GDPR-begreper enkelt forklart
GDPR inneholder flere kompliserte og tunge uttrykk. For å overholde regelverket er det dermed viktig å forstå hva begrepene faktisk betyr og hvordan man anvender dem i praksis. Derfor har vi laget en enkel definisjonsliste over noen av de mest sentrale begrepene for å sikre en god forståelse og dermed også etterlevelse av GDPR.
En ikke-uttømmende definisjonsliste finnes i GDPR artikkel 4.
Personopplysning
En personopplysning er enhver opplysning som kan knyttes til en fysisk person (den registrerte), gjennom enten direkte eller indirekte identifikasjon. Direkte identifikasjon innebærer umiddelbar identifikasjon av den registrerte gjennom eksempelvis et bilde, mens indirekte identifikasjon er informasjon kombinert med ulike opplysninger som kan identifisere en person. Dette kan være en stillingstittel kombinert med arbeidssted som kan single ut en enkeltperson dersom det bare er én person med den stillingen på arbeidsstedet.
Andre eksempler på personopplysninger er mail, navn, personnummer osv.
I tillegg finnes det også særlige kategorier av personopplysninger som regnes som ekstra beskyttelsesverdige. Denne kategorien med personopplysninger krever et ekstra vern fordi de eksempelvis kan være grunnlag for diskriminering eller avsløre særlig privat informasjon, og krever ofte høyere sikkerhetstiltak for beskyttelse mot misbruk. Som hovedregel er det ikke lovlig å behandle disse personopplysningene, men det finnes unntak i lovgivningen.
Eksempler på slike personopplysninger er etnisk opprinnelse, helseopplysninger og fagforeningsmedlemskap.
Behandling
En behandling er enhver bruk eller handling av personopplysninger, uavhengig om det er automatisert eller manuelt.
Eksempler på behandlinger er lagring, organisering, spredning og sletting av personopplysninger.
Et praktisk eksempel er utbetaling av lønn; alt fra innsamling av nødvendige opplysninger som navn og fødselsnummer, lagring av disse opplysningene og eventuell sletting etter opphør av arbeidsforholdet er henholdsvis enkelte behandlinger.
Behandlingsaktivitet
En behandlingsaktivitet kan være en behandling eller et sett med behandlinger og er all aktivitet der virksomheten behandler personopplysninger. Det skal kun være ett spesifikt formål per behandlingsaktivitet.
For å identifisere behandlingsaktiviteter kan dere eksempelvis se på de ulike formålene dere bruker et system for; hvert formål vil være en egen behandlingsaktivitet.
Behandlingsansvarlig
En behandlingsansvarlig er den som bestemmer formålet med behandlingen og hvilke midler som skal brukes. Som oftest er den behandlingsansvarlige en virksomhet.
Visma Draftit er eksempelvis behandlingsansvarlig for blant annet egne ansatte.
Databehandler
En databehandler er den som behandler personopplysningene på vegne av den behandlingsansvarlige, og følger den behandlingsansvarliges instrukser og formål. En databehandler vil som regel være en ekstern virksomhet.
Eksempler på databehandlere kan være IT-leverandører og skytjenester slik som Microsoft eller Hubspot.
I et tilfelle der en kunde benytter seg av eksempelvis Visma Draftits Privacy Records, vil vi være databehandler for den kunden.
Tilsynsmyndighet
En tilsynsmyndighet er en uavhengig offentlig myndighet som passer på at personvernregelverket blir etterlevd og at fysiske personers rettigheter blir ivaretatt. Enkeltpersoner kan henvende seg til tilsynsmyndigheten dersom de mener at deres personopplysninger ikke blir lovlig behandlet. I Norge er det Datatilsynet som er tilsynsmyndigheten.
Overføring til tredjeland
Overføring til tredjeland er personopplysninger som overføres over landegrenser utenfor EU/EØS. Dette kan være internt i en virksomhet eller mellom to ulike virksomheter. Internasjonale organisasjoner omfattes også. Som utgangspunkt er det ikke lov å overføre til tredjeland dersom det ikke foreligger et særskilt grunnlag. Det vil si at virksomheten må vurdere et ytterligere overføringsgrunnlag før personopplysninger kan overføres ut av EU/EØS.
Det kan være lovlig med overføring når det foreligger tilstrekkelige beskyttelsesnivåer eller spesifikke garantier. EU-kommisjonen har blant annet fattet en beslutning om at noen tredjeland har et tilstrekkelig beskyttelsesnivå av personopplysninger, og for disse landene kreves det ikke et særskilt overføringsgrunnlag. Et eksempel på et slikt område er Storbritannia som etter Brexit regnes som et tredjeland.
Les mer om overføring til tredjeland her >>>
Formål (formålsbegrensning)
Personopplysninger kan kun samles inn for spesifikke, uttrykkelig angitte og berettigede formål, og behandlingen videre kan ikke være uforenlig med det angitte formålet. Formålet må dermed være klart og lovlig, den registrerte skal være klar over hva opplysningene samles inn for, og opplysningene skal ikke brukes til noe annet enn akkurat det fastsatte formålet.
Behandlingsgrunnlag
Et behandlingsgrunnlag betyr at enhver behandling må ha et rettslig grunnlag for å være lovlig. Det vil si at den behandlingsansvarlige må ha en begrunnelse for å behandle personopplysninger.
Eksempler på behandlingsgrunnlag er samtykke (for eksempel personvernerklæringer), avtale (for eksempel arbeidskontrakt) og rettslig forpliktelse (for eksempel plikt til å føre journal).
For nærmere informasjon om de seks ulike behandlingsgrunnlagene kan du sjekke ut dette blogginnlegget.