Personvernprinsippene: De 7 Prinsippene I GDPR Forklart

Ismail Özkan
By: Ismail Özkan GDPR | 13 desember

Kravene rundt databeskyttelse og personvern er direkte relatert til 7 grunnleggende personvernprinsipper i GDPR. Dette blogginnlegget er ment å være en «GDPR for dummies»-håndbok, hvor jeg går gjennom de syv personvernprinsippene i GDPR og viser til eksempler om hva de kan bety for deg og gir anbefalinger om hvordan du kan etterleve dem. En forståelse av de grunnleggende prinsippene gjør deg bedre i stand til å etterleve kravene i GDPR.

Hva er de syv prinsippene i GDPR?

Kort sagt, er kravene i personvernforordningen bygget på syv generelle personvernprinsipper. Å forstå disse syv prinsippene vil gjøre det enklere for deg å etterleve kravene i GDPR. De syv prinsippene er:

  1. Lovlig, rettferdig og gjennomsiktig

  2. Formålsbegrensning

  3. Dataminimering

  4. Riktighet

  5. Lagringsbegrensning

  6. Integritet og konfidensialitet

  7. Ansvarlighet

La oss se på hvorfor det er viktig å forstå personvernprinsippene og hvordan du kan dra nytte av dem, før vi går inn på hvert enkelt prinsipp.

7 GDPR Principles - Infographic

Å forstå personvernprinsippene

Som følge av at GDPR trådte i kraft i 2018, var det mange organisasjoner som møtte utfordringen med å etterleve de nye kravene. Denne utfordringen eksisterer fortsatt i 2021. Riktig databehandling og håndtering av personopplysninger er ikke bare et etisk ansvar, men også et juridisk krav som kan føre til store bøter, økonomiske konsekvenser og tap av omdømme hvis det ikke overholdes.

Kombinert med det faktum at personopplysninger finnes overalt og at enhver bedrift behandler personopplysninger på en eller annen måte, gir dette bedriftene en stor utfordring.

Problemet er at GDPR kan se ut som en lang og kaotisk lovtekst som er skrevet på et tungt språk, og du tror kanskje at du må ha advokathjelp for å forstå den.

Alle kravene i GDPR er imidlertid basert på syv grunnleggende prinsipper. Det betyr at hvis du forstår disse syv prinsippene, er du ett skritt nærmere å forstå og overholde GDPR. Vær allikevel oppmerksom på at dette blogginnlegget er rettet mot nybegynnere, og det er dermed forenklet. Det er ikke ment som erstatning for en advokat eller konsulent.

Siden det er nesten umulig å unngå å behandle personopplysninger i disse dager, gjelder disse prinsippene mest sannsynlig også deg – men omfanget vil variere basert på din kontekst. Derfor vil jeg forklare de syv GDPR-prinsippene med et eksempel som skal følge oss gjennom hele artikkelen. Eksemplet er tenkt å være så generisk som mulig, men også aktuelt for så mange bedrifter som mulig.

Eksempel for de syv GDPR-prinsippene

La oss si at bedriften din ønsker å lage et nyhetsbrev for kunder eller medlemmer. Interesserte kan registrere seg for nyhetsbrevet på flere måter. De kan for eksempel abonnere på ditt nyhetsbrev ved å fylle ut et skjema på din nettside, eller de kan krysse av når de foretar et kjøp på nettbutikken din. På denne måten får du en database med opplysninger om kundene dine, og du sender ut relevant innhold til dem i ny og ne. Videre kan du bruke denne databasen til å skreddersy meldinger til mottakerne, for eksempel ved å tilpasse innholdet basert på deres oppførsel på din nettside.

Eksemplet er ganske enkelt, rightt?

Sånn, nå som vi er enig om et eksempel som nesten alle kan forholde seg til, la oss nå ta for oss de syv personvernprinsippene i GDPR, og se hvordan de står i forhold til eksemplet vårt.

Men, la meg først poengtere at disse syv prinsippene i GDPR også er relevante i mange andre tilfeller, og du må tilpasse konklusjonene fra denne artikkelen til din egen situasjon. Dette kan for eksempel være når du holder en konkurranse på Instagram, organiserer et arrangement for dine ansatte eller håndterer en database med opplysninger om dine forretningspartnere.

Det er nå på tide å dykke ned i de syv prinsippene. La oss sette i gang!

1. Lovlighet, rettferdighet og gjennomsiktighet

Ja, jeg vet, jeg sa prinsipp nummer én, og du ser tre ting. Jeg lover at dette er det eneste prinsippet som inneholder mer enn én hovedting (på en måte). Så, uten å forvirre deg enda mer, la meg forklare:

I bunn og grunn forteller dette prinsippet oss at behandlingen av personopplysninger må gjennomføres på en lovlig, rettferdig og gjennomsiktig måte:

  • Lovlig betyr at du samler inn data og behandler dem på et gyldig juridisk grunnlag. For eksempel: Å få et samtykke fra brukeren om at du kan behandle dataene deres, er en veldig vanlig måte å få et et lovlig grunnlag for behandling av personopplysninger. Det finnes mange rettslige grunnlag for behandling av personopplysninger – noe du kan lese mer om her

  • Rettferdig betyr at behandlingen av opplysningene gjennomføres i beste interesse for den personen opplysningene handler om, og at omfanget av behandlingen kan være rimelig forventet av personen.

  • Gjennomsiktig betyr at du tydelig kommuniserer hva, hvordan og hvorfor du behandler oplysningene til dem du behandler data om. Dette skal gjøres på en slik måte at personene du behandler data om, lett kan forstå behandlingens omfang og fremgangsmåter.

I eksemplet vårt trenger et nyhetsbrev ofte, som et minimum, navn og e-postadresse til dem som registrerer seg. Du må sikre et lovlig grunnlag for å gjøre dette – du kan for eksempel la brukeren gi samtykke til behandlingen ved å krysse av i et felt. Det er imidlertid også viktig at du gir brukerne muligheten til å begrense innsamling av data til bare det som er nødvendig for å levere nyhetsbrevet (for eksempel, trenger du virkelig personens stillingstittel for nyhetsbrevet ditt? Hvis du trenger det, bør du være forberedt på å presentere gode argumenter for det). Videre må du kunne dokumentere når og hvordan samtykket ble gitt hvis du blir bedt om det.

Data må behandles rettferdig i forbindelse med nyhetsbrevet. For eksempel: Hvis bedriften din selger skjønnhetsprodukter, forventer kundene å motta informasjon om nye produkter eller blogginnlegg om skjønnhet. Da skal du ikke bruke denne kundedatabasen til, for eksempel, å sende ut e-poster som ikke er relevante (dvs. ikke forventet) i forhold til abonnentenes hensikt da de registrerte seg for nyhetsbrevet.

Til slutt må du være gjennomsiktig og formidle databehandlingens «hva», «hvordan» og «hvorfor». Husk at personene du behandler data om (kalt «datasubjekter» i GDPR), har rett til å få vite nøyaktig hvilke data du har om dem, samt hvordan og hvorfor disse dataene behandles. Du kan oppnå gjennomsiktighet i nyhetsbrevet ditt, for eksempel ved å ha en tydelig personvernerklæring på nettsiden din og ved å la abonnentene dine enkelt kunne kontakte personvernombudet i organisasjonen din.

2. Formålsbegrensning

Dette prinsippet forteller oss at du bare skal behandle personopplysninger til det formålet du har tiltenkt dem. Med andre ord, du skal ikke gjenbruke personopplysninger til andre formål enn det de er tiltenkt for.

I vårt eksempel betyr det at du ikke skal bruke dataene du får gjennom nyhetsbrevet til andre formål enn det du har oppgitt. Skriver du for eksempel i nyhetsbrevsamtykket at du lagrer abonnentens IP-adresse for å kunne dokumentere når og hvordan samtykket ble innhentet (fordi dette er et krav i GDPR), så kan du ikke bruke disse IP-adressene til å sende abonnentene tilpasset innhold, for eksempel produktforslag som er målrettet mot deres geografiske område. Det ville være å bruke deres personlige data til et annet formål.

Men hvis du for eksempel har presisert at du samler inn IP-adressen for å sende ut nyhetsbrevet og relevant innhold, så vil du kanskje kunne bruke disse opplysningene til å sende ut målrettede e-poster. Allikevel, vær klar over vektleggingen av ordet «kanskje» – for det er veldig strenge krav til dette.

Når det gjelder behandling av personopplysninger, er dine ansatte frontlinje-arbeidere. Du må sørge for at de ikke ved et uhell behandler personopplysninger på feil grunnlag. Den beste måten å kommunisere dette på er ved å gi dine ansatte opplæring og gjøre dem oppmerksomme på utfordringene om personvern.

Dette kan du gjøre ved å gi de ansatte opplæring og gjøre dem oppmerksomme på personvernproblemer. Vurder å ta en titt på  denne gratis e-boken (intern lenke) vi har skrevet om hvordan ditt team kan bli ditt beste forsvar mot nettangrep og datainnbrudd.

3. Dataminimering

Når det gjelder data, er vi alle skyldige i å hamstre dem. Vi beholder ting fordi de er kjekke å ha, men vi bruker dem aldri. I henhold til det tredje GDPR-prinsippet skal vi ikke ha data liggende å slenge hvis vi ikke har behov for dem.
Dette prinsippet forteller oss at vi ikke skal samle inn flere personopplysninger enn det som er nødvendig for tjenesten vi har til hensikt å levere. Med andre ord, vi skal kun innhente og behandle den nøyaktige mengden data som er nødvendig.

I eksemplet vårt vil dette bety at du bare skal innhente de personopplysningene som er nødvendige for å levere nyhetsbrevet. For eksempel trenger du kanskje navn og e-postadresse til abonnentene, men du trenger ikke å vite jobbtittelen. Den er kanskje «kjekk å ha», men ikke nødvendig – og det er ikke sikkert du kommer til å bruke den uansett.

Uansett er dataminimering gunstig for deg på flere måter. Ikke bare vil det bringe deg ett skritt nærmere etterlevelse av GDPR, men du vil også bli mindre påvirket av et eventuelt datainnbrudd.

4. Riktighet

Dette kan være litt forvirrende. Mens alle de andre prinsippene vi har sett så langt handler om å vite så lite som mulig om menneskene vi behandler data om, er dette på en måte det motsatte. Dette prinsippet handler om å ha så nøyaktige data som mulig.

Det betyr at personopplysningene vi behandler må være korrekte og oppdaterte, og at du som behandlingsansvarlig og/eller databehandler må gjennomføre «rimelige tiltak» for å sikre nettopp dette.

Dette er imidlertid bare relevant når riktigheten av personopplysningene er av betydning for den personen opplysningene omhandler.

La meg forklare ved å gå tilbake til eksemplet vårt. La oss si at en av abonnentene dine har registrert seg for nyhetsbrevet med e-postadressen fra jobben sin i firma X. Hvis denne personen bytter jobb og nå jobber for firma Y, vil ikke e-postadressen hos firma X virke lenger. Dermed er ikke dataene du har om denne brukeren riktige lenger.

Et «rimelig tiltak» i denne situasjonen kan være å la nyhetsbrevet inneholde en lenke til et sted der abonnenten kan endre e-postadressen sin. Så når personen vet at den skal bytte jobb, kan den enkelt oppdatere personopplysningene du har om den.

Du kan også ha et kunderelasjonssystem (CRM) eller et markedsføringssystem som holder styr på e-postadresser som svarer automatisk når du sender ut nyhetsbrevet. Når en person slutter, vil bedriften oftest sette opp et automatisk svar som informerer om at personen ikke jobber der lenger. Derimot kan folk sette på automatiske svar av andre grunner også – for eksempel når de er på ferie. Derfor bør du regelmessig gå gjennom de automatiske svarene for å se om du har abonnenter med ugyldig e-postadresse.

Hvis dataene du har er unøyaktige eller gale, har du ingen grunn til å håndtere dem lenger – og de bør følgelig oppdateres eller slettes.

5. Lagringsbegrensninger

Dette prinsippet handler om å slette personlige data når du ikke trenger dem lenger. I utgangspunktet skal du ikke lagre personopplysninger som ikke lenger brukes til det formålet de var tiltenkt. Dette prinsippet er veldig likt dataminimeringsprinsippet, og mange bedrifter betrakter sletting av gamle data som en del av dataminimeringen.

I eksemplet vårt kan vi si at hvis folk avslutter abonnementet på nyhetsbrevet, skal opplysningene deres slettes. På samme måte, hvis bedriften din bestemmer seg for ikke å sende nyhetsbrev lenger, må du slette personopplysningene om abonnentene. Det er fordi formålet med å innhente abonnentenes personlige data var å sende nyhetsbrev, og hvis formålet ikke eksisterer lenger, skal dataene innsamlet til formålet heller ikke eksistere.

I noen tilfeller kan det være aktuelt å oppbevare personopplysninger en stund etter at formålet med dem er avsluttet, eller å anonymisere dem og bruke dataene til statistiske eller historiske formål. Disse situasjonene er imidlertid unntak snarere enn regler, og de må vurderes nøye.

6. Integritet og konfidensialitet

Hvis du er kjent med cybersikkerhet eller informasjonssikkerhet, har du sannsynligvis hørt om «CIA-trekanten». Det høres kult ut, men er ikke knyttet til Central Intelligence Agency (den amerikanske etterretningsorganisasjonen) – derimot er det en trekant som står for konfidensialitet, integritet og tilgjengelighet (confidentiality, integrity og availability).

Dette prinsippet handler om to av sidene i den trekanten. Integritet handler om å sørge for at personlige opplysninger er riktige og ikke kan manipuleres av andre (dvs. du bør iverksette tiltak for å beskytte systemene dine mot hackere). Konfidensialitet handler om å sørge for at personopplysningene du behandler blir kun behandlet av personene som skal ha tilgang til de opplysningene.

I eksemplet vårt vil dette bety at data du samler inn gjennom nyhetsbrevet ikke skal bearbeides av uautoriserte personer – selv om de er fra din egen bedrift. Med andre ord, bare personer som trenger tilgang til informasjon om abonnentene dine for å kunne levere nyhetsbrevet, skal ha tilgang til den. Videre bør du ha systemer og tiltak på plass slik at data ikke kan manipuleres.

For eksempel bør ikke abonnentenes personopplysninger lagres i en delt mappe som alle i bedriften har tilgang til, og du må ta nødvendige forhåndsregler for å sikre at lagringsstedet er beskyttet mot nettangrep og datainnbrudd.

Du kan lese mer om å gi tilgang til personopplysninger her.

7. Ansvarlighet

Som navnet antyder, gjelder dette prinsippet om å ta ansvar for databehandlingen. Det betyr at du som behandlingsansvarlig og/eller databehandler må være ansvarlig for riktig behandling av personopplysninger, samt overholdelse av reglene i GDPR.

Når vi snakker om å ta ansvar, handler det ikke bare om å oppfylle de forskjellige kravene i GDPR, men også å kunne dokumentere at du gjør det.

For eksempel: Hvis du bruker samtykke som juridisk grunnlag for å sikre at du kan behandle abonnentenes personopplysninger i forbindelse med nyhetsbrevet ditt, og dermed sikre lovlighetsprinsippet, så må du dokumentere hvordan og når dette samtykket ble gitt. For å gjøre det, må du ha på plass et system som loggfører samtykket.

Et annet eksempel er at mange av prinsippene i GDPR krever at du gjennomfører organisatoriske tiltak, i tillegg til tekniske. Dette kan for eksempel dreie seg om det andre prinsippet, hvor du skal gi ansatte opplæring i ikke å bruke personopplysninger til andre formål enn det opprinnelige formålet. Ved å gi opplæring til teamet ditt og dokumentere det, oppfyller du både et krav og viser at du har gjort det. 

Les mer: Hvordan sikre at din bedrift er GDPR compliant

Konklusjon: Trening er nøkkelen

Kort oppsummert, kan vi si at GDPR noen ganger kan være overveldende å forstå på grunn av det tunge språket og de kompliserte forklaringene. Denne veiledningen var ment som et utgangspunkt for nybegynnere. Jeg håper du drar nytte av dette innlegget, og at innsikten du får fra artikkelen vil lette arbeidet ditt i forbindelse med etterlevelse av GDPR.

Avslutningsvis vil jeg bare minne deg på at dine ansatte utgjør en viktig del av din etterlevelse av kravene i personvernforordningen. Det er de som håndterer og behandler personopplysninger på daglig basis. Vi anbefaler derfor å sørge for at teamet ditt er utstyrt med de nødvendige ferdighetene og kunnskapene i håndteringen av personopplysninger. Det er mange måter å gjøre dette på, og du kan lese mer om å bruke bevissthetstrening for å etterleve reglene her.

Hvis du vil vite mer om å trene dine ansatte, har vi i CyberPilot utviklet en online plattform for bevissthetstrening der dine ansatte kan ta korte, morsomme og interaktive kurs i informasjonssikkerhet og GDPR. Akkurat nå tilbyr vi en gratis prøveperiode på tre måneder uten forpliktelser eller kjøpekrav. Jeg vil på det sterkeste anbefale å prøve den ut.Smart CTA_e-book NO