Virkeområdet
EU - gjelder for alle organisasjoner som behandler personopplysninger om EU-borgere, uavhengig av hvor organisasjonen er lokalisert.
Beskrivelse
General Data Protection Regulation er en EU-forordning som fastsetter regler for beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger, samt regler for fri flyt av personopplysninger. Forordningen beskytter grunnleggende rettigheter og friheter for enkeltpersoner, og særlig deres rett til vern av personopplysninger.
Hovedmål med GDPR
- Beskyttelse av personopplysninger
GDPR skal sikre at personopplysninger behandles på en måte som beskytter enkeltpersoners rettigheter og personvern.
- Standardisering av personvernregler
Skape ensartede regler for databeskyttelse i hele EU, slik at både borgere og bedrifter har klare retningslinjer.
- Gi enkeltpersoner kontroll
Styrke enkeltpersoners rettigheter over sine egne data, inkludert rett til innsyn, retting og sletting.
- Regulere internasjonale datastrømmer
Sikre at personopplysninger overføres trygt også utenfor EU, med tilstrekkelige beskyttelsestiltak.
Kjernekomponenter i GDPR
- Lovlighet, rettferdighet og gjennomsiktighet
Personopplysninger må behandles lovlig, rettferdig og på en åpen måte for den registrerte.
- Formålsbegrensning
Data kan kun samles inn for spesifikke, eksplisitte og legitime formål.
- Dataminimering
Bare nødvendig informasjon skal samles inn og behandles.
- Nøyaktighet
Personopplysninger må være korrekte og oppdatert.
- Lagringsbegrensning
Data kan ikke lagres lenger enn nødvendig for formålet.
- Integritet og konfidensialitet
Personopplysninger må beskyttes mot uautorisert tilgang, tap eller ødeleggelse.
- Ansvarlighet
Organisasjoner må kunne dokumentere overholdelse av GDPR.
Plikter for organisasjoner
- Melde databrudd til tilsynsmyndigheter innen 72 timer.
- Utpeke en personvernombud (Data Protection Officer, DPO) om nødvendig.
- Gjennomføre personvernvurderinger (Data Protection Impact Assessments, DPIA) for risikofylte prosjekter.
