Hva er personopplysninger?

En personopplysning er enhver opplysning som kan knyttes til en identifisert eller identifiserbar enkeltperson. 

Eksempler på opplysninger som direkte eller indirekte kan bidra til å identifisere en person, og som derfor kvalifiserer som personopplysninger, er:

  • navn, etternavn, telefonnumre til kunder, medeiere, ansatte, leverandører;
  • identifikasjonsnumre, for eksempel en persons kundenummer, en persons ansattnummer,
  • en bestillingsreferanse;
  • e-postadresser, lokasjonsdata;
  • en persons nettleserhistorikk;
  • en persons kjøpshistorikk og kjøpskvitteringer;
  • bilder, videoer og lydopptak som avbilder eller inneholder lyd av enkeltpersoner.

Med disse personopplysningene kan en person identifiseres direkte eller indirekte:

  • hvis virksomheten din behandler en persons navn eller etternavn, medfører disse personopplysningene direkte identifikasjon av denne personen;
  • hvis virksomheten din behandler en persons kundenummer eller bestillingsreferanse, kan disse personopplysningene medføre indirekte identifikasjon av denne personen.
  • I tillegg vil enhver type opplysning (for eksempel om preferanser eller vaner) som kan knyttes til en person som direkte eller indirekte er identifisert være ansett som en personopplysning.

Særlige kategorier av personopplysninger

Noen typer personopplysninger, gjerne kjent som sensitive opplysninger, tilhører en særlig kategori som krever strengere vern. I henhold til GDPR artikkel 9 inneholder sensitive opplysninger informasjon om:

  • en persons helse;
  • en persons sexliv eller seksuelle orientering;
  • en persons etniske bakgrunn;
  • en persons politiske meninger, religiøse eller filosofiske overbevisninger;
  • en persons biometriske og genetiske data;
  • fagforeningsmedlemskap.

Det er et generelt forbud mot behandling av sensitive personopplysninger, med unntak av spesifikke omstendigheter som berettiger behandlingen (for eksempel eksplisitt samtykke).

For mer informasjon om omstendighetene der slike opplysninger kan behandles, sjekk veilederen «Lovlig behandling av personopplysninger» 

 

Personopplysninger om straffedommer og lovovertredelser

Behandling av personopplysninger knyttet til straffedommer og lovovertredelser er underlagt strenge juridiske vilkår. Slike personopplysninger kan bare behandles av en offisiell myndighet (for eksempel politiet), under kontroll av en offisiell myndighet, eller når det er hjemlet i nasjonal lovgivning. 

Sjekkliste for god etterlevelse av GDPR

  • Spør deg selv om formålet med innsamlingen av personopplysninger er berettiget.
  • Innhent kun personopplysninger som er nødvendige for de spesifikke formålene som er angitt.
  • Informer enkeltpersoner om hvordan og til hvilke formål deres personopplysninger kan behandles.
  • Sjekk om du har et passende rettslig grunnlag for behandlingen av personopplysninger. Hvis du bygger behandlingen på samtykke fra enkeltpersoner, må du innhente samtykket deres før behandlingen starter.
  • Sørg for at personopplysningene håndteres på en sikker og forsvarlig måte.
  • Sørg for at  personopplysningene er nøyaktige og holdes oppdaterte.
  • Slett personopplysningene når behandlingen av dem ikke lenger er nødvendig. Vær oppmerksom på at nasjonal lovgivning kan pålegge deg å beholde visse typer opplysninger (for eksempel av skattemessige årsaker).

Hva menes med «behandling av personopplysninger?

Enhver type aktivitet (behandlingsoperasjon) som omfatter bruk av personopplysninger regnes som en behandling av personopplysninger. Dette gjelder både når behandlingen gjøres med automatiserte midler og når den ikke gjør det.

Noen eksempler på behandlingsaktiviteter er innsamling, opptak, organisering, anvendelse, endring, lagring og utlevering av personopplysninger.

Selv om GDPR hovedsakelig gjelder automatisert behandling av personopplysninger, vil behandlingsaktiviteter som utføres manuelt også være underlagt GDPR fra det øyeblikket papirfilene er organisert på en systematisk måte, for eksempel ordnet alfabetisk i et arkivskap.

Gjelder GDPR for din virksomhet?

GDPR gjelder for alle private og offentlige virksomheter dersom:

  • den aktuelle virksomheten er etablert i EU eller i Det europeiske økonomiske samarbeidsområdet (EØS: EU-landene + Island, Liechtenstein og Norge); eller
  • virksomheten ikke er etablert i EØS, men dens produkter eller tjenester tilbys til enkeltpersoner som er i EØS, eller virksomheten overvåker atferden til enkeltpersoner som er i EØS.

GDPR gjelder også for enhver underleverandør som behandler personopplysninger på vegne av en privat eller offentlig virksomhet som er omfattet av regelverket.

GDPR gjelder for deg dersom minst ett av følgende vilkår er oppfylt

  • Du er et selskap basert i et EØS-land;
  • Du er en virksomhet basert i et land utenfor EØS som selger varer eller tilbyr tjenester, selv gratis, til enkeltpersoner i et EØS-land;
  • Du er et IT-selskap basert i et land utenfor EØS som har blitt underleverandør av en privat virksomhet basert i EØS for å administrere deres IT-databaser, for eksempel en klients database;
  • Du er en tjenesteleverandør basert i EØS og behandler personopplysninger på vegne av et annet selskap.

De viktigste prinsippene i GDPR

Når du behandler personopplysninger, må virksomheten din overholde følgende 6 hovedprinsipper i GDPR. I tillegg må virksomheten være i stand til å dokumentere etterlevelse av prinsippene.

 

Lovlighet, rettferdighet og åpenhet

 

Enhver behandling av personopplysninger må være lovlig, rettferdig og åpen.

Virksomheten din kan bare behandle personopplysninger hvis den planlagte behandlingen er lovlig; altså enten basert på den enkeltes samtykke, nødvendig for å oppfylle en kontrakt, eller basert på ett av de andre behandlingsgrunnlagene nevnt i GDPR artikkel 6.

Hvis behandlingen er basert på samtykke, må virksomheten sørge for at dette samtykket er frivillig avgitt, informert, spesifikt og utvetydig. Med andre ord, det må ikke være tvil om at den som avgir samtykket er klar over hva vedkommende samtykker til, til hvilke formål behandlingen blir gjort, og at dette samtykket ble gitt aktivt før behandlingen startet. Videre skal enkeltpersoner fritt kunne trekke tilbake samtykket sitt. Hvis behandlingen av personopplysningene deres likevel vil være nødvendig (for eksempel i forbindelse med en kontrakt), betyr det at samtykke ikke er riktig rettslig grunnlag.

Formålsbegrensning

Virksomheten din kan bare samle inn personopplysninger for spesifikke, uttrykkelig angitte og legitime formål. Behandlingen av personopplysninger er strengt begrenset til de forhåndsdefinerte formålene, og personopplysningene kan derfor ikke behandles for andre formål som ikke er forenlige med de opprinnelige formålene.

 

Dataminimering

Virksomheten din kan bare behandle personopplysninger som er nødvendige og forholdsmessige i lys av det fastsatte formålet. 

 

Riktighet

Personopplysningene som virksomheten din behandler må være korrekte og oppdaterte. Unøyaktige personopplysninger må rettes eller slettes.

 

Lagringsbegrensning

Lagring av personopplysninger må begrenses i tid, i tråd med formålet som opplysningene ble samlet inn og behandlet for. Personopplysningene må slettes eller anonymiseres når de ikke lenger er nødvendige. I praksis betyr dette at virksomheten din må ha en interne retningslinjer for behandling av personopplysninger til forskjellige formål, samt rutiner for sletting av opplysninger.

 

Sikkerhet

Personopplysninger som behandles må beskyttes på en sikker og tilfredsstillende måte. Dette innebærer at robuste sikkerhetstiltak, for eksempel hensiktsmessige cybersikkerhetstiltak, må implementeres for å sikre at personopplysningene er tilstrekkelig beskyttet. Disse tiltakene skal forhindre utilsiktet, uautorisert eller ulovlig utlevering, tap, ødeleggelse eller skade på personopplysningene.