GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

GDPR

Behandling av personopplysninger på nettet

Bedrifter utfører ofte behandling av personopplysninger på nettet. Mange mennesker over hele verden er online på ulike digitale plattformer i sitt daglige liv, fra små barn til eldre mennesker.

GDPR på nettet

Internett har blitt en stor og viktig del av vårt daglige liv. Vi bruker internett og digitale plattformer for ulike ting, for eksempel å betale regninger, bestille ting, kommunisere med venner og mye mer. Når en person gjør det, behandles hans eller hennes personopplysninger av forskjellige aktører, på forskjellige måter og til forskjellige formål. 

GDPR er en EU-forordning som blant annet regulerer hvordan personopplysninger kan behandles hvis de for eksempel tilhører en person som bor i EU. Et utgangspunkt for selskaper som faller innenfor rammen av GDPR, er å huske på at jo viktigere personopplysningene er, desto høyere er kravene. 

Online-tjenester (informasjonssamfunnstjenester)

Bedrifter som opererer online-tjenester, utfører generelt alltid behandling av personopplysninger på nettet. Eksempler på elektroniske tjenester inkluderer sosiale medier, e-handelsplattformer og søkemotorer. Det er viktig å huske på at mange barn bruker internett og elektroniske tjenester av ulike slag, for eksempel spill eller sosiale medier. Når barn bruker nettjenester, er reglene strengere når det gjelder behandling av barns personopplysninger. 

What breaches of the GDPR can lead to an administrative fine?

Barn nyter godt av sterkere beskyttelse under GDPR, blant annet

Som en ekstra gruppe som fortjener beskyttelse, har barn sterkere beskyttelse enn voksne under GDPR. Dette skyldes blant annet at barn kan finne det vanskeligere å forstå sikkerhetstiltakene, konsekvensene, risikoene og deres rettigheter i forbindelse med behandlingen av deres personopplysninger. Artikkel 38 i GDPR omhandler dette nærmere. 

Aldersgrense for gyldig samtykke fra barn

I henhold til GDPR kan et barn som har fylt 16 år gi gyldig samtykke til behandling av hans eller hennes personopplysninger. Medlemsstatene har imidlertid rett til å senke aldersgrensen i henhold til artikkel 8 i GDPR. I Sverige er aldersgrensen redusert til 13 år, som er minstealdersgrensen. Derimot er det tydelig fra betraktning 38 i GDPR at samtykke fra verge eller verge til et barn ikke bør kreves i tilfelle av rådgivende eller forebyggende tjenester som tilbys direkte til barn. For eksempel råd om overgrep, kriser eller andre former for online hjelpelinjer for barn og unge.

Ta alltid hensyn til FNs konvensjon om barnets rettigheter

Alle EU-land har vedtatt FNs barnekonvensjon (UNCRC). I tillegg har flere land, som Sverige, vedtatt det som nasjonal lovgivning. Det er bra for bedrifter å alltid ta hensyn til CRC når du oppretter en online tjeneste rettet mot barn. 

Databeskyttelse som standard og etter design

Det er viktig å ha databeskyttelse i design, da det er et krav for behandlingsansvarlige i henhold til artikkel 25 GDPR. Det spiller ingen rolle om det er en oppstart eller en multi-milliard virksomhet. Kort sagt betyr dette at alle bedrifter må jobbe aktivt for å oppfylle kravene i GDPR. Dette innebærer blant annet at selskapene må: 

Implementere og tilby databeskyttelsesvennlige innstillinger, for eksempel å gi brukeren muligheten til å trekke tilbake sitt gitte samtykke. Det må være like enkelt å trekke tilbake som å gi samtykke, i samsvar med artikkel 7 nr. 3 i GDPR.

Ha et rettslig grunnlag for hver enkelt behandling i henhold til artikkel 6 GDPR.

Overholdelse av de syv grunnleggende databeskyttelsesprinsippene i henhold til artikkel 5 i GDPR.

Implementere tilstrekkelige organisatoriske og tekniske sikkerhetstiltak i samsvar med artikkel 32 GDPR.

Informasjonskapsler

Mange nettsteder og applikasjoner bruker informasjonskapsler, noe som kan føre til behandling av personopplysninger på nettet. Informasjonskapsler er små tekstfiler som lagres på enheten som brukes når du besøker nettstedet eller applikasjonen (for eksempel en datamaskin, mobil eller nettbrett). Det finnes i hovedsak to typer cookies: Nødvendig og frivillig Reglene er forskjellige for disse. I EU danner både GDPR og ePrivacy-direktivet grunnlaget for kjernelovgivningen om informasjonskapsler.

Krav til behandling av nødvendige informasjonskapsler

Nødvendige informasjonskapsler vil alltid bli brukt, uten at brukeren på forhånd har gitt sitt samtykke. Det er imidlertid viktig å huske på at disse informasjonskapslene må være strengt nødvendige for å muliggjøre levering av en tjeneste eller funksjonalitet forespurt av brukeren. For eksempel en informasjonskapsel som gjør det mulig for en e-handelsplattform å huske hva brukeren har lagt til i sin varekurv, for å muliggjøre fullføring av kjøpet.

Hvis et selskap bare bruker de nødvendige informasjonskapslene, skal selskapet publisere og presentere en informasjonskapselmelding til brukeren. På den annen side er foretaket ikke pålagt å installere en cookie eplugin for å be om samtykke til disse informasjonskapslene.

Krav til behandling av frivillige informasjonskapsler

Hvis selskapet ønsker å bruke frivillige informasjonskapsler:

Sensitive personal data according to GDPR
Samtykke

Selskapet må innhente brukerens aktive og frivillige samtykke til bruk av disse frivillige informasjonskapslene. Dette betyr for eksempel at en samtykkeboks ikke skal forhåndsmerkes. I tillegg skal det være like enkelt for brukeren å trekke tilbake samtykket som å gi det.

What is the definition of anonymised data?
Krav til opplysninger

Brukeren skal informeres om behandlingen og de valgfrie informasjonskapslene som selskapet ønsker å bruke. Dette skjer jevnt gjennom publisering av en informasjonskapselmelding fra selskapet. Eksempler på hva som skal vises er hvilke informasjonskapsler som brukes, deres funksjon og formål, hvor lenge de oppbevares, hvordan personen kan trekke tilbake samtykke osv.

Kommunikasjon

Bedrifter kommuniserer veldig mye digitalt og lagrer også personopplysninger digitalt gjennom ulike plattformer for ulike formål. For eksempel skjer behandlingen av personopplysninger online ved at bedriftens ansatte sender e-post, lagrer kundenes telefonnumre i CRM-systemet, mottar CV-er fra potensielle ansatte og mye mer. Det er derfor bra for bedriftsoperatører og ansatte å være klar over reglene fastsatt i GDPR, for ikke å bryte reglene og risikere at selskapet blir bøtelagt mye. 

E-post

Selv om det ikke er noen spesifikke bestemmelser i GDPR om behandling av personopplysninger ved bruk av e-post, er det mange generelle regler som selskapet må ta hensyn til. Mange e-poster inneholder vanligvis personopplysninger, og GDPR gjelder derfor. 

For eksempel kan e-postadressen i seg selv være personopplysninger, hvis den inneholder et fornavn og / eller etternavn. I tillegg kan en e-post inneholde personopplysninger, for eksempel avsenderens kontaktinformasjon (adresse, telefonnummer, e-postadresse), personopplysningene til en annen person som finnes i et vedlagt dokument eller lignende.

Kan arbeidsgiver sende lønnsslipper til ansatte via e-post?

Hvis lønnsslippen inneholder opplysninger om sykefravær eller andre sensitive personopplysninger i henhold til artikkel 9 GDPR, skal arbeidsgiveren ikke sende den via ukryptert e-post. Vær oppmerksom på at det kan være tillatt å gjøre det, hvis via kryptert e-post. Grunnen til at selskapet ikke skal sende den via ukryptert e-post hvis den inneholder sensitive personopplysninger, er fordi den ikke er tilstrekkelig sikker. Med andre ord er behandlingen av sensitive personopplysninger, som vanligvis finnes i lønnsslipper, underlagt høyere sikkerhetskrav. 

HR

Bedrifter behandler regelmessig personopplysninger i sitt HR-arbeid. Den finner sted fra det øyeblikk foretaket for eksempel mottar en CV fra en arbeidssøker, og varer i hele ansettelsesperioden for å oppfylle arbeidsgiverens arbeidsrettslige forpliktelser, samt en tid etter at arbeidsforholdet er avsluttet. 

Subjektive vurderinger kan være mer personvernsensitive

Bedrifter kan ønske å behandle personopplysninger knyttet til den ansattes ytelse som kan være av subjektiv karakter. For eksempel, om en arbeidstaker er egnet til arbeid, for å være en fremtidig referanse eller for å se hvem som er egnet til å bli forfremmet.

Nettsteder

Reglene for behandling av personopplysninger på nettet via nettsider kan være komplekse, da de kan foregå på forskjellige måter og til forskjellige formål. 

Ikke glem å informere om behandlingen

Mange nettsteder publiserer et kontaktskjema som brukerne kan bruke til å kontakte selskapet direkte. Det er ofte obligatorisk for brukeren å fylle inn navn og e-postadresse, eventuelt med telefonnummer, for at bedriften skal kunne svare på meldingen. Disse datatypene utgjør personopplysninger i henhold til GDPR. En feil gjort av mange selskaper er at de glemmer å informere om behandlingen før brukeren sender meldingen til selskapet. 

Viktige avveininger
Ytringsfrihet

Mange land har en ytringsfrihetsloven, og hvis det er en grunnleggende lov som i Sverige, er den grunnleggende loven i noen deler over GDPR. For eksempel, hvis et selskap har mottatt et såkalt frivillig utstedelsesbevis i Sverige, har det lov til å behandle personopplysningene på en måte som ellers ville være i strid med GDPR.

Subjektivt integritetskänsliga personuppgifter
Journalistiske formål

Reglene for behandling av journalisters personopplysninger er forskjellige fra reglene for ”vanlige selskaper”.

Measures that companies need to take to comply with GDPR
Markedsføring, salg, sosiale medier eller lignende

Hvis et EU-selskap har publisert et nettsted for å selge sine varer eller tjenester, for å utføre markedsføring eller lignende aktiviteter, eller bruker sosiale medier til å kommunisere med potensielle kunder, gjelder GDPR for selskapet.

I henhold til GDPR varierer reglene avhengig av formålet med behandlingen, hvem den registrerte er, hvordan behandlingen foregår i praksis, gjennom hvilke kanaler etc. Derfor er det viktig å huske på at det er spesifikke regler og unntak som kan gjelde. Reglene er med andre ord ikke de samme hvis et selskap behandler personopplysninger for markedsføringsformål eller for journalistiske formål. 

Informasjon om GDPR

Forskjellige roller i GDPR

Det er viktig å kjenne de ulike rollene i GDPR, da reglene varierer fra en rolle til en annen. Det er for eksempel viktig å vite hvem som er behandlingsansvarlig eller databehandler for en behandlingsoperasjon, hvilken rolle personvernombudet har og hvilken tilsynsmyndighet som er selskapets ledende tilsynsmyndighet. Det er behandlingsansvarlig som bestemmer formålet med behandlingen av personopplysningene. Enheten som behandler personopplysninger på vegne av og i samsvar med instruksjonene fra den behandlingsansvarlige, er en databehandler. For eksempel et regnskapsfirma som behandler personopplysningene til ansatte i brukerselskapet for å foreta lønnsutbetalinger til ansatte på vegne av brukerselskapet.

Lyst til å lære mer?

Les mer
Skroll til toppen