Loven om kravene til personvern erstattes av en strengere lov i mai 2018. Har du kontroll?

Har din virksomhet kontroll på kravene til personvern?

Enhver virksomhet som behandler personopplysninger må følge personvernlovgivningen. Gjeldende lov er streng, men erstattes av en vesentlig strengere lov i mai 2018, som har overtredelsesgebyr opp til 4 % av virksomhetens globale omsetning. Det er derfor viktig at alle virksomheter stiller seg spørsmålet: «Har vi kontroll?»

Hva er personvern?

Personvern handler om retten til å bestemme over opplysninger om seg selv. Alle har en rett til å verne om sitt privatliv og til å bestemme hvordan personopplysningene om en selv brukes og spres videre. For å sikre at personvernet til den enkelte ivaretas, er alle som behandler personopplysninger underlagt strenge regler til hvordan opplysningene skal behandles og sikres.

Hva er en personopplysning?

En personopplysning er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Vedkommende personopplysningene kan knyttes til kalles «den registrerte».
Personopplysninger vil være navn og kontaktopplysninger slik som adresse, epostadresse samt telefonnummer. Videre vil også bilder og fingeravtrykk være personopplysninger. I tillegg vil også det man kaller atferdsmønstre kunne anses som personopplysninger, eksempelvis opplysninger om hvilken busslinje du pleier å ta daglig eller hva slags nettsider du besøker.

Hva er sensitive personopplysninger?

Man skiller mellom «alminnelige» og «sensitive» personopplysninger. Sensitive personopplysninger er opplysninger om:

  • Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning
  • At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
  • Helseforhold
  • Seksuelle forhold
  • Medlemskap i fagforeninger

Behandling av sensitive personopplysninger er underlagt strengere krav enn behandlingen av «alminnelige» personopplysninger. Det er derfor viktig å ha kontroll over hva slags personopplysninger virksomheten behandler.

Hva er behandling av personopplysninger?

Med behandling av personopplysninger mener man enhver bruk av personopplysninger, som f. eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

Hva må til for å kunne behandle personopplysninger?

Behandlingsgrunnlag

For at det skal være lovlig å behandle personopplysninger, må det for det første foreligge et behandlingsgrunnlag.
Det mest praktiske behandlingsgrunnlaget er samtykke fra den registrerte. Samtykke må være frivillig, hvilket betyr at det ikke kan være avgitt under tvang eller at styrkeforholdet mellom partene ikke kan være for skjevt. Det sistnevnte vil ofte være tilfelle i forholdet mellom en arbeidsgiver og en arbeidstaker. Videre må samtykket være uttrykkelig og informert; det må ikke være noe tvil om at det er samtykket og hva det er samtykket til.

Behandlingsgrunnlaget kan også følge av lov, eksempelvis bokføringsloven som fastsetter at visse regnskapsmaterialer må oppbevares et visst antall år etter regnskapsårets slutt.
Personopplysningsloven har også en slags sekkebestemmelse som hjemler behandling av personopplysninger såfremt behandlingen er nødvendig for nærmere angitt formål som er opplistet i loven.

Behandlingsformål

For det andre må det foreligge et såkalt behandlingsformål. Dette innebærer at allerede når personopplysningene blir innsamlet må det være angitt et formål for behandlingen av personopplysninger som er saklig begrunnet i virksomheten til den som har samlet inn opplysningene. Dette vil eksempelvis være tilfellet for budfirmaet som samler inn navn og kontaktinformasjon til sine kunder for å kunne oppfylle kundeavtalen.

Hva slags krav stilles til selve behandlingen av personopplysninger?

Når man behandler personopplysninger stiller lovgivningen mange krav til en forsvarlig behandling av personopplysningene. Opplysningene må blant annet være tilstrekkelig sikret, og det stilles strenge krav til hva slags sikkerhetsdokumentasjon som må foreligge og oppfølgingen ved avvik.
Videre må den som behandler opplysningene til enhver tid påse at man fortsatt har et lovlig behandlingsgrunnlag og -formål. Når det ikke lenger foreligger et rettslig grunnlag for å behandle opplysningene, må opplysningene slettes. Fortsatt lagring og behandling av opplysningene vil være et alvorlig brudd på personvernlovgivningen, og kan rammes med overtredelsesgebyr.

I tillegg oppstiller lovgivningen i mange tilfeller krav om meldeplikt til Datatilsynet om behandlingen, og i enkelte tilfeller må man også ha konsesjon (forhåndstillatelse) fra Datatilsynet før man kan igangsette behandlingen. I tillegg stilles det blant annet krav om hva slags informasjon man må gi de registrerte samt regler om innsyn, retting og sletting av personopplysninger.

Hva betyr de nye reglene?

De nye og strengere reglene som kommer i mai 2018 betyr at din virksomhet vil måtte oppfylle flere og strengere regler enn hva som gjelder i dag. I tillegg vil brudd på de nye reglene medføre at det kan bli ilagt svært høye overtredelsesgebyrer. I dag kan Datatilsynet ilegge overtredelsesgebyrer opp til ca. kr. 900 000. Med de nye reglene vil imidlertid overtredelsesgebyr kunne ilegges opp til 4 % av global omsetning. Det er derfor viktig at alle som behandler personopplysninger forsikrer seg om at virksomheten oppfyller dagens krav, slik at overgangen til de nye reglene blir lettere.

 

Det er viktig å holde seg oppdatert over de ulike lover og regler som gjelder for drift av et virksomhet. Under Regelverk på bloggen vår finner du de nyeste innlegg som er relevante for små bedrifter.

 

Av advokatfullmektig Bibbi Moen Drange i Magnus Legal

About

Magnus Legal (tidligere Visma Advokater) er et forretningsjuridisk advokatfirma. Fra våre kontorer i Oslo, Bergen, Trondheim, Stavanger og Kristiansand leverer vi kompetanse og gode råd til bedrifter over hele landet. Vi blogger om lover og regler som både næringsdrivende og privatpersoner bør være klar over. Ta gjerne kontakt med oss for en uforpliktende samtale.
Connect with Magnus: