Tilbake
ALLE INNLEGG
GDPR og personvern i en globalisert verden

GDPR og personvern i en globalisert verden

June 1, 2023
I dagens digitale samfunn hvor bedrifter og organisasjoner håndterer store mengder persondata, er personvernregler som GDPR (General Data Protection Regulation) viktige for å beskytte folks grunnleggende menneskerettigheter. For norske bedrifter som har egne nettsider eller behandler persondata om ansatte, kunder eller sluttbrukere, er det viktig å være oppmerksom på de generelle minstekravene.

Bekymring knyttet til leverandører utenfor EØS-området.

Det å overføre personopplysninger om EØS-borgere ut av EØS, ved for eksempel bruk av skytjenester fra store teknologiselskaper som Amazon, Microsoft eller Google. Mange bedrifter bruker også verktøy som Google Analytics eller Facebook Connect på egne nettsider. Videre kan norske IT-leverandører bruke datasentre i USA for lagring av persondata, og bedrifter kan ha supportavtaler med firmaer i land som India.

En avgjørelse av EU-domstolen fra 2020, kalt Schrems II-dommen, har ført til forvirring rundt bruk av utenlandske leverandører. Domstolen konkluderte med at avtalen mellom EU og USA, kalt Privacy Shield, ikke kunne brukes som lovlig overføringsgrunnlag. Videre konkluderte domstolen med at det heller ikke var tilstrekkelig å inngå databehandleravtale og en overføringsavtale kalt Standard Contractual Clauses (SCC) med leverandører i USA.

Datatilsynet varsler vedtak rundt bruk av Google analytics

Datatilsynet har sendt et forhåndsvarsel til partene i Google Analytics-saken om at bruk av Google Analytics på en norsk nettside var i strid med GDPRs overføringsregler. Partene i saken har nå fått tid til å uttale seg om foreløpige konklusjoner. Etter dette vil Datatilsynet ta stilling til eventuelle innspill de får. Dette gjelder også norske nettsteder, og Datatilsynet anbefaler derfor å utforske alternativer til Google Analytics og å være forberedt på eventuelle konsekvenser for deres eget nettsted.

Denne listen fra Gocookieless.com har flere forslag

Krav som stilles til norske bedrifter når det kommer til oppbevaring av persondata:

  1. Samtykke: Bedriften må ha samtykke fra den registrerte personen før de kan samle inn og behandle persondata.
  2. Formål: Bedriften må ha et klart og spesifikt formål for å samle inn og behandle persondata. Persondataene kan kun brukes til det formålet som er oppgitt.
  3. Informasjon: Bedriften må gi den registrerte personen informasjon om hvordan persondataene skal brukes, hvem som vil ha tilgang til dem, og hvor lenge de vil bli lagret.
  4. Dataminimering: Bedriften må begrense mengden persondata som samles inn og behandles, og bare samle inn de dataene som er nødvendige for det spesifikke formålet.
  5. Sikkerhet: Bedriften må sørge for tilstrekkelig sikkerhet for persondataene, slik at de ikke blir misbrukt, mistet eller på annen måte kompromittert.
  6. Rettigheter: Bedriften må respektere den registrerte personens rettigheter til å få tilgang til sine egne persondata, korrigere feil, slette data og begrense behandlingen av dataene.
  7. Varsling: Bedriften må varsle Datatilsynet innen 72 timer dersom det oppstår brudd på persondatasikkerheten.

Disse kravene er viktige for å beskytte personvernet til den registrerte personen og for å unngå misbruk av persondata. Hvis en bedrift ikke følger disse kravene, kan de bli ilagt bøter og andre sanksjoner av Datatilsynet. Vi i Headit hjelper deg gjerne med å sikre at din bedrift overholder nødvendige krav.

Flere artikler

Hvordan jobbe kundesentrert med systemutvikling.

Hva er en smidig organisasjon - 5 trinn til hurtig omstilling

Hvordan bidrar UX til å ivareta brukerens behov i utviklingsteam

Adresse

Løvstadvegen 7, 2312 Ottestad

Org.nr: NO 982 691 729 MVA

Kontakt
+47 62 51 00 52post@headit.no
SOSIALT
Linkedin
Facebook
Instagram