Personvern / GDPR: Dette er reglene

Dette får du vite om GDPR og personvern:

• Hva er GDPR?
• Personopplysningsloven og GDPR
• Rutine for behandling av personopplysninger
• Databehandlere
• Samtykke
• Forespørsler om innsyn
• Lagring og sletting av personopplysninger
• Rett til fortsatt bruk av personopplysninger
• Personvern i arbeidslivet
• Overføring av personopplysninger til tredjeland
• Lisensiering av big data
• Brudd på regelverket
• Hva gjør våre advokater for deg?

Hva er GDPR?

GDPR står for General Data Protection Regulation, og er en EU forordning.

Den norske personopplysningsloven gjør GDPR, med enkelte tilpasninger, til norsk lov.

Personvernreglene gjelder for all håndtering av opplysninger om blant annet:

• Ansatte
• Kunder
• Leverandører
• Medlemmer
• Besøkende på virksomhetens nettsider

• Les mer om: «Schrems II»: Hva er det egentlig og hva betyr det for din bedrift?

Personopplysningsloven og GDPR

Regelverket bygger på prinsippene om at personopplysninger skal:

• Behandles på en lovlig, rettferdig og åpen måte.
• Samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene, den s.k. formålsbegrensningen.
• Være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for, det s.k. dataminimeringsprinsippet.
• Være korrekte og om nødvendig oppdaterte.
• Lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for, den s.k. lagringsbegrensningen.
• Behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene.

Regelverket stiller krav om at de som behandler personopplysninger, kan påvise at de etterlever reglene. Datatilsynet fører tilsyn og har rett til å utstede gebyrer, som er adskillig høyere enn tidligere. De enkelte registrerte har mange rettigheter, som rett til innsyn og sletting og til å klage. Brudd kan også medføre omdømmetap, slik at det er all grunn til å gjøre dette riktig.

Rutine for behandling av personopplysninger

Virksomheter må som nevnt kunne påvise at regelverket etterleves.

En rutine for behandling av personopplysninger bidrar til å sikre etterlevelse.

En rutine vil typisk inneholde en nærmere gjennomgang av formål med virksomhetens behandling av:

• Personopplysninger.
• Behandlingsgrunnlag.
  • Eksempelvis samtykke, anmodning, avtale, rettslig forpliktelse eller berettiget interesse.
• At man ikke innhenter flere opplysninger enn det er grunnlag for (dataminimering).
• At opplysningene er korrekte, lagringstid og sikkerhet, samt hvordan de registrertes rettigheter skal ivaretas.

Rutinen vil systematisk avklare de tekniske og organisatoriske tiltak som iverksettes for å sikre etterlevelse, både ved etablering og løpende (revisjon, testing).

Databehandlere

Den virksomheten som beslutter at det skal innhentes personopplysninger, er behandlingsansvarlig. Med unntak for de mindre virksomhetene, er det de færreste virksomheter som lagrer personopplysninger selv. Lagringen ivaretas da normalt av sky-leverandører eller andre IT-selskaper. Det er også normalt å engasjere et IT-selskap til å drifte løsningene, og et eller flere til å supportere og utvikle dem, spesielt nettsidene. Man benytter da en større eller mindre databehandler.

Regelverket stiller i slike tilfeller krav til inngåelse av rettslig forpliktende databehandleravtale. Det stilles også mange krav til hva en databehandleravtale skal inneholde (regulere). Som avtalepart i en databehandleravtale er det viktig også å være klar over og håndtere risiko for ansvar, både for gebyr fra offentlig myndighet, krav fra registrerte og fra avtaleparten.

• Les mer om: Databehandleravtale [Guide]
• Les mer om: IT

Samtykke

I mange tilfeller er det nødvendig (eller ønskelig) med samtykke til behandling av personopplysninger. Forordningen har regler for hva som kan utgjøre et gyldig samtykke, om samtykke for særlige kategorier av personopplysninger (sensitive personopplysninger) og for barns samtykke. Det stilles også klare krav til hvilken informasjon som skal gis til den som samtykker.

Forespørsler om innsyn

De fysiske personer som er registrert har flere rettigheter. Dette gjelder blant annet rett til innsyn, til korrigering av opplysninger, til begrenset bruk av opplysningene, til sletting og til dataportering, samt klagerett. Forordningen stiller krav om at de som blir registrert skal gis informasjon om hvem som er ansvarlig for behandlingen av opplysningene og hvor de skal henvende seg ved innsynsbegjæringer. Innsynbegjæringer skal etter forordningen behandles innen 30 dager. Håndtering av innsynsbegjæringer bør være del av rutiner for behandling av personopplysninger, alternativt at det lages en egen rutine for håndtering av krav fra registrerte som utøver sine rettigheter.

Lagring og sletting av personopplysninger

Personvernregelverket har en rekke bestemmelser som får betydning både for hvilke opplysninger man kan samle inn og lagre og til hvilke tidspunkter de ulike opplysningene skal slettes. Reglene om sletting er forskjellig, avhengig av om det dreier seg om ansettelsesforhold, kunder eller leverandører eller andre. For å unngå å bryte regelverket er det viktig å kjenne til hvilke regler som gjelder for de ulike gruppene av registrerte. Der det er et handlingsrom vil det være nyttig å kjenne til det, slik at virksomheten kan tilpasse seg/optimalisere dette.

Rett til fortsatt bruk av personopplysninger

Regelverket gir i noen tilfeller og på visse vilkår en begrenset rett til fortsatt bruk av personopplysninger. Dette gjelder bruk i s.k. «berettiget interesse». Helt ordinært er det å bruke enkelte personopplysninger ved innfordring av manglende betaling, i etterfølgende tvist om en vare- eller tjenesteleveranse eller oppbevaring etter bokføringslovens regler. Det kan imidlertid også foreligge rett til å benytte opplysninger i forbindelse med service og til markedsføring.

Personvern i arbeidslivet

Personvern i arbeidslivet foranlediger en rekke særskilte problemstillinger, blant annet rett til innsyn i ansattes epost, til innhenting, lagring, retting og sletting av personopplysninger i arbeidsforholdets ulike faser, fra søknad om stilling til etter avsluttet arbeidsforhold.

• Les mer på arbeidsrettsadvokater.no: Kan arbeidsgiver sjekke ansattes e-post i oppsigelsestiden?

Overføring av personopplysninger til tredjeland

GDPR gir rett til fri flyt av personopplysninger innen hele EU-EØS-området. Det er imidlertid i utgangspunktet forbudt å overføre personopplysninger til land utenfor dette området, til såkalte «tredjeland». EU-domstolen har satt til side Privacy Shield-avtalen som EU-kommisjonen inngikk, og som ga rett til å overføre opplysninger til land og foretak som fylte vilkårene i den. Den kan derfor ikke lenger benyttes som grunnlag for overføring av personopplysninger til tredjeland. EUs standard kontraktsbestemmelser (SCC) er et mulig alternativ.

Lisensiering av big data

Data på aggregert nivå blir stadig viktigere, både i teknologisk sammenheng og til mer ordinær beslutningsstøtte i næringsvirksomhet. Personvernregelverket setter rammer for hvordan slike opplysninger kan samles og oppbevares og videreformidles. Utover dette er big data verdifullt og noe som både kan selges og lisensieres.

• Les mer om: Muligheter og fallgruver med «big data»
• Les mer om boken: Små og store data

Brudd på regelverket

Ved brudd på personvernregelverket inntrer en rekke plikter, ofte med frister, herunder om lukking av avvik, om varsling av myndighetene og registrerte. Man risikerer også gebyr fra tilsyn («bot») og krav om erstatning fra registrerte og avtaleparter som databehandlere (eller fra behandlingsansvarlige hvis man er databehandler). Det er en generell erfaring at brudd kan skje.

Codex er din partner innen personvern/gdpr

Følger du opp personvern/gdpr i virksomheten? Slik bistår vi dere:

• Generell rådgivning og bistand innen personvern/gdpr.
• Kartlegging av virksomhetens innsamling og behandling av personopplysninger.
• Oppsett av behandlingsoversikt.
• Rådgivning om, og utforming av rutiner for, behandling av personopplysninger, samt om dokumentasjon av sikkerhet.
• Bistand med utforming av tilpasset databehandleravtale.
• Bistand med utforming av personvernerklæringer for ansatte, kunder, leverandører og andre, typisk nettbesøkende, og samtykkeerklæringer.
• Spesielt om personopplysninger i arbeidslivet, -ved søknader om jobb, gdpr i ansettelseskontrakter, underveis i arbeidsforholdet og etter avslutning.
• Bistand med varsling og rapportering ved brudd.
• Bistand ved krav fra registrerte, om frister og rett til innsyn, retting, sletting, begrenset bruk og dataportering mv.
• Krav fra og eventuelt mot databehandlere.
• Bistand ved krav og pålegg fra Datatilsynet, samt varsler om og ileggelse av gebyr.
• Bistand ved tvister relatert til personvern.
• Rådgivning og vurderinger ved fortsatt bruk av personopplysninger, s.k. «berettiget interesse».
• Bistand ved avslutning av databehandleravtaler, samt ved revisjon med grunnlag i databehandleravtaler.
• Bistand med lisensiering av big data.
• Bistand ved behov/ønske om overføring av personopplysninger til s.k. tredjeland.
• Bistand i forbindelse med eventuell rettslig prosess for domstoler.

Bli kjent med våre advokater i dag

Har du spørsmål om personvern og GDPR?