Choose language

Innhold

  • Hvem GDPR gjelder for

  • Hva reglene innebærer

  • Hvordan du kan dokumentere etterlevelse

  • En enkel måte å få hjelp med GDPR

  • Spørsmål og svar om GDPR

Hva er personvernforordningen (GDPR) – og hvem gjelder den for?

GDPR gjelder for:

  • Alle virksomheter som behandler personopplysninger i EU/EØS

  • Alle som tilbyr varer eller tjenester til personer i EU, eller overvåker dem

Det betyr at regelverket gjelder både offentlige myndigheter, private selskaper og frivillige organisasjoner. Unntakene er få – GDPR berører de aller fleste.

 

GDPR i praksis – hva kreves, og hvordan kommer du i gang?

For å etterleve GDPR på en trygg og effektiv måte må virksomheten:

  • Ha full oversikt over hvilke personopplysninger dere behandler

  • Sikre et gyldig rettslig grunnlag for hver behandling

  • Dokumentere hvordan dere følger regelverket

  • Gi ansatte opplæring og etablere rutiner for sikkerhet, risikovurdering og internkontroll

Det handler ikke bare om å unngå sanksjoner – men om å bygge tillit, redusere risiko og skape en robust virksomhet.

Men god etterlevelse krever mer enn gode intensjoner. Det krever tid, kompetanse og struktur.

Med Draftits løsning får dere nettopp det – praktiske verktøy, klare retningslinjer og støtte fra erfarne eksperter.

Se hvordan dere kan få full kontroll på personvernet – enklere og raskere – ved å booke en demo.

 

Har du kontroll på GDPR-kompetansen i virksomheten?

GDPR handler ikke bare om å vite hva som står i lovverket – men om å bruke det riktig i praksis.

For å sikre etterlevelse må både ledelse og ansatte ha oppdatert kunnskap, praktiske ferdigheter og klare rutiner.

Still dere selv disse spørsmålene:

  • Har ansatte fått opplæring – og vet de hva det betyr i praksis?

  • Forstår de hvordan GDPR påvirker hverdagen i sin rolle?

  • Kan dere dokumentere opplæringen overfor Datatilsynet?

  • Har dere en plan for å holde kompetansen oppdatert?

  • Er personvernombudet involvert i det daglige arbeidet?

Manglende forståelse og rutiner kan føre til feil som koster – både økonomisk og omdømmemessig.

Ta en titt på vår sjekkliste for GDPR, og se hvordan dere kan komme i gang med mer systematisk og kompetansebasert personvernarbeid.

God kompetanse er grunnmuren – men den må følges opp med struktur og dokumentasjon.
Neste steg er å sikre at all behandling av personopplysninger er dokumentert i en behandlingsprotokoll.

portrait-of-two-attractive-businesswomen-using-tab-2025-03-14-01-00-06-utc

Er personopplysningene deres dokumentert i en behandlingsprotokoll?

De fleste virksomheter er etter artikkel 30 i GDPR forpliktet til å føre en protokoll over behandling av personopplysninger – ofte kalt en behandlingsprotokoll.

Protokollen skal gi oversikt over:

  • Hvilke personopplysninger som behandles

  • Formålet med behandlingen

  • Rettslig grunnlag

  • Hvem som er ansvarlig

  • Eventuelle databehandlere eller overføringer til tredjeland

En oppdatert og fullstendig protokoll er ikke bare et krav – den er et styringsverktøy.
Den hjelper dere med å få bedre intern kontroll, dokumentere etterlevelse og jobbe systematisk med risikoreduksjon.

For mange er det tidkrevende å oppdatere protokollen manuelt. Med en digital løsning blir det enklere å holde oversikt, inkludere riktig informasjon og oppdatere fortløpende.

Kontakt oss og se hvordan en digital behandlingsprotokoll kan forenkle arbeidet.

Når må dere gjøre en konsekvensvurdering (DPIA)?

Når dere planlegger en ny behandling av personopplysninger – for eksempel ved bruk av ny teknologi eller endring av formål – må dere vurdere risikoen for enkeltpersoners rettigheter og friheter.

Dette gjøres gjennom en vurdering av personvernkonsekvenser (DPIA).

En DPIA er ikke valgfri.
Den er pålagt i artikkel 35 i GDPR når:

  • Behandlingen innebærer høy risiko

  • Det brukes ny teknologi

  • Det foregår systematisk overvåking

DPIA hjelper dere å avdekke og håndtere risiko før personopplysningene begynner å flyte – og viser at dere har kontroll.

Kom i gang med konsekvensvurdering i dag.

 

Hvilket rettslig grunnlag har dere for å behandle personopplysninger?

For å behandle personopplysninger lovlig må dere ha et rettslig grunnlag – minst ett av vilkårene i GDPR artikkel 6 må være oppfylt.
Dette er selve forutsetningen for at behandlingen skal være lovlig.

De vanligste grunnlagene er:

  • Samtykke – personen har gitt tillatelse for ett eller flere spesifikke formål

  • Avtale – nødvendig for å oppfylle en avtale med den registrerte

  • Rettslig forpliktelse – nødvendig for å oppfylle en lovpålagt plikt

  • Vitale interesser – nødvendig for å beskytte liv eller helse

  • Allmenn interesse/offentlig myndighet – nødvendig for oppgaver i offentlig regi

  • Berettiget interesse – nødvendig for virksomhetens interesse, med mindre den registrertes rettigheter veier tyngre

Det er avgjørende å velge riktig grunnlag fra start. Du kan ikke bytte senere uten å informere den registrerte.

Et godt verktøy kan hjelpe dere med å dokumentere vurderingen riktig og sikre at dere følger kravene konsekvent.

 

Hva kreves for et gyldig samtykke?

Et samtykke er en frivillig, spesifikk, informert og utvetydig bekreftelse fra en person om at opplysningene deres kan behandles.

En vanlig misforståelse er at samtykke alltid kreves – men i mange tilfeller finnes det bedre grunnlag.

Et gyldig samtykke krever at:

  • Personen har fått tydelig informasjon

  • Valget er reelt, fritt og aktivt

  • Dere kan dokumentere samtykket

Ofte stilte spørsmål om GDPR

Få raske svar på de mest stilte spørsmålene om GDPR og hva regelverket betyr for din virksomhet.

Ansvarlighet betyr at virksomheten ikke bare skal etterleve regelverket – men kunne vise og bevise at de gjør det. Dette prinsippet, forankret i artikkel 5 (2) i GDPR, gjennomsyrer hele forordningen og stiller krav til dokumentasjon, struktur og kontroll. 

De grunnleggende prinsippene i artikkel 5 utgjør kjernen i GDPR og er grunnlaget for all behandling av personopplysninger:

  • Lovlighet, rettferdighet og åpenhet
  • Formålsbegrensning
  • Dataminimering
  • Riktighet
  • Lagringsbegrensning
  • Integritet og konfidensialitet
  • Ansvarlighet

Brudd på disse prinsippene anses som alvorlige og kan gi sanksjoner i den høyeste gebyrkategorien.

Enhver behandling av personopplysninger må ha et rettslig grunnlag i bunn. De rettslige grunnlagene i artikkel 6 i GDPR er:

  • Samtykke: Den registrerte har gitt sitt samtykke for ett eller flere spesifikke formål.
  • Avtaleforhold: Nødvendig for å oppfylle en avtale med den registrerte.
  • Rettslig forpliktelse: Nødvendig for å oppfylle en lovpålagt plikt.
  • Vitale interesser: For å beskytte liv eller helse.
  • Offentlig myndighetsutøvelse / allmennhetens interesse.
  • Berettiget interesse: Når virksomheten har en legitim interesse som ikke overstyres av den registrertes rettigheter.

Du kan ikke bytte rettslig grunnlag i ettertid uten å informere de registrerte. Derfor er det avgjørende å velge riktig fra start.

Et brudd betyr at personopplysninger har blitt utsatt for risiko som følge av en sikkerhetshendelse – enten med vilje eller ved uhell. Eksempler på brudd:

  • Data er slettet eller ødelagt ved et uhell
  • Data er endret eller tapt
  • Data er lekket, publisert eller tilgjengeliggjort for uvedkommende

Et faktisk brudd må meldes til Datatilsynet, og i noen tilfeller til de registrerte.

Dere må utnevne et personvernombud dersom virksomheten:

  • Er en offentlig myndighet eller organ
  • Driver systematisk og omfattende monitorering av personer
  • Behandler sensitive personopplysninger i stor skala (f.eks. helseopplysninger)

Ombudet skal være uavhengig, ha relevant kompetanse og registreres hos Datatilsynet.

Overføring til land utenfor EU/EØS (tredjeland) er kun lovlig hvis:

  • EU-kommisjonen har gitt en adekvansbeslutning
  • Det brukes standard personvernbestemmelser (SCC)
  • Det iverksettes supplerende tiltak der det er nødvendig

Hensikten er å sikre at beskyttelsesnivået for personopplysninger ikke svekkes når data krysser landegrenser.