Verdt å vite om personvern

Vi har alle noe vi ikke vil dele med andre. Ikke fordi det er ulovlig eller noe vi må skjule, men rett og slett fordi det er privat. Enkelt sagt handler personvern om retten til et privatliv og om retten til å bestemme over egne personopplysninger.

Hva er personopplysninger?

En personopplysning er en opplysning eller en vurdering som kan knyttes til en enkeltperson, slik som for eksempel (ikke uttømmende liste):

• navn,
• adresse,
• telefonnummer,
• e-postadresse,
• IP-adresse,
• bilnummer,
• bilder,
• fingeravtrykk,
• irismønster,
• DNA-profil,
• hodeform (for ansiktsgjenkjenning), og
• fødselsnummer (både fødselsdato og personnummer).

Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen personopplysninger. En av utfordringene for personvernet er at vi legger igjen så mange digitale spor. Disse opplysningene utnyttes ofte kommersielt uten at du har samtykket til det.

Sensitive personopplysninger er opplysninger om:

• rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
• at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,
• helseforhold,
• seksuelle forhold, eller
• medlemskap i fagforeninger.

Les mer her: Hva er personvern?

Felles europeisk personvernregelverk fra 2018

For å styrke tilliten til digitale tjenester og den individuelle innbyggers rettigheter, samt å gjøre det lettere å utveksle personopplysninger over landegrenser, startet EU i 2012 arbeidet med et felles europeisk personvernregelverk. Stikkordene de jobbet utfra var tillit, kontroll, sikkerhet og forenkling. I april 2016 vedtok EU sin personvernforordning; General Data Protection Regulation (GDPR). Den er EØS-relevant som betyr at den også er innført i Norge i 2018. Den norske Personopplysningsloven ble i 2018 justert slik at den innbefatter det europeiske regelverket.

Les mer her: Datatilsynet

De ti viktigste lovendringene fra 2018

Selv om mange av prinsippene i dagens lovverk videreføres, får norske virksomheter flere og strengere plikter enn før. Brudd på reglene kan også gi større økonomiske konsekvenser enn i dag. Dette er de ti viktigste endringene:

1. Alle norske virksomheter får nye plikter

Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.

2. Alle skal gi god informasjon om hvordan de behandler personopplysninger

Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.

3. Alle skal vurdere risiko og personvernkonsekvenser

Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.

4. Alle skal bygge personvern inn i nye løsninger

De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.

5. Mange virksomheter må opprette personvernombud

Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.

6. Reglene gjelder også virksomheter utenfor Europa

Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter.

7. Alle databehandlere får nye plikter

Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.

8. Alle bør samarbeide i egne nettverk og følge bransjenormer

De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.

9. Alle får nye krav til avvikshåndtering

Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag.

10. Alle må kunne oppfylle borgernes nye rettigheter

Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles “retten til å bli glemt”. Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles “dataportabilitet”. De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.

Mer informasjon

Hva betyr de nye personvernreglene for din virksomhet?

Hvilke rettigheter har man som enkeltperson?

(Kilde: Datatilsynet)