Troverdige kilder du kan stole på i GDPR-arbeidet (og ikke)

Troverdige GDPR-kilder

✋ Ikke stol på alt du leser om GDPR

GDPR er allerede et komplisert område for mange og de fleste jeg snakker med føler seg overveldet.

Og til tross for at all informasjonen du trenger, ligger gratis tilgjengelig på Datatilsynets nettsider, er det mange som likevel sliter med å forstå nøyaktig hva de trenger å gjøre.

(GDPR i Norge er én ting - husk at du må være ekstra nøye på lovverket om du også driver virksomhet utenfor landegrensene våre.)

Er GDPR nytt? Start med denne GDPR-guiden først.

Da er det lett å ty til googlesøk og Facebook-grupper for å få svar på spørsmålene en har for sin bedrift. Dessverre er det mye feilinformasjon om GDPR. Noe er unyansert, men en del er direkte faktafeil.

(På nettsiden til Bedre Bedrift kan det noen ganger være upresise formuleringer og forslag, men disse er gjort bevisst for å forenkle lovverket for de minste bedriftene, f.eks. når det gjelder rettslige grunnlag. Les mer i ansvarsfraskrivelsen.)

Jeg har lest forskningsartikler som lener seg på feil kilder (som å henvise til GDPR-info.eu som et offisielt nettsted i regi av EU, se nedenfor), og flere podcaster med amerikanske advokater som har graverende feil i sine forklaringer om GDPR.

Derfor er det avgjørende at du vet at kildene du bruker i GDPR-arbeidet ditt, enten er offisielle organer og nettsteder, eller at de kun tar utgangspunkt i slike kilder. 📚

For markedsføring må du (også) kunne disse lovene

Noe av det jeg kanskje ser mest av, er misforståelser og feil rundt bruk av e-postadresser til nyhetsbrev og annen markedsføring på e-post.

Husk at når du driver med markedsføring, så må du først og fremst se til markedsføringsloven. For elektronisk markedsføring bør du også ha lest gjennom ehandelslovens § 9.

Hvis du så behandler personopplysninger i markedsføringen din, må du i tillegg ta høyde for GDPR. 

Les også om hvilke "markedsføringsguruene» du ikke bør lære av

Forbrukertilsynet fører tilsyn med markedsføringsloven. Driver du med markedsføring bør du kjenne innholdet i § 15 svært godt.

Jeg anbefaler (på det sterkeste) at du i tillegg leser nøye gjennom Forbrukertilsynets veileder om markedsføring. Der står blant annet kriteriene for hva et "eksisterende kundeforhold" er.

Nedenfor finner du en liste over lenker og ressurser som er nyttig i GDPR-arbeidet, og som er kilder du kan stole 100% på.

Bedre Bedrift AS lener seg kun på disse kildene i vårt arbeid med GDPR.

Personvern og GDPR

Lovdata.no inneholder all rettslig informasjon i Norge, som lover, forskrifter og rettsavgjørelser. Der finner du hele personopplysningsloven, som personvernforordningen er en del av.

Klikk her for å hoppe over fortalen og gå rett til artikkel 1.

Tips: bokmerk lenken til artikkel 1. Det er enkelt å gå til øvrige artikler ved å bytte ut tallet på slutten av nettadressen.

Datatilsynet er Norges tilsynsmyndighet for personopplysningsloven.

Nå er det fortsatt ingen som kan si nøyaktig hva det betyr å være «GDPR-klar», men et godt utgangspunkt er Datatilsynets oversikt her: Virksomhetens plikter etter personvernregelverket

EUR-Lex er et samlenettsted for alle avtaler, direktiver, lover og mer fra EU. Der finner du originalteksten til GDPR på engelsk (og EUs 23 andre offisielle språk).

Se for øvrig også EU-kommisjonens sider om GDPR og sidene til Det europeiske personvernrådet (et EU-organ som skal bidra til overholdelse av regelverket og koordinerer samarbeidet mellom datatilsynene, tidligere WP29-gruppen).

NB! Det er kun sider som har europa.eu i nettadressen som er offisielle sider fra EU. GDPR-info.eu er et eksempel på en side mange tror eies og drives av EU, men det er faktisk et privateid konsulentselskap som gjør det.

Hvis du er komfortabel med å lese engelsk, er sidene til det britiske datatilsynet (ICO) svært gode. Her finner du nyttige veivisere og veiledninger både for privat og offentlig sektor.

I tillegg har det danske datatilsynet mye god informasjon. Der kan du også følge tilsyn og avgjørelser (dommer) fra Danmark, som kan ha føringer for hvordan GDPR håndheves i Norge.

Til slutt kan du sjekke ut sidene til teknologiadvokat Jan Sandtrø om personvern og teknologi. Han har også lagt inn hele lovteksten med relevante fortalepunkter og bestemmelser i personopplysningsloven knyttet til de enkelte artikler.

Cookies (informasjonskapsler) og sikkerhet

Nkom fører tilsyn med ekomloven, med den kjente «cookieparagrafen».

Merk at en ny forordning er under arbeid i EU; kommunikasjonsvernforordningen (ePrivacy regulation).

Denne vil ha betydning blant annet for hvordan cookies (informasjonskapsler) skal behandles på nettsteder, inkludert krav om samtykke til behandling av cookies som samler inn personopplysninger.

Du kan følge utviklingen til denne forordningen på Europalovs nettsted. Se også de siste omtalene fra Nkom og Datatilsynet.

Det er flere GDPR-krav knyttet til nettsider, inkludert for bruk av cookies og "lignende teknologi" (som Facebook-piksel, Hotjar, Hubspot, Freshdesk, Messenger og mer).

GDPR stiller strenge krav til god sikkerhet for å beskytte personopplysninger.

Alle bør prioritere å jobbe med sikkerhet på alle områder i virksomheten og vi anbefaler at du deltar på Nasjonal sikkerhetsmåned (gratis for de med færre enn 20 ansatte) i regi av NorSIS (Norsk senter for informasjonssikring).

Norsis drifter også Nettvett.no, som blant annet har gratiskurset Digital sikkerhet for små og mellomstore bedrifter.

Bedre Bedrift AS lener seg kun på kildene nevnt over i vårt arbeid med GDPR, f.eks. når vi gir råd om personvernerklæring og har utformet vår maler for personvernerklæringer.