Personvernforordningen (GDPR)

I juli 2018 trådte personvernforordningen, også kalt GDPR, i kraft i Norge gjennom ny lov om behandling av personopplysninger (personopplysningsloven). I GDPR finnes regler for hvordan personopplysninger må håndteres i EU/EØS. Reglene gjelder hvordan personopplysninger kan behandles. Med behandling menes blant annet hvordan personopplysninger kan brukes, lagres og slettes. I virksomheter i dag er det i prinsippet umulig å ikke behandle personopplysninger eller ikke bli påvirket av reglene i GDPR.

Formålet med personvernforordningen er å beskytte enkeltpersoners grunnleggende friheter og rettigheter. Spesielt viktig er den enkeltes rett til beskyttelse av personopplysninger. Retten til privatliv er forankret i flere viktige juridiske dokumenter, blant annet den europeiske menneskerettskonvensjonen (EMK).

Er GDPR og personvernforordningen det samme?

Ja. GDPR er en forkortelse for General Data Protection Regulation. På norsk kalles den EUs personvernforordning eller bare personvernforordningen.

Derimot er ikke "personvernlovgivningen" det samme - det er et bredere begrep som ikke bare omfatter GDPR.

Når gjelder personvernforordningen?

Personvernforordningen gjelder for alle bedrifter, foreninger, myndigheter, organisasjoner og privatpersoner som behandler personopplysninger med tilknytning til EU. Det finnes derimot flere unntak når en privatperson håndterer personopplysninger der GDPR ikke gjelder.

Har dere tilstrekkelig kunnskap om personvernforordningen?

For at det skal være mulig å drive personvernarbeid på en god måte, er det viktig at det ikke bare er de som har ansvarsstillinger som kan lovgivningen. Så mange som mulig i virksomheten trenger i det minste å inneha grunnleggende kunnskaper.

Bevissthet hos medarbeiderne er en av nøkkelfaktorene for et vellykket personvernarbeid og en forutsetning for et godt integritetsvern. I tillegg finnes prinsippet om ansvarlighet i GDPR. For å oppfylle dette er det viktig å dokumentere og kunne demonstrere at alle ansatte som behandler personopplysninger har fått relevant opplæring i personvernspørsmål. Personvernombudet, hvis det finnes et slikt, er ifølge artikkel 39 i GDPR ansvarlig for å opplære berørt personell.

Hva er ansvarlighet?

Ansvarlighet innebærer kort sagt at man ikke bare skal følge lovgivningen, men at man også skal kunne vise og bevise at man følger lovgivningen. Begrepet finnes i artikkel 5 (2) i GDPR i forbindelse med de grunnleggende personvernprinsippene.

Har dere dokumentert personopplysningene deres i en protokoll?

Mange virksomheter er etter artikkel 30 i GDPR forpliktet til å systematisk dokumentere sine behandlinger av personopplysninger. I tillegg til at det rent praktisk fører til kontroll over virksomhetens behandlinger, er det altså et uttrykkelig lovpålagt krav å dokumentere disse på en strukturert måte.

protokoll-shape-faktablad.svgEn slik dokumentasjon skal gjøres i form av en protokoll over behandlinger, omtalt som en behandlingsprotokoll. Protokollen skal omfatte alle behandlinger av personopplysninger som virksomheten utfører. Den skal inneholde en beskrivelse over hver behandling hva angår blant annet formål og innhold. Protokollen skal kunne vises frem for tilsynsmyndigheten ved forespørsel. En fullstendig og oversiktlig behandlingsprotokoll, gjerne med betydelig mer informasjon enn hva som er obligatorisk ifølge GDPR, hjelper også virksomheten å leve opp til prinsippet om ansvarlighet.

Lær mer:

3 smarte tips for å gjøre jobben med behandlingsprotokollen enklere

Hold behandlingsprotokollen oppdatert

Faktaark: Arbeid med protokollen over tid

 

Grunnleggende prinsipper for behandling av personopplysninger

Det er viktig å ha de grunnleggende personvernsprinsippene klare for seg når man behandler personopplysninger. Prinsippene utgjør selve kjernen i GDPR, og de finnes i artikkel 5. Det er ut fra dem resten av lovgivningen skal tolkes.

De grunnleggende prinsippene i GDPR er:

  • Lovlighet, rettferdighet og åpenhet
  • Formålsbegrensning
  • Dataminimering
  • Riktighet
  • Lagringsbegrensning
  • Integritet og konfidensialitet
  • Ansvarlighet

Hvordan man forholder seg til disse prinsippene når man behandler personopplysninger påvirker også hvilket nivå av sanksjoner som kan bli aktuelt. Det anses å være en alvorlig overtredelse av personvernforordningen å ikke ta hensyn til de grunnleggende prinsippene. Å bryte mot prinsippene kan føre til gebyrer på den høyere siden av skalaen.

På hvilket rettslig grunnlag behandler dere personopplysninger?

For at det skal være lovlig å behandle personopplysninger, kreves det at man har et såkalt rettslig grunnlag for behandlingen. Behandlingsgrunnlag er et annet uttrykk for det samme. I praksis innebærer dette at ett av vilkårene som er listet nedenfor må være oppfylt, og det er en absolutt forutsetning for at man som virksomhet i det hele tatt skal kunne behandle noen personopplysninger.

De rettslige grunnlagene i artikkel 6 i GDPR er:

  • Samtykke. Den registrerte har gitt sitt samtykke til at deres personopplysninger behandles for ett eller flere spesifikke formål.
  • Avtaleforhold. Behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å utføre tiltak på forespørsel fra den registrerte før en slik avtale inngås.
  • Rettslig forpliktelse. Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som hviler på den behandlingsansvarlige.
  • Vitale interesser. Behandlingen er nødvendig for å beskytte interesser som er av grunnleggende betydning for den registrerte eller for en annen fysisk person.
  • Allmennhetens interesse/utøve offentlig myndighet. Behandlingen er nødvendig for å utføre en oppgave av allmenn interesse eller som en del av den behandlingsansvarliges utøvelse av offentlig myndighet.
  • Berettiget interesse. Behandlingen er nødvendig for formål som omhandler den behandlingsansvarliges eller en tredjeparts berettigede interesser, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter veier tyngre og krever beskyttelse av personopplysninger, spesielt når den registrerte er et barn.

Det kan være egnet å benytte seg av de ulike rettslige grunnlagene i ulike sammenhenger og det gjelder å finne akkurat det rettslige grunnlaget som passer med sin egen virksomhet og de behandlinger man utfører/planlegger å utføre. Tenk også på at man ikke kan bytte rettslig grunnlag for behandlingen i etterkant uten å informere de registrerte om dette.  Derfor er det blant annet viktig at man tenker nøye gjennom og velger riktig.

Lær mer:

Guide: Er berettiget interesse et passende rettslig grunnlag?

Hva kreves for et gyldig samtykke?

Et samtykke innebærer kort sagt at en person selv har sagt ja til at vedkommendes personopplysninger blir behandlet. En vanlig misforståelse er at det alltid kreves samtykke for å behandle personopplysninger, men i mange tilfeller er det ikke passende eller engang mulig å basere behandlingen på samtykke.

Et samtykke skal ifølge GDPR være en «frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende» (artikkel 4 (11) i GDPR).

En av forutsetningene for et gyldig samtykke er at den behandlingsansvarlige kan vise at den registrerte har fått tydelig informasjon og har gjort et fritt, aktivt valg om å samtykke.

Trenger dere å gjøre en personvernkonsekvensvurdering (DPIA)?

Når virksomheten deres starter nye behandlinger, skal behandle personopplysninger til nye formål eller bruke ny teknologi, trenger dere å gjøre en analyse. Dette for å finne ut om behandlingen kan føre til en høy risiko for fysiske personers rettigheter og friheter. I GDPR kalles analysen for vurdering av personvernkonsekvenser, eller DPIA (forkortelse for det engelske begrepet Data Protection Impact Assessment).

dpia-faktablad-shape-faktablad.svg

Visse behandlinger innebærer høyere risiko for de registrerte og derfor må en DPIA gjøres i disse tilfellene, mens i andre tilfeller er det kun en anbefaling.

Lær mer:

Hva innebærer DPIA og når må du gjøre en?

Faktaark: Evaluer risiko i forbindelse med behandling av personopplysninger (DPIA)

Har dere rutiner for brudd på personopplysningssikkerheten?

Et brudd på personopplysningssikkerheten betyr at personopplysninger til en eller flere personer har blitt utsatt for risiko i forbindelse med en sikkerhetshendelse av noe slag. Dette gjelder uavhengig av om det har skjedd med vilje eller ved et uhell.personupplysningssikkerheten-shape-faktablad.svg

Et brudd på personopplysningssikkerheten kan være at personopplysninger som behandles har

  • blitt ødelagt ved et uhell eller noe ulovlig
  • blitt tapt eller endret
  • blitt spredt eller publisert internt eller eksternt
  • blitt gjort tilgjengelig for uautoriserte

Det må altså være personopplysninger involvert for at det skal regnes som et brudd på personopplysningssikkerheten.

Lær mer:

Hva er et brudd på personopplysningssikkerheten?

Faktaark: Sånn håndterer du brudd på personopplysningssikkerheten

Trenger dere et personvernombud?

I henhold til GDPR artikkel 37 (1) skal den behandlingsansvarlige eller databehandler utnevne personvernombud når behandlingen utføres av:Personvernombudets-rolle-shape-faktablad.svg

  • offentlige myndigheter og organer
  • virksomheter der den behandlingsansvarliges eller databehandlers kjernevirksomhet innebærer regelmessig og systematisk monitorering av personopplysninger i stor skala
  • virksomheter der den behandlingsansvarliges eller databehandlers kjernevirksomhet innebærer omfattende behandling av særlige kategorier av personopplysninger i henhold til artikkel 9 eller som omhandler straffedommer og lovovertredelser i henhold til artikkel 10.

Etter forarbeidene til personopplysningsloven skriver Datatilsynet på sin nettside at “offentlig myndighet og organ” skal defineres etter forvaltningsloven § 1 annet punktum, som vil si ethvert organ for stat eller kommune. Dette gjelder ikke for domstoler som opptrer innenfor rammen av sin domsmyndighet.

Alle virksomheter som oppretter personvernombud skal registrere ombudets kontaktopplysninger hos Datatilsynet.

Lær mer:

Faktaark: Personvernombudets nøkkelrolle i organisasjonen

Overføring til tredjeland

For at det skal være lovlig å overføre personopplysninger fra EU til land utenfor EU/EØS – tredjeland – kreves det spesielle forutsetninger. Hvis ingen av forutsetningene er oppfylt, er det ikke tillatt å overføre personopplysninger til et tredjeland, siden man da ikke kan garantere et tilstrekkelig sikkerhetsnivå.

Formålet med å begrense overføringer av personopplysninger tiltredjelandsoverforing-shape-faktablad.svg tredjeland eller internasjonale organisasjoner er å sikre at beskyttelsen av enkeltpersoners integritet ikke blir undergravd. Individer som omfattes av GDPR innen EU skal ikke risikere å miste den beskyttelsen som forordningen gir, bare fordi deres personopplysninger settes i bevegelse.

Lær mer:

Tre spørsmål (og svar) om overføring til tredjeland

Faktaark: Tredjelandsoverføring