What is a Data Controller under GDPR?

A data controller determines the purposes and means of processing personal data. They decide why and how personal data gets used and bear primary responsibility for GDPR compliance.

How quickly must a data breach be reported under GDPR?

Personal data breaches must be reported to the supervisory authority within 72 hours of becoming aware of the breach, as required by Article 33 GDPR.

When is a DPIA required?

A Data Protection Impact Assessment is required when processing is likely to result in a high risk to individuals, including profiling, large-scale monitoring, and processing of special category data (Article 35 GDPR).

GDPR

Personvernforordningen

Regelverket som gjorde informasjonsbannere om informasjonskapsler til det popup-vinduet alle hater mest

Personvernforordningen (GDPR) er EUs banebrytende personvernlovgivning, som regulerer hvordan personopplysninger samles inn, behandles og beskyttes. Siden mai 2018 har den vært den ledende standarden for personvern over hele verden – og årsaken til at innboksen din ble oversvømmet av e-poster med overskriften «Vi har oppdatert personvernreglene våre».

Omfang

Enhver organisasjon som behandler personopplysninger om personer i EU/EØS – uavhengig av hvor organisasjonen har sitt hovedkontor. Ja, det gjelder deg også, Silicon Valley.

Geografisk rekkevidde

EU/EØS + enhver organisasjon over hele verden som tilbyr varer eller tjenester til, eller overvåker atferden til, personer i EU.

Gjeldende fra

25. mai 2018

Formål

For å gi enkeltpersoner kontroll over sine personopplysninger og forenkle regelverket for internasjonal virksomhet. Et morsomt faktum: forordningen er på 88 sider, inneholder 99 artikler og har generert omtrent 4,2 milliarder popup-vinduer for samtykke til informasjonskapsler (uoffisielt anslag).

Gå til din rolle:

Behandlingsansvarlig

Du bestemmer formålet med og måten å behandle personopplysninger på. Enkelt sagt: Du bestemmer hvorfor og hvordan personopplysningene skal brukes. Hvis det var du som sa «la oss samle inn e-postadresser til nyhetsbrevet vårt», så gratulerer – du er behandlingsansvarlig.

Dine forpliktelser

Etablere et rettslig grunnlag for hver enkelt behandlingsaktivitet (art. 6) — «fordi vi kan» er ikke et av dem
Før et register over behandlingsaktiviteter (RoPA) som dokumenterer hva du behandler og hvorfor (art. 30)
Gjennomføre konsekvensutredninger for personvern (DPIA) ved behandling med høy risiko – som profilering eller overvåking i stor skala (art. 35)
Meld brudd på personvernet til tilsynsmyndigheten innen 72 timer (art. 33) – inkludert helger og helligdager
Sørg for at de registrerte kan utøve sine rettigheter: rett til innsyn, retting, sletting («retten til å bli glemt»), dataportabilitet og rett til å gjøre innsigelse (art. 15–22)
Iverksette egnede tekniske og organisatoriske tiltak for å sikre datasikkerheten (art. 32) – en Post-it-lapp med databasepassordet er ikke tilstrekkelig
Utnevne et personvernombud (DPO) dersom det er nødvendig (art. 37)
Bruk kun databehandlere som gir tilstrekkelige garantier – og nedfyll dette i en databehandleravtale (art. 28)

Viktige artikler

§ 5 — Prinsipper§ 6 — Rettslig grunnlag§ 13–14 — Opplysningsplikt§ 28 — Avtaler med databehandlere§ 30 — Behandlingsregister§ 32 — Sikkerhetstiltak§ 33–34 — Varsel om bruddArt. 35 — Personvernkonsekvensanalyse

Proff-tips

Begynn med din RoPA. Hvis du ikke vet hvilke opplysninger du behandler, kan du ikke beskytte dem. Tenk på det som et kart – du ville ikke beveget deg rundt i en by uten et (med mindre du liker å gå deg vill).

Databehandler

Du behandler personopplysninger på vegne av en behandlingsansvarlig. Tenk for eksempel på en leverandør av skytjenester, en lønnstjeneste eller en plattform for e-postmarkedsføring. Du bestemmer ikke selv hva som skal skje med opplysningene – du gjør bare det den behandlingsansvarlige ber deg om. Som en svært godt betalt assistent med strenge instrukser.

Dine forpliktelser

Behandle kun data i henhold til den behandlingsansvarliges dokumenterte instrukser (art. 28) – det er ikke tillatt å handle på egen hånd når det gjelder personopplysninger
Før din egen oversikt over behandlingsaktiviteter (art. 30.2)
Iverksette egnede sikkerhetstiltak (art. 32)
Gi tilsynsmyndigheten beskjed uten unødig forsinkelse dersom du oppdager et brudd (art. 33.2) — «Jeg var på ferie» regnes ikke som unødig forsinkelse
Bistå den behandlingsansvarlige med konsekvensanalyser og forespørsler fra registrerte når dette blir bedt om (art. 28.3)
Det er kun tillatt å benytte underdatabehandlere med den behandlingsansvarliges forhåndsgodkjenning (art. 28.2)
Slette eller returnere alle personopplysninger når behandlingsforholdet opphører (art. 28.3g)

Viktige artikler

§ 28 — Behandlerens forpliktelserArt. 29 — Behandling på myndighetens vegne§ 30.2 — Behandlerens register§ 32 — Sikkerhet§ 33.2 — Melding om brudd til den behandlingsansvarlige

Proff-tips

Få orden på databehandlingsavtalene dine før din største kunde ber om dem. Å ha en mal klar er for databehandlere det samme som å alltid ha med seg en paraply – du vil være glad for at du gjorde det.

Databeskyttelsesansvarlig (DPO)

Du er organisasjonens uavhengige personvernansvarlig. Du gir råd, overvåker etterlevelsen og fungerer som kontaktperson for tilsynsmyndigheten. Du rapporterer direkte til øverste ledelse, og ingen kan diktere hva du skal konkludere. Du er i praksis personvernrevisor – ikke akkurat festens midtpunkt, men alle ringer deg når noe går galt.

Dine forpliktelser

Informere og gi råd til den behandlingsansvarlige/databehandleren om deres forpliktelser i henhold til GDPR (art. 39.1a)
Overvåke etterlevelsen av GDPR og interne retningslinjer for personvern (art. 39.1b)
Gi råd om konsekvensanalyser av personvern (DPIA) og overvåke gjennomføringen av disse (art. 39.1 c)
Fungere som kontaktpunkt for tilsynsmyndigheten (art. 39.1 d–e)
Sørg for å bevare din uavhengighet – du må ikke motta instruksjoner om hvordan du skal utføre oppgavene dine (art. 38.3)
Holde seg oppdatert på lovgivning og praksis innen personvern (art. 37.5)
Være tilgjengelig for registrerte som ønsker å fremføre innvendinger (art. 38.4)

Viktige artikler

§ 37 — Utnevnelse av personvernombudet§ 38 — Databeskyttelsesansvarliges stilling§ 39 — Oppgaver for personvernombudet

Proff-tips

Dokumenter rådene dine – spesielt når ledelsen velger å ikke følge dem. Du vil takke deg selv for det senere, når tilsynsmyndigheten banker på døra.

Den registrerte

Du er et levende menneske hvis personopplysninger blir behandlet. Det er alt – ingen sertifisering er nødvendig. Hvis en organisasjon har navnet ditt, e-postadressen din, IP-adressen din eller til og med innstillingene dine for informasjonskapsler, er du en registrert. Det betyr at du har rettigheter. Ganske mange, faktisk.

Dine forpliktelser

Du har rett til å få innsyn i dine personopplysninger og få en kopi (art. 15) – spør pent, men du er ikke forpliktet til det
Du kan be om retting av uriktige opplysninger (art. 16) – navnet ditt er ikke «Kjære kunde»
Du kan be om at opplysningene dine slettes – den velkjente «retten til å bli glemt» (art. 17)
Du kan begrense behandlingen i visse situasjoner (art. 18)
Du har rett til dataportabilitet – du kan ta med deg opplysningene dine og flytte dem til et annet sted (art. 20)
Du kan gjøre innsigelse mot behandlingen, herunder profilering og direkte markedsføring (art. 21) – ja, du kan melde deg av
Du har rett til ikke å bli gjenstand for beslutninger som utelukkende er basert på automatisert behandling, herunder profilering (art. 22)
Du kan klage til en tilsynsmyndighet dersom dine rettigheter blir krenket (art. 77)

Viktige artikler

§ 15 — Rett til innsyn§ 16 — Rettelse§ 17 — Sletting§ 20 – Rett til dataportabilitet§ 21 – Rett til å gjøre innsigelse§ 22 — Automatisert beslutningstaking§ 77 — Klage til myndighetene

Proff-tips

Når du utøver dine rettigheter, må du være konkret om hva du ønsker. En tydelig, skriftlig henvendelse (e-post er greit) gir raskere svar enn en vag formulering som «Jeg vil ha alle opplysningene mine». Et ekstra tips: nevn GDPR i emnelinjen – det pleier å få ting til å gå raskere.

Hvordan Euregas kan hjelpe

Tilgjengelige verktøy

Register over behandlingsaktiviteter (RoPA) – dokumenter alle behandlingsaktiviteter med innebygde maler
DPIA med risikomatrise – vurder og rangér risikoer på tvers av 7 dimensjoner
Hendelseshåndtering — følg med på brudd med automatiske påminnelser om 72-timers fristen
Den registrertes rettigheter – håndter forespørsler om innsyn, sletting og dataportabilitet fra start til slutt
Samtykkehåndtering — spor innsamling av samtykke, tilbaketrekking og revisjonsspor
Datakartlegging — visualiser dataflyt mellom systemer og tredjeparter
Databehandlingsavtaler — administrer forholdet til databehandlere og underdatabehandlere
Vurdering av rettslig grunnlag — dokumentere og gjennomgå det rettslige grunnlaget for hver behandlingsaktivitet
Konsekvensanalyse ved dataoverføring (TIA) — vurdering av internasjonale dataoverføringer

AI-støttede funksjoner

Veiviser for konsultasjon (gdpr_readiness) — Veiledet vurdering i fem trinn med AI-analyse for hvert trinn og henvisninger til artikler
AI-generert vurdering av samsvar: i samsvar / delvis i samsvar / ikke i samsvar
Semantisk søk i GDPR-artiklene, EDPB-retningslinjene og rettspraksis

Merknad

Alle GDPR-verktøyene (RoPA, DPIA, hendelseshåndtering osv.) er manuelle arbeidsflyter med strukturerte maler. AI-støtte er tilgjengelig via veiviseren for rådgivning – den er ikke integrert direkte i de enkelte verktøyene.

Alle eksemplene er fiktive og brukes kun til illustrasjonsformål.