veiledning og ressurser for å hjelpe organisasjoner med å overholde GDPR-reglene.
Godkjent GDPR nettside
For å få en nettside GDPR-godkjent, må du sørge for at nettsiden overholder en rekke krav og bestemmelser i GDPR.
Noen av de viktigste kravene for nettsider i henhold til GDPR er:
- Samtykke: Du må innhente samtykke fra besøkende på nettsiden for å samle inn og behandle personopplysninger. Samtykket må være frivillig, spesifikt og informert, og besøkende må enkelt kunne trekke tilbake samtykket.
- Informasjon: Du må gi tydelig og detaljert informasjon om hva personopplysningene vil bli brukt til, hvem som vil ha tilgang til dem, og hvor lenge de vil bli lagret. Dette må formidles på en klar og forståelig måte.
- Retten til å bli glemt: Du må sørge for at personopplysningene kan slettes eller anonymiseres dersom en besøkende ber om det.
- Informasjonssikkerhet: Du må ha tilstrekkelig informasjonssikkerhetstiltak på plass for å beskytte personopplysningene mot uautorisert tilgang, endring eller ødeleggelse.
- Personvernombud: Du må ha en personvernombud dersom nettsiden håndterer store mengder personopplysninger eller sensitive opplysninger.
For å få en nettside GDPR-godkjent, kan du gjøre følgende:
- Gå gjennom GDPR-kravene og sørge for at nettsiden oppfyller disse.
- Opprette en personvernerklæring som beskriver hvordan nettsiden samler inn, bruker og beskytter personopplysninger.
- Ha en tydelig og lett tilgjengelig «cookie-banner» som forklarer hva informasjonskapsler brukes til og ber om samtykke.
- Sørge for at nettsiden har en sikker tilkobling med HTTPS-protokollen.
- Sørge for at nettsiden har tilstrekkelig informasjonssikkerhet på plass.
Det er også lurt å søke råd fra en advokat eller annen ekspert for å sikre at nettsiden oppfyller alle kravene i henhold til GDPR.
Informasjon og fakta om GDPR
- GDPR, eller General Data Protection Regulation, ble innført 25. mai 2018 og er en personvernforordning som gjelder for alle EU-land.
- Formålet med GDPR er å styrke personvernet og gi en mer enhetlig regulering for hvordan personopplysninger behandles i EU.
- GDPR gir enkeltpersoner kontroll over sine personopplysninger og krever at organisasjoner som samler inn og behandler personopplysninger, følger strenge regler for å beskytte personvernet.
- Straffene for å bryte GDPR-reglene kan være betydelige, og kan innebære bøter på opptil 20 millioner euro eller fire prosent av den globale årlige omsetningen til organisasjonen.
Lær mer om GDPR
Det er flere ressurser du kan bruke for å lære mer om GDPR.
- Datatilsynet: Datatilsynet er det norske tilsynet for personvern og personopplysninger. De har en rekke ressurser på sin nettside, inkludert veiledninger og informasjon om GDPR-kravene.
- Advokatfirmaer: Det finnes mange advokatfirmaer som spesialiserer seg på personvern og GDPR. Disse firmaene kan gi deg råd og veiledning om hvordan du kan overholde GDPR-kravene og få nettsiden GDPR-godkjent.
- Konsulentselskaper: Det finnes også en rekke konsulentselskaper som kan hjelpe deg med å implementere GDPR-kravene på nettsiden din.
- Næringslivsorganisasjoner: Næringslivsorganisasjoner som Virke og NHO kan også tilby veiledning og ressurser om GDPR.
- Online kurs og webinarer: Det finnes mange online kurs og webinarer som tilbyr opplæring i GDPR og personvern. Dette kan være en effektiv måte å lære mer om GDPR på en strukturert og tilgjengelig måte.
Uansett hvilken ressurs du velger å bruke, er det viktig å sørge for at kilden er pålitelig og oppdatert. GDPR-kravene kan endre seg over tid, og det er viktig å holde seg oppdatert på eventuelle endringer og oppdateringer.
Hvordan se om en nettside overholder GDPR?
Tips til hvordan du kan sjekke om nettsiden du besøker overholder GDPR reglementet.
- Sjekk personvernerklæringen: Alle nettsider som samler inn personopplysninger må ha en personvernerklæring som beskriver hvordan opplysningene blir behandlet og hvilke rettigheter brukerne har. Sjekk at nettsiden du besøker har en oppdatert og grundig personvernerklæring.
- Sjekk cookie-varslingen: Nettsider som bruker informasjonskapsler (cookies) for å spore besøkendes aktivitet, må gi besøkende beskjed om dette og be om samtykke til bruk av informasjonskapsler. Sjekk at nettsiden har en tydelig og forståelig cookie-varsling.
- Sjekk sikkerhetstiltakene: Nettsider som samler inn personopplysninger må ha tilstrekkelige sikkerhetstiltak på plass for å beskytte opplysningene mot uautorisert tilgang eller lekkasjer. Sjekk at nettsiden har beskrevet hvilke sikkerhetstiltak de har implementert, for eksempel bruk av SSL-sertifikater og kryptering av sensitive opplysninger.
- Sjekk kontaktinformasjonen: Nettsider som samler inn personopplysninger må oppgi kontaktinformasjon til en ansvarlig person eller et selskap som er ansvarlig for behandlingen av opplysningene. Sjekk at nettsiden har oppgitt tydelig kontaktinformasjon som gjør det mulig å ta kontakt hvis du har spørsmål eller bekymringer.
Hva er personvernerklæring?
Personvernerklæringen er en erklæring som beskriver hvordan nettsiden samler inn, bruker, lagrer og deler personopplysninger. Personopplysninger kan være alt fra navn og e-postadresse til IP-adresse og informasjon om besøkendes aktivitet på nettsiden.
En personvernerklæring må være tydelig og forståelig for besøkende på nettsiden, og den må inneholde informasjon om blant annet:
- Hvilke typer personopplysninger som samles inn
- Hvorfor personopplysningene samles inn
- Hvordan personopplysningene blir behandlet og lagret
- Hvem som har tilgang til personopplysningene
- Hvilke rettigheter besøkende har når det gjelder egne personopplysninger
Personvernerklæringen er en viktig del av GDPR-kravene, og nettsider som samler inn personopplysninger er pålagt å ha en oppdatert og tydelig personvernerklæring tilgjengelig for besøkende.
Hvis du vil lære mer om hva en personvernerklæring bør inneholde og hvordan du kan skrive en god personvernerklæring, kan du besøke nettsider som Datatilsynet, Forbrukertilsynet og Virke. Disse nettsidene har ressurser og veiledninger som kan hjelpe deg med å lage en god personvernerklæring for din nettside.
Hva er cookies (informasjonskapsel)?
En cookie (informasjonskapsel) er en liten tekstfil som lagres på datamaskinen eller mobilenheten din når du besøker en nettside. Cookies brukes av nettsider til å samle inn og lagre informasjon om besøkendes aktivitet på nettsiden, for eksempel hvilke sider de har besøkt, hvor lenge de har vært på nettsiden og hva de har klikket på.
Det finnes ulike typer cookies med ulike funksjoner. Noen cookies er nødvendige for at nettsiden skal fungere ordentlig, for eksempel for å lagre innloggingen din eller handlekurven din på en nettbutikk. Andre cookies brukes til å analysere og forbedre nettsiden, til å tilpasse innhold og annonser til brukernes interesser, eller til å spore brukernes atferd på tvers av ulike nettsider.
Cookies kan være både førstepartscookies (satt av nettsiden du besøker) eller tredjepartscookies (satt av en annen nettside som har integrert innhold på nettsiden du besøker, for eksempel en annonse).
Cookies er omfattet av GDPR-reglene, og nettsider som bruker cookies er pålagt å informere besøkende om bruken av cookies og innhente samtykke fra besøkende før de plasserer cookies på besøkendes enheter.
Hvis du vil lære mer om cookies og hvordan de brukes på nettsider, kan du besøke nettsider som Datatilsynet, Forbrukertilsynet og Virke. Disse nettsidene har ressurser og veiledninger som kan hjelpe deg med å forstå og håndtere cookies på din egen nettside.
GDPR bøter i Norge
GDPR-bøter i Norge kan ilegges av Datatilsynet, som er den norske tilsynsmyndigheten for personvern. I henhold til GDPR kan bøter ilegges dersom en virksomhet har brutt personvernreglene på en alvorlig måte.
Bøtenivået kan variere avhengig av alvorlighetsgraden av overtredelsen. Ifølge Datatilsynet kan bøtene variere fra 10 millioner euro eller opptil 4 % av en virksomhets globale omsetning, avhengig av hva som er høyest.
I Norge er det foreløpig ikke gitt noen betydelige bøter i henhold til GDPR. Imidlertid har Datatilsynet ilagt mindre bøter til enkelte norske virksomheter for brudd på GDPR-reglene. Disse bøtene har variert fra noen hundre tusen kroner til noen millioner kroner.
Det er viktig å merke seg at bøtene ikke bare er økonomiske, men kan også ha betydelige konsekvenser for virksomheten i form av negativ omtale og tap av kunder.
For å unngå bøter og andre konsekvenser av brudd på GDPR, er det viktig å følge regelverket og sørge for at personopplysninger behandles på en sikker og ansvarlig måte. Dette kan inkludere å ha på plass en god personvernerklæring, å innhente samtykke fra brukere før man samler inn personopplysninger, å slette opplysninger når de ikke lenger er nødvendige, og å sikre at opplysningene er tilstrekkelig beskyttet mot uautorisert tilgang.
Dine rettigheter hvis en nettside ikke overholder GDPR?
Hvis en nettside ikke overholder GDPR, har du som bruker en rekke rettigheter som kan beskytte dine personopplysninger. Disse inkluderer:
- Retten til å kreve at virksomheten som behandler dine personopplysninger retter eller sletter informasjonen de har lagret om deg.
- Retten til å kreve en kopi av de personopplysningene virksomheten har lagret om deg.
- Retten til å trekke tilbake samtykke til behandling av personopplysninger når som helst.
- Retten til å klage til datatilsynet dersom du mener at en virksomhet behandler dine personopplysninger på en ulovlig måte.
Dersom en nettside ikke overholder GDPR, kan du også ha rett til å kreve erstatning for eventuelle skader eller tap som følge av brudd på personvernreglene.
Det er viktig å merke seg at rettighetene dine kan variere avhengig av de spesifikke omstendighetene rundt behandlingen av dine personopplysninger. Hvis du har mistanke om at en nettside ikke overholder GDPR-reglene, bør du kontakte datatilsynet eller en advokat for å få mer informasjon om dine rettigheter og muligheter for å håndheve dem.
Hvordan rapporterer jeg en nettside?
Hvis du har misnøye med en norsk nettside og mener at den ikke overholder GDPR-reglene, kan du kontakte Datatilsynet. Datatilsynet er det norske tilsynsorganet for personvern og har som oppgave å håndheve personvernlovgivningen i Norge.
Du kan kontakte Datatilsynet gjennom deres nettside eller ved å sende en e-post eller et brev til dem. På nettsiden til Datatilsynet finner du også informasjon om hvordan du kan klage på behandlingen av dine personopplysninger og hva du kan forvente av en slik klageprosess.
Det er viktig å merke seg at Datatilsynet ikke gir juridisk rådgivning eller gir individuell støtte til enkeltpersoner. Hvis du trenger hjelp eller rådgivning om hvordan du kan håndtere en konkret situasjon, kan du kontakte en advokat eller en personvernrådgiver for å få mer spesifikk hjelp.
Kilder:
https://datatilsynet.no
Foto øverst:
Infoguiden.no