Personlige opplysninger – GDPR

Livssyklus av personopplysninger

For å forstå betydningen av EUs personvernforordning (GDPR) er det nyttig å forstå livssyklusen til personopplysninger. Alle selskaper som behandler personopplysninger om enkeltpersoner i EU/EØS, er underlagt GDPR, uavhengig av hvor selskapet er etablert. GDPR er en EU-forordning som trådte i kraft i 2018.

Hva er personopplysninger?

Når det er mulig å knytte et dataelement til en fysisk levende person, er det aktuelle dataelementet et personopplysningselement. Forbindelsen med den fysiske personen kan være både direkte og indirekte. Et eksempel på direkte personopplysninger er navn, og et indirekte personopplysninger er registreringsnummeret til en privateid bil. I tillegg kan bilder, videoer og lydopptak også være personopplysninger.

Hva er personvernsensitive personopplysninger under GDPR?

Det er fire grupper av personvernsensitive personopplysninger i GDPR, hvorav den ene er sensitive personopplysninger. De personvernsensitive personopplysningene utgjør viktigere personopplysninger enn for eksempel fornavn. Dette betyr at personvernsensitive personopplysninger må behandles med større sikkerhet. I tillegg kan det kreves at selskapet foretar en konsekvensanalyse før behandlingsstart, for å se om behandlingen er godkjent eller ikke.

Forbud mot behandling av sensitive personopplysninger etter hovedregelen

Behandling av sensitive personopplysninger er ikke tillatt etter hovedregelen i artikkel 9 i GDPR. På den annen side er det noen unntak fra den generelle regelen. Eksempler på sensitive personopplysninger er opplysninger som avslører opplysninger om en persons religiøse overbevisning, politiske meninger eller medlemskap i foreninger.

Er opplysninger om en persons helse sensitive personopplysninger?

Ja, opplysninger om den enkeltes helse er sensitive personopplysninger. Dette er imidlertid en av de vanligste sensitive personopplysningene som behandles av bedrifter. Arbeidsgiver behandler for eksempel opplysninger om ansattes sykefravær for å kunne beregne en korrekt lønn og oppfylle rapporteringsplikten til relevante myndigheter. Selskapet bør imidlertid ikke sende lønnsslipp via ukryptert e-post hvis spesifikasjonen inneholder informasjon om sykefravær, da den ikke er tilstrekkelig sikker.

Tre trinn i livssyklusen til personopplysninger

Det er tre viktige trinn i livssyklusen til personopplysninger, som er beskrevet nedenfor.

Trinn 1: Tilgang til personopplysningene dine

Det første trinnet i livssyklusen til personopplysninger er at selskapet samler inn personopplysningene. Innsamlingen må utføres i samsvar med reglene fastsatt i GDPR for å være lovlig og tillatt. Dette innebærer blant annet at virksomheten skal:

Har et rettslig grunnlag for behandling av personopplysninger: Enhver behandling av personopplysninger må være basert på et juridisk grunnlag for å være lovlig. Det er totalt seks (6) juridiske grunnlag å velge mellom i GDPR. Inkludert samtykke, kontrakter med registrerte, legitim interesse.
Informere den registrerte om behandlingen av personopplysningene: I tillegg må selskapene informere de registrerte om behandlingen av deres personopplysninger. Når personopplysninger samles inn direkte fra den registrerte, skal informasjonen om behandlingen gis på innsamlingstidspunktet. Blant annet det juridiske grunnlaget som brukes av selskapet, varigheten av behandlingen, rettighetene til de registrerte, etc. Informasjonen skal angis i en skriftlig personvernerklæring som presenteres før innsamling.

Steg 2: Din virksomhet behandler dine personopplysninger

Det er mye som bedrifter må vurdere når de behandler personopplysninger, dvs. innenfor det andre trinnet i livssyklusen til personopplysninger. Selskapet trenger blant annet:

Være i stand til å sørge for rettighetene til de registrerte

Datasubjekter har en rekke rettigheter under GDPR, som bedrifter må kunne møte på forespørsel. I tillegg må det være ferdig innen en bestemt periode, normalt en måned fra mottak av forespørselen. Derfor må selskapet først og fremst vite hva de registrertes rettigheter er, deretter informere de registrerte om dem og kunne tilfredsstille dem i praksis. Det er derfor bra for selskapene å sette opp interne rutiner i denne forbindelse.

Utarbeidelse av relevante dokumenter og avtaler

GDPR krever at selskaper skal kunne vise at de overholder GDPR i praksis. Dette betyr blant annet at selskapet må ha egnede GDPR-relaterte kontrakter og dokumenter. For eksempel skriftlige interne prosedyrer for hvordan medarbeiderne skal handle i tilfelle brudd på personopplysningssikkerheten. I tillegg må selskapet inngå skriftlige prosessoravtaler når de engasjerer prosessorer. Bedrifter kan også ha behov for å dokumentere konsekvensutredninger for visse typer behandlinger mv.

Tilordne roller og trene ansatte

Personalet håndterer personopplysninger i virksomheten og trenger derfor å vite hvordan man gjør det i samsvar med GDPR. Det er imidlertid alltid organisasjonen selv som har ansvaret for personopplysningene, ikke de ansatte. I tillegg kan det være hensiktsmessig å utpeke roller i foretaket. For eksempel, hvis det er et stort selskap med mange avdelinger, kan det være nyttig å utnevne noen databeskyttelsesambassadører. Noen selskaper må også utnevne en databeskyttelsesansvarlig.

Steg 3: Slutt på behandlingen av personopplysningene

Selskaper kan ikke behandle personopplysninger på ubestemt tid. Selskaper bør som hovedregel slette eller anonymisere personopplysningene når de ikke lenger er nødvendige for å behandle dem for det formålet de ble samlet inn for.

Unntak fra den generelle regelen som tillater lengre oppbevaringsperioder

Det finnes imidlertid unntak fra den generelle regelen, som tillater lengre oppbevaringsperioder for personopplysninger. Faktisk kan det i noen tilfeller kreves at selskaper fortsetter å behandle personopplysninger i en viss periode i henhold til loven, selv om de ikke trenger at personopplysningene behandles for et annet formål. For eksempel må bedrifter lagre faktureringsdata og kvitteringer i en viss periode. Det er tillatt, og det rettslige grunnlaget for behandlingen er i slike tilfeller en rettslig forpliktelse.

Eksempler på flere situasjoner der personopplysninger vil bli slettet

Forespørsel om sletting av personopplysninger av registrerte: En av de registrertes rettigheter er å få sine personopplysninger slettet på forespørsel (også kjent som «retten til å bli glemt»). Slettingen skal skje uten unødig opphold, men senest innen én måned. Det finnes imidlertid unntak fra denne retten:

- For eksempel kan det være tillatt for selskapet å fortsette behandlingen av personopplysningene, selv om de mottar en forespørsel om sletting, dersom behandlingen utføres i samsvar med en juridisk forpliktelse som påhviler selskapet.
- Unntak gjelder også der selskapet trenger å behandle personopplysningene med det formål å forsvare eller etablere juridiske krav.

Bedrifter bør opprette interne prosedyrer for ansatte for å slette personopplysninger

For at selskapet skal sikre riktig sletting av personopplysninger når de ikke lenger er nødvendige, eller i tilfelle en forespørsel om sletting, er det nyttig å opprette skriftlige interne prosedyrer.

Foretaket skal underrette sine ansatte om hvordan de vil utføre slettingen på en tilfredsstillende måte. Dette kan for eksempel gjøres ved å sammenstille informasjonen i skriftlige interne prosedyrer. I tillegg er det nyttig for prosedyren å inkludere informasjon om for eksempel bestemte datoer hvert år om når alle ansatte er pålagt å slette personopplysninger fra forskjellige lagringssteder.

Lær mer om GDPR

Personopplysninger kan være subjektive eller objektive av natur.

Når folk tenker på hva personopplysninger er, tenker de vanligvis på objektive personopplysninger. For eksempel et navn, personnummer eller telefonnummer. Med andre ord, personopplysninger av en objektiv karakter er vanligvis identifiserbare ved hjelp av. Det er imidlertid også viktig å være klar over eksistensen av personopplysninger av subjektiv karakter.