Ved å klikke på "Aksepter" samtykker du til vår bruk av informasjonskapsler på enheten din.  Se vår personvernerklæring for mer informasjon.
PreferanserAvvisAksepter

Personopplysnings-loven og GDPR, hvordan ligger vi an?

Kevin Larsen
Sist oppdatert
April 16, 2024

Innholdsfortegnelse

Example H2
Example H3

Bedrifter og organisasjoner står overfor en kontinuerlig utfordring i å navigere personvernlandskapet. GDPR, som i 2018 ble et banebrytende regelverk innen databeskyttelse, forandret fundamentalt måten personopplysninger blir håndtert på tvers av grensene.

Mens intensjonen var å styrke og harmonisere databeskyttelsen for individer innen EU, har implementeringen avslørt flere lag av kompleksitet for bedrifter.

Status for overholdelse av GDPR

Etter 5 år, ser vi at EU og medlemslandenes tilsynsmyndigheter har gått fra en støttende rolle til aktivt å håndheve reglene.
Bøter for manglende overholdelse har nådd milliardklassen, noe som beviser at sanksjonene ikke er symbolske. Til tross for dette, sliter mange virksomheter fortsatt med å oppfylle alle kravene.

"Opp mot 80 prosent av landets 175.000 småbedrifter bryter trolig personvernreglene hver eneste dag"

Sier Tom Bülow-Kristiansen fra Adminkit.

"Etter å ha analysert websidene til over 500.000 norske bedrifter, så vi at mer enn HALVPARTEN bryter reglene for personvern ved å dele data om brukerne med Google, Facebook og lignende plattformer uten brukersamtykke."

I slutten av 2022 utførte Cookie Guard en analyse av norske nettsider og skrev en artikkel om resultatet, med fokus på cookies benyttet til markedsføringsformål. Samtykke og behandling av cookies er kun et aspekt av personvernloven.

Typiske utfordringer i bedrifter

  1. Manglende klarhet: vaghet i juridisk språk fører til usikkerhet om hva pliktene fra personvernregelverket faktisk innebærer.
  2. Ressurskrav: små og mellomstore bedrifter (SMB-er) finner det ofte utfordrende å allokere tilstrekkelige ressurser for å overholde GDPRs krav.
  3. Datahåndtering og lagring: å holde styr på hvor og hvordan data lagres og behandles er en stor utfordring, spesielt for bedrifter som ikke tidligere hadde robuste rutiner for databehandling.
  4. Teknologiske utfordringer: å integrere systemer og prosesser som muliggjør dataportabilitet, retten til å bli glemt, og samtykkebehandling krever teknologiske løsninger og kompetanse.

Typiske problemer som må utbedres

Samtykkeadministrasjon

Bedrifter må forbedre sine prosesser for innsamling, administrasjon og dokumentasjon av samtykke. Mange "Cookie Banner" løsninger dekker ikke kravene.

Uten samtykke kan ikke persondata samles inn. I praksis, så vil det si at typiske verktøy som Google Analytics og Facebook Pixel ikke kan lastes inn før samtykke er gitt.

Unntaket er systemnødvendige cookies, for eksempel en cookie for å administrere samtykket.

Kravene, som forklart av Datatilsynet er at gyldig samtykke skal være følgende:

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

Opplysning og åpenhet

Før personopplysninger kan behandles, må bedriften definere klare formål for innsamlingen eller lagringen av personopplysningene. Disse må være konkrete og reelle.

Dersom bedriften samler inn personopplysninger, så må dette komme tydelig frem til enkeltpersoner. Dette kan gjøres på flere måter, men Datatilsynet anbefaler at det settes opp en personvernerklæring.

Eksempel på opplysning fra vår personvernerklæring

Datakartlegging og -klassifisering

Det er avgjørende å ha en kartlegging av hvilke data som samles inn, hvor de lagres, hvor lenge de lagres. Dette må presenteres på en synlig måte til enkeltpersoner.

Om behandlingen utføres av en tredjepart eller underleverandør, må bedriften inngå en databehandleravtale mellom den behandlingsansvarlige og databehandler.

Datatilsynet har noen enkle eksempler på når det må inngås en databehandleravtale:

Eksempel 1
En virksomhet må inngå en databehandleravtale hvis de bruker et markedsføringsfirma til å sende ut markedsføring på vegne av seg.
Eksempel 2
En virksomhet må inngå en databehandleravtale dersom de bruker en annen virksomhets skytjeneste til å lagre kundeopplysninger.

Les mer om databehandleravtale her

Behandlingsgrunnlag

Det må finnes et behandlingsgrunnlag for behandling av hver enkelt personopplysning til hvert enkelt formål. Bedriften må ha identifisert om det finnes et behandlingsgrunnlag før opplysningene hentes inn.

Bedrifter er også pliktig om å informere om på hvilket behandlingsgrunnlag personopplysningene deres behandles.

Datatilsynet har et eksempel:

Eksempel
En medlemsforening behandler både navn, e-postadresse og postnummer.

- Formålet med navn er å vite hvem som er medlem i foreningen. Foreningen kan ikke oppfylle medlemsavtalen uten å vite hvem medlemmene er. Foreningen kommer frem til at behandlingsgrunnlaget er «nødvendig for avtale».

- Formålet med e-postadressen er å sende ut markedsføring. Foreningen har kommet frem til at behandlingsgrunnlaget er «samtykke». Det betyr også at virksomheten må respektere den enkeltes ønsker hvis samtykket trekkes tilbake. Virksomheten kan ikke bytte behandlingsgrunnlag hvis samtykke trekkes tilbake eller samtykke ikke var gyldig innhentet.

Veien fremover

I et større perspektiv har GDPR en merkbar global effekt, og inspirerer til lignende lovgivninger over hele verden.

Det stilles strengere krav til internasjonal dataoverføring og håndtering av personopplysninger. Derfor må bedrifter også være oppmerksomme på internasjonale trender og lovgivninger for å sikre global overholdelse.

"Det europeiske personvernrådet har nå bestemt at det norske forbudet mot adferdsbasert markedsføring på Facebook og Instagram skal bli permanent og utvides til å gjelde hele EU/EØS."

Les mer om vedtaket på Datatilsynet sine sider.

Avsluttende

GDPR og Personvernloven har satt en ny standard for personvern og databeskyttelse. Fem år senere er det fortsatt et viktig arbeid som gjenstår for at alle bedrifter skal kunne sikre full overholdelse.

Mens det er utfordringer, tilbyr GDPR også muligheter for bedrifter til å forbedre deres operasjoner og bygge sterkere relasjoner med kundene basert på tillit og transparens.

Ved å omfavne GDPRs prinsipper kan bedrifter ikke bare unngå bøter, men også posisjonere seg som ledende innenfor etikk og personvern – en stadig mer verdsatt egenskap blant forbrukere.

Virksomhetens plikter

Vi anbefaler alle som er behandlingsansvarlig, daglig leder eller behandler personopplysninger om å sette seg inn i Datatilsynet sin oversikt av virksomhetenes plikter.

Oversikten finner du her

Attributions

Freepik

Freepik

Freepik

artikler innen

Personvern

Meta ønsker å trene sine egne AI modeller med din data
Nyhet
Personvern

Meta ønsker å trene sine egne AI modeller med din data

Meta har en lang historie med å teste vannet på hvor mye de kan utnytte brukernes data. Denne gangen ønsker Meta å benytte offentlige innlegg og bilder til å trening av AI modeller.

LES MER
Personopplysnings-loven og GDPR, hvordan ligger vi an?
Personvern

Personopplysnings-loven og GDPR, hvordan ligger vi an?

Bedrifter og organisasjoner står overfor en kontinuerlig utfordring i å navigere personvernlandskapet.

LES MER
Alle artikler

Få kontroll over markedsføringen

Digital markedsføring tilpasset dine behov

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.