Norsk lov om personvernforordningen
Personvernforordningen, ofte kalt GDPR (General Data Protection Regulation), ble vedtatt av Europaparlamentet og Rådet i april 2016 om vern av fysiske personer. Dette regelverket tar for seg håndtering av personopplysninger for å gi bedre personvern og harmonisere reglene i EU og EØS. GDPR sikrer at personopplysninger skal kunne utveksles fritt, samtidig som de behandles på en sikker måte. Regelverket fokuserer på beskyttelse av personopplysninger og om fri utveksling av slike opplysninger.
GDPR gir innbyggere økte rettigheter når det gjelder deres egne personopplysninger og krever at alle virksomheter som behandler personopplysninger om innbyggere i EU, inkludert de som er etablert i Norge, må følge både personopplysningsloven og personvernforordningen. Dette innebærer at slike virksomheter må sikre god beskyttelse av personopplysninger gjennom hele behandlingsprosessen.
Viktige aspekter ved GDPR inkluderer rettigheter for de registrerte, som innsyn, retting, og sletting av personopplysninger, samt krav om overføring av personopplysninger på en sikker måte. Regelverket legger også vekt på at behandlingen av personopplysninger skal være lovlig, rettferdig og gjennomsiktig.
GDPR trådte i kraft 25. mai 2018 og gjelder for alle organisasjoner som behandler personopplysninger om personer i EU og EØS, uavhengig av hvor organisasjonen befinner seg. Norske bedrifter må derfor følge disse GDPR Norge reglene for å sikre vern av personopplysninger og etterleve kravene som er fastsatt i personvernforordningen i norsk rett.
Hovedprinsipper i GDPR
GDPR bygger på flere grunnleggende prinsipper for behandling av personopplysninger:
GDPR-tjenester fra Fastup
Hos Fastup tilbyr vi omfattende GDPR tjenester i forbindelse med nye nettsider vi lager for bedrifter. Ved å bruke avanserte plugins i WordPress, sørger vi for at din nettside er i samsvar med GDPR. Noen av funksjonene inkluderer for gdpr nettside:
- Automatisk oppdatering av personvernerklæring: Sørger for at alle nødvendige juridiske tekster er oppdaterte.
- Cookie consent banner: Et banner som sikrer at brukerne samtykker til bruk av cookies.
- Loggføring av samtykke: Holder oversikt over hvem som har gitt samtykke og når.
- Databehandlingsavtaler: Inkluderer nødvendige avtaler med tredjeparter som behandler data på dine vegne.
- GDPR tekst til hjemmeside: Du vil få nødvendig sider som er påkrevd.
- GDPR Support: Vi kan gi teknisk support men ikke juridisk support.
Om du ønsker en ny nettside som er lynrask, brukervennlig og satt opp med GDPR, ja da kan du sjekke ut vår nettside tjeneste.
GDPR i Norge
Implementering av GDPR
I Norge ble GDPR implementert gjennom en ny lov om personopplysninger, som trådte i kraft 20. juli 2018. Denne loven gir virksomheter flere oppgaver og øker innbyggernes rettigheter knyttet til deres persondata. Norske virksomheter må følge de samme reglene som andre EU/EØS-land.
Etterlevelse av GDPR-regler Norge
For å etterleve GDPR må bedrifter sette seg inn i GDPR lovdata for Norge. Dette innebærer å forstå de spesifikke pliktene og rettighetene som gjelder under GDPR. Mange bedrifter har hatt behov for assistanse med nettsider, konsulenter og rådgivning om løsninger og backup for å følge GDPR.
Hvem gjelder GDPR for?
GDPR gjelder for alle virksomheter som behandler personopplysninger om innbyggere i EU/EØS, uavhengig av hvor virksomheten er etablert. Dette inkluderer norske bedrifter som samler inn og behandler personopplysninger. Slike virksomheter må følge personopplysningsloven hvis deres behandling av personopplysninger er knyttet til innbyggere i EU.
Rettigheter for de registrerte
GDPR gir enkeltpersoner flere rettigheter:
- Retten til innsyn: Alle har rett til å se hvilke opplysninger som behandles om dem.
- Retten til retting: Alle har rett til å få uriktige opplysninger rettet.
- Retten til sletting (retten til å bli glemt): Man kan be om å få slettet opplysninger i visse situasjoner.
- Retten til dataportabilitet: Man kan få sine opplysninger i et digitalt format som er lett å bruke og overføre.
- Retten til begrensning av behandling: Man kan be om at behandlingen av deres data begrenses.
- Retten til å protestere: Man kan protestere mot behandling av deres data.
Behandling av personopplysninger
Behandling av personopplysninger inkluderer enhver operasjon utført på persondata, som innsamling, lagring, bruk, overføring eller sletting. Behandlingen må alltid ha et rettslig grunnlag, enten det er samtykke, kontrakt, rettslig forpliktelse eller legitime interesser. Behandling av personopplysninger er knyttet til å sikre god beskyttelse av personopplysninger, og at de behandles på en lovlig, rettferdig og gjennomsiktig måte.
GDPR og tekniske tiltak
Innebygd personvern og databeskyttelse
Virksomheter må sørge for at personvern er innebygd i alle systemer og prosesser fra starten av, kjent som innebygd personvern. Dette innebærer å bruke tekniske og organisatoriske tiltak for å beskytte persondata og sikre fri utveksling av slike opplysninger, samtidig som personopplysninger beskyttes. Eksempler på slike tiltak inkluderer pseudonymisering, kryptering og tilgangskontroller.
Dokumentasjonsplikt
Den behandlingsansvarlige må føre god dokumentasjon som beskriver formålene med behandlingen, hvilke opplysninger som behandles, og hvordan de behandles. Dette er nødvendig for å demonstrere samsvar med GDPR. Databehandlingsprosedyrer må være klare og tilgjengelige for å sikre at alle som behandler personopplysninger er kjent med sine plikter.
Varsling ved databrudd
Ved sikkerhetsbrudd som medfører risiko for de registrertes rettigheter, må bruddet meldes til Datatilsynet innen 72 timer. Hvis risikoen er høy, må de registrerte også varsles. Dette kravet gjelder for alle typer personopplysninger og understreker viktigheten av å ha gode rutiner for informasjonssikkerhet.
Sikre GDPR-Overholdelse på Nettsider og WooCommerce
Personvernerklæring og Cookie Policy
Nettsider må ha en tydelig personvernerklæring som informerer brukerne om hvordan deres data samles inn, brukes og beskyttes. I tillegg må de ha en cookie policy og et cookie consent banner for å innhente samtykke til bruk av cookies. Dette er avgjørende for å sikre informert samtykke og overholdelse av GDPR.
Eksempel: En personvernerklæring kan forklare hvilke typer data som samles inn (som navn, e-postadresse og IP-adresse), formålene med innsamlingen (som kundeservice eller markedsføring), og hvordan dataene lagres og beskyttes. Cookie policyen kan beskrive hvilke cookies som brukes, hva de gjør, og hvordan brukerne kan administrere sine cookie-innstillinger.
Databehandlingsavtaler (DPA)
Nettsider som deler data med tredjepartsleverandører må ha databehandlingsavtaler. Disse avtalene sikrer at alle parter som behandler personopplysninger på vegne av nettsiden overholder GDPR.
Eksempel: Hvis en nettside bruker en tredjeparts e-posttjeneste for å sende nyhetsbrev, må det være en databehandlingsavtale som sikrer at tredjeparten behandler dataene i samsvar med GDPR.
Sletting og Dataportabilitet
Brukere må også kunne be om sletting av deres data (retten til å bli glemt) og be om dataportabilitet, som gir dem muligheten til å få sine data overført til en annen tjenesteleverandør.
Eksempel: En nettside kan ha et skjema eller en kontaktadresse hvor brukerne kan sende inn forespørsler om sletting av data eller få en kopi av dataene sine i et maskinlesbart format.
Epost GDPR
Behandling av epost-adresser faller også under GDPR. Det kreves samtykke for å sende markedsførings-e-poster, og mottakere skal ha enkel tilgang til å trekke tilbake sitt samtykke. Dette gjelder også for automatisert databehandling, hvor man må sikre at prosessene er i tråd med GDPR. Vi leverer kontakt oss-skjema med samtykke-funksjon.
Eksempel: Når en kunde melder seg på et nyhetsbrev via en nettbutikk, må det være en klar og tydelig samtykkeboks som kunden må krysse av for å motta eposter. Det bør også inkluderes informasjon om hvordan de kan trekke tilbake samtykket, som en avmeldingslenke i hver epost. Automatisert databehandling, som å sende tilpassede tilbud basert på kundens kjøpshistorikk, må også være i samsvar med GDPR, noe som krever at kunden informeres om dette og gir sitt samtykke.
GDPR-informasjonsside
En GDPR-informasjonsside er viktig for å gi brukerne all nødvendig informasjon om hvordan deres data behandles. Dette inkluderer detaljer om datainnsamling, behandlingsformål og brukerrettigheter. Informasjonen må være klar og lett tilgjengelig.
Eksempel: En GDPR-informasjonsside kan inneholde en oversikt over hvordan data samles inn ved bruk av nettsiden, hvorfor det samles inn, hvem som har tilgang til dataene, og hvilke rettigheter brukerne har til å se, rette eller slette deres data.
Innsyn og Retting
Nettsider må tilby brukerne muligheten til å be om innsyn i deres personopplysninger og retting av feilaktige opplysninger. Dette kan gjøres via kontaktformularer eller dedikerte brukerportaler.
Eksempel: En nettside kan ha en egen seksjon hvor brukerne kan logge inn og se sine lagrede opplysninger, samt et skjema hvor de kan sende inn forespørsler om retting av data.
Sikkerhetsprosedyrer
Det er viktig å beskrive hvilke sikkerhetsprosedyrer som er på plass for å beskytte personopplysninger. Dette kan inkludere kryptering, tilgangskontroller og regelmessige sikkerhetsrevisjoner.
Eksempel: En nettside kan informere brukerne om at deres data er kryptert både under overføring og lagring, og at tilgang til dataene er begrenset til autorisert personell
GDPR og WooCommerce
Nettbutikker som bruker plattformer som WooCommerce må sikre at personopplysninger behandles i samsvar med GDPR. Dette inkluderer å innhente samtykke, sikre lagring av data, og gi kundene rettigheter som innsyn og sletting av data. GDPR må følges for å sikre god beskyttelse av personopplysninger og at personopplysninger skal kunne utveksles fritt. Et viktig aspekt ved dette er å ha en oppdatert personvernerklæring og cookie policy.
Eksempel: En WooCommerce-nettbutikk bør ha et samtykkefelt i kassen der kundene eksplisitt gir samtykke til behandling av deres data. Videre må det være klart hvordan dataene lagres og beskyttes. En oppdatert personvernerklæring bør detaljere hvilke data som samles inn, hvordan de brukes, og hvordan kundene kan utøve sine rettigheter, som å be om innsyn eller sletting av deres data.
Ekstra tiltak
For å sikre full etterlevelse av GDPR, bør bedrifter også:
- Gjennomføre regelmessige revisjoner: Sørg for at alle databehandlingsprosesser er oppdatert og i samsvar med GDPR.
- Opplæring av ansatte: Sikre at de ansatte er godt kjent med GDPR-kravene og bedriftens retningslinjer for databehandling.
- Kontinuerlig overvåking: Hold et kontinuerlig øye med databehandlingsprosesser for å identifisere og rette opp eventuelle avvik.
Tabell: Oversikt over nødvendige sider og elementer
Sider/Elementer | Beskrivelse |
---|---|
Personvernerklæring | Informerer brukerne om hvordan data samles inn, brukes og beskyttes. |
Cookie policy | Forklarer bruken av cookies og innhenter samtykke fra brukerne. |
GDPR-informasjonsside | Gir brukerne informasjon om datainnsamling, behandlingsformål og brukerrettigheter. |
Databehandlingsavtaler (DPA) | Sikrer at tredjepartsleverandører overholder GDPR. |
Innsyn og retting | Mulighet for brukerne til å se og rette sine personopplysninger. |
Sletting og dataportabilitet | Brukere kan be om sletting av data og overføring av data til andre leverandører. |
Sikkerhetsprosedyrer | Beskrivelse av sikkerhetstiltak som beskytter personopplysninger. |
GDPR konsulent pris
Prisene for GDPR-konsulenttjenester varierer, men generelt kan du forvente å betale mellom 1000 og 3000 kroner per time. Noen konsulenter tilbyr også fastpris-pakker for spesifikke tjenester som utarbeidelse av personvernerklæringer eller gjennomføring av personvernkonsekvensvurderinger (DPIA). GDPR hjelp kan være avgjørende for å sikre at virksomheten din overholder alle krav.
GDPR funksjon og sider følger med i våre driftspakker.
Konsekvenser ved manglende overholdelse av GDPR
GDPR-bøter
Alvorlige brudd på GDPR kan resultere i betydelige bøter, opptil 20 millioner euro eller 4 % av global årlig omsetning, avhengig av hva som er høyest. Eksempler på brudd inkluderer utilstrekkelige sikkerhetstiltak og manglende etterlevelse av de registrertes rettigheter. Formålet med GDPR-bøtene er å sikre at personopplysninger beskyttes og at behandling av personopplysninger skjer på en ansvarlig måte.
Eksempler på GDPR-saker i Norge
Bergen Kommune
I 2020 ble Bergen kommune ilagt en bot på 3 millioner kroner av Datatilsynet for dårlig sikring av personopplysninger. En feilkonfigurasjon gjorde det mulig for uautoriserte å få tilgang til sensitive personopplysninger om over 35 000 elever og ansatte i skoleverket.
Oslo Universitetssykehus
Oslo Universitetssykehus (OUS) mottok i 2020 et varsel om et gebyr på 5 millioner kroner fra Datatilsynet. Saken omhandlet brudd på personvernforordningen relatert til pasientsikkerhet og informasjonssikkerhet. Datatilsynet avdekket at OUS ikke hadde tilstrekkelige tekniske og organisatoriske tiltak for å sikre pasientdata mot uautorisert tilgang.
Østre Toten Kommune
I 2021 ble Østre Toten kommune rammet av et alvorlig cyberangrep, noe som resulterte i at store mengder data, inkludert sensitive personopplysninger, ble kryptert og gjort utilgjengelige. Datatilsynet reagerte på sikkerhetsbruddet og startet en undersøkelse for å vurdere kommunens etterlevelse av GDPR.
Norsk Helsenett
Norsk Helsenett SF mottok i 2021 et varsel om vedtak fra Datatilsynet om overtredelsesgebyr på 1,5 millioner kroner. Dette var på grunn av manglende etterlevelse av GDPRs krav til informasjonssikkerhet og manglende beskyttelse av pasientopplysninger. Saken fremhevet viktigheten av å ha robuste tekniske og organisatoriske tiltak på plass.