GDPR for små nettsteder i Norge
En praktisk innføring i hva GDPR betyr for deg som driver et lite norsk nettsted: hva som gjelder, hva du må ha på plass, og hvor du finner offisiell hjelp.
Mange som starter et nettsted for sin lille bedrift, tenker at GDPR er noe som gjelder store selskaper med store databaser. Det er en misforståelse. GDPR gjelder for alle som behandler personopplysninger om personer i EU og EØS – og det inkluderer de aller fleste norske nettsteder.
Denne artikkelen gir deg en praktisk innføring i hva som gjelder, hva du bør ha på plass, og hvor du finner pålitelig, offisiell veiledning. Merk: dette er ikke juridisk rådgivning – for spesifikke vurderinger av din situasjon, kontakt en jurist eller sjekk Datatilsynets egne ressurser .
Hva er GDPR – kort fortalt?
GDPR (General Data Protection Regulation) er EUs personvernforordning, som ble innlemmet i norsk lov gjennom personopplysningsloven i 2018. Formålet er å gi enkeltpersoner kontroll over egne personopplysninger og stille krav til virksomheter som behandler slike opplysninger.
Personopplysninger er all informasjon som kan knyttes til en identifiserbar person: navn, e-postadresse, IP-adresse, telefonnummer, og mye mer.
Når gjelder GDPR for nettstedet ditt?
Har du noen av disse på nettsiden din?
- Et kontaktskjema der folk kan sende deg navn og e-post
- Google Analytics eller annet statistikkverktøy
- En e-postliste for nyhetsbrev
- Innlogging for brukere
- Nettbutikk med bestillinger og kundeinformasjon
- Kommentarfelt
Svarer du ja på ett eller flere av disse, behandler du personopplysninger – og da gjelder GDPR. Det betyr imidlertid ikke at det nødvendigvis er komplisert eller dyrt å etterleve reglene.
Hva bør du ha på plass?
1. Personvernerklæring
En personvernerklæring (privacy policy) er et dokument på nettsiden som forklarer:
- Hvilke personopplysninger du samler inn
- Hvorfor du samler dem inn (formålet)
- Hvem som kan se dem
- Hvor lenge du lagrer dem
- Hvilke rettigheter de registrerte har (innsyn, sletting, retting)
- Hvem som er behandlingsansvarlig
Erklæringen skal være lett å finne – vanligvis i bunnteksten på nettsiden. Den skal være skrevet på et klart og forståelig språk, ikke juridisk fagspråk.
2. Rettslig grunnlag for behandlingen
Du må ha et rettslig grunnlag for å behandle personopplysninger. De vanligste for små bedrifter er:
- Samtykke – personen har aktivt godtatt behandlingen
- Avtale – behandlingen er nødvendig for å oppfylle en avtale (f.eks. levere en bestilling)
- Berettiget interesse – du har en legitim interesse som veier tyngre enn personvernet (brukes med forsiktighet)
For nyhetsbrev er samtykke normalt det riktige grunnlaget. For kundeordrer er avtale det naturlige.
3. Databehandleravtale
Bruker du tredjepartstjenester som Google Analytics, Mailchimp, eller et kontaktskjema-verktøy, behandler disse selskapene personopplysninger på vegne av deg. Det krever en databehandleravtale. De fleste seriøse tjenesteleverandører tilbyr slike i sine vilkår eller som egne dokumenter.
4. Informasjonskapsler og samtykke
Mange sporings- og analyseverktøy bruker informasjonskapsler (cookies). Disse krever som regel aktivt samtykke fra brukeren før de kan settes. Dette er et eget tema – les mer i artikkelen om informasjonskapsler og samtykke .
Rettigheter til de registrerte
De personene du behandler data om – kunder, besøkende, abonnenter – har en rekke rettigheter under GDPR:
- Innsyn – de kan be om å få se hvilke opplysninger du har om dem
- Retting – de kan be om å få feil korrigert
- Sletting – de kan be om å bli slettet («retten til å bli glemt»)
- Dataportabilitet – de kan be om å få dataene sine i et maskinlesbart format
- Innsigelse – de kan protestere mot visse typer behandling
Du bør ha en plan for hvordan du håndterer slike forespørsler, selv om du er en liten bedrift.
Brudd på personvernet
Oppdager du at personopplysninger har kommet på avveie – for eksempel at nettstedet ditt er hacket og kundeinformasjon er lekket – er du pliktig til å melde avviket til Datatilsynet innen 72 timer, dersom det medfører risiko for de registrerte. Les mer om meldeplikten på Datatilsynets nettsider .
Hva med GDPR og webhotell?
Hosting av nettsiden din innebærer at personopplysninger (f.eks. IP-adresser i serverlogs) lagres på en server. Det er viktig at webhotellet du bruker tilbyr tilfredsstillende personvernsikkerhet. Sjekk at leverandøren din kan vise til GDPR-samsvar og at dataene lagres i EØS, eller at det finnes lovlig grunnlag for overføring til tredjeland.
Les om hva du bør se etter når du velger webhotell fra et teknisk perspektiv.
Où finner du offisiell veiledning?
For spesifikk og oppdatert veiledning tilpasset din situasjon er disse kildene uunnværlige:
- Datatilsynet.no – norsk tilsynsmyndighet for personvern, med veiledere og maler
- Personvernportalen – oversikt over rettigheter og plikter
- Lovdata – personopplysningsloven – selve lovteksten
Denne artikkelen gir deg et utgangspunkt, men erstatter ikke offisiell veiledning eller juridisk rådgivning.
En god start er bedre enn ingen start
Mange utsetter GDPR-arbeidet fordi det virker overveldende. Men for de fleste små nettsteder er det ikke mer komplisert enn å:
- Skrive en enkel personvernerklæring
- Sette opp et samtykkebanner for cookies
- Vite hvem du deler data med (Google, Mailchimp, osv.)
- Ha en enkel rutine for innsynsforespørsler
Er du i gang med å sette opp nettstedet ditt? Se vår komplette sjekkliste for å komme på nett – personvern er ett av punktene du bør huke av.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.