Innhold

Hva er personvernforordningen (GDPR)?

Artikkel, Personvern og GDPR

Det er mye snakk om personvern og GDPR for tiden, men hva betyr det egentlig og hva innebærer det for din bedrift? Vi gir deg kunnskapen og verktøyene du trenger.

Denne artikkelen utgjør Del 1 i NHOs Personvernverktøy. Det er viktig at du leser denne før du går videre til resten av personvernverktøyet.

Artikkelen kan leses av alle som ønsker å vite mer om personvernforordningen/ GDPR og hvilke krav som stilles til den enkelte bedrift.

 

Hva er personvernforordningen?

Personvernforordningen er en lov EU har vedtatt (den blir også kalt GDPR, som står for general data protection regulation). Loven skal gjelde i alle EU- og EØS-landene. I Norge vil loven bli en del av en ny Lov om personopplysninger. Den vil gjelde fra 20. juli.

Loven vil gjelde omtrent alle bedrifter i Norge (og alle som har ansatte). Alle bedrifter bør derfor sette seg inn i reglene.

Det er verken forbudt eller farlig å behandle personopplysninger – men du må vite hvordan du gjør det for å gjøre det lovlig.

I denne artikkelen kan du lese om det som er viktigst å vite for bedrifter. Deler av regelverket er generelt og vagt. En av grunnene er at det er bedriftene selv som må vurdere hvordan de må innrette seg for å følge reglene. For den "vanlige" NHO-bedrift er det fullt ut overkommelig å inrette seg riktig, men litt innsats er nødvendig.

Til slutt i artikkelen er det nevnt noen forhold som gjør at en del bedrifter bør sette seg grundigere inn i detaljene. Det kan for eksempel være at bedriften har mange ansatte, et stort antall forbrukere som kunder, behandler spesielt følsomme opplysninger eller sender opplysninger ut av landet.

Noen ord og uttrykk må du kjenne

Reglene gjelder for "behandling" av "personopplysninger". Du er nødt til å vite hva det betyr:

  • "Personopplysninger" er enhver opplysning som kan knyttes til en privatperson, alt fra navn, kjønn, alder, vekt og hårfarge til telefonnummer, epostadresse og arbeidssted. Opplysninger om ansatte er alltid personopplysninger. Opplysninger om aksjeselskaper er ikke personopplysninger.
  • "Behandling" er et litt fremmed ord, vi sikter til omtrent enhver befatning, typisk innhenting, lagring og bruk. Å sende en epost er en behandling. Å lagre telefonnumre og kontaktinformasjon på smarttelefon er en annen behandling.

Det er den "behandlingsansvarlige" som ar ansvaret for å følge reglene. En bedrift regnes som behandlingsansvarlig når den bestemmer formålet med behandlingen av personopplysninger og hvordan de skal brukes. Bedriften beholder ansvaret selv om den bruker for eksempel en systemleverandør eller regnskapsfører til det praktiske (de regnes som "databehandlere").

Med "den registrerte" mener vi den personen opplysningene gjelder, for eksempel en ansatt, en kunde eller en kontaktperson hos en bedriftskunde eller hos en leverandør.

Bedriften må ha et grunnlag for å behandle opplysninger om personer

Bedriften må alltid ha et såkalt behandlingsgrunnlag for å behandle en opplysning om en person. Kan ikke bedriften peke på et slikt grunnlag, så kan den heller ikke behandle opplysningene.

Typiske behandlingsgrunnlag er:

  • det følger av lov eller forskrift at bedriften må behandle opplysninger (for eksempel innrapportering av ansatte til skatteetaten og NAV)
  • det er nødvendig for å etterleve en avtale bedriften har med den registrerte
  • den registrerte har selv gitt bedriften samtykke til at opplysninger blir behandlet (det er egne krav til hvordan man innhenter samtykke)
  • bedriftens formål med å behandle opplysningene gjør det nødvendig, med mindre den registrertes interesser og behov for beskyttelse går foran (dette forutsetter en konkret avveining av disse interessene)

Selv om bedriften har et behandlingsgrunnlag, kan det være andre regler som begrenser hvordan man kan bruke dem. Markedsføringsloven har for eksempel egne regler om markedsføring og om hvordan bedrifter kan kommunisere med kundene.

Noen opplysninger om personer regnes som sensitive

Skal du behandle opplysninger som er sensitive må bedriften ha et eget behandlingsgrunnlag, i tillegg til de som nettopp er nevnt. Som arbeidsgiver skal du være særlig oppmerksom på at opplysninger om medlemskap i fagforening eller helseforhold (som allergier, sykefravær, legebesøk og graviditet) er regnet som sensitive.

Andre sensitive forhold er rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Behandling av genetiske opplysninger og biometriske opplysninger er også sensitive, når formålet er å entydig identifisere en fysisk person. Det er også egne regler for opplysninger om straffbare forhold, som du må sette deg inn i hvis bedriften behandler slike opplysninger.

Behandlingsgrunnlag for sensitive opplysninger om ansatte er oftest at det er nødvendig i egenskap av arbeidsgiver. Utover dette er det i de aller fleste tilfellene nødvendig å få samtykke fra den registrerte selv, for eksempel en privatkunde.

Seks grunnleggende krav til behandling av opplysninger om personer

Det gjelder seks grunnleggende krav som gjelder all behandling av alle opplysninger om personer:

1. Bedriften må behandle opplysningene på en måte som er lovlig, rettferdig og gjennomsiktig.

Bedriften må være sikker på at den har rett til å behandle opplysningene. Den må opptre ordentlig og ryddig overfor den registrerte. De registrerte må få skikkelig informasjon om hvilke opplysninger bedriften har og hva den gjør med opplysningene.

2. Bedriften må ha bestemt seg for formålet med å samle inn opplysninger.

Du må bestemme deg for hvorfor du skal behandle opplysningene – før du samler dem inn. Og du skal (som regel) ikke bruke dem til andre formål. Hvis en person gir bedriften mobilnummeret for å delta i en konkurranse, kan du ikke uten videre bruke nummeret til å sende SMS-er med gode tilbud om varer og tjenester – det er et annet formål, nemlig markedsføring.

3. Bedriften må sørge for at opplysningene er tilpasset det formålet den har (men også at de ikke er mer omfattende).

Hvis formålet ditt er å sende e-post til en privatkunde, trenger du ikke hjemmeadresse eller telefonnummer.

4. Bedriften må sørge for at opplysningene den har er korrekte.

Kravet er ikke absolutt. Bedriften må vurdere hvor viktig det er for den registrerte at opplysningene er korrekte: Jo viktigere det er for den registrerte at opplysningene er korrekte, jo mer må bedriften anstrenge seg for å ha korrekte og oppdaterte opplysninger.

5. Bedriften må slette opplysninger som det ikke lenger er nødvendig å ha (alternativt kan man anonymisere opplysningene).

Har en kontaktperson hos en bedriftskunde sluttet i jobben, trenger du ikke kontaktdetaljene hans lenger.

6. Du må lagre og bruke opplysningene slik at de ikke blir misbrukt.

Uvedkommende skal ikke få eller ha tilgang til opplysningene. Jo mer følsomme opplysninger det er snakk om, jo sterkere tiltak er nødvendig for å sikre dem.

Krav til dokumentasjon

Bedriften må vurdere tiltak som reduserer risikoen for at man bryter reglene. Det er derfor nødvendig å vurdere risikoen, og dokumentere at man har gjort en slik vurdering, men dette trenger ikke alltid å være veldig omfattende. Man må også dokumentere hvordan man ser for seg å etterleve reglene.

Et typisk tiltak er å ha interne dokumenter som beskriver blant annet:

  • hvilke typer av registrerte personer det er snakk om (for eksempel ansatte, kontaktpersoner hos kunder eller privatkunder)
  • hvilke(t) formål bedriften har med behandlingen (for eksempel administrasjon av ansatte eller å informere kunder om nye produkter)
  • hvilke typer opplysninger man bruker (for eksempel navn, bankkontonummer, inntekt eller epostadresse)
  • hvordan bedriften bruker opplysningene (for eksempel innsending av opplysninger om ansattes inntekt til skattemyndighetene eller lagring av epostadresser)
  • hvilke grunnlag man har for å behandle opplysningene (for eksempel bedriftens egen interesse, samtykke, lovforpliktelse eller avtale)
  • at bedriften skal ha en personvernerklæring e.l.

Det er bedriften som har plikter etter loven. Det er ikke mulig å outsource eller overlate ansvaret til noen andre. Men det er ikke forbudt å bruke systemløsninger eller tjenesteleverandører som håndterer opplysningene for bedriften. Den du da har avtale med regnes som "databehandler". Det er egne krav til slike avtaler, som skal sørge for at også denne databehandleren følger de reglene som gjelder for din bedrift.

Bedrifter har forpliktelser overfor de registrerte

De registrerte kan pålegge bedriften å slutte med eller begrense behandlingen, og de kan kreve at du sletter alle data om dem ("retten til å bli glemt"). Disse rettighetene er ikke absolutte, noen vilkår må være oppfylt. Har du for eksempel et løpende kundeforhold med en person, kan ikke kunden kreve at bedriften sletter alle opplysninger om ham hvis bedriften fortsatt har behov for opplysningene.

De registrerte - i hovedsak privatkunder - har også rett til å få utlevert de opplysningene de selv har gitt og som er blitt lagret. De kan i utgangspunktet også kreve at disse opplysningene overføres til en annen bedrift. Betingelsen for disse rettighetene er at bedriftens behandlingsgrunnlag er samtykke eller oppfyllelse av avtale.

Bedriftene har plikt til å gi en del informasjon til de registrerte: De registrerte skal få vite både at bedriften behandler opplysninger om dem og om de rettighetene de har. Bedriften må derfor ha et dokument (personvernerklæring e.l.) som beskriver hvilke typer av opplysninger bedriften har og hva de brukes til. Dette skal skrives på en ryddig og forståelig måte.

Ansatte og personvern

Alle reglene om personopplysninger gjelder også mellom bedriften og ansatte. Men det er sannsynlig at det kommer noen spesialregler våren 2018. For eksempel er det ganske sikkert at dagens regler om innsyn i ansattes e-postkasse mv. og kameraovervåking (på arbeidsplasser) blir videreført. Arbeidsgivere som har innsyn i hvordan ansatte arbeider og beveger seg (for eksempel sjåfører) bør vurdere lovlighet og gjennomføring grundig.

Konsekvenser ved lovbrudd

Hvis bedriften skulle komme til å bryte reglene, må den si raskt fra om dette til både Datatilsynet og de registrerte som er rammet av bruddet. Bagatellmessige brudd er det ikke nødvendig å melde fra om.

Datatilsynet skal føre tilsyn med at bedriftene følger reglene. Det har vært skrevet mye om de "millionbøtene" Datatilsynet kan ilegge. Som en vanlig bedrift med ganske enkle forhold skal man knapt engste seg for mye for slike størrelser, men det er sannsynlig at det kommer flere tilsyn enn før.

En annen risiko gjelder tap av kunder og omdømme hvis bedriften ikke etterlever reglene. Bedrifter bør innrette seg på at kunder og samarbeidspartnere vil bli mer og mer opptatt av personvern

Særlige typer av behandling

Noen bedrifter driver med mer kompleks behandling av opplysninger om personer. Her nevner vi bare noen eksempler.

Hvis bedriften bruker opplysninger om privatkunder er den i midt i målgruppen for regelverket. De bør være særlig nøye når de skal vurdere hvordan de skal etterleve regelverket.

Er det snakk om samtykke som gjelder barn (forslaget er at grensen skal være 13 år) og "informasjonssamfunnstjenester" må den som har foreldremyndigheten inn i bildet. Skal man i det hele tatt ha noe å gjøre med personopplysninger om barn, bør man være ekstra oppmerksom på at reglene gir dem sterkere beskyttelse enn det voksne har, for eksempel at informasjonen de får er klar og forståelig

To typer av bedrifter vil få krav om å ha såkalt personvernrådgiver (i dag kalt personvernombud): For det første bedrifter som behandler sensitive opplysninger i stor skala. For det andre gjelder det bedrifter som i stor skala driver overvåkning/monitorering av personer (for eksempel kunder) som en del av kjerneaktiviteten. Personvernrådgiver er en person i bedriften som har særlig ansvar for det som har med personvern å gjøre.

Skal bedriften behandle personopplysninger og det er høy risiko for de registrertes personvern, må man først vurdere grundig hva man må gjøre for å redusere denne risikoen (konsekvensanalyse). En bank som automatisk bestemmer hvem som kan få lån, må passe ekstra godt på at systemene ikke gjør feil. Et legekontor som introduserer en ny app, må passe ekstra godt på at opplysninger ikke kommer på avveie.

Hvis du vil overføre opplysninger til land utenfor EU/EØS, må du sjekke om landet er godkjent for å motta opplysninger, dvs. at de har like god beskyttelse av opplysninger som i EU/EØS.

Skal bedriften behandle opplysninger om straffbare forhold og lovovertredelser må man sjekke nærmere om det er lov i det enkelte tilfelle.

Den registrerte har særlige rettigheter hvis bedriften behandler data helt automatisk (dvs. uten at mennesker deltar i saksbehandlingen) og avgjørelsen har rettslig eller annen viktig virkning for ham. Det kan for eksempel være jobbsøknader eller søknader om kreditt. Også ved såkalt profilering har den registrerte slike særlige rettigheter. Profilering er automatisert behandling av innsamlede personopplysninger, for eksempel analyser eller vurderinger som skal forutsi hvordan den registrerte vil opptre i en kjøpssituasjon.