Personopplysningsloven (GDPR), som trådte i kraft i norsk lov den 20. juli 2018, er en lov som har som mål å beskytte enkeltpersoners personopplysninger. I tillegg gir den også enkeltpersoner en rekke rettigheter i forhold til å kontrollere sine egne data som oppbevares av ulike organisasjoner. Samtidig er organisasjonene også underlagt en rekke krav i henhold til GDPR når de behandler data for å sikre at personopplysninger ikke misbrukes eller utleveres uten samtykke.
Vi har oppsummert både plikter og rettigheter knyttet til personopplysningsloven nedenfor, slik at du kan få et fullstendig bilde og finne ut om du allerede er helt i tråd med de gjeldende kravene.
Den registrertes rettigheter i personopplysningsloven
Når en organisasjon behandler personopplysninger, har den registrerte en rekke rettigheter som organisasjonen må respektere.
Rett til informasjon: Den registrerte har rett til å bli informert om innsamlingen av personopplysninger i et kortfattet og lett forståelig format. Både om opplysningene som samles inn fra den registrerte selv, men også om opplysningene som samles inn fra andre enn den registrerte.
Rett til innsyn: Den registrerte har rett til å se hvilke personopplysninger som behandles om vedkommende i organisasjonen. Den behandlingsansvarlige har plikt til å vurdere og i de fleste tilfeller oppfylle denne anmodning om innsyn.
Rett til korrigering: Den registrerte har rett til å få uriktige opplysninger rettet, og den behandlingsansvarlige skal ta rimelige skritt for å rette opp uriktige opplysninger. I tilfeller der det er uenighet (mellom den registrerte og den behandlingsansvarlige) om hvorvidt personopplysningene er uriktige, skal den behandlingsansvarlige ta den registrertes uenighet til etterretning.
Rett til sletting: Den registrerte har rett til, med visse få unntak, å få personopplysningene sine slettet. Hvis vilkårene for sletting er oppfylt, må organisasjonen sørge for at opplysningene slettes på en slik måte at de ikke kan gjenskapes.
Rett til begrensning av behandling: Den registrerte har i visse tilfeller rett til å få behandlingen av personopplysningene sine begrenset. Dette kan for eksempel skje hvis den registrerte mener at personopplysningene er unøyaktige eller behandles ulovlig.
Rett til dataportabilitet: Den registrerte har rett til å få utlevert de tilgjengelige personopplysningene som er lagret om vedkommende i et gjenkjennelig og lesbart format. Samtidig kan den registrerte, på visse vilkår og hvis det er betingelser og hvis det er teknisk mulig, kan den registrerte be om at personopplysningene overføres fra en behandlingsansvarlig til en annen.
Rett til å protestere: Den registrerte har rett til å protestere mot en ellers lovlig behandling av personopplysningene sine. I slike tilfeller må den behandlingsansvarlige vurdere om innsigelsen er berettiget og eventuelt revurdere om databehandlingen er nødvendig.
Rett til ikke å være gjenstand for automatiserte avgjørelser: Den registrerte har rett til ikke å være gjenstand for avgjørelser basert på utelukket automatisert behandling, inkludert profilering
Organisasjonens forpliktelser i personopplysningsloven
Et av de grunnleggende elementene i personopplysningsloven er at den behandlingsansvarlige må ha et lovlig grunnlag for å behandle personopplysninger. Dette defineres som som et rettslig grunnlag for behandling. Den behandlingsansvarlige må ikke bare bestemme hva innsamling og hvordan databehandlingen skal foregå. Organisasjonen må også definere hvilket rettslig grunnlag som brukes.
Når det gjelder valg av rettslig grunnlag, er det to ting som påvirker valget:
- Hvilken type personopplysninger er det snakk om?
Personopplysningsloven (GDPR) omhandler to kategorier av personopplysninger: alminnelige og sensitive opplysninger (jf. art. 6 og 9 i EUs personvernforordning). I tillegg har Norge særregler for behandling av personnummer. Personnummer kan kun brukes når det er saklig behov for sikker identifisering, og bruken må være hjemlet i lov eller ha samtykke fra den registrerte. Dette sikrer at personnummer ikke brukes unødvendig eller til formål som kan svekke personvernet.
- Hva er situasjonen rundt databehandlingen?
Den behandlingsansvarlige må vurdere hva som er årsaken til datainnsamlingen. Er det for å oppfylle en rettslig forpliktelse eller for å oppfylle en kontrakt? En organisasjon trenger for eksempel navnene på sine ansatte og bankopplysninger for å utbetale lønn.
Den behandlingsansvarlige må ta et bevisst valg med hensyn til hvilket eller hvilke rettslige grunnlag han ønsker å basere rettslige grunnlag den ønsker å basere databehandlingen på. Dette kan noen ganger virke forvirrende og uoversiktlig, ettersom flere av de rettslige grunnlagene kan være et alternativ. Mange organisasjoner kan være tilbøyelige til å velge «samtykke», ettersom det virker som en grei måte å sikre et rettslig grunnlag på. Dette er imidlertid ikke alltid det mest hensiktsmessige rettslige grunnlaget. Den registrerte må alltid ha mulighet til å trekke tilbake samtykket, noe som betyr at databehandlingen må stanses. Og hvis behandlingen av disse personopplysningene er sentral i organisasjonens daglige arbeid, vil dette være kritisk.
Mange organisasjoner tenker imidlertid ikke på dette når de velger rettslig grunnlag - og når man først har bestemt seg for ett rettslig grunnlag, kan ikke organisasjonen plutselig bytte til et annet hvis det ikke lenger dekker behovene, for eksempel hvis samtykket trekkes tilbake. Det er derfor avgjørende at du velger det riktige i første omgang.
Som organisasjon handler det om å gjøre det enkelt for seg selv. Det er viktig å ha en risikobasert tilnærming til både de registrertes rettigheter og hva som er best for organisasjonen, både juridisk og ressursmessig. Som behandlingsansvarlig handler det om å velge det rettslige grunnlaget som er sterkest og mest hensiktsmessig for databehandlingen.
Når samtykke er riktig type rettslig grunnlag
Selv om samtykke ikke alltid er det beste behandlingsgrunnlaget, vil det i noen tilfeller være det riktige behandlingsgrunnlaget. For å overholde personopplysningsloven er det en rekke vilkår som må oppfylles for at samtykket skal være gyldig:
Frivillig - samtykket må gis frivillig av både den ansatte og andre registrerte.
Legitimt - det må foreligge et legitimt formål med å samle inn personopplysningene.
Spesifikk - det må fremgå tydelig hvorfor du samler inn disse opplysningene, hvordan du bruker dem, hvem de deles med, og hvordan den registrerte kan få tilgang til opplysningene og hvordan man klager.
Informert - samtykket bør skrives i et enkelt og lettfattelig språk som ikke kan misforstås, og det bør holdes adskilt fra andre temaer. Det bør for eksempel ikke være en del av vilkårene eller andre dokumenter.
Utvetydig - stilltiende samtykke er ikke lovlig ved samtykke, så den enkelte må aktivt samtykke til behandling av personopplysninger, for eksempel ved å krysse av i en avkrysningsboks.
Bli GDPR-compliant
Det kan være vanskelig å forstå rettighetene og pliktene som følger av personopplysningsloven (GDPR), og mange organisasjoner kan ikke med sikkerhet si om de er i samsvar med GDPR eller ikke. Faktum er imidlertid at hvis du ikke kan dokumentere personvernarbeidet ditt, eksisterer det ikke, i hvert fall ikke ifølge det norske datatilsynet.
Hvis du vil sikre at organisasjonen din alltid kan hente ut rapporter og dokumentere data og prosesser, kan det være lurt å vurdere å investere i GDPR-programvare. På denne måten kan du du effektivisere innsamlingen av informasjon, visualisere behandlings behandlingsaktiviteter og få oversikt over kontrollarbeidet.
RISMAs GDPR-programvare er utviklet i samarbeid med Plesner Advokatpartnerselskab, bransjens ledende eksperter på personvern, og systemet er designet for å kunne forstås og brukes av brukere uten spesialisert GDPR-opplæring. Hvis du er nysgjerrig, er du alltid velkommen til å be om en demo.
