Innhold

Spørsmål og svar om personvernforordningen

Artikkel, Spørsmål og svar, Personvern

Det kommer nye regler om personvern i 2018.

Spørsmål og svar om personvernforordningen

Personvern er i vinden fordi det kommer nye regler i 2018. Her svarer vi på en del grunnleggende spørsmål om reglene.

Gjelder reglene for min bedrift?

I praksis vil reglene gjelde for omtrent alle bedrifter i Norge (og i hele EØS). Kort sagt gjelder reglene nemlig for alle som behandler personopplysninger. Det er knapt mulig å drive en bedrift uten å behandle personopplysninger. Har man kunder, leverandører eller ansatte, behandler man i praksis opplysninger om privatpersoner. 

Hvorfor er det plutselig så mye snakk om personvern?

Grunnen er at EU vedtok nye regler om personvern i 2016. De vil gjelde fra mai 2018 i hele EØS-området, herunder Norge. Men selv om det er mye snakk om det nye regelsettet, er det mange av reglene som har eksistert lenge.

EU har hatt regler om personvern i mer enn 20 år. I Norge har vi hatt loven om personopplysninger siden 2001. Den første loven kom i 1978, og Datatilsynet ble etablert i 1980.

Man ligger godt an til å tilpasse seg de nye reglene hvis man følger de reglene som gjelder i dag. Datatilsynet har laget en oversikt over det som er nytt i de reglene som kommer.

Men mye tyder på at mange bedrifter ikke kjenner dagens regler godt nok. Da øker selvsagt risikoen for dem for å bryte både gjeldende og nye regler.

Hva er personvernforordningen?

Personvernforordningen (EU General Data Protection Regulation eller "GDPR") er et regelsett fastsatt av EU i april 2016. Dette regelsettet bestemmer kort sagt hvordan det offentlige og bedrifter kan og skal behandle opplysninger om enkeltpersoner. Det gir også enkeltpersoner rettigheter direkte overfor det offentlige og bedrifter, når det gjelder opplysninger som er samlet inn om dem.

Reglene skal gjelde i hele EØS-området, det vil si de 28 medlemslandene i EU samt EØS-landene Norge, Island og Liechtenstein.

Forordningen vil gjelde i hele EU fra 25. mai 2018. Sannsynligvis gjelder reglene også i Norge fra den datoen, etter at Stortinget har behandlet saken. At reglene kommer i Norge på et eller annet tidspunkt er uansett helt sikkert.

Hva er så farlig med personopplysninger?

Det er ikke noe farlig med personopplysninger. Det er ikke noe forbud mot å registrere og lagre personopplysninger, tvert imot er det helt nødvendig og fullt lovlig.

Folk har rett til privatliv. Enkelt sagt skal reglene derfor sørge for at de som behandler personopplysninger gjør det på en måte som beskytter folks privatliv.

Hvor finner jeg reglene om personopplysninger?

De reglene som gjelder i dag følger av personopplysningsloven og forskrift.

EUs forordning finnes på dansk her (88 sider). Den vil bli oversatt til norsk (en uoffisiell oversettelse finnes her).

Det vil komme en ny lov og nye forskrifter. Det er ennå ikke klart hva disse reglene vil gå ut på i detalj. Justisdepartementet har sendt ut en høring om dette, som du kan lese mer om her.

Hvorfor gir EU regler om å beskytte personopplysninger?

Den europeiske menneskerettskonvensjon angir privatlivets fred som er menneskerett: "Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse."

En av EU-traktatene har en egen overordnet regel om personopplysninger: "Enhver har ret til beskyttelse af personoplysninger om vedkommende selv."

Også den norske Grunnloven beskytter menneskerettigheter og privatlivets fred.

Disse prinsippene får ikke alltid så stor oppmerksomhet i Norge. Kanskje skyldes det at vi er vant til ganske stor åpenhet i Norge, om for eksempel personers adresse, telefonnummer og skatteforhold. Omfattende digitalisering har imidlertid ført til mye større muligheter til å hente inn og sammenstille opplysninger om enkeltpersoner, også over landegrenser. Og nettopp denne følelsen av å kunne bli overvåket er en av grunnene til at det gjelder egne regler.

Når EU gir regler i form av en forordning, er meningen at alle landene i EØS-området skal ha identiske regler. Reglene vil altså gjelder for norske bedrifter, enten de har virksomhet i Norge eller i EØS. På samme måte vil utenlandske bedrifter med virksomhet i Norge måtte etterleve reglene.

Hva gjelder reglene for?

Kort sagt gjelder reglene for "behandling av personopplysninger". Nesten enhver befatning med personopplysninger vil regnes som "behandling". Med "personopplysning" mener vi en hvilken som helst opplysning om en privatperson.

Hva er personopplysninger?

En personopplysninger er en hvilken som helst opplysning som gjelder en privatperson som er identifisert eller som kan identifiseres.

Identifikasjon av en enkeltperson trenger ikke være navn. Det kan også være for eksempel fødselsnummer, IP-adresse eller fingeravtrykk.

Er opplysningene anonyme, dvs. at de ikke kan knyttes til en bestemt person, er det ikke snakk om personopplysninger.

Typiske opplysninger man har om kontaktpersoner hos kunder og leverandører, vil være navn og kontaktdetaljer (telefonnummer og fysisk og elektronisk adresse (epost)). Har man forbrukere som kunder, vil det ofte være enda flere personopplysninger som er aktuelle å hente inn og lagre.

Andre eksempler på personopplysninger er navn, kallenavn, alder, fødselsdato, fødested, kjønn, høyde, vekt, øyenfarge, foto, familiære forhold og sivil status. Også utdanning, seksuelle forhold, domfellelse for straffbare forhold medlemskap i fagforeninger regnes som personopplysninger. Andre eksempler er nåværende og tidligere arbeidssteder, formue, gjeld, inntekt, bilnummer og kjøps- og betalingshistorikk. Formelle forhold som adresse, passnummer, personnummer, statsborgerskap, epostadresse og telefonnummer er også personopplysninger.

Det er ikke bare faktaopplysninger som er personopplysninger, også vurderinger som er gjort om en person er personopplysninger.

Opplysninger er personopplysninger selv om de verken er hemmelige eller regnes som private. Kan man finne en persons telefonnummer i telefonkatalog eller på en nettside, er det like fullt en personopplysning.

Opplysninger om bedrifter er ikke personopplysninger, for eksempel navn, selskapsform, årsregnskap og kontaktopplysninger. Opplysninger om enkeltansatte hos kunder eller leverandører er personopplysninger, selv om det ikke er enkeltpersonene selv som er kunde eller leverandør. En epost eller et visittkort er eksempler på noe som nesten alltid vil inneholde personopplysninger.

Hva er sensitive eller følsomme personopplysninger?

Her er det snakk om det vi kanskje tenker på som typisk private opplysninger.

Eksempler på slike opplysninger er en persons rasemessig eller etnisk bakgrunn, politisk, religiøs eller filosofisk oppfatning eller medlemskap i fagforening. Også helseforhold (som allergier, sykefravær, legebesøk og graviditet) og seksuelle forhold og orientering vil være sensitive opplysninger. Det samme gjelder genetiske og biometriske opplysninger, når formålet med dem er å identifisere en person.

For slike sensitive eller følsomme personopplysninger vil det gjelde særlige regler.

Hva betyr det å "behandle" personopplysninger?

"Behandling" omfatter omtrent all tenkelig bruk av opplysninger om personer, også lagring.

Det mest typiske er nok at en bedrift mottar eller henter inn opplysninger, som så blir lagret. Andre eksempler er sammenstilling, systematisering, organisering, utlevering og formidling av slike opplysninger.

Man "behandler" altså opplysninger om personer selv om man ikke aktivt bruker opplysningene til noe. "Behandling" er det snakk om enten den skjer elektronisk, automatisk (uten manuelle prosesser) eller manuelt.

Hva er personvernombud eller personvernrådgiver?

Personvernombud eller –rådgiver er en person som har et særlig ansvar for de problemstillingene i bedriften som gjelder personopplysninger. Oppgavene til en rådgiver vil typisk være å påse at bedriften etterlever reglene. Det innebærer også å gi råd til kolleger om reglene.

Det er i dag ingen bedrifter som er pålagt å ha personvernombud/-rådgiver, men noen har det frivillig.

De nye reglene vil pålegge visse typer av virksomheter å ha personvernrådgiver. Antagelig vil det gjelde for bedrifter som har som en kjerneaktivitet å behandle personopplysninger på en måte som innebærer regelmessig og systematisk overvåkning av personer. Også bedrifter som behandler sensitive personopplysninger i stor skala må regne med pålegg om å ha personvernombud. Du kan lese mer om dette i Justisdepartementets høringsnotatet kapittel 14 her.

Gjelder det andre regler om personopplysninger?

Ja. De nye reglene om personopplysninger er generelle: De gjelder for alle som har med personopplysninger å gjøre. I tillegg vil det gjelde egne regler og retningslinjer for enkelte sektorer og for visse typer av opplysninger. Eksempler er helse, omsorg, undervisning, forskning, finans, medier og kollektivtransport.

Kan vi outsource alt som har med personvern å gjøre?

Nei.

Selv om man bruker systemløsninger, konsulenter eller annen ekstern hjelp, har bedriften selv ansvaret for å følge reglene. Bedriften regnes som "behandlingsansvarlig" etter loven. Det vil si at det er bedriften som skal bestemme formålet med behandlingen av personopplysninger, og det er bedriften som bestemmer hvilke hjelpemidler som skal brukes.

Det er ikke noe i veien for at bedriften benytter systemløsninger eller lar andre – såkalte "databehandlere" – stå for behandlingen av opplysninger på vegne av bedriften. Siden poenget med reglene er å verne privatpersoner, må bedriften sørge for at også den eksterne databehandleren følger reglene. Det må være en skriftlig avtale mellom bedriften og databehandleren.

Hva skjer hvis man bryter reglene?

I Norge er det Datatilsynet som fører tilsyn med etterlevelsen av reglene. Datatilsynet kan ilegge overtredelsesgebyr hvis de finner ut at noen bryter loven. I 2016 ble det for eksempel ilagt gebyr i 22 saker, med gebyrer på mellom 25 000 og 500 000 kroner.

Det kan også påløpe erstatningsplikt for den som bryter loven og dessuten erstatning for ikke-økonomisk art ("tort og svie").

Det er ikke helt klart hvilke reaksjoner og sanksjoner som vil bli innført i de nye reglene. Det kan hende at lovbrudd ikke lenger vil være straffbare.

I mange sammenhenger er det påpekt at man etter de nye reglene risikerer overtredelsesgebyr på 20 mill. euro eller fire prosent av omsetningen. Disse rammene vil være mest aktuelle for grove overtredelser hos store bedrifter.

Etter de nye reglene vil bedrifter kunne få henvendelser fra enkeltpersoner om hvordan bedriften behandler opplysninger om dem. I praksis vil dette kunne være en del av håndhevelsen av reglene.