Feil og unøyaktigheter om GDPR

Det er mange påstander og uttalelser om GDPR som ikke stemmer, også fra norske selskaper. Det mest ille er når det er de som selger tjenester eller råd for å hjelpe selskaper å etterleve GDPR (personvernforordningen) som bommer på regelverket. Her er noen eksempler på feil og unøyaktigheter om GDPR for å søke å oppklare noe av det som blir sagt om GDPR som ikke helt stemmer.

Det må alltid kreves samtykke ved behandling av personopplysninger!

Noen hevder at det vil kreves samtykke for både lagring og behandling av persondata. Dette stemmer ikke (se egen artikkel om dette her). Det er flere, og kanskje mer passende, grunnlag for å behandle personopplysninger enn samtykke. Og i mange tilfelle vil derfor ikke samtykke være nødvendig.

Man må varsling den registrerte om datainnbrudd innen 72 timer!

Er det slik at hvis det har vært datainnbrudd som kan få følger for enkeltpersoners opplysninger, så har personen rett til å få vite dette i løpet av 72 timer etter at innbruddet ble oppdaget? Nei, gir du varsel så sent som etter 72 timer bryter du personvernforordningen. Her blandes det med plikten til å varsle Datatilsynet. Den registrerte skal varsles uten ugrunnet opphold, som er så raskt man kan uten at det foreligger noen (god) grunn for å utsette varslingen. 

Alle selskaper og organisasjoner skal ha personvernombud!

Er det slik at alle organisasjoner og selskaper som jobber med personopplysninger bør ha et personvernombud som jobber med GDPR internt? Nei, det er bare de som har hovedvirksomhet som etter sin art/omfang/formål krever systematisk eller regelmessig monitorering av personer i stor skala eller hvor hovedvirksomheten består av behandling av særlige kategorier (sensitive) personopplysninger.

Det er personene og ikke bedriftene som eier persondata!

Er det personene, altså de som er registrert, som blir eierne av sine persondata etter GDPR? Nei. De registrerte personene har klarere rettigheter, men de eier ikke personopplysningene. GDPR regulerer ikke eierskap til verken data eller personopplysninger.

Det er de ansatte som eier persondata og kan ta de med seg eller kreve dem slettet!

Nei, det er ikke de ansatte (eller andre registrerte) som eier personopplysningene. Og de kan ikke kreve å ta med seg opplysningene (her tenkes det trolig til dataportabilitet, og det vil ikke være spesielt aktuelt for ansattes personopplysninger. Og de ansatte kan ikke generelt kreve personopplysningene slettet, siden det som regel vil være et formål for å fortsatt oppbevare personopplysningene for arbeidsgiveren (ellers må arbeidsgiveren uansett slette personopplysningene av eget initiativ før kravet om sletting kommer fra de ansatte).

Du kan kreve å ta med deg personopplysningene om deg for å oppfylle en avtale!

Er det så at dersom noen behandler personopplysninger basert på samtykke, for eksempel for å oppfylle en avtale med deg, kan du kreve å ta med opplysningene dine til en annen virksomhet? Nei, det er flere forhold som må foreligge dersom du skal kunne kreve å ta med deg data om deg til en annen virksomhet, som at opplysningene behandles automatisert og er avgitt av den registrerte. Her blandes det sammen ordlyden for dataportabilitet i artikkel 20 ved at det kan enten foreligge samtykke eller avtale som grunnlag dersom man krever å flytte opplysninger om seg selv.

Din virksomhet skal fremvise dokumentasjon/rapport på hvilke data det ikke lenger er kontroll på!

Må det vises dokumentasjon eller rapport på hvilke data det ikke er kontroll på? Nei, det er ikke noe slikt krav i GDPR. Du må dokumentere at du etterlever GDPR gjennom å dokumentere tekniske og organisatoriske tiltak du har iverksatt, men ikke dokumentere manglende kontroll (selv om det kan være en konsekvens av dokumentasjonen ellers).

De berørte skal varsles om at deres sensitive opplysninger er på avveie!

Skal de berørte, dvs. de registrerte, varsles dersom deres sensitive opplysninger er på avveie? Nei, man skal varsle de registrerte dersom det er sannsynlig at opplysningene på avveie vil medføre en høy risiko for deres rettigheter. Men dette gjelder alle personopplysninger, ikke bare sensitive personopplysninger (eller særlige kategorier opplysninger som det kalles i GDPR).

Enkeltpersoner kan be om at deres opplysninger ikke brukes i databehandling!

Nei, enkeltpersoner kan i helt spesielle tilfelle kreve begrenset behandling av personopplysningene og at opplysningene ikke benyttes for enkelte formål, som for direkte markedsføring, men kan ikke generelt kreve at deres personopplysninger skal ikke brukes til databehandling.

Det må gjennomføres en vurdering av personvernkonsekvenser (PIA) når prosjekt som inneholder bruk av personopplysninger skal iverksettes!

En vurdering av personvernkonsekvenser (også kalt DPIA eller PIA) skal gjennomføres når det skal iverksettes omfattende automatisert behandling, nye typer behandling særlig ved bruk av ny teknologi, behandling i stor skala av særlige kategorier (sensitive) personopplysninger osv. Det er altså i helt spesielle tilfelle hvor behandlingen kan ha spesielle konsekvenser for personvern det skal foretas slike vurderinger. Det er derfor ikke riktig at det skal gjennomføres vurderinger i ethvert tilfelle det skal behandles personopplysninger, når det skal implementeres nye it-systemer, når det skal deles data med andre organisasjoner osv.