De 10 viktigste begrepene du må kunne om GDPR
Er det noe du ikke kommer utenom når du skal sette deg inn i nye lover og regler så er det, ja, vanskelige ord og uttrykk. Det følger sjelden med en ordliste som forklarer eller utdyper ordene som gjør at du må stoppe opp.
Vi har derfor gjort det enklere for deg og laget en liste over de 10 viktigste ordene og uttrykkene du bør kunne når du beveger deg inn i den språktunge GDPR-verdenen. Hvis du vil se en litt mer omfattende ordliste kan du trykke her.
1) GDPR
Forkortelse for The General Data Protection Regulation. Dette er EUs personvernsforordning, eller regelverk om du vil, som regulerer personvern innen hele EU og EØS området. Målet med GDPR er å gi enkeltindividet en økt innsikt og kontroll over hvordan data som kan knyttes til dem brukes, deles og oppbevares. Se mer om de grunnleggende prinsippene her.
2) Personopplysninger
Personopplysninger er alle opplysninger og informasjon som kan kobles til en fysisk person, direkte eller indirekte. Dette er kortversjonen, vil du lese mer om hvilke data som går under personopplysninger kan du trykke her.
3) Behandling eller Prosessering
Dette omhandler all bruk av personopplysninger. Her inngår: Innsamling av data/opplysninger, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av alle disse.
4) Data subjekt
Dette er rett og slett individet som personopplysningen er knyttet til, deg og meg som personer. Den fornorskede versjonen av Data subjekt blir ofte satt som Den registrerte.
5) Formål
Formål, benyttet i sammenheng med GDPR, er en beskrivelse av hva personopplysningene benyttes til. Altså, hva grunnen til at virksomheten(e) samler inn data om et gitt individ.
6) Juridisk grunnlag
For å kunne behandle personopplysninger kreves det at man har juridisk grunnlag. GDPR har seks grunnlag som alene, eller i kombinasjon kan gi den muligheten. Disse er: Samtykke fra personen (se punkt 7), rettslig forpliktelse, oppfylle en avtale, berettiget interesse, offentlig interesse og vitale interesser.
For å gå litt i dybden:
- Med rettslig forpliktelse menes at det finnes en annen lov som krever at personopplysninger samles inn. Eksempelvis må en bedrift ha opplysninger om sine ansatte for å kunne gi fra seg informasjon om inntekt og skatt til myndigheter.
- En bedrift som har en avtaleforpliktelse med en kunde, må kunne samle inn opplysninger for å levere i henhold til avtalen. Eksempelvis navn, adresse etc.
- Berettiget interesse betyr at en behandling av personopplysninger begrunnes i at det er i bedriftens interesse, forutsatt at det ikke strider med enkeltindividets rettigheter og friheter. Før man benytter berettiget interesse som grunnlag skal behandlingsansvarlige utføre og dokumentere en interesseavveining. Et eksempel på bruk av berettiget interesse kan være at en bedrift har adgangskontroll/registrering av ansatte for å kunne sikre bedriftens lokaler og verdier.
- Offentlig interesse betyr at en behandlingsansvarlig er pålagt å utføre oppgaver i allmennhetens interesse, som er lovbestemt. Formålet med behandlingen av opplysningene er bestemt av for eksempel nasjonal eller EU/EØS rett.
- Vital interesse betyr at behandlingen av personopplysninger skjer for å sikre den registrerte eller annen persons fysisk. Eksempel er ved naturkatastrofer, epidemier eller annen humanitær nødssituasjon.
7) Samtykke
En frivillig, spesifikk, informert, utvetydig og aktiv erklæring fra den registrerte om at behandling av personopplysninger aksepteres. Den registrerte kan trekke tilbake sitt samtykke når som helst uten at dette gir negative konsekvenser. Virksomheter som behandler persondata må også kunne dokumentere et gitt samtykke på dette fra de individene dette omhandler.
8) Personidentifikator
En unik informasjon som knytter data og individ sammen. Eksempler på dette: navn, fødselsnummer, adresse, telefonnummer og epostadresse. Det at vi stadig er koblet opp på nettet med eksempelvis mobil eller nettbrett gjør at også IP adresse på din mobil, informasjon om lokasjonen til din mobil og liknende går inn under personidentifikatorer.
9) Behandlingsansvarlig
Den bedriften eller organisasjonen som har ansvaret for hvordan personopplysningene håndteres. Det er behandlingsansvarlig som må dokumentere hvordan behandlingen foregår og påse og sikre at regelverket følges.
10) Databehandler
En bedrift eller organisasjon som behandler data på vegne av en behandlingsansvarlig. Mange bedrifter og organisasjoner har samarbeidspartnere eller leverandører som behandler data på deres vegne. Eksempler på dette: alt knyttet til lønn og skatt er satt bort til en ekstern aktør, som da blir Databehandler.
Vi håper at denne korte ordlisten vil være til stor hjelp for deg. Hvis du vil se en litt mer omfattende ordliste kan du trykke her.
Vil du vite mer om GDPR? Da bør du lese denne: Hva er GDPR?