Personopplysninger og GDPR kan være en tøff nøtt å knekke, men så viktig. For å kunne føle frihet ved kommunikasjon og markedsføring må du først og fremst ha lagt grunnlaget riktig. Dette innebærer hovedsakelig å vite hvem man skal kontakte, med hvilket budskap og under hvilke forhold. Men hva betyr egentlig GDPR? I dette innlegget forteller vi deg alt du trenger å vite om håndtering av personopplysninger i henhold til personvernforordningen .
Hva er personopplysninger i henhold til GDPR?
I den digitale verden vi lever i er forskjellen mellom en e-postadresse og et personnummer fin. Akkurat som bare du har personnummeret ditt, er det bare du som har e-postadressen din. De fleste kobler raskt til GDPR og personnummer som typiske personopplysninger. Men siden det kun er du som eier e-postadressen din, teller den også som personopplysninger.
Hva sier GDPR om personopplysninger?
Så hva er personopplysninger? En personopplysning er enhver type informasjon som kan brukes til å identifisere en levende person, og dette gjelder også kombinasjonen av ulike data som kan identifisere noen (f.eks. under en analyse).
Hvilke personopplysninger dekkes av GDPR?
Hva er personopplysninger? All slags informasjon som direkte eller indirekte kan knyttes til en fysisk person som er i live regnes som personopplysninger. Til og med bilde- og lydopptak kan regnes som personopplysninger, dersom du kan se eller høre hvem det dreier seg om, selv om ingen navn er nevnt. Krypterte eller kodede data er også personopplysninger dersom noen har en nøkkel som kan knytte den til en person.
Eksempler på informasjon som teller som personopplysninger:
- Epostadresse
- IP-nummer
- Personnummer
- Telefonnummer
- Bostedsadresse
- Kundenummer
- Bilder
Hva teller ikke som personopplysninger?
Siden konsekvensene av brudd på GDPR eller håndtering av personopplysninger på en uansvarlig måte kan være alvorlige, tar selskaper vanligvis det sikre alternativet. Men det er selvfølgelig informasjon som ikke teller som sensitive personopplysninger, for eksempel:
- organisasjonsnummer (unntatt når det gjelder et enkeltpersonforetak, i så fall regnes det som personopplysninger)
- e-postadresser som info@företağ.se.
Viktige personopplysninger
Hva må bedriften din vurdere når det gjelder personopplysninger?
- Finn ut og dokumenter hvilke personopplysninger du samler inn i dag og begrunn hvorfor du samler inn dem.
- Sørg for at du kan håndtere alle nye rettigheter (f.eks. retten til å bli glemt).
- Rydd opp i databasen og kast gammel informasjon som ikke lenger er i bruk eller aktiv/gyldig.
Nesten alle bedrifter har en database som inneholder kontaktinformasjon for kunder, prospekter, potensielle kunder eller nyhetsbrevabonnenter. Hvis databasen inneholder navn, e-postadresser eller telefonnumre, betyr det at disse dataene har blitt behandlet på et tidspunkt. Hvordan din bedrift behandler personopplysninger er en viktig del av den nye personvernforordningen, og nedenfor prøver vi å forklare hva som gjelder for den:
I henhold til GDPR betyr «behandling av personopplysninger «behandling av nesten alt som gjøres med personopplysninger, bortsett fra kommunikasjon. Hvis du har kontaktdetaljer for kunder i Rule , har de blitt behandlet på et tidspunkt. Det vil være et krav at det er en ansvarlig som kan sørge for at selve behandlingen blir korrekt utført.
Her er noen eksempler på hva som regnes som behandling av personopplysninger i henhold til GDPR:
- For å sende inn en e-postadresse til ett eller flere av systemene dine.
- For å automatisk analysere og legge til tilleggsdata, basert på dataene du allerede har ( også kalt «fylle ut») .
- For å dele ulike personopplysninger inn i grupper/segmenter for å begrense eller tillate viss kommunikasjon.
- Pakk ut en excel-fil for å manuelt legge til navn, telefonnumre eller lignende.
Det finnes også en lov som heter personopplysningsloven, så hva er GDPR-loven i forhold til den? GDPR- loven sier at bedrifter skal kunne angi hva de ønsker å gjøre med personopplysningene som samles inn, lagres eller registreres. Personopplysningsloven (PUL) handler mer om hva som gjøres med informasjonen når den er samlet inn eller registrert.»
Din bedrift bør tenke på gjeldende GDPR og personopplysninger
For at din bedrift skal kunne behandle personopplysninger , må det foreligge et rettslig grunnlag som tillater behandlingen. Det er egentlig bare 3 punkter bedriften din trenger å holde styr på for å samle inn nye kundeemner og e-postadresser i henhold til den nye databeskyttelsesforordningen:
- Samtykke – Den registrerte har gitt sitt samtykke til at hans personopplysninger kan behandles for ett eller flere spesifikke formål.
- Avtale – Behandlingen er nødvendig for å oppfylle en avtale som den registrerte kjenner til eller for å kunne oppfylle visse avtaler, før den registrerte aksepterer en slik avtale.
- Berettiget interesse – Personopplysninger kan behandles i visse andre situasjoner som loven oppregner. Dersom behandlingen er nødvendig og den behandlingsansvarlige vurderer at behandlingen ikke kan krenke den personlige integriteten, er dette tillatt. Det er med andre ord en personlig avgjørelse fra den behandlingsansvarliges side, og dersom det på noen måte kan føre til krenkelse av personvernet til den registrerte, kan det bli store bøter eller andre konsekvenser for den aktuelle virksomheten.
Sensitive personopplysninger i henhold til GDPR
Så hvilke GDPR-sensitive personopplysninger bør du egentlig være oppmerksom på?
Vi lister dem nedenfor:
- etnisk bakgrunn
- politiske meninger
- religiøse eller filosofiske overbevisninger
- medlemskap i en fagforening
- Helse
- en persons sexliv eller seksuelle legning
- genetiske data
- biometriske data som brukes til å identifisere en person unikt
Kan du sende e-post til personopplysninger i henhold til GDPR?
Det bør gjøres samme vurdering for behandling av personopplysninger i e-post som for behandling av personopplysninger i ethvert annet system. Anbefalingene som IMY (integreringsmyndigheten) skriver på sin nettside som følger:
- Når du har mottatt og lest e-posten, vurder om dataene skal oppbevares og i så fall hvor de skal foregå for å oppfylle kravene som gjelder for akkurat disse dataene.
- Ikke send sensitive personopplysninger i ubeskyttet e-post.
- Informer på din nettside i forbindelse med e-postadressen hvordan du behandler personopplysninger eller lenke derfra til din personvernerklæring.
- Hvis du sender svar-e-post eller auto-svar, legger du ved en standardtekst der du informerer personen som sendte e-posten om hvordan du behandler personopplysninger eller lenker til en personvernerklæring på nettstedet ditt.
- Informer alle i din organisasjon om reglene og rutinene for hvordan du behandler personopplysninger i din organisasjon. Sørg også for at rutinene holdes i live.
Utlevering av personopplysninger til tredjeparter GDPR
Det er et rettslig grunnlag kalt interesseavveining som gjør at du som virksomhet i visse tilfeller kan behandle personopplysninger. Det som da gjelder er om dine interesser veier tyngre enn den registrerte og om behandlingen av personopplysninger er nødvendig for formålet. Når du har interesseavveining som rettslig grunnlag, kan du utlevere personopplysninger til en tredjepart, det vil si til en mottaker som har en legitim interesse. Men før du gir ut informasjonen, bør du finne ut tre enkle, men viktige ting:
- hvorfor de vil ha personopplysningene
- hva de skal bruke personopplysningene til
- og hvis de virkelig trenger dem
Når du har utlevert personopplysningene, må du også kunne begrunne utleveringen. Det er da tredjeparts ansvar å begrunne det rettslige grunnlaget de selv støtter behandlingen på.
Hvilke personopplysninger kan lagres?
I samsvar med GDPR, hvordan kan data lagres og hvor lenge kan personopplysninger lagres? Ved behandling av personopplysninger kan personopplysninger lagres så lenge det er nødvendig for formålet. Så ifølge GDPR krever at du sletter personopplysninger som du har lagret når de ikke lenger er nødvendige for det spesifikke formålet. Da er det på tide å slette eller avidentifisere dem. Så når du blir spurt om hva GDPR står for, bør du nå kjenne til sammenhengen mellom GDPR og personopplysninger. Kort sagt handler det om hvordan(!) du har lov til å håndtere en brukers personopplysninger.
