Viktige punkter ved utarbeidelse av en personvernpolicy i samsvar med GDPR

Når man håndterer personopplysninger til brukere innenfor EU, er det nødvendig å overholde GDPR, og man må utarbeide en personvernpolicy som er i tråd med GDPR. Det er imidlertid mange som ikke forstår GDPR i detalj, og lurer på om deres egen nettside trenger å tilpasse seg, og i så fall hvordan man skal gå frem.

I denne artikkelen vil vi forklare hovedpunktene i GDPR og gi råd om hvordan man utarbeider en personvernpolicy som er i samsvar med GDPR. Vi vil også introdusere situasjonen i Japan og eksempler fra kjente selskaper som referanse.

Om GDPR og personvernpolicy

Hva innebærer en personvernpolicy som er i samsvar med GDPR? Her forklarer vi hva GDPR er og hvilke forpliktelser som følger med en personvernpolicy under GDPR.

GDPR og personvernpolicy

GDPR er en forordning fastsatt av EU som detaljert regulerer beskyttelse og håndtering av personopplysninger. GDPR gjelder i Det europeiske økonomiske samarbeidsområdet (EØS), som inkluderer EU-medlemslandene samt Island, Liechtenstein og Norge, men ikke Sveits. Japanske selskaper kan også være underlagt GDPR i følgende tilfeller:

• De tilbyr varer eller tjenester til dataemner i EU.
• De overvåker atferden til dataemner innenfor EU.

En dataemne er en identifisert eller identifiserbar fysisk person som personopplysningene gjelder.

Selskaper som faller inn under ovennevnte kriterier må revidere og oppdatere sin personvernpolicy (personvernmerknad). Hvis de bryter GDPR, kan de bli pålagt å betale en bot på opptil 20 millioner euro eller 4 % av den globale årsomsetningen, avhengig av hva som er høyest.

Referanse: Japan External Trade Organization | “EU General Data Protection Regulation (GDPR)”[ja]

For å handle trygt med land i EU, er det essensielt å sørge for at personvernpolicyen er pålitelig.

Informasjonsplikt ved innhenting av personopplysninger i henhold til GDPR

Under GDPR er det fastsatt at når personopplysninger samles inn, må den ansvarlige gi visse opplysninger til dataemnet. Artikkel 12(1) i GDPR beskriver hvordan denne informasjonen skal gis.

Kravene er som følger:

• Informasjonen skal være kortfattet, transparent, forståelig og lett tilgjengelig.
• Den skal bruke klart og enkelt språk.
• Det skal tas hensyn til barn når informasjon gis, og passende tiltak skal iverksettes.
• Informasjonen skal gis skriftlig, eller elektronisk hvis det er passende, eller ved andre midler.
• Hvis dataemnet ber om det, skal informasjonen kunne gis muntlig.

I tillegg fastsetter GDPR artikkel 12(5) at informasjonen skal gis kostnadsfritt. Sjekk om din bedrifts personvernpolicy oppfyller disse kravene, og revider den om nødvendig.

Viktige punkter ved revisjon av personvernpolicy for GDPR-samsvar

I henhold til GDPR må en datakontrollør som innhenter personopplysninger fra den registrerte (i henhold til GDPR artikkel 13) eller fra andre kilder enn den registrerte (i henhold til GDPR artikkel 14), opplyse den registrerte om flere spesifikke punkter.

Blant de punktene en datakontrollør må opplyse om, finner vi:

• Datakontrollørens identitet og detaljerte kontaktinformasjon
• Hvis det finnes en representant, representantens identitet og detaljerte kontaktinformasjon
• Den registrertes rettigheter til tilgang, rettelse, sletting, begrensning, dataportabilitet og retten til å protestere
• Formålet med behandlingen av personopplysninger og det juridiske grunnlaget for behandlingen
• Perioden personopplysningene vil bli lagret, eller kriteriene som brukes for å bestemme denne perioden
• Typene av personopplysninger som er involvert

Det er viktig å merke seg at noen av punktene som må opplyses ikke tidligere har vært inkludert i japanske personvernpolicyer, så disse vil kreve særlig oppmerksomhet under revisjonen. For informasjon om personvernpolicyer basert på den japanske loven om beskyttelse av personopplysninger (Japanese Personal Information Protection Act), vennligst se følgende artikkel.

Relatert artikkel: Hva er viktige punkter ved utforming av en personvernpolicy basert på den japanske loven om beskyttelse av personopplysninger?[ja]

Her vil vi forklare de viktigste punktene ved revisjon av en personvernpolicy, med særlig fokus på aspekter som ikke har vært dekket av den japanske loven om beskyttelse av personopplysninger.

Grunnlag for lovligheten av databehandling

I henhold til GDPR (General Data Protection Regulation) er det påkrevd å eksplisitt angi et ‘grunnlag for lovligheten av databehandling’, noe som ikke var et krav under den tidligere personvernlovgivningen. Det er seks grunnlag som gjør behandlingen av personopplysninger lovlig (GDPR artikkel 6):

• Den registrertes samtykke
• Gjennomføring av en kontrakt
• Rettslige forpliktelser
• Interesser som er essensielle for livet
• Offentlig interesse
• Berettiget interesse

Hvis ett av disse seks grunnlagene er til stede, kan behandlingen anses som lovlig, så det er viktig å klargjøre dette i personvernerklæringen. For personer som gir fra seg informasjon for første gang, kan man oppnå samtykke gjennom en ny personvernerklæring.

Det er imidlertid viktig å være oppmerksom på hvordan man håndterer brukere som allerede har gitt sitt samtykke. For personer som har samtykket før revisjonen av personvernerklæringen, kan det være nødvendig å innhente nytt samtykke.

I slike tilfeller kan man inkludere ett av de seks lovlige grunnlagene i personvernerklæringen og be om samtykke til revisjonen som en måte å håndtere dette på.

Informasjonselementer som innhentes og formålet med bruken

I tradisjonelle personvernpolicyer har det vært vanlig å oppgi informasjonen som innhentes, formålet med bruken og vilkårene for bruk på samme side, og deretter innhente samtykke for alt sammen. Imidlertid krever GDPR (General Data Protection Regulation) at det skal være klart for brukerne hva de gir sitt samtykke til, og at det spesifikke formålet må være tydeliggjort.

Det er anbefalt å spesifisere formålet med bruken for hver type informasjon som innhentes, og å innhente samtykke for hvert enkelt formål gjennom en tydelig visningsmåte.

Klarhet i formålet med bruk

I henhold til GDPR (General Data Protection Regulation), er det nødvendig å tydelig angi formålet med bruk av innsamlet informasjon. For eksempel, hvis formålet er angitt som “for å forbedre tjenesten”, kan dette være for vagt og dermed anses som upassende.

I tillegg er det ikke tillatt å håndtere informasjonen på en måte som ikke er i samsvar med det opprinnelige formålet, så det er viktig å være oppmerksom på dette når du reviderer personvernpolicyen.

Rett til sletting og dataportabilitet

Mange bedrifter har tidligere inkludert rettigheter som tilgangsrett og rett til rettelse i sine personvernpolicyer. Imidlertid krever GDPR (General Data Protection Regulation) også at man inkluderer ‘rett til sletting og dataportabilitet’.

Rett til sletting gir brukere retten til å få sine personopplysninger slettet av administratoren. Dataportabilitet gir brukere retten til å overføre sine personopplysninger til en annen tjeneste.

For eksempel kan dette innebære overføring av en kundes data og transaksjonshistorikk fra mobiloperatør A til mobiloperatør B. For å være i samsvar med GDPR, er det nødvendig å inkludere disse rettighetene i personvernpolicyen.

Tydeliggjøring av lagringsperiode for data

I henhold til GDPR (General Data Protection Regulation), er det nødvendig å tydeliggjøre “lagringsperioden for personopplysninger”, noe som ikke var påkrevd i tradisjonelle personvernpolicyer. Dersom det ikke er mulig å fastsette en spesifikk periode, er det tillatt å oppgi kriteriene som brukes for å bestemme lagringsperioden.

Status for japanske bedrifters GDPR-tilpasning

Vi presenterer undersøkelsesinformasjon fra “IT-utnyttelsestrendundersøkelsen 2021” (detaljert versjon) utført av Japan Information Economy Society Promotion Association og ITR Corporation. Du kan finne undersøkelsen her: 「企業IT利活⽤動向調査2021」集計結果（詳細版）.

Ifølge undersøkelsen er det få bedrifter som har tilpasset seg GDPR, og det største antallet bedrifter, 26,1 %, er fortsatt i ferd med å tilpasse seg (vurderer tilpasning). Per 2021 er det også en tendens til at mange bedrifter ikke overfører personopplysninger til EU.

Undersøkelsesresultatene for utveksling av personopplysninger med EU er som følger:

Som vi kan se fra figuren ovenfor, svarte 44,4 % av bedriftene at de “for tiden ikke har noen utveksling og heller ikke planlegger noen fremtidig utveksling”. 12 % av bedriftene sa at de “hadde utveksling tidligere, men etter implementeringen av GDPR, behandler de data separat i EU og Japan”.

25,9 % svarte at de “for tiden ikke har noen utveksling, men planlegger å gjøre det i fremtiden”, og 17,6 % er “for tiden i utveksling”. Dette indikerer at selv om det kan være en økning i bedrifter som vil utveksle data med EU i fremtiden, var antallet lavt ved tidspunktet for undersøkelsen i 2021.

Kilde: JIPDEC／ITR「企業IT利活用動向調査2021」

Kjente selskapers tilnærming til GDPR

Mange er usikre på hva som skal til for å revidere personvernpolicyen sin i tråd med GDPR. Her vil vi forklare i detalj hvordan kjente selskaper som Google og Facebook har tilpasset seg GDPR, som eksempler på bedrifters tilnærming til reguleringen.

Googles tilpasning til GDPR

Google har annonsert følgende tiltak for å tilpasse seg GDPR:

• Økt transparens overfor brukerne
• Forbedret brukerkontroll
• Forbedret dataoverførbarhet
• Forbedrede verktøy for foreldres samtykke og barns passende bruk av internett
• Støtte til forretningsbrukere og partnere
• Styrking av personvernssamsvarprogrammet

Her forklarer vi detaljene.

Referanse: Google「Om Googles innsats for å forberede seg på EUs generelle databeskyttelsesforordning (GDPR)[ja]」

Forbedret transparens overfor brukere

For å gjøre det enklere å forstå hvilken informasjon Google samler inn og hvorfor, forbedrer og oppdaterer vi personvernreglene for å gjøre informasjonen mer tilgjengelig. Andre nevnte forbedringer inkluderer:

• Legge til detaljer om håndtering, eksport og sletting av informasjon
• Inkludere videoer og diagrammer i tillegg til tekst

I tillegg endrer vi innstillingene slik at det blir enklere å åpne personverninnstillingene.

Forbedret brukerstyring

For å overholde GDPR (General Data Protection Regulation), har vi forbedret måten vi håndterer brukerdata på. Endringene inkluderer følgende:

• Mulighet for å vise og slette data i “Min aktivitet”
• En funksjon som tillater søk etter emne, dato og produkt
• Evne til å sjekke personverninnstillinger som passer for deg
• Kontroll og mulighet for å skjule visning av annonser
• En oversikt over dataene dine i Google Dashboard

I tillegg har brukerinformasjon og annonsestyring blitt mer brukervennlig, selv før GDPR (General Data Protection Regulation) trådte i kraft.

Forbedring av dataporabilitet

Google tilbyr en rekke tjenester som Google Foto, Drive, Kalender og Gmail. Nedenfor er tiltakene Google har implementert for å støtte dataporabilitet i samsvar med GDPR (General Data Protection Regulation).

• Utvidelse av tjenester og administrasjonsalternativer som støtter nedlasting av data
• Legge til funksjonalitet for å planlegge regelmessige nedlastinger

Forbedring av verktøy for å sikre foreldres samtykke og barns passende bruk av internett

Hos Google tilbyr de Family Link-appen for å støtte foreldre og sikre barns passende bruk av internett. Ved å bruke Family Link kan foreldre opprette kontoer for sine barn.

Appen gjør det mulig for foreldre å sette og administrere husregler, som å håndtere skjermtid og midlertidig pause enheter.

Støtte for forretningsbrukere og partnere

For å overholde GDPR har vi oppdatert retningslinjene for hvordan Google-partnere (som annonsører og nettstedseiere) kan be om brukernes samtykke på sine nettsteder og i apper. Andre relevante punkter inkluderer:

• Tilby verktøy som støtter overholdelse av GDPR
• Strengere sertifiseringsprosesser for bedrifter som bruker Googles annonsetjenester
• Oppdatering av vilkår for databehandling
• Tilby detaljert informasjon om dataoverførbarhet og varsling ved datahendelser

Styrking av personvern-compliance-programmet

For å imøtekomme GDPR, styrker vi vårt personvern-compliance-program. Tiltakene inkluderer følgende:

• Forbedringer av personvernprogrammet
• Styrking av produktgjennomgangsprosessen

I tillegg dokumenterer vi databehandlingen på en mer omfattende måte.

Facebooks tilpasning til GDPR

Facebook har annonsert følgende tiltak som respons på GDPR:

• Bekreftelse av informasjonsinnsamling fra viste annonser
• Valg av profilinformasjon
• Bekreftelse av ansiktsgjenkjenningsteknologi (EU & Canada)
• Oppdaterte vilkår for tjenesten & samtykke til datahåndtering
• Introduksjon av funksjoner som gjør det enkelt å få tilgang til, slette og laste ned informasjon
• Informasjon til yngre brukere

Her forklarer vi detaljene.

Referanse: Facebook «Overholdelse av Generell databeskyttelsesforordning (GDPR) og tilbyr nye personvernbeskyttelser[ja]»

Bekreftelse av informasjonsinnsamling fra viste annonser

Facebooks partnere bruker informasjon samlet inn fra ‘liker’-klikk og verktøy levert av Facebook for å vise annonser. Brukere får informasjon om annonser og kan velge om de tillater at informasjon fra partnere brukes til å vise annonser.

Valg av profilinformasjon

Facebook-profiler inneholder informasjon om politiske synspunkter, religion/tro og relasjoner. Brukere kan velge om de vil fortsette å dele denne informasjonen og om den kan brukes i annonsering.

Profilinformasjon kan alltid velges fritt, og brukere kan enkelt slette den om ønskelig.

Bekreftelse av ansiktsgjenkjenningsteknologi (EU & Canada)

Facebook gir brukere i EU-medlemsland og Canada valget om å bruke ansiktsgjenkjenningsteknologi. Brukere i andre regioner har også friheten til å velge dette.

Oppdaterte vilkår for tjenesten & samtykke til datahåndtering

Det vil bli vist en avtale som inkluderer detaljert informasjon om tvil rundt tjenestens mekanismer, «Vilkår for tjenesten» og «Data Policy».

Introduksjon av funksjoner som gjør det enkelt å få tilgang til, slette og laste ned informasjon

Ved å bruke «Persondatahåndteringsverktøy», kan du enkelt sjekke og slette dine personlige data. Du kan også enkelt laste ned og eksportere dataene dine.

Loggføringsfunksjonen for mobilaktivitet er oppdatert for å gjøre det enklere for brukere å se hvilken informasjon de har delt tidligere.

Informasjon til yngre brukere

Facebook har allerede etablert restriksjoner for tenåringsbrukere, som inkluderer:

• Begrensninger i annonsekategorier
• Ikke tillatt å bruke ansiktsgjenkjenning (under 18 år)
• Begrensninger på hvem som kan se og søke etter informasjon delt av tenåringer

I tillegg er standardinnstillingene designet slik at informasjon ikke blir «offentlig» delt.

For å overholde GDPR har Facebook også etablert spesifikke regler. For brukere i EU-land kreves det foreldres samtykke for å se annonser og for å poste informasjon i profilen (som religion/tro, politiske synspunkter, etc.).

I andre regioner kan brukere velge om de tillater at data samlet inn av partnere brukes til annonsevisning, og om de vil publisere personlig informasjon i profilen sin.

Oppsummering: GDPR har et bredere omfang av persondata enn japansk lov og krever tilpasning

I henhold til GDPR kreves det en klar angivelse av formålet med hver innsamlet informasjon, en eksplisitt rett til sletting og dataportabilitet, samt en klar angivelse av oppbevaringsperioden. Dette utvider rettighetene til brukerne betydelig sammenlignet med tradisjonell japansk lov.

Ved brudd på GDPR kan det påløpe betydelige bøter, og bedrifter som håndterer personopplysninger innenfor EU må tilpasse seg GDPR. Bedrifter som driver virksomhet i EU eller vurderer å ekspandere dit, bør utarbeide en personvernpolicy som er i samsvar med GDPR.

Veiledning om tiltak fra vår advokatfirma

Monolith Advokatfirma har rik erfaring med IT, og spesielt internett og jus. I de senere årene har global business vokst stadig mer, og behovet for juridisk sjekk av eksperter har økt tilsvarende. Vårt firma tilbyr løsninger innen internasjonal juridisk service.

Områder Monolith Advokatfirma håndterer: Internasjonal juridisk service og utenlandske forretninger[ja]