Spørsmål og svar om personvernforordningen (GDPR)

I praksis gjelder reglene for omtrent alle bedrifter i Norge (og i hele EØS). Reglene gjelder for alle virksomheter som behandler personopplysninger. Det er knapt mulig å drive en bedrift uten å behandle personopplysninger. Har man kunder, leverandører eller ansatte, behandler man i praksis opplysninger om privatpersoner.

Grunnen er at EU vedtok nye regler om personvern i 2016. De gjelder i hele EØS-området, herunder Norge. Selv om det er mye snakk om dette regelsettet, er det mange av reglene som har eksistert lenge. I Norge ble reglene en del av ny Lov om personvern fra 20. juli 2018.

EU har hatt regler om personvern i mer enn 20 år. I Norge kom den første loven i 1978, og Datatilsynet ble etablert i 1980.

Bedrifter som fulgte reglene som gjaldt før lovendringen lå godt an til å tilpasse seg GDPR.

Datatilsynet laget en oversikt over det som ble nytt i reglene fra 20. juli 2018.
Datatilsynet har laget en oversikt over virksomhetens plikter etter de nye reglene.

Personvernforordningen (EU General Data Protection Regulation eller "GDPR") er et regelsett fastsatt av EU i april 2016. Dette regelsettet bestemmer kort sagt hvordan det offentlige og bedrifter kan og skal behandle opplysninger om enkeltpersoner. Det gir også enkeltpersoner rettigheter direkte overfor det offentlige og bedrifter, når det gjelder opplysninger som er samlet inn om dem.

Reglene gjelder i hele EØS-området, det vil si de 28 medlemslandene i EU samt EØS-landene Norge, Island og Liechtenstein.

Det er ikke farlig med personopplysninger. Det er ikke forbudt å registrere og lagre personopplysninger, tvert imot er det helt nødvendig og fullt lovlig.

Folk har rett til privatliv. Enkelt forklart skal reglene sørge for at de som behandler personopplysninger gjør det på en måte som beskytter folks privatliv.

Personopplysningsloven finner du her. Loven viser til personvernforordningen.

Den europeiske menneskerettskonvensjon angir privatlivets fred som en menneskerett: "Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse."

En av EU-traktatene har en egen overordnet regel om personopplysninger: "Enhver har ret til beskyttelse af personoplysninger om vedkommende selv."

Også den norske Grunnloven beskytter menneskerettigheter og privatlivets fred.

Disse prinsippene får ikke alltid så stor oppmerksomhet i Norge. Kanskje skyldes det at vi er vant til ganske stor åpenhet i Norge, om for eksempel personers adresse, telefonnummer og skatteforhold. Omfattende digitalisering har likevel ført til mye større muligheter til å hente inn og sammenstille opplysninger om enkeltpersoner, også over landegrenser. Og nettopp denne følelsen av å kunne bli overvåket er en av grunnene til at det gjelder egne regler.

Når EU gir regler i form av en forordning, er meningen at alle landene i EØS-området skal ha identiske regler. Reglene gjelder for norske bedrifter, enten de har virksomhet i Norge eller i EØS. På samme måte vil utenlandske bedrifter med virksomhet i Norge måtte etterleve reglene.

Kort sagt gjelder reglene for "behandling av personopplysninger". Nesten enhver befatning med personopplysninger vil regnes som "behandling". Med "personopplysning" mener vi en hvilken som helst opplysning om en privatperson.
Den typiske behandlingen vil være bruk av elektroniske/digitale hjelpemidler, for eksempel PC, nettbrett, skytjenester og smarttelefon, dvs. opplysninger du kan finne frem ganske enkelt.

Men også opplysninger som finnes i fysiske dokumenter er omfattet, hvis det er enkelt å finne frem til opplysningene. Et eksempel er fysiske personalmapper, der man har arbeidsavtale mv., sortert på de ansatte eller et fysisk kunderegister sortert på kundenavn.

Hvis det ikke er enkelt å finne frem i fysiske dokumenter, er behandlingen ikke omfattet av reglene. Eksempler på dette er opplysninger i notater du skriver i en fysisk notatblokk, en "7. sans", dokumenter du har liggende på pulten eller et annet sted og en bunke med visittkort. Et testspørsmål er om det vil være ganske enkelt for andre, for eksempel en vikar, å finne frem til opplysningene. Er svaret nei, gjelder ikke reglene for opplysningene.

Datatilsynet har utarbeidet en sjekkliste for hva din bedrift må gjøre før den behandler personopplysninger.

En personopplysning er en hvilken som helst opplysning som gjelder en privatperson som er identifisert eller som kan identifiseres.

Identifikasjon av en enkeltperson trenger ikke være navn. Det kan også være for eksempel fødselsnummer, IP-adresse eller fingeravtrykk.

Er opplysningene anonyme, dvs. at de ikke kan knyttes til en bestemt person, er det ikke snakk om personopplysninger.

Typiske opplysninger man har om kontaktpersoner hos kunder og leverandører, vil være navn og kontaktdetaljer (telefonnummer og fysisk og elektronisk adresse (epost)). Har man forbrukere som kunder, vil det ofte være enda flere personopplysninger som er aktuelle å hente inn og lagre.

Andre eksempler på personopplysninger er navn, kallenavn, alder, fødselsdato, fødested, kjønn, høyde, vekt, øyenfarge, foto, familiære forhold og sivil status. Også utdanning, seksuelle forhold, domfellelse for straffbare forhold, medlemskap i fagforeninger regnes som personopplysninger. Andre eksempler er nåværende og tidligere arbeidssteder, formue, gjeld, inntekt, bilnummer og kjøps- og betalingshistorikk. Formelle forhold som adresse, passnummer, personnummer, statsborgerskap, epostadresse og telefonnummer er også personopplysninger.

Det er ikke bare faktaopplysninger som er personopplysninger, også vurderinger som er gjort om en person er personopplysninger.

Opplysninger er personopplysninger selv om de verken er hemmelige eller regnes som private. Kan man finne en persons telefonnummer i telefonkatalog eller på en nettside, er det like fullt en personopplysning.

Opplysninger om bedrifter er ikke personopplysninger, for eksempel navn, selskapsform, årsregnskap og kontaktopplysninger. Opplysninger om enkeltansatte hos kunder eller leverandører er personopplysninger, selv om det ikke er enkeltpersonene selv som er kunde eller leverandør. En e-post eller et visittkort er eksempler på noe som nesten alltid vil inneholde personopplysninger.

For å kunne behandle personopplysninger må man ha et juridisk grunnlag. Dette gjelder all behandling av enhver personopplysning.

Personvernforordningen regner opp seks mulige behandlingsgrunnlag, og fire av dem er mest aktuelle for bedrifter:

1. den registrerte personen har gitt bedriften samtykke til behandlingen
2. det er nødvendig for bedriften for å oppfylle en avtale med den registrerte personen
3. det er nødvendig for å overholde lover og regler
4. bedriften har en berettiget interesse i behandlingen, som er nødvendig og som er viktigere enn å beskytte personopplysningene for den registrerte

Det er bedriften selv som må vurdere om den har behandlingsgrunnlag i hvert enkelt tilfelle. Hvis behandlingsgrunnlaget er samtykke (nr. 1) eller berettiget interesse (nr. 4) er det egne krav til dokumentasjon.

Merk at behandlingen må være "nødvendig" i de tre siste tilfellene. Dette er mindre strengt enn det kan høres ut. Bedriften må vurdere konkret om det er snakk om en målrettet og forholdsmessig behandling, og om det er mulig å oppnå formålet på annen måte.

Har ikke bedriften et av de fire behandlingsgrunnlagene kan den heller ikke behandle opplysningene.

• Les mer om behandlingsgrunnlag, og om de fire behandlingsgrunnlagene her. 

Behandlingsansvarlig er den (bedriften) som bestemmer formålet med behandlingen av personopplysninger, og hvilke hjelpemidler som skal brukes. Kort sagt: Bedriften er ansvarlig for behandlingen av personopplysningene.

En bedrift er for eksempel behandlingsansvarlig for opplysninger om egne ansatte, egne privat kunder, kontaktpersoner hos leverandører og bedriftskunder osv.

Det er mulig for bedriften å overlate behandlingen til noen andre, for eksempel en regnskapsfører som fører regnskap og kjører lønn. Bedriften er likevel fortsatt behandlingsansvarlig, fordi det er bedriften som fortsatt bestemmer over bruken. 
Bruker man databehandler, må man alltid ha databehandleravtale. Mal for databehandleravtale finner du på Datatilsynets nettsider. 

Her er det snakk om det vi kanskje tenker på som typisk private opplysninger. Dette kalles gjerne "sensitive" eller "særlige kategorier" av personopplysninger.

Eksempler på slike opplysninger er en persons rasemessige eller etniske bakgrunn, politiske oppfatning, religion, filosofiske overbevisning eller medlemskap i fagforening. Også helseforhold (som allergier, sykefravær, legebesøk og graviditet) og seksuelle forhold og orientering vil være sensitive opplysninger. Det samme gjelder genetiske og biometriske opplysninger, når formålet med dem er å identifisere en person.

For slike sensitive personopplysninger vil det gjelde særlige regler.

"Behandling" omfatter omtrent all tenkelig bruk av opplysninger om personer, også lagring.

Det mest typiske er nok at en bedrift mottar eller henter inn opplysninger, som så blir lagret. Andre eksempler er sammenstilling, systematisering, organisering, utlevering og formidling av slike opplysninger.

Man "behandler" altså opplysninger om personer selv om man ikke aktivt bruker opplysningene til noe. "Behandling" er det snakk om enten den skjer elektronisk, automatisk (uten manuelle prosesser) eller manuelt.

Personvernombud er en person som har et særlig ansvar for de problemstillingene i bedriften som gjelder personopplysninger. Oppgavene til et ombud vil typisk være å påse at bedriften etterlever reglene. Det innebærer også å gi råd til kolleger om reglene.

De nye reglene vil pålegge visse typer av virksomheter å ha personvernombud: Bedrifter som har som en kjerneaktivitet å behandle personopplysninger på en måte som innebærer regelmessig og systematisk overvåkning av personer. Også bedrifter som behandler sensitive personopplysninger i stor skala må ha personvernombud.

Du kan lese mer om personvernombud her.

Datatilsynet har laget en test for å vurdere om din virksomhet har plikt til å ha et personvernombud.

Databehandler er en (bedrift) som behandler personopplysninger på vegne av en behandlingsansvarlig. Det kan være en leverandør som sørger for utsendelse av nyhetsbrev for bedriften, eller en regnskapsfører som sørger for lønnsutbetaling. Selv om det er den behandlingsansvarlige bedriften har ansvaret for behandlingen, har også databehandlere forpliktelser etter lovverket.

Det skal alltid være en avtale mellom behandlingsansvarlig og databehandler. Du finner mal for databehandleravtaler på Datatilsynet sine hjemmesider. 

En databehandleravtale er en avtale mellom en behandlingsansvarlig og en databehandler. Tanken er at når en bedrift bruker en leverandør til behandling av personopplysninger, skal bedriften i avtalen sørge for at også databehandleren overholder reglene som gjelder om personopplysninger.

Personvernforordningen krever derfor at man skal ha en skriftlig avtale med databehandleren. Avtalen skal ha et nærmere bestemt innhold. Ofte vil databehandleren vite hva som skal inngå i en avtale.

Selv om man bruker en databehandler, er det fortsatt bedriftens ansvar at reglene blir etterlevd.

"Automatiserte individuelle avgjørelser" innebærer at det blir truffet beslutninger som gjelder enkeltpersoner uten at noe menneske deltar i saksbehandlingen. Eksempler på dette kan være behandling av søknad om lån i en nettbank eller en onlinetest man må ta for å komme i betraktning til en jobb man vil søke på.

"Profilering" er som regel en form for slik automatisert behandling. Profilering går ut på at personopplysninger blir brukt til automatisk å analysere eller forutsi forhold ved enkeltpersoner eller grupper, for eksempel arbeidsprestasjoner, økonomi, helse, atferd og bevegelser. Et eksempel kan være et kredittopplysningsbyrå som automatisk kategoriserer skyldneres låneevne på grunnlag av opplysninger om inntekt, formue, alder og bosted.

Automatisert behandling og profilering kan gjøre kundebehandling mer effektiv. På den annen side innebærer det risikoer for uetisk eller gal behandling av opplysninger.

Det gjelder egne regler for automatiserte individuelle avgjørelser og profilering. Les mer om det her:

• Rights related to automated decision making gincluding profiling
• Artikkel 29-gruppens "Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679"

Ja. Reglene om personopplysninger er generelle: De gjelder for alle som har med personopplysninger å gjøre. I tillegg vil det gjelde egne regler og retningslinjer for enkelte sektorer og for visse typer av opplysninger. Eksempler er helse, omsorg, undervisning, forskning, finans, medier og kollektivtransport.

Nei. Selv om man bruker systemløsninger, konsulenter eller annen ekstern hjelp, har bedriften selv ansvaret for å følge reglene. Bedriften regnes som "behandlingsansvarlig" etter loven. Det vil si at det er bedriften som skal bestemme formålet med behandlingen av personopplysninger, og det er bedriften som bestemmer hvilke hjelpemidler som skal brukes.

Det er ikke noe i veien for at bedriften benytter systemløsninger eller lar andre – såkalte "databehandlere" – stå for behandlingen av opplysninger på vegne av bedriften. Siden poenget med reglene er å verne privatpersoner, må bedriften sørge for at også den eksterne databehandleren følger reglene. Det må være en skriftlig avtale mellom bedriften og databehandleren.

I Norge er det Datatilsynet som fører tilsyn med etterlevelsen av personvernreglene. Datatilsynet kan ilegge overtredelsesgebyr hvis de finner ut at noen bryter loven. Eksempler på saker hvor det har blitt ilagt overtredelsesgebyr finnes her. Her ser man f.eks. at Oslo kommune Utdanningsetaten har blitt ilagt et overtredelsesgebyr på 1,2 millioner kroner, og Bergen kommune har blitt ilagt et overtredelsesgebyr på 1,6 millioner kroner i 2019.

Det kan også påløpe erstatningsplikt for den som bryter loven og dessuten erstatning for ikke-økonomisk art ("tort og svie").

I mange sammenhenger er det påpekt at man kan risikere overtredelsesgebyr på 20 mill. euro eller fire prosent av omsetningen. Disse rammene vil være mest aktuelle for grove overtredelser hos store bedrifter.

Enkeltpersoner kan henvende seg til bedrifter og kreve innsyn i hvordan de behandler personopplysninger om dem. Dersom bedriften ikke oppfyller sine forpliktelser, kan Datatilsynet også sanksjonere dette.