Innhold

Spørsmål og svar om personvernforordningen (GDPR)

Vinduer.

Her finner du svar på alt du lurer på om den nye personvernforordningen (GDPR).

Spørsmål og svar om personvernforordningen

Personvern er i vinden fordi det kommer nye regler i 2018. Her svarer vi på en del grunnleggende spørsmål om reglene.

Gjelder reglene for min bedrift?

I praksis vil reglene gjelde for omtrent alle bedrifter i Norge (og i hele EØS). Kort sagt gjelder reglene nemlig for alle som behandler personopplysninger. Det er knapt mulig å drive en bedrift uten å behandle personopplysninger. Har man kunder, leverandører eller ansatte, behandler man i praksis opplysninger om privatpersoner. 

Hvorfor er det plutselig så mye snakk om personvern?

Grunnen er at EU vedtok nye regler om personvern i 2016. De vil gjelde fra mai 2018 i hele EØS-området, herunder Norge. Men selv om det er mye snakk om det nye regelsettet, er det mange av reglene som har eksistert lenge. I Norge blir reglene en del av ny Lov om personvern, som gjelder fra 20. juli 2018.

EU har hatt regler om personvern i mer enn 20 år. I Norge har vi hatt loven om personopplysninger siden 2001. Den første loven kom i 1978, og Datatilsynet ble etablert i 1980.

Man ligger godt an til å tilpasse seg de nye reglene hvis man følger de reglene som har  vært en stund. Datatilsynet har laget en oversikt over det som er nytt i de  nye reglene  fra 20. juli 2018.

Hva er personvernforordningen?

Personvernforordningen (EU General Data Protection Regulation eller "GDPR") er et regelsett fastsatt av EU i april 2016. Dette regelsettet bestemmer kort sagt hvordan det offentlige og bedrifter kan og skal behandle opplysninger om enkeltpersoner. Det gir også enkeltpersoner rettigheter direkte overfor det offentlige og bedrifter, når det gjelder opplysninger som er samlet inn om dem.

Reglene skal gjelde i hele EØS-området, det vil si de 28 medlemslandene i EU samt EØS-landene Norge, Island og Liechtenstein.

Forordningen vil gjelde i hele EU fra 25. mai 2018. Reglene gjelder i Norge fra 20. juli 2018. 

Hva er så farlig med personopplysninger?

Det er ikke noe farlig med personopplysninger. Det er ikke noe forbud mot å registrere og lagre personopplysninger, tvert imot er det helt nødvendig og fullt lovlig.

Folk har rett til privatliv. Enkelt sagt skal reglene derfor sørge for at de som behandler personopplysninger gjør det på en måte som beskytter folks privatliv.

Hvor finner jeg reglene om personopplysninger?

De nye reglene  gjelder i Norge fra 20. juli 2018. 

Hvorfor gir EU regler om å beskytte personopplysninger?

Den europeiske menneskerettskonvensjon angir privatlivets fred som er menneskerett: "Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse."

En av EU-traktatene har en egen overordnet regel om personopplysninger: "Enhver har ret til beskyttelse af personoplysninger om vedkommende selv."

Også den norske Grunnloven beskytter menneskerettigheter og privatlivets fred.

Disse prinsippene får ikke alltid så stor oppmerksomhet i Norge. Kanskje skyldes det at vi er vant til ganske stor åpenhet i Norge, om for eksempel personers adresse, telefonnummer og skatteforhold. Omfattende digitalisering har imidlertid ført til mye større muligheter til å hente inn og sammenstille opplysninger om enkeltpersoner, også over landegrenser. Og nettopp denne følelsen av å kunne bli overvåket er en av grunnene til at det gjelder egne regler.

Når EU gir regler i form av en forordning, er meningen at alle landene i EØS-området skal ha identiske regler. Reglene vil altså gjelder for norske bedrifter, enten de har virksomhet i Norge eller i EØS. På samme måte vil utenlandske bedrifter med virksomhet i Norge måtte etterleve reglene.

Hva gjelder reglene for?

Kort sagt gjelder reglene for "behandling av personopplysninger". Nesten enhver befatning med personopplysninger vil regnes som "behandling". Med "personopplysning" mener vi en hvilken som helst opplysning om en privatperson.

Den typiske behandlingen vil være bruk av elektroniske/digitale hjelpemidler, for eksempel PC, nettbrett, skytjenester og smarttelefon, dvs. opplysninger du kan finne frem ganske enkelt. 

Men også opplysninger som finnes i fysiske dokumenter er omfattet, hvis det er enkelt å finne frem til opplysningene. Et eksempel er fysiske personalmapper, der man har arbeidsavtale mv., sortert på de ansatte eller et fysisk kunderegister sortert på kundenavn.

 Hvis det ikke er enkelt å finne frem i fysiske dokumenter, er behandlingen ikke omfattet av reglene. Eksempler på dette er opplysninger i notater du skriver i en fysisk notatblokk, en "7. sans", dokumenter du har liggende på pulten eller et annet sted og en bunke med visittkort. Et testspørsmål er om det vil være ganske enkelt for andre, for eksempel en vikar, å finne frem til opplysningene. Er svaret nei, gjelder reglene ikke for opplysningene. 

Reglene gjelder ikke for opplysninger du bare har i hodet ditt.

Hva er personopplysninger?

En personopplysninger er en hvilken som helst opplysning som gjelder en privatperson som er identifisert eller som kan identifiseres.

Identifikasjon av en enkeltperson trenger ikke være navn. Det kan også være for eksempel fødselsnummer, IP-adresse eller fingeravtrykk.

Er opplysningene anonyme, dvs. at de ikke kan knyttes til en bestemt person, er det ikke snakk om personopplysninger.

Typiske opplysninger man har om kontaktpersoner hos kunder og leverandører, vil være navn og kontaktdetaljer (telefonnummer og fysisk og elektronisk adresse (epost)). Har man forbrukere som kunder, vil det ofte være enda flere personopplysninger som er aktuelle å hente inn og lagre.

Andre eksempler på personopplysninger er navn, kallenavn, alder, fødselsdato, fødested, kjønn, høyde, vekt, øyenfarge, foto, familiære forhold og sivil status. Også utdanning, seksuelle forhold, domfellelse for straffbare forhold medlemskap i fagforeninger regnes som personopplysninger. Andre eksempler er nåværende og tidligere arbeidssteder, formue, gjeld, inntekt, bilnummer og kjøps- og betalingshistorikk. Formelle forhold som adresse, passnummer, personnummer, statsborgerskap, epostadresse og telefonnummer er også personopplysninger.

Det er ikke bare faktaopplysninger som er personopplysninger, også vurderinger som er gjort om en person er personopplysninger.

Opplysninger er personopplysninger selv om de verken er hemmelige eller regnes som private. Kan man finne en persons telefonnummer i telefonkatalog eller på en nettside, er det like fullt en personopplysning.

Opplysninger om bedrifter er ikke personopplysninger, for eksempel navn, selskapsform, årsregnskap og kontaktopplysninger. Opplysninger om enkeltansatte hos kunder eller leverandører er personopplysninger, selv om det ikke er enkeltpersonene selv som er kunde eller leverandør. En epost eller et visittkort er eksempler på noe som nesten alltid vil inneholde personopplysninger.

Hva er behandlingsgrunnlag?

For å kunne behandle personopplysninger må man ha et juridisk grunnlag. Dette gjelder all behandling av enhver personopplysning.

Personvernforordningen regner opp seks mulige behandlingsgrunnlag, og fire av dem er mest aktuelle for bedrifter:

  1. den registrerte personen har gitt bedriften samtykke til behandlingen
  2. det er nødvendig for bedriften for å oppfylle en avtale med den registrerte personen
  3. det er nødvendig for å overholde lover og regler
  4. bedriften har en berettiget interesse i behandlingen, som er nødvendig og som er viktigere enn å beskytte personopplysningene for den registrerte

Det er bedriften selv som må vurdere om den har behandlingsgrunnlag i hvert enkelt tilfelle. Hvis behandlingsgrunnlaget er samtykke (nr. 1) eller berettiget interesse (nr. 4) er det egne krav til dokumentasjon.

Merk at behandlingen må være "nødvendig" i de tre siste tilfellene. Dette er mindre strengt enn det kan høres ut. Bedriften må vurdere konkret om det er snakk om en målrettet og forholdsmessig behandling, og om det er mulig å oppnå formålet på annen måte.

Har ikke bedriften et av de fire behandlingsgrunnlagene kan den heller ikke behandle opplysningene.

Hva er en behandlingsansvarlig?

Behandlingsansvarlig er den (bedriften) som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Kort sagt: Bedriften ansvarlig for behandlingen av personopplysningene.

En bedrift er for eksempel behandlingsansvarlig for opplysninger om egne ansatte, egne privat kunder, kontaktpersoner hos leverandører og bedriftskunder osv.

Det er mulig for bedriften å overlate behandlingen til noen andre, for eksempel en regnskapsfører som fører regnskap og kjører lønn. Bedriften er imidlertid fortsatt behandlingsansvarlig, fordi det er bedriften som fortsatt bestemmer over bruken. Bruker man databehandler, må man alltid ha databehandleravtale.

Hva er sensitive personopplysninger?

Her er det snakk om det vi kanskje tenker på som typisk private opplysninger. Dette kalles gjerne "sensitive" eller "særlige kategorier" av personopplysninger.

Eksempler på slike opplysninger er en persons rasemessige eller etniske bakgrunn, politiske oppfatning, religion, filosofiske overbevisning eller medlemskap i fagforening. Også helseforhold (som allergier, sykefravær, legebesøk og graviditet) og seksuelle forhold og orientering vil være sensitive opplysninger. Det samme gjelder genetiske og biometriske opplysninger, når formålet med dem er å identifisere en person.

For slike sensitive personopplysninger vil det gjelde særlige regler.

Hva betyr det å "behandle" personopplysninger?

"Behandling" omfatter omtrent all tenkelig bruk av opplysninger om personer, også lagring.

Det mest typiske er nok at en bedrift mottar eller henter inn opplysninger, som så blir lagret. Andre eksempler er sammenstilling, systematisering, organisering, utlevering og formidling av slike opplysninger.

Man "behandler" altså opplysninger om personer selv om man ikke aktivt bruker opplysningene til noe. "Behandling" er det snakk om enten den skjer elektronisk, automatisk (uten manuelle prosesser) eller manuelt.

Hva er personvernombud?

Personvernombud er en person som har et særlig ansvar for de problemstillingene i bedriften som gjelder personopplysninger. Oppgavene til et ombud vil typisk være å påse at bedriften etterlever reglene. Det innebærer også å gi råd til kolleger om reglene.

De nye reglene vil pålegge visse typer av virksomheter å ha personvernombud: Bedrifter som har som en kjerneaktivitet å behandle personopplysninger på en måte som innebærer regelmessig og systematisk overvåkning av personer. Også bedrifter som behandler sensitive personopplysninger i stor skala må ha personvernombud.

Du kan lese mer om personvernombud her.

Hva er en databehandler?

Databehandler er en (bedrift) som behandler personopplysninger på vegne av en behandlingsansvarlig. Det kan være en leverandør som sørger for utsendelse av nyhetsbrev for bedriften, eller en regnskapsfører som  sørger for lønnsutbetaling. Selv om det er den behandlingsansvarlige bedriften har ansvaret for behandlingen, har også databehandlere forpliktelser etter lovverket.

Det skal alltid være en avtale mellom behandlingsansvarlig og databehandler.

Hva er en databehandleravtale?

En databehandleravtale er en avtale mellom en behandlingsansvarlig og en databehandler. Tanken er at når en bedrift bruker en leverandør til behandling av personopplysninger, skal bedriften i avtalen sørge for at også databehandleren overholder reglene som gjelder om personopplysninger.

Personvernforordningen krever derfor at man skal ha en skriftlig avtale med databehandleren. Avtalen skal ha et nærmere bestemt innhold. Ofte vil databehandleren vite hva som skal inngå i en avtale.

Selv om man bruker en databehandler, er det fortsatt bedriftens ansvar at reglene blir etterlevd.

Hva er automatisert behandling og profilering?

"Automatiserte individuelle avgjørelser" innebærer at det blir truffet beslutninger som gjelder enkeltpersoner uten at noe menneske deltar i saksbehandlingen. Eksempler på dette kan være behandling av søknad om lån i en nettbank eller en onlinetest man må ta for å komme i betraktning til en jobb man vil søke på.

"Profilering" er som regel en form for slik automatisert behandling. Profilering går ut på at personopplysninger blir brukt til automatisk å analysere eller forutsi forhold ved enkeltpersoner eller grupper, for eksempel arbeidsprestasjoner, økonomi, helse, atferd og bevegelser. Et eksempel kan være et kredittopplysningsbyrå som automatisk kategoriserer skyldneres låneevne på grunnlag av opplysninger om inntekt, formue, alder og bosted.

Automatisert behandling og profilering kan gjøre kundebehandling mer effektiv. På den annen side innebærer det risikoer for uetisk eller gal behandling av opplysninger.

Det gjelder egne regler for automatiserte individuelle avgjørelser og profilering. Les mer om det her:

Gjelder det andre regler om personopplysninger?

Ja. De nye reglene om personopplysninger er generelle: De gjelder for alle som har med personopplysninger å gjøre. I tillegg vil det gjelde egne regler og retningslinjer for enkelte sektorer og for visse typer av opplysninger. Eksempler er helse, omsorg, undervisning, forskning, finans, medier og kollektivtransport.

Kan vi outsource alt som har med personvern og GDPR å gjøre?

Det er ikke noe i veien for at bedriften benytter systemløsninger eller lar andre – såkalte "databehandlere" – stå for behandlingen av opplysninger på vegne av bedriften. Siden poenget med reglene er å verne privatpersoner, må bedriften sørge for at også den eksterne databehandleren følger reglene. Det må være en skriftlig avtale mellom bedriften og databehandleren.

Hva skjer hvis man bryter GDPR-reglene?

I Norge er det Datatilsynet som fører tilsyn med etterlevelsen av reglene. Datatilsynet kan ilegge overtredelsesgebyr hvis de finner ut at noen bryter loven. I 2016 ble det for eksempel ilagt gebyr i 22 saker, med gebyrer på mellom 25 000 og 500 000 kroner.

Det kan også påløpe erstatningsplikt for den som bryter loven og dessuten erstatning for ikke-økonomisk art ("tort og svie").

Det er ikke helt klart hvilke reaksjoner og sanksjoner som vil bli innført i de nye reglene. Det kan hende at lovbrudd ikke lenger vil være straffbare.

I mange sammenhenger er det påpekt at man etter de nye reglene risikerer overtredelsesgebyr på 20 mill. euro eller fire prosent av omsetningen. Disse rammene vil være mest aktuelle for grove overtredelser hos store bedrifter.

Etter de nye reglene vil bedrifter kunne få henvendelser fra enkeltpersoner om hvordan bedriften behandler opplysninger om dem. I praksis vil dette kunne være en del av håndhevelsen av reglene.