Dette nettstedet bruker informasjonskapsler for å gi deg en mer personlig brukeropplevelse. Ved å bruke dette nettstedet godtar du vår bruk av informasjonskapsler. Vennligst les vår PERSONVERNERKLÆRING for mer informasjon om informasjonskapslene vi bruker og hvordan du kan slette eller blokkere dem.
  • Personvern – et høyrisikoområde som private og offentlige virksomheter må være oppmerksomme på
Blogg:

Personvern – et høyrisikoområde som private og offentlige virksomheter må være oppmerksomme på

18. desember 2019

Astrid Eikenes Skorpen og Henrik Dagestad |

Både privatpersoner og offentlige myndigheter stiller økende krav til virksomheters behandling av personopplysninger. I Norge reguleres behandling av personopplysninger av personopplysningsloven, EUs personvernforordning (GDPR) og særlovgivning.

 

Regelverket fikk mye oppmerksomhet da GDPR trådte i kraft 20. juli 2018. Implementeringen av GDPR medførte nye plikter for virksomheter og styrkede rettigheter for privatpersoner. Den mest markante endringen lå i økning i bøtenivået til 20 millioner Euro eller 4 % av virksomhetens årlige omsetning. 

Denne artikkelen vil gi deg en introduksjon til hovedtrekkene i dagens regelverk og tips om hva du bør fokusere på for å etterleve reglene og redusere risikoen for sanksjoner og andre negative konsekvenser ved regelbrudd.

 

Hva er personvern?

Personvern er retten til et privatliv og retten til å bestemme over egne personopplysninger. De aller fleste virksomheter behandler personopplysninger og er således underlagt personvernregelverket.

Alle opplysninger eller vurderinger som kan knyttes til en enkeltperson, er personopplysninger. Det kan være navn, fødselsnummer, adresse, telefonnummer, e-postadresse, bilder, kontonummer, lønnsopplysninger, faktura, bilnummer og annet. Personopplysninger omfatter også opplysninger om personers atferdsmønster, eksempelvis hvor du beveger deg eller digitale spor som forteller noe om hva du interesser deg for eller søker etter på nettet.

Særlige kategorier av personopplysninger (ofte kalt sensitive personopplysninger) omfatter blant annet informasjon om helseforhold, medlemskap i fagforening, etnisk bakgrunn og politisk eller religiøs oppfatning.

 

Sentrale trekk i personvernlovgivningen

Både offentlige og private virksomheter er underlagt personvernregelverket. Brudd på personvernreglene kan resultere i bot fra Datatilsynet på inntil 20 millioner euro eller 4 % av virksomhetens årsomsetning. Regelverket sender et tydelig signal fra EU om at personvern står sterkt i Europa. Det sender også et signal om at virksomhetens øverste ledelse er forpliktet til å etterleve reglene. I praksis innebærer regelverket et ansvar for toppledelsen om å iverksette tiltak for å redusere risikoen for brudd på personvernreglene. Det er liten tvil om at alvorlige brudd kan påføre virksomheten svært negative konsekvenser. Det dreier seg ikke bare om økonomiske tap, men også betydelig tap av omdømme.

GDPR bygger på fire grunnprinsipper:

  1. Utvidelse av geografisk virkeområde
    • GDPR gjelder for all behandling av personopplysninger i Europa, også der virksomheten som er ansvarlig for behandlingen (den behandlingsansvarlige) hører hjemme i et tredjeland, eksempelvis USA.
  2. Ett kontinent, ett regelverk
    • GDPR er vedtatt som en forordning. Rent juridisk betyr dette at det samme regelverket gjelder for alle land som er medlem i EU- eller EØS-samarbeidet. Det gjelder likevel noen begrensninger for Norge og andre land som ikke er medlem i EU.
  3. Retten til å bli slettet/glemt
    • Da GDPR trådte i kraft ble privatpersoners rett til å få slettet opplysninger om seg selv vesentlig styrket.
  4. «One stop shop»
    • Virksomheter skal kun forholde seg til tilsynsmyndigheten i ett land. dvs. i landet der virksomheten har hovedsete (i Europa). Dermed unngår virksomheten å forholde seg til flere land sine tilsynsmyndigheter.

 

I tillegg til de fire grunnprinsippene inneholder GDPR en rekke plikter for den behandlingsansvarlige, samt flere rettigheter for den som personopplysningene gjelder (den registrerte).

Sentrale regler som implementeringen av GDPR har medført:

  1. Det stilles krav til lovlighet ved behandling av personopplysninger.
  2. Det stilles strenge krav til innhenting av samtykke fra den den registrerte dersom behandlingens lovlighet baseres på dette.
  3. Det stilles krav til risikovurderinger og i noen tilfeller personvernkonsekvensvurderinger før virksomheter påbegynner behandling av personopplysninger. I tilfeller der personvernkonsekvensvurderinger viser at behandlingen medfører høy risiko for de registrertes rettigheter og friheter, skal Datatilsynet kontaktes for forhåndskonsultasjon.
  4. Det stilles krav til anonymisering av personopplysninger der dette er mulig.  
  5. Det stilles strenge krav til «gjenbruk» av personopplysninger. Personopplysninger kan ikke viderebehandles på måter som er uforenelige med formålet de ble samlet inn for.
  6. Den registrertes har rett til å få informasjon om behandlingen av sine personopplysninger.
  7. Personvernombudet skal være uavhengig og rapportere direkte til ledelsen.
  8. Brudd på personopplysningssikkerheten som sannsynligvis medfører middels eller høy risiko for de berørte skal meldes til Datatilsynet innen 72 timer.
  9. Brudd på personopplysningssikkerheten som sannsynligvis medfører høy risiko de berørte, skal straks meddeles de berørte.

 

Egenkontroll  

Ledere har ansvar for å gjennomføre egenkontroll i virksomheten for å undersøke om personvernreglene etterleves. Egenkontrollen bør være egnet til å identifisere eventuelle alvorlige svakheter som må rettes umiddelbart.

Her er noen spørsmål som kan gi deg en pekepinn på om virksomheten har kontroll på etterlevelse av personvernreglene:

  • Har virksomheten utarbeidet en protokoll (ofte kalt behandlingsoversikt) over alle behandlinger av personopplysninger?
  • Er det inngått databehandleravtale med alle virksomheter som behandler personopplysninger på vegne av virksomheten, herunder leverandører, datterselskap og morselskap?
  • Har virksomheten gjennomført og dokumentert risikovurdering av alle behandlinger?
  • Gjennomføres det regelmessig sikkerhetsrevisjoner vedrørende informasjonssikkerhet i virksomheten?
  • Foreligger det skriftlige rutiner for gjennomføring av innsyn i ansattes epost? Vet ledelsen hva som må være på plass før slikt innsyn kan gjennomføres på lovlig vis?
  • Har virksomheten dokumenterte sletterutiner? Etterleves disse og hvem har kontroll med etterlevelsen?
  • Har virksomheten rutiner som sikrer at registrertes henvendelser om utøvelse av rettigheter håndteres?
  • Registreres eventuelle avvik fra kravene i personvernregelverket og interne rutiner?

Vi anbefaler at virksomheter tar stilling til om de er forpliktet til å oppnevne personvernombud dersom det ikke allerede er gjort. Personvernombudet fungerer som et bindeledd mellom Datatilsynet og virksomheten. Ofte vil ordningen med personvernombud bidra til å sikre oppmerksomhet rundt personvern og kontroll med etterlevelsen av regelverket.