EU GDPR

Bøter kan utgjøre 4% av årlig global omsetning for brudd på GDPR eller €20 millioner. Dette er den maksimale bøten som kan ilegges for de mest alvorlige overtredelsene, f.eks. å ikke ha tilstrekkelig kundesamtykke for å behandle data eller å bryte kjernen i "Privacy by Design"-konsepter.

Personopplysninger er enhver informasjon som kan brukes til å direkte eller indirekte identifisere en person, som navn, bilde, e-postadresse, bankdetaljer, innlegg på sosiale nettverk, medisinsk informasjon eller en datamaskinens IP-adresse.

Samtykke må gis i en forståelig og lett tilgjengelig form med formålet for databehandlingen knyttet til dette samtykket. Det må være entydig, lett identifiserbart, og bruke clear og lett forståelig språk. Det må også være like enkelt å trekke tilbake samtykke som å gi det. Når man behandler sensitive personopplysninger, vil ingenting mindre enn "opt-in" være tilstrekkelig.

Hvis den registrerte er under 16 år, vil foreldresamtykke være nødvendig for å behandle barnets personopplysninger. Medlemsland kan senke alderen for foreldresamtykke, men ikke lavere enn 13 år.

DPO-er må utnevnes i tilfelle (a) offentlige myndigheter, (b) organisasjoner som driver med storskala eller systematisk overvåking av store data, eller (c) organisasjoner som deltar i massebehandling av sensitive personopplysninger (Art. 37). Hvis din organisasjon ikke faller inn under en av disse kategoriene, trenger du ikke å utnevne en DPO.

Bruddvarsling

I henhold til GDPR vil bruddvarsling bli obligatorisk i alle medlemsland der et databrudd sannsynligvis vil "føre til en risiko for rettighetene og frihetene til enkeltpersoner." Varsling må skje innen 72 timer etter at man blir klar over bruddet. Databehandlere vil også bli pålagt å varsle kontrollørene "uten unødig forsinkelse" etter først å ha blitt klar over et databrudd.

Rett til innsyn

De registrerte har rett til å få bekreftelse fra datakontrolleren om hvorvidt personopplysninger om dem ble behandlet, hvor, og til hvilket formål. Datakontrolleren skal gi en kopi av personopplysningene, gratis, i et elektronisk format.

Rett til å bli glemt

Kjent som datakansellering, gir retten til å bli glemt den registrerte rett til å få datakontrolleren til å slette sine personopplysninger, stoppe videre distribusjon av dataene, og potensielt få tredjeparter til å stoppe behandlingen av dataene. Dataene må ikke lenger være relevante for de opprinnelige formålene for behandling eller den registrerte trekker tilbake samtykke. Det bør også bemerkes at denne retten krever at kontrollørene sammenligner den registrertes rettigheter med "den offentlige interessen i tilgjengeligheten av dataene" når de vurderer slike forespørsel.

Dataportabilitet

Den registrerte kan motta personopplysningene som gjelder dem, som de tidligere har gitt i et "vanlig brukt og maskinlesbart format" og har rett til å overføre disse dataene til en annen kontroller.

Personvern ved design

Dataprivacy må være kjernen i teknologisystemene som kontrollørene og behandlerne bruker for å håndtere informasjonen til de registrerte, ikke bare et tillegg.

Informasjonen som må gjøres tilgjengelig for en registrert når data samles inn, har blitt presist definert og inkluderer:

• Identiteten og kontaktinformasjonen til kontrolløren og DPO
• Formålene med behandlingen, som de personopplysningene er ment for
• Det juridiske grunnlaget for behandlingen
• Hvor det er aktuelt, de legitime interessene som forfølges av kontrolløren eller av en tredjepart
• Hvor det er aktuelt, mottakerne eller kategoriene av mottakere av personopplysningene
• Perioden som personopplysningene vil bli lagret, eller hvis dette ikke er mulig, kriteriene som brukes for å bestemme denne perioden
• Eksistensen av retten til innsyn, retting eller sletting av personopplysningene
• Retten til dataportabilitet
• Retten til å trekke tilbake samtykke når som helst
• Retten til å klage til en tilsynsmyndighet

Det er viktig å merke seg at der dataene ikke har blitt innhentet direkte fra den registrerte (kanskje ved å bruke en tredjeparts liste), varierer listen og inkluderer fra hvilken kilde personopplysningene stammer:

• Eksistensen av eventuell profilering og meningsfull informasjon om logikken involvert samt betydningen og de forventede konsekvensene av slik behandling for den registrerte.
• GDPR representerer et betydelig problem for markedsførere som får data fra tredjeparts lister.

1. Sett i gang en proaktiv plan for din GDPR-overholdelse.
2. Gå gjennom personvernerklæringer og -politikker, og sørg for at de oppfyller GDPR-overholdelsesnivåene.
3. Forbered en plan i tilfelle et sikkerhetsbrudd.
4. Revider dine samtykker.
5. Gjør markedsføringssamtykker til opt-in.
6. Gå gjennom den legitime interesse-delen av direktivet med din juridiske rådgiver for å sikre at det dekker din organisasjon for bruken av kjøperens data for å behandle og administrere den bestillingen.
7. Gjør samtykkespråket ditt lett å finne og lese om bruken av personopplysninger.
8. Lag en handlingsplan for forespørsel om dataemner til din organisasjon for bruken av deres data.
9. Bli ansvarlig for din overholdelse.
10. Tren dine ansatte.
11. Ha clear prosesser på plass, skriftlige og reviderte.
12. Utnevn en DPO der det er nødvendig.
13. Sørg for at dine kontrollører/behandlingspartnere er i samsvar.

GDPR gjelder for organisasjoner, kontrollører og behandlere som er lokalisert innenfor og utenfor EU, som tilbyr varer eller tjenester til EU-dataemner. GDPR gjelder også for organisasjoner, som markedsføringsorganisasjoner eller de som leverer eller bruker data som overvåker atferden til EU-subjekter.

En kontrollør bestemmer formålene, betingelsene og midlene for behandlingen av personopplysninger, mens behandleren behandler personopplysningene på vegne av kontrolløren.