Alle spørsmål om personvern

Det er som hovedregel ikke tillatt å overføre personopplysninger til tredjeland (land utenfor EØS). Etter Brexit anses i utgangspunktet Storbritannia for å være et slikt tredjeland. EU-kommisjonen har likevel vedtatt at Storbritannia har et såkalt “adekvat beskyttelsesnivå” for personopplysninger. Det betyr at bedrifter kan overføre personopplysninger til Storbritannia på samme måte som man kan innad i EØS. Denne beslutningen gjelder i utgangspunktet frem til 27. juni 2025.

Les mer på Datatilsynet sin nettside (datatilsynet.no)

I praksis gjelder reglene for omtrent alle bedrifter i Norge (og i hele EØS). Reglene gjelder for alle virksomheter som behandler personopplysninger. Det er knapt mulig å drive en bedrift uten å behandle personopplysninger. Har man kunder, leverandører eller ansatte, behandler man i praksis opplysninger om privatpersoner.

Grunnen er at EU vedtok nye regler om personvern i 2016. De gjelder i hele EØS-området, herunder Norge. Selv om det er mye snakk om dette regelsettet, er det mange av reglene som har eksistert lenge. I Norge ble reglene en del av ny Lov om personvern fra 20. juli 2018.

EU har hatt regler om personvern i mer enn 20 år. I Norge kom den første loven i 1978, og Datatilsynet ble etablert i 1980.

Bedrifter som fulgte reglene som gjaldt før lovendringen lå godt an til å tilpasse seg GDPR.

Datatilsynet laget en oversikt over det som ble nytt i reglene fra 20. juli 2018.
Datatilsynet har laget en oversikt over virksomhetens plikter etter de nye reglene.

Personvernforordningen (EU General Data Protection Regulation eller "GDPR") er et regelsett fastsatt av EU i april 2016. Dette regelsettet bestemmer kort sagt hvordan det offentlige og bedrifter kan og skal behandle opplysninger om enkeltpersoner. Det gir også enkeltpersoner rettigheter direkte overfor det offentlige og bedrifter, når det gjelder opplysninger som er samlet inn om dem.

Reglene gjelder i hele EØS-området, det vil si de 28 medlemslandene i EU samt EØS-landene Norge, Island og Liechtenstein.

Det er ikke farlig med personopplysninger. Det er ikke forbudt å registrere og lagre personopplysninger, tvert imot er det helt nødvendig og fullt lovlig.

Folk har rett til privatliv. Enkelt forklart skal reglene sørge for at de som behandler personopplysninger gjør det på en måte som beskytter folks privatliv.

Personopplysningsloven finner du her. Loven viser til personvernforordningen.

Den europeiske menneskerettskonvensjon angir privatlivets fred som en menneskerett: "Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse."

En av EU-traktatene har en egen overordnet regel om personopplysninger: "Enhver har ret til beskyttelse af personoplysninger om vedkommende selv."

Også den norske Grunnloven beskytter menneskerettigheter og privatlivets fred.

Disse prinsippene får ikke alltid så stor oppmerksomhet i Norge. Kanskje skyldes det at vi er vant til ganske stor åpenhet i Norge, om for eksempel personers adresse, telefonnummer og skatteforhold. Omfattende digitalisering har likevel ført til mye større muligheter til å hente inn og sammenstille opplysninger om enkeltpersoner, også over landegrenser. Og nettopp denne følelsen av å kunne bli overvåket er en av grunnene til at det gjelder egne regler.

Når EU gir regler i form av en forordning, er meningen at alle landene i EØS-området skal ha identiske regler. Reglene gjelder for norske bedrifter, enten de har virksomhet i Norge eller i EØS. På samme måte vil utenlandske bedrifter med virksomhet i Norge måtte etterleve reglene.

Kort sagt gjelder reglene for "behandling av personopplysninger". Nesten enhver befatning med personopplysninger vil regnes som "behandling". Med "personopplysning" mener vi en hvilken som helst opplysning om en privatperson.
Den typiske behandlingen vil være bruk av elektroniske/digitale hjelpemidler, for eksempel PC, nettbrett, skytjenester og smarttelefon, dvs. opplysninger du kan finne frem ganske enkelt.

Men også opplysninger som finnes i fysiske dokumenter er omfattet, hvis det er enkelt å finne frem til opplysningene. Et eksempel er fysiske personalmapper, der man har arbeidsavtale mv., sortert på de ansatte eller et fysisk kunderegister sortert på kundenavn.

Hvis det ikke er enkelt å finne frem i fysiske dokumenter, er behandlingen ikke omfattet av reglene. Eksempler på dette er opplysninger i notater du skriver i en fysisk notatblokk, en "7. sans", dokumenter du har liggende på pulten eller et annet sted og en bunke med visittkort. Et testspørsmål er om det vil være ganske enkelt for andre, for eksempel en vikar, å finne frem til opplysningene. Er svaret nei, gjelder ikke reglene for opplysningene.

En personopplysning er en hvilken som helst opplysning som gjelder en privatperson som er identifisert eller som kan identifiseres.

Identifikasjon av en enkeltperson trenger ikke være navn. Det kan også være for eksempel fødselsnummer, IP-adresse eller fingeravtrykk.

Er opplysningene anonyme, dvs. at de ikke kan knyttes til en bestemt person, er det ikke snakk om personopplysninger.

Typiske opplysninger man har om kontaktpersoner hos kunder og leverandører, vil være navn og kontaktdetaljer (telefonnummer og fysisk og elektronisk adresse (epost)). Har man forbrukere som kunder, vil det ofte være enda flere personopplysninger som er aktuelle å hente inn og lagre.

Andre eksempler på personopplysninger er navn, kallenavn, alder, fødselsdato, fødested, kjønn, høyde, vekt, øyenfarge, foto, familiære forhold og sivil status. Også utdanning, seksuelle forhold, domfellelse for straffbare forhold, medlemskap i fagforeninger regnes som personopplysninger. Andre eksempler er nåværende og tidligere arbeidssteder, formue, gjeld, inntekt, bilnummer og kjøps- og betalingshistorikk. Formelle forhold som adresse, passnummer, personnummer, statsborgerskap, epostadresse og telefonnummer er også personopplysninger.

Det er ikke bare faktaopplysninger som er personopplysninger, også vurderinger som er gjort om en person er personopplysninger.

Opplysninger er personopplysninger selv om de verken er hemmelige eller regnes som private. Kan man finne en persons telefonnummer i telefonkatalog eller på en nettside, er det like fullt en personopplysning.

Opplysninger om bedrifter er ikke personopplysninger, for eksempel navn, selskapsform, årsregnskap og kontaktopplysninger. Opplysninger om enkeltansatte hos kunder eller leverandører er personopplysninger, selv om det ikke er enkeltpersonene selv som er kunde eller leverandør. En e-post eller et visittkort er eksempler på noe som nesten alltid vil inneholde personopplysninger.

Her er det snakk om det vi kanskje tenker på som typisk private opplysninger. Dette kalles gjerne "sensitive" eller "særlige kategorier" av personopplysninger.

Eksempler på slike opplysninger er en persons rasemessige eller etniske bakgrunn, politiske oppfatning, religion, filosofiske overbevisning eller medlemskap i fagforening. Også helseforhold (som allergier, sykefravær, legebesøk og graviditet) og seksuelle forhold og orientering vil være sensitive opplysninger. Det samme gjelder genetiske og biometriske opplysninger, når formålet med dem er å identifisere en person.

For slike sensitive personopplysninger vil det gjelde særlige regler.

"Behandling" omfatter omtrent all tenkelig bruk av opplysninger om personer, også lagring.

Det mest typiske er nok at en bedrift mottar eller henter inn opplysninger, som så blir lagret. Andre eksempler er sammenstilling, systematisering, organisering, utlevering og formidling av slike opplysninger.

Man "behandler" altså opplysninger om personer selv om man ikke aktivt bruker opplysningene til noe. "Behandling" er det snakk om enten den skjer elektronisk, automatisk (uten manuelle prosesser) eller manuelt.

Personvernombud er en person som har et særlig ansvar for de problemstillingene i bedriften som gjelder personopplysninger. Oppgavene til et ombud vil typisk være å påse at bedriften etterlever reglene. Det innebærer også å gi råd til kolleger om reglene.

De nye reglene vil pålegge visse typer av virksomheter å ha personvernombud: Bedrifter som har som en kjerneaktivitet å behandle personopplysninger på en måte som innebærer regelmessig og systematisk overvåkning av personer. Også bedrifter som behandler sensitive personopplysninger i stor skala må ha personvernombud.

Du kan lese mer om personvernombud her.

Datatilsynet har laget en test for å vurdere om din virksomhet har plikt til å ha et personvernombud.

Ja. Reglene om personopplysninger er generelle: De gjelder for alle som har med personopplysninger å gjøre. I tillegg vil det gjelde egne regler og retningslinjer for enkelte sektorer og for visse typer av opplysninger. Eksempler er helse, omsorg, undervisning, forskning, finans, medier og kollektivtransport.

Nei. Selv om man bruker systemløsninger, konsulenter eller annen ekstern hjelp, har bedriften selv ansvaret for å følge reglene. Bedriften regnes som "behandlingsansvarlig" etter loven. Det vil si at det er bedriften som skal bestemme formålet med behandlingen av personopplysninger, og det er bedriften som bestemmer hvilke hjelpemidler som skal brukes.

Det er ikke noe i veien for at bedriften benytter systemløsninger eller lar andre – såkalte "databehandlere" – stå for behandlingen av opplysninger på vegne av bedriften. Siden poenget med reglene er å verne privatpersoner, må bedriften sørge for at også den eksterne databehandleren følger reglene. Det må være en skriftlig avtale mellom bedriften og databehandleren.

I Norge er det Datatilsynet som fører tilsyn med etterlevelsen av personvernreglene. Datatilsynet kan ilegge overtredelsesgebyr hvis de finner ut at noen bryter loven. Eksempler på saker hvor det har blitt ilagt overtredelsesgebyr finnes her. Her ser man f.eks. at Oslo kommune Utdanningsetaten har blitt ilagt et overtredelsesgebyr på 1,2 millioner kroner, og Bergen kommune har blitt ilagt et overtredelsesgebyr på 1,6 millioner kroner i 2019.

Det kan også påløpe erstatningsplikt for den som bryter loven og dessuten erstatning for ikke-økonomisk art ("tort og svie").

I mange sammenhenger er det påpekt at man kan risikere overtredelsesgebyr på 20 mill. euro eller fire prosent av omsetningen. Disse rammene vil være mest aktuelle for grove overtredelser hos store bedrifter.

Enkeltpersoner kan henvende seg til bedrifter og kreve innsyn i hvordan de behandler personopplysninger om dem. Dersom bedriften ikke oppfyller sine forpliktelser, kan Datatilsynet også sanksjonere dette.