[Video] GDPR forklart på tre minutter
Det har vært mye snakk om GDPR de siste to årene - spesielt gjennom 2018 - og det har vært brukt mange komplekse ord og uttrykk for å forklare denne loven. Men hva innebærer GDPR egentlig, og hvilken betydning har det for deg og din bedrift?
Se video som forklarer GDPR på tre minutter eller les et sammendrag av videoen her:
(NB: Om du åpner artikkelen på mobil via LinkedIn må du åpne den i en nettleser for å spille av videoen)
Prinsippene som ligger til grunn for GDPR
For å forstå GDPR er det viktig å kjenne til prinsippene som ligger til grunn for regelverket. La oss begynne med en historie så du enklere kan skape deg et tydelig bilde av hva som forventes og hvordan bruk av personopplysninger reguleres:
Tenk deg at naboen din spør om å låne bilen din (bilen er av merket: personopplysninger). Han trenger bilen for å kjøre noen til togstasjonen. Med andre ord, han gir en forklaring på formålet og informerer deg om bruken.
Les også: Frivillighet, sårbarhet og personvern.
Du går med på å låne bort bilen. Din forventning er da selvsagt at naboen bruker bilen til det han har opplyst om. Ikke at han tar en ekstra tur på Maxbo for å hente byggemateriale, eller drar på Norgesferie. Du forventer altså at han holder seg til avtalt formål.
Det er nettopp slik GDPR-prinsippene fungerer i praksis. På samme måte som du forventer at du får tilbake bilen din som da du lånte den ut, og at den ikke blir brukt til noe tull - skal opplysningene som bedrifter samler inn om deg kun brukes til det formålet de har oppgitt.
Videre bygger prinsippene på:
Man skal ikke samle inn mer data enn høyst nødvendig for å oppfylle formålet
Se for deg at du blir ny kunde et sted. Dette betyr ikke at bedriften eller de som står bak produktet du blir kunde av har rett til å vite alt om deg - tvert imot. Det er bedriften sin oppgave å vurdere hvilke opplysninger de faktisk trenger om deg for å oppfylle det gitte formålet. Denne vurderingen er bedriften i tillegg pliktig til å dokumentere.
Dataene skal være korrekt
Det er din rett som enkeltperson å forvente at eventuell informasjon som er lagret om deg er korrekt. Fra bedriften sitt perspektiv vil det derfor være lurt å sikre nettopp det. Dette kan gjøres gjennom å opprette interne rutiner for datakvalitet og oppdatering av opplysninger.
Dataene skal ikke lagres lenger enn nødvendig. Når formålet er oppfylt skal dataene slettes
La oss trekke frem bilen som eksempel igjen. Dersom du har gitt naboen din rett til å låne bilen for turen til togstasjonen, så forventer du at dette tar så så lang tid. Du vil trolig ikke bli veldig fornøyd hvis du ringer han etter at tidsestimatet ditt er forbi, og får i svar at han tok seg friheten til å dra på hytta med bilen over helgen. Du forventer heller ikke å høre at han fant ut at det ville være smart å ta en kopi av nøkkelen, slik at han kan bruke bilen til andre formål senere.
Les også: Hva betyr egentlig kravet om innebygd personvern?
Mens man har dataen skal disse oppbevares på en trygg måte, slik at de ikke kommer på avveie eller kan skades
Sist, men ikke minst, er det viktig at du får bilen tilbake like hel. Du forventer at naboen kan veitrafikkloven og behandler bilen din med forsiktighet. Hvis uhellet først skulle vært ute forventer du at naboen ordner opp, så ikke du er den som blir sittende med problemene eller må ut med noen ekstra kostnader.
Enkeltindividet i fokus
GDPR er altså regelverket som er til for å beskytte deg og dine opplysninger. Som enkeltindivid skal GDPR sørge for at du har større kontroll over dine personopplysninger og at disse blir behandlet på en trygg og hensiktsmessig måte. For at du skal ha kontroll er det viktig at du blir godt informert om hva dine opplysninger brukes til samtidig som du alltid har tilgang til dine rettigheter.
Vi håper dette har vært lærerikt og at du har blitt litt klokere på hva GDPR går ut på og hvilke prinsipper som ligger til grunn.
Les også: Hva er GDPR?