Hva er GDPR? Dette må du vite om GDPR og personvern

Den norske personopplysningsloven gjør GDPR, med enkelte tilpasninger, til norsk lov. Loven beskytter vår rett til privatliv og retten til å bestemme over egne personopplysninger.

En personopplysning er enhver opplysning eller vurdering som kan knyttes til en fysisk enkeltperson (den registrerte), for eksempel navn, mailadresse, telefonnummer, IP-adresse, aktivitet på nettsider, osv.

Personvernreglene gjelder for all håndtering av personopplysninger om blant annet:

• Ansatte
• Kunder (private eller kontaktpersoner hos bedriftskunder))
• Leverandører (private eller kontaktpersoner hos bedrifter)
• Medlemmer (private)
• Besøkende på virksomhetens nettsider

Regelverket bygger på prinsippene om at personopplysninger skal:

• Behandles på en lovlig, rettferdig og åpen måte.
• Samles inn for spesifikke, uttrykkelig angitte og berettigede formål, og ikke for nye formål som er uforenlig med de opprinnelige formålene, den s.k. formålsbegrensningen.
• Være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for, det s.k. dataminimeringsprinsippet.
• Være korrekte og om nødvendig oppdaterte.
• Lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for, den s.k. lagringsbegrensningen.
• Behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene.

Et godt sted å starte er å sette seg inn i grunnleggende prinsipper for personvern og de krav som følger av GDPR.

Deretter bør man skaffe oversikt over hvilke personopplysninger virksomheten behandler og hvilke kategorier personer opplysningene tilhører, formålet med behandlingen og det rettslige grunnlaget for behandlingen.

All behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig, et såkalt behandlingsgrunnlag. Hvilke behandlingsgrunnlag som er aktuelle finner man i GDPR artikkel 6. Dette kan eksempelvis være et samtykke, at behandling er nødvendig for å oppfylle en avtale, en rettslig forpliktelse eller at man mener å ha en berettiget interesse.

Når man har fått oversikt over virksomhetens behandlingsaktiviteter, bør informasjonen nedfelles skriftlig. Gjerne i en såkalt behandlingsprotokoll, som er en skjematisk oversikt over hvilke personopplysninger som behandles, om hvem, hvorfor, behandlingsgrunnlag, lagringstid, sikkerhetstiltak, om opplysningene overføres til tredjepart osv.

Det anbefales også å utarbeide rutiner for hvordan personopplysninger skal behandles i virksomheten. Det kan være hensiktsmessig å få på plass noen overordnede prinsipper og føringer i form av et policydokument, som gjerne kan forankres i styret.

Videre bør virksomheten utarbeide praktiske rutiner for behandling av personopplysninger, som skal bidra til å sikre etterlevelse i det daglige. Hvilke rutiner man trenger avhenger blant annet av virksomhetens størrelse, bransje og om man behandler sensitive opplysninger, men de aller fleste trenger i hvert fall sletterutiner, en rutine for oppstart av nye behandlingsaktiviteter, håndtering av henvendelser og krav fra registrerte og rutiner for avvikshåndtering.

Det er videre krav om at man har et bevisst forhold til hvilken risiko som knytter seg til de ulike behandlingsaktivitetene, både når det gjelder informasjonssikkerhet og sikkerhet for at de registrertes rettigheter ivaretas. En slik risikovurdering kalles også en personvernvurdering.

Den virksomheten som er overordnet ansvarlig for personopplysningene kalles behandlingsansvarlig. Dette vil gjerne være den som samler inn eller innhenter opplysningene fra de registrerte.

De færreste virksomheter lagrer i dag personopplysningene hos seg selv. Lagringen ivaretas gjerne av sky-leverandører eller på ekstern server hos et IT-selskap man samarbeider med. Det er også normalt å engasjere ekstern kompetanse til å drifte de digitale løsningene, for eksempel utvikling, hosting og vedlikehold av nettsidene. Leverandøren av disse tjenestene er en såkalt databehandler.

Regelverket stiller i slike tilfeller krav til inngåelse av en rettslig forpliktende avtale mellom behandlingsansvarlig og databehandler. En slik avtale kalles databehandleravtale. Det stilles mange krav til hva en databehandleravtale skal inneholde (regulere). Som part i en databehandleravtale er det viktig også å være klar over og avklare risiko for ansvar, både når det gjelder gebyrer fra offentlig myndighet, krav fra de registrerte og krav fra den andre part.

• Les mer om: Hva er en databehandleravtale [Guide]

I mange tilfeller er det nødvendig (eller ønskelig) med samtykke til behandling av personopplysninger. Et samtykke fra den registrerte vil i noen tilfeller kunne være et lovlig behandlingsgrunnlag. Forordningen har regler for hva som kan utgjøre et gyldig samtykke, herunder ved samtykke til behandling av særlige kategorier av personopplysninger (sensitive personopplysninger) og samtykke fra barn. Det stilles klare krav til hvilken informasjon som skal gis til den som samtykker, et samtykke må være informert og spesifikt.

De fysiske personer som det behandles opplysninger om (de registrerte), har mange rettigheter. De kan med enkelte unntak kreve innsyn og informasjon, at opplysninger oppdateres eller korrigeres, at bruken av opplysningene begrenses og at opplysningene slettes. De har videre rett til dataportering, til å protestere mot behandlingen og klage til datamyndighetene. Forordningen stiller krav om at de som blir registrert skal gis informasjon om hvem som er ansvarlig for behandlingen av opplysningene og hvor de skal henvende seg ved innsynsbegjæringer. Et krav om innsyn skal etter forordningen behandles innen 30 dager. Håndtering av innsynsbegjæringer bør være del av rutiner for behandling av personopplysninger, alternativt at det lages en egen rutine for håndtering av krav fra registrerte som utøver sine rettigheter.

Innsamling av personopplysninger skal begrenses så langt det er mulig, og behandling kan kun skje så lenge formålet er til stede. Det er derfor viktig at ethvert formål skal identifiseres og beskrives presist, og være forklart på en måte som gjør at alle berørte kan forstå hva personopplysningene skal brukes til.

Når personopplysningene ikke lenger er nødvendig for formålet de ble samlet inn for, skal de slettes. Det er forbudt å oppbevare personopplysninger lenger, og opplysningene skal slettes selv om den registrerte ikke har bedt om det.

Det betyr at virksomheten selv må vurdere og ta stilling til når sletting skal skje for de ulike behandlingsaktivitetene, og dette må man ha klare rutiner og systemer for.

Regelverket gir i noen tilfeller og på visse vilkår en begrenset rett til fortsatt bruk av personopplysninger. Dette kan for eksempel være aktuelt der man trenger opplysningene for å ivareta sine rettigheter ved innfordring av manglende betaling eller i en etterfølgende tvist om en vare- eller tjenesteleveranse. I slike tilfeller definerer man et nytt formål for behandlingen, og dette må stå i forbindelse med det opprinnelige formålet.

Man vil også kunne ha en plikt til fortsatt oppbevaring av enkelte opplysninger, for eksempel regnskapsmateriale som er oppbevaringspliktig etter bokføringsloven.

Personvern i arbeidslivet reiser en rekke særskilte problemstillinger relatert til arbeidsgivers håndtering av arbeidstakers personopplysninger i arbeidsforholdets ulike faser, fra jobbsøknad til avsluttet arbeidsforhold. Mange opplysninger vil være følsomme og sensitive, for eksempel vurderinger, advarsler og helserelaterte opplysninger. Hvilken rett har arbeidsgiver til å innhente og oppbevare slike opplysninger? Personvernregelverkets strenge vilkår gjelder her som ellers. I tillegg til personvernreglene vil også arbeidsmiljøloven kunne spille inn, for eksempel når det gjelder kontrolltiltak på arbeidsplassen.

Et sentralt tema er arbeidsgivers rett til å gjøre innsyn i personlig e-postkasse og private filområder som er stilt til arbeidstakers disposisjon. Her må vilkårene i GDPR være oppfylt, som blant annet krever et konkret og lovlig formål samt gjennomsiktighet og rettferdighet. Videre har vi en egen e-postforskrift som har en streng regulering av når arbeidsgiver kan gjøre innsyn i e-post og annet elektronisk lagret materiale.

Det er i utgangspunktet forbudt for arbeidsgiver å skaffe seg tilgang til ansattes e-postkasse og private filer. Innsyn skal ha saklig grunn i virksomhetens forhold, og forutsetter at minst ett av vilkårene nedenfor er til stede:

• Det er nødvendig for å ivareta driften av virksomheten eller andre berettigede interesser ved virksomheten
• Ved begrunnet mistanke om grove brudd på arbeidstakerens plikter

Forskriften fastsetter også vilkår for hvordan et innsyn skal gjennomføres og hvilke rettigheter arbeidstaker har både før, under og etter innsynet.

• Les mer på arbeidsrettsadvokater.no: Kan arbeidsgiver sjekke ansattes e-post i oppsigelsestiden?

Svært mange norske bedrifter benytter skytjenester fra store aktører som Microsoft og Google. Tjenestene innebærer som regel at leverandøren behandler personopplysninger på vegne av bedriften, og det må derfor inngås databehandleravtaler med disse.

Videre innebærer bruk av slike digitale plattformer og tjenester i mange tilfeller at personopplysningene som bedriften er ansvarlig for ikke holder seg innenfor EØS-området, men opplysningene overføres, eller kan bli overført, til et land utenfor. Dette kalles «tredjeland».

GDPR gir rett til fri flyt av personopplysninger innen EØS-området. Det er imidlertid i utgangspunktet forbudt å overføre personopplysninger til land utenfor dette området, Dette fordi beskyttelsesnivået for personopplysninger kan være dårligere i disse landene enn det som følger av GDPR.

Dette var et sentralt tema i den såkalte Schrems II-dommen, hvor bakteppet var Facebook Irlands overføring av personopplysninger til Facebook USA. EU-domstolen kom til at beskyttelsesnivået i USA ikke var godt nok, og begrunnet dette med at amerikanske myndigheter kunne skaffe seg tilgang til personopplysninger med hjemmel i landets overvåknings- og etterretningslover. Sommeren 2023 kom det en avtale på plass mellom EU og USA, Data Privacy Framework, som gjør det lovlig å overføre personopplysninger til amerikanske virksomheter som står på en liste over godkjente virksomheter.

Også andre stater og områder/sektorer har fått EUs godkjent-stempel, som bygger på en såkalt adekvansbeslutning. Per august 2023 gjelder dette blant annet Storbritannia, Sveits og New Zealand.

Uten en slik adekvansbeslutning, må all overføring av personopplysninger ha et såkalt overføringsgrunnlag. Det mest brukte overføringsgrunnlaget er standard personvernbestemmelser vedtatt av EU-kommisjonen (Standard Contractual Clauses, eller SCCs).

Selv med et gyldig overføringsgrunnlag må det gjøres en vurdering av om overføringen til det aktuelle tredjelandet et forsvarlig, noe som kan være utfordrende. Er konklusjonen at personopplysningene ikke vil være tilfredsstillende beskyttet, må det iverksettes ytterligere tiltak for at overføringen skal være lovlig.

• Les mer om: Schrems II-dommen: Hva er det egentlig og hva betyr det for din bedrift?

Data på aggregert nivå blir stadig viktigere, både i teknologisk sammenheng og til mer ordinær beslutningsstøtte i næringsvirksomhet. Personvernregelverket setter rammer for hvordan slike opplysninger kan samles, oppbevares og videreformidles. Utover dette er big data verdifullt og noe som både kan selges og lisensieres.

• Les mer om: Muligheter og fallgruver med «big data»

Brudd på personvernregelverket utløser en rekke plikter, ofte med frister, herunder om håndtering av avvik og krav til varsling av myndighetene og registrerte.

Man risikerer også overtredelsesgebyr («bot»). Flere norske virksomheter, både offentlige og private, har blitt ilagt til dels store gebyrer fra Datatilsynet for brudd på personvernreglene. I mange tilfeller er det en klage eller et tips fra publikum som fører til tilsyn og vedtak.

Brudd på regelverket kan også føre til krav om erstatning fra registrerte, og erstatningskrav kan også komme fra en avtalepart i en databehandleravtale.

Følger du opp personvern/gdpr i virksomheten? Slik bistår vi dere:

• Generell rådgivning og bistand innen personvern/GDPR.
• Kartlegging av virksomhetens innsamling og behandling av personopplysninger.
• Oppsett av behandlingsoversikt.
• Rådgivning om og utforming av rutiner for behandling av personopplysninger.
• Risikovurderinger.
• Bistand med utforming av tilpasset databehandleravtale.
• Bistand med utforming av personvernerklæringer for ansatte, kunder, leverandører og andre, typisk nettbesøkende, og samtykkeerklæringer.
• Spesielt om personopplysninger i arbeidslivet, -ved søknader om jobb, GDPR i ansettelseskontrakter, underveis i arbeidsforholdet og etter avslutning.
• Bistand med varsling og rapportering ved brudd.
• Bistand ved krav fra registrerte, om frister og rett til innsyn, retting, sletting, begrenset bruk og dataportering mv.
• Krav fra og eventuelt mot databehandlere.
• Bistand ved krav og pålegg fra Datatilsynet, samt varsler om og ileggelse av gebyr.
• Bistand ved tvister relatert til personvern.
• Rådgivning og vurderinger ved fortsatt bruk av personopplysninger.
• Bistand ved avslutning av databehandleravtaler, samt ved revisjon med grunnlag i databehandleravtaler.
• Bistand med lisensiering av big data.
• Bistand ved behov/ønske om overføring av personopplysninger til land utenfor EØS-området.
• Bistand i forbindelse med eventuell rettslig prosess for domstoler.

Vi bistår klienter over hele landet.