Har du kunder, ansatte eller leverandører? Da behandler du personopplysninger. Det er nesten umulig å drive en virksomhet i Norge uten å gjøre det. Spørsmålet er ikke om GDPR gjelder for deg, men om du har kontrollen på plass.
Siden EUs personvernforordning (GDPR) trådte i kraft i Norge i 2018, har norske og europeiske tilsynsmyndigheter ilagt bøter på over 4,5 milliarder euro totalt. I Norge ble Grindr ilagt et overtredelsesgebyr på 65 millioner kroner for å ha delt brukernes personopplysninger uten gyldig behandlingsgrunnlag. Det er det høyeste beløpet Datatilsynet til nå har ilagt en norsk virksomhet.
Bøter er ikke det eneste risikoen. Datatilsynet kan pålegge stans av behandling. Det kan ramme virksomhetens kjerneaktiviteter.
Hva er personvern og GDPR?
Personvern handler om retten til privatliv og kontroll over egne opplysninger. GDPR, EUs personvernforordning, er det rettslige rammeverket som regulerer hvordan virksomheter kan samle inn, lagre, bruke og dele opplysninger om enkeltpersoner.
GDPR ble vedtatt av EU i 2016 og gjelder i Norge gjennom EØS-avtalen, implementert i personopplysningsloven av 2018. Forordningen har direkte virkning som norsk lov og går foran norske regler ved motstrid.
Datatilsynet er tilsynsmyndigheten i Norge. De fører kontroll med at virksomheter etterlever regelverket, kan gjennomføre stedlig tilsyn, kreve endringer i rutiner og ilegge overtredelsesgebyrer.
Vi i Judicia bistår virksomheter i Møre og Romsdal og nasjonalt med GDPR-etterlevelse og rådgivning. Ta gjerne kontakt for en innledende vurdering av din virksomhets personvernpraksis.
Seks behandlingsgrunnlag: hvilket gjelder for deg?
All behandling av personopplysninger krever et rettslig grunnlag etter GDPR artikkel 6. Du kan ikke samle inn eller bruke personopplysninger uten at ett av disse grunnlagene er til stede.
1. Samtykke. Den registrerte har gitt et frivillig, spesifikt og informert samtykke til behandlingen. Samtykke kan trekkes tilbake når som helst, og tilbaketrekkingen skal være like enkel som det var å gi samtykket.
2. Avtale. Behandlingen er nødvendig for å oppfylle en avtale med den registrerte, eller for å gjennomføre tiltak på vedkommendes anmodning før avtaleinngåelse. Brukes for eksempel ved behandling av kundedata for å levere en bestilt tjeneste.
3. Rettslig forpliktelse. Behandlingen er nødvendig for å overholde en lovpålagt plikt, for eksempel bokføring av ansattopplysninger etter skattelovgivningen.
4. Vitale interesser. Behandlingen er nødvendig for å beskytte den registrertes eller en annen persons vitale interesser. Brukes sjelden av ordinære virksomheter.
5. Allmennhetens interesse. Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse. Mest aktuelt for offentlige myndigheter.
6. Berettiget interesse. Behandlingen er nødvendig for formål knyttet til virksomhetens berettigede interesser, forutsatt at den registrertes interesser eller rettigheter ikke veier tyngre. Dette er et fleksibelt grunnlag som brukes mye i næringslivet, men som krever en konkret interesseavveining som må dokumenteres.
For de to siste grunnlagene, samtykke og berettiget interesse, er det særskilte dokumentasjonskrav. Du skal kunne bevise at samtykke er gitt og at interesseavveiningen faktisk er gjennomført.
De viktigste pliktene for din virksomhet
Behandlingsprotokoll
Alle virksomheter med mer enn 250 ansatte har lovpålagt plikt til å føre en protokoll over behandlingsaktiviteter etter GDPR artikkel 30. Protokollen skal angi hvilke personopplysninger som behandles, til hvilket formål, med hvilket grunnlag og med hvilken lagringstid. Datatilsynet vil etterspørre denne ved et tilsyn.
Også mindre virksomheter bør føre protokoll. Det er det mest konkrete beviset på at dere faktisk har oversikt og kontroll over personvernarbeidet.
Informasjonsplikt og personvernerklæring
Du plikter å informere de registrerte om hvilke opplysninger du behandler om dem, hva du bruker dem til, hvilke rettigheter de har og hvem du eventuelt deler opplysningene med. I praksis løses dette med en personvernerklæring på nettsiden din, men informasjonen må også gis direkte til ansatte og kunder ved innsamling.
Databehandleravtaler
Bruker du leverandører som behandler personopplysninger på vegne av deg? Da krever GDPR en skriftlig databehandleravtale med hver enkelt leverandør. Manglende avtale er i seg selv et lovbrudd, uavhengig av om noe har gått galt. Les mer om databehandleravtaler.
Personvernkonsekvensvurdering (DPIA)
Ved behandling som kan innebære høy risiko for de registrerte, er det påkrevd å gjennomføre en personvernkonsekvensvurdering (DPIA) etter GDPR artikkel 35, før behandlingen starter. Eksempler er systematisk overvåking, behandling av sensitive opplysninger i stor skala og bruk av ny teknologi. Les mer om DPIA.
Varsling ved databrudd
Oppdager du et databrudd som medfører risiko for de registrerte, plikter du å varsle Datatilsynet innen 72 timer. Fristen løper fra det tidspunktet du ble klar over bruddet. Varsling til de berørte personene er i tillegg påkrevd dersom bruddet medfører høy risiko. Les mer om databrudd og personvernbrudd.
De registrertes rettigheter
GDPR gir enkeltpersoner åtte individuelle rettigheter overfor virksomheter som behandler opplysninger om dem. Du plikter å svare på henvendelser om disse rettighetene innen én måned, med mulighet for to måneders forlengelse ved komplekse henvendelser.
Rett til informasjon. Du skal informere de registrerte om behandlingen, normalt gjennom en personvernerklæring.
Rett til innsyn (art. 15). Den registrerte kan kreve å få vite hvilke opplysninger du behandler om dem.
Rett til retting (art. 16). Feil eller ufullstendige opplysninger skal rettes uten ugrunnet opphold.
Rett til sletting (art. 17). Retten til å bli glemt: den registrerte kan kreve sletting under visse forutsetninger. Det finnes unntak, for eksempel for lovpålagte lagringsplikter. Les mer om retten til å bli glemt.
Rett til begrensning (art. 18). Den registrerte kan under visse vilkår kreve at behandlingen av opplysningene begrenses.
Rett til dataportabilitet (art. 20). Den registrerte kan kreve å motta sine opplysninger i et maskinlesbart format for å overføre dem til en annen aktør.
Rett til å protestere (art. 21). Den registrerte kan protestere mot behandling basert på berettiget interesse eller utføring av en oppgave i allmennhetens interesse.
Rettigheter ved automatiserte avgjørelser (art. 22). Den registrerte har rett til ikke å være underlagt avgjørelser som utelukkende er basert på automatisert behandling, herunder profilering, og som har rettslig eller tilsvarende virkning.
Særlige kategorier av personopplysninger
Noen typer personopplysninger er underlagt strengere regler fordi de er særlig sensitive. Disse er listet opp i GDPR artikkel 9 og inkluderer helseopplysninger, genetiske og biometriske data, rasemessig og etnisk opprinnelse, politisk oppfatning, religiøs overbevisning, fagforeningsmedlemskap og opplysninger om seksuelle forhold.
Behandling av slike opplysninger er som utgangspunkt forbudt, med mindre du har et særskilt grunnlag i artikkel 9 i tillegg til et ordinært behandlingsgrunnlag. Kravene er strengere, og konsekvensene av brudd er tilsvarende alvorligere.
Viktig: en app, en nettside eller et kjøp kan indirekte avsløre sensitiv informasjon selv om du ikke eksplisitt behandler den. Grindr-dommen understreket at dette er tilstrekkelig til at artikkel 9 gjelder.
Datatilsynets rolle og bøter
Datatilsynet fører tilsyn med at norske virksomheter etterlever GDPR. De kan gjennomføre stedlig tilsyn, innhente dokumentasjon, kreve endringer og ilegge overtredelsesgebyr.
Maksimumsgebyret for de alvorligste bruddene er 20 millioner euro eller fire prosent av virksomhetens globale årsomsetning, der det høyeste beløpet legges til grunn. For mindre alvorlige brudd er maksimum 10 millioner euro eller to prosent av global årsomsetning.
Det er ikke nødvendig at noe faktisk har gått galt for å bli ilagt gebyr. Manglende dokumentasjon, manglende databehandleravtaler eller behandling uten gyldig grunnlag er i seg selv lovbrudd som kan medføre sanksjoner.
Hva vi bistår med
Judicia bistår virksomheter med alle sider av GDPR-etterlevelse.
Les mer om de vanligste problemstillingene i våre fagartikler:
For arbeidsgivere og HR: Personvern i arbeidslivet forklarer hva du kan og ikke kan gjøre med kameraovervåking, GPS-sporing og innsyn i ansattes e-post.
For virksomheter med leverandører: Databehandleravtaler forklarer når du trenger avtale, hva den skal inneholde og hva du risikerer uten.
Ved høyrisiko behandling: Personvernkonsekvensvurdering (DPIA) forklarer når DPIA er påkrevd og hvordan du gjennomfører det.
Ved databrudd: Databrudd og personvernbrudd forklarer 72-timersfristen og hva du skal gjøre.
Personvernombud: Personvernombud forklarer hvem som er pålagt å ha ombud og hva ombudet gjør.
Ofte stilte spørsmål om personvern og GDPR
Ja, i praksis. GDPR gjelder alle virksomheter som behandler personopplysninger om personer i EØS, uavhengig av virksomhetens størrelse eller nasjonalitet. Har du kunder, ansatte eller leverandører, behandler du personopplysninger. Det finnes svært få unntak, og de gjelder i hovedsak rent personlig eller familiemessig bruk.
Et behandlingsgrunnlag er det rettslige grunnlaget som gir deg lov til å behandle personopplysninger. Uten et gyldig grunnlag er behandlingen ulovlig. GDPR artikkel 6 lister opp seks mulige grunnlag. De fire mest brukte for norske bedrifter er samtykke, oppfyllelse av avtale, rettslig forpliktelse og berettiget interesse.
Behandlingsansvarlig er virksomheten som bestemmer formålet med behandlingen og hvilke hjelpemidler som brukes. Det er din virksomhet som bestemmer hva kundedata skal brukes til. Databehandleren er en ekstern leverandør som behandler opplysningene på vegne av behandlingsansvarlig, etter instrukser fra deg. Et regnskapsbyrå som kjører lønn for deg er en databehandler. Behandlingsansvarlig har det overordnede ansvaret overfor de registrerte og overfor Datatilsynet.
Datatilsynet kan varsle tilsyn på forhånd eller komme uanmeldt. De vil typisk be om dokumentasjon, inkludert behandlingsprotokoll, databehandleravtaler, personvernerklæring og interne rutiner. Har du dokumentasjonen på plass, er tilsyn håndterbart. Mangler den, er du i en svak posisjon. Etter tilsynet kan Datatilsynet gi pålegg om endringer, ilegge overtredelsesgebyr eller kreve stans av behandling.
Har du spørsmål om hva GDPR krever av din virksomhet, eller vil du sikre at personvernpraksisen er i orden? Ta kontakt med Judicia for en uforpliktende samtale.