GDPR – Forskrift om vern av personopplysninger
Informasjon på grunnlag av GDPR
I henhold til GDPR er personopplysninger data som kan knyttes, enten direkte eller indirekte, til en fysisk person som er identifiserbar og i live. Hvis et selskap behandler personopplysninger om enkeltpersoner innenfor EU/EØS, er de forpliktet til å overholde GDPR. GDPR er en forkortelse for EUs personvernforordning.
Eksempler på vanlige typer personopplysninger:
- Identifikasjonsdata: Fornavn, etternavn, personnummer, passnummer, profilbilde.
- Kontaktopplysninger: E-postadresse, hjemmeadresse, telefonnummer.
Sensitive personopplysninger i henhold til GDPR
I henhold til hovedregelen fastsatt i artikkel 9 nr. 1 i GDPR er behandling av særlige kategorier av personopplysninger, også kalt «sensitive personopplysninger», ikke tillatt. Det kan imidlertid være tillatt i visse tilfeller.
Vær oppmerksom på at kravene er høyere for behandling av sensitive personopplysninger og krever for eksempel høyere sikkerhet for overføring og lagring. Dersom det foreligger et brudd på personopplysningssikkerheten som omfatter sensitive personopplysninger, er det verre enn dersom personopplysningene er «vanlige personopplysninger». Det er viktig å ta hensyn til dette i risikovurderingen, samt i vurderingen av om det er nødvendig å melde bruddet på personopplysningssikkerheten til den nasjonale eller ansvarlige personvernmyndigheten.
Eksempler på sensitive personopplysninger
- Helse
- Etnisk opprinnelse
- Politiske synspunkter
- Genetiske eller biometriske data
Bøte for behandling av sensitive personopplysninger i strid med GDPR
Et selskap ble bøtelagt EUR 230 000 for behandling av sensitive personopplysninger i strid med GDPR. Selskapet hadde holdt informasjon om helsedataene til sine ansatte i svært lang tid etter at ansettelsen var avsluttet. I tillegg hadde selskapet beholdt data om sykefravær hos ansatte sammen med diagnosedata, som enkelte ansatte til og med informerte om var feil. Selskapet hadde også sviktet i sine forpliktelser til å informere ansatte om behandlingen av disse sensitive personopplysningene. Av disse grunnene ble selskapet bedt om å endre sin oppførsel. I tillegg til boten fikk selskapet også en reprimande.
Personopplysninger som er sensitive for personvern
I tillegg til de sensitive personopplysningene som krever et høyere beskyttelsesnivå under GDPR, er det også andre personopplysninger som er viktige og trenger det. De omtales ofte som ”personvernsensitivepersonopplysninger”. For eksempel bankkontoopplysninger, betalingskortopplysninger, opplysninger om en persons sosiale forhold og opplysninger om lovbrudd.
Utdype din forståelse av personopplysninger
Definisjonen av personopplysninger inkluderer også ytterligere kompleksitet, utover det som er beskrevet ovenfor i denne samlingen. Spesielt når det gjelder såkalte direkte og indirekte personopplysninger. Baksideidentifikasjon er også et viktig aspekt som kan føre til at visse data anses som personopplysninger i henhold til GDPR. For eksempel registreringsnummeret til et privateid kjøretøy.
Databeskyttelsesprinsipper som skal følges ved behandling av personopplysninger
Det er syv (7) grunnleggende databeskyttelsesprinsipper som gjennomsyrer GDPR som helhet. Selskaper som omfattes av GDPR må også overholde disse prinsippene i all behandling av personopplysninger. Bedrifter må forstå prinsippene, enten de er behandlingsansvarlige eller databehandlere, ettersom dette er kjernen i forordningen. I tillegg bør de alltid tas hensyn til av selskapet i arbeidet med å forbedre databeskyttelsen. Her kan du lese en kort oppsummering av de syv (7) grunnleggende databeskyttelsesprinsippene som reguleres av artikkel 5 i GDPR.
Lovlighet
Bedrifter må ha et rettslig grunnlag for å behandle personopplysninger. For eksempel «Oppfyllelse av en kontrakt med den registrerte».
Korrekthet
Ved behandling av personopplysninger må selskapet være rimelig i forhold til formålet. Behandlingen skal være rimelig, rimelig, rettferdig og forholdsmessig. Kort sagt betyr dette at behandlingen ikke må være uforholdsmessig til fordelene.
Åpenhet
Bedrifter må informere om behandlingen og være åpne om hva de skal gjøre med personopplysningene. I tillegg skal de gi opplysninger om de registrertes rettigheter osv.
Første avgjørelse av European Data Protection Board om lovligheten av behandling av personopplysninger
European Data Protection Board (EDPB) måtte vurdere om et stort internasjonalt selskap hadde et lovlig grunnlag for måten de behandlet barns personopplysninger på. Det var den irske DPA som ba om en foreløpig avgjørelse fra EDPB, da flere av DPAene som var involvert i tilsynet, ikke var enige i beslutningen fra den irske DPA. Boten som ble pålagt av den irske DPA etter den foreløpige kjennelsen utgjorde EUR 405 millioner.
Prinsippet om vern av personopplysninger 2: Begrenset bruk
Bedrifter skal alltid ha et formål i sin behandling av personopplysninger. Det vil si et svar på hvorfor personopplysningene behandles. I tillegg må det være et eksplisitt og spesifikt formål som er forenlig med gjeldende lovgivning. Uklare hensikter er vanligvis ikke gyldige. Det samme gjelder hvis de er for brede, for eksempel ”forbedre opplevelsen for brukerne”. Vær oppmerksom på at selskapet skal dokumentere formålet med hver enkelt behandling.
Databeskyttelsesprinsipp 3: Minimering av data
Det er ikke tillatt å behandle flere personopplysninger enn det som er nødvendig for å oppnå formålet.Derfor må selskapet først analysere hva formålet med behandlingen er for å vite hvilke personopplysninger som er nødvendige å behandle for å oppnå det. Et selskap kan ikke behandle personopplysninger for fremtidige behov som de ennå ikke har bestemt seg for. GDPR tillater med andre ord ikke behandling av personopplysninger «bare fordi det kan være nyttig for fremtiden».
Databeskyttelsesprinsipp 4: Korrekthet
Bedrifter må sørge for at personopplysningene de behandler er nøyaktige. I tillegg skal selskapet holde personopplysningene oppdatert over tid. Hvis personopplysningene er feil, skal selskapet rette dem. Alternativt kan det slettes. Dette skal gjøres uten unødig forsinkelse. Ufullstendige personopplysninger skal også rettes ved å supplere eller fjerne dem. Vær oppmerksom på at dette er spesielt viktig, jo viktigere er personopplysningene. Konsekvensene av å behandle unøyaktige personopplysninger kan i noen tilfeller være ødeleggende. For eksempel, hvis en person er diagnostisert med en type diagnose, men legen skjer for å registrere en feil diagnose i pasientregisteret.
Databeskyttelsesprinsipp 5: Begrensning av lagring
Behandling av personopplysninger ikke lenger enn det som er nødvendig for formålet de ble samlet inn for, skal være forbudt. I tillegg skal selskapene fastsette en oppbevaringsperiode for personopplysningene. På den annen side kan et foretak i noen tilfeller trenge å fortsette behandlingen, selv om det ikke lenger er nødvendig for formålet, dersom det kreves av lov eller forskrift. For eksempel må bedrifter ofte lagre sine regnskapsposter i et visst antall år i henhold til nasjonal regnskapslov.
Selskaper som behandler personopplysninger på ubestemt tid
Et foretak ble ilagt en bot for ikke å ha fastsatt en oppbevaringsperiode. For å få slettet personopplysningene sine, måtte kundene slette brukerkontoen sin. Dersom kunden ikke gjorde det, fortsatte selskapet å behandle kundenes personopplysninger på ubestemt tid. I tillegg fant den finske databeskyttelsesmyndigheten i tilfelleat den ikke var kompatibel med GDPR, å forplikte personer til å opprette en konto på nettstedet for å foreta et kjøp. Opprettelsen av en brukerkonto i en nettbutikk skal være frivillig. Det må ikke være et obligatorisk krav for å kunne foreta enkeltkjøp.
Databeskyttelsesprinsipp 6: Integritet og konfidensialitet
Bedrifter må beskytte personopplysninger de behandler ved å implementere hensiktsmessige tekniske og organisatoriske tiltak. Jo viktigere personopplysningene er, desto høyere er sikkerhetskravene. Eksempler på tekniske sikkerhetstiltak er kryptering og backup. Eksempler på organisatoriske sikkerhetstiltak som bedrifter kan gjennomføre, er opplæring av ansatte og utarbeidelse av instrukser.
Databeskyttelsesprinsipp 7: Ansvarlighet
Bedrifter må være i stand til å demonstrere overholdelse av GDPR. Det er derfor ikke opp til en registrert eller databeskyttelsesmyndighet å bevise det motsatte. For eksempel kan selskaper gjøre dette ved å:
Registerliste
Etablere et register der selskapet dokumenterer brudd på personopplysninger som har skjedd.
Konsekvensutredninger
Etablere en konsekvensanalyse før gjennomføring av en bestemt behandlingsoperasjon, herunder begrunnelse og analyse av selskapets behandling.
Retningslinjer
Etablere skriftlige instruksjoner til ansatte om hvordan de skal arbeide i samsvar med GDPR i praksis. For eksempel en prosedyre for hvordan man skal handle i tilfelle brudd på personopplysninger.
De registrertes rettigheter i henhold til GDPR
De registrerte har flere rettigheter i henhold til GDPR. Bedrifter har ansvar for å sikre at de kan møte dem. For eksempel ved å etablere interne prosedyrer for ansatte slik at de vet hvordan de skal håndtere en forespørsel på riktig måte.
Identifikasjon av registrerte når de ber om oppfyllelse av en rettighet
Bedrifter må være i stand til å identifisere personer som ber om en rettighet under GDPR. På denne måten kan selskapet minimere risikoen for uautorisert tilgang til personopplysningene. Hvis selskapet er i tvil om identiteten til søkeren, kan selskapet be om mer informasjon. For eksempel, hvis en person ber om sletting av sine personopplysninger fra en annen e-postadresse enn den de har registrert i selskapets brukerkonto. Vær oppmerksom på at det ikke er tillatt å behandle flere personopplysninger enn nødvendig, og at identifikasjonen må være forholdsmessig.
Tidsfrister for behandling av anmodninger om oppfyllelse av en rettighet
Når en registrert ber om oppfyllelse av en rettighet i henhold til GDPR, skal selskapet håndtere forespørselen så snart som mulig, men senest en måned etter mottak. På den annen side er det i visse tilfeller mulig å forlenge fristen med ytterligere to måneder. I slike tilfeller må selskapet kunne begrunne avgjørelsen og kommunisere den innen den første måneden. For eksempel kan en forlengelse være berettiget dersom selskapet har mottatt et uvanlig høyt antall forespørsler og derfor ikke er i stand til å håndtere saken innen en måned.
Rettslig grunnlag for lovlig behandling av personopplysninger
Bedrifter må ha et rettslig grunnlag for å behandle personopplysninger, og det er totalt seks (6) rettslige grunnlag i GDPR. Med mindre selskapet har et rettslig grunnlag, er behandlingen ulovlig. Brudd på GDPR kan ha en betydelig økonomisk innvirkning på selskapet. Nedenfor finner du et sammendrag av de rettslige grunnlagene som reguleres av artikkel 6 i GDPR.
Rettslig grunnlag 1: Samtykke
Samtykke betyr at en person aksepterer at selskapet behandler hans eller hennes personopplysninger for et bestemt formål. Samtykket må være aktivt og fritt gitt for å være gyldig. I tillegg bør tilbaketrekking av samtykke være like enkelt som å gi samtykke. I motsatt fall er samtykket ugyldig. Vær oppmerksom på at selskaper også må kunne dokumentere at de har innhentet gyldig samtykke ved tilsyn. Derfor er det best å ha skriftlig og oppdatert samtykke.
Samtykke er ikke alltid tilstrekkelig eller tillatt
Samtykke er et felles rettslig grunnlag for selskaper å bruke, men det er ikke alltid tillatt eller hensiktsmessig. Det er for eksempel ikke hensiktsmessig når det er et ulikt maktforhold mellom partene, for eksempel mellom arbeidsgiver og arbeidstaker. I stedet brukes kontrakter med en registrert (arbeidskontrakt) vanligvis som det juridiske grunnlaget. Det er heller ikke et krav om å innhente samtykke for å behandle personopplysninger, som noen mener.
Nettplattformer med samtykke- eller betalingsmodeller oppfyller ikke alltid kravene til gyldig samtykke i henhold til European Data Protection Board
European Data Protection Board (EDPB) tok stilling til om samtykke- eller betalingsmodeller oppfyller kravene til gyldig samtykke i henhold til GDPR. Med andre ord retter et selskap atferdsmarkedsføring mot registrerte som ikke betaler for en tjeneste. Ifølge EDPB bør selskaper ha et gratis alternativ, men uten målretting.
Rettslig grunnlag 2: Kontrakter med registrerte personer
Bedrifter kan behandle personopplysninger som er nødvendige for inngåelse eller gjennomføring av en kontrakt med den registrerte. Det rettslige grunnlaget er da «kontrakter med registrerte». Det kan imidlertid ikke behandles flere personopplysninger enn det som er nødvendig for inngåelse eller gjennomføring av kontrakten. Hvis enheten for eksempel ønsker å behandle personopplysninger for å analysere kundeatferd, trenger enheten et annet juridisk grunnlag for dette formålet, for eksempel samtykke.
Et praktisk eksempel på når det rettslige grunnlaget «kontrakt med registrerte» er hensiktsmessig, er hvis et selskap driver en e-handelsvirksomhet. For at selskapet skal kunne sende produktene hjem til kundene, må de behandle personopplysninger som kundens navn og hjemmeadresse.
Rettslig grunnlag 3: Juridisk forpliktelse
Når et selskap har en forpliktelse til å behandle personopplysninger i henhold til annen lovgivning eller forskrift, er det rettslige grunnlaget for behandlingen ”rettslig forpliktelse”. For eksempel krever den nasjonale regnskapsloven at selskapet skal oppbevare kvitteringer og andre regnskapsposter i et visst antall år. Den registrerte skal forstå hvorfor selskapet trenger å utføre behandlingen, og det er derfor viktig å være tydelig i informasjonen.
Rettslig grunnlag 4: Beskyttelse av grunnleggende interesser
I akutthelsesektoren er det derimot mer vanlig å støtte behandling av personopplysninger på dette juridiske grunnlaget. For eksempel, hvis en person blir liggende bevisstløs på sykehuset og mister store mengder blod, og sykehuset trenger å vite hvilken blodgruppe personen har for å redde livet.
Rettslig grunnlag 5: Utøvelse av offentlig myndighet og oppgave i allmennhetens interesse
Rettsgrunnlaget «utøvelse av offentlig myndighet og oppgaver i allmennhetens interesse» betyr at det er tillatt å behandle personopplysninger som ledd i utøvelse av offentlig myndighet eller i allmennhetens interesse. Dersom staten pålegger en operatør oppgaven med å bestemme borgere, er det hensiktsmessige rettslige grunnlaget «utøvelse av offentlig myndighet». Det er et rettslig grunnlag som først og fremst kan brukes av offentlige myndigheter, men også av enkelte private aktører, som skoler og helsevesen.
For å kunne støtte en behandling basert på data av offentlig interesse, må det være et juridisk, administrativt eller lignende grunnlag. For eksempel når en skole eller et sykehus behandler personopplysninger.
Rettslig grunnlag 6: Berettiget interesse
Selskaper kan avveie interesser før behandling og konkludere med at de har en legitim interesse for behandlingen. Med andre ord, deres interesse for behandling oppveier den registrerte. I tillegg må behandlingen være nødvendig i forhold til formålet den utføres for. En interesseavveining skal dokumenteres skriftlig. Her er to eksempler på når det er vanlig å bruke «legitim interesse» som rettslig grunnlag:
Direkte markedsføring:
Når et selskap utfører direkte markedsføring, for eksempel å sende e-post til registrerte med reklame. Vær oppmerksom på at selskapet må umiddelbart slutte å behandle e-postadressen for dette formålet hvis den registrerte ber om det.
Sikkerhet for ansatte
Det kan være nødvendig for en arbeidsgiver å behandle visse typer personopplysninger for å sikre ansattes sikkerhet, og anses å ha en legitim interesse for å gjøre det.
Sammendrag av de åtte (8) grunnleggende rettighetene til registrerte under GDPR Rett til informasjon og innsyn
Rett til informasjon
Selskapene skal informere de registrerte om behandlingen av deres personopplysninger. Ideelt sett bør dette gjøres når selskapet samler inn personopplysningene. I tillegg skal opplysningene gis på anmodning fra den registrerte. Opplysningene skal være lett forståelige og kostnadsfrie. I tillegg er det andre tilfeller der virksomheter må informere de registrerte om behandlingen, for eksempel ved visse typer brudd på personopplysningssikkerheten eller ved endring av behandlingen.
Rett til innsyn
Hvis en registrert person ønsker å vite om et selskap behandler personopplysninger om dem, kan de kontakte selskapet. I slike tilfeller skal foretaket gi opplysninger om behandlingen, f.eks. hvilke personopplysninger det behandler, formålet med behandlingen, oppbevaringsperioden og hvor det har samlet dem inn fra. I tillegg skal selskapet gi en kopi av personopplysningene som behandles. Vær oppmerksom på at det finnes unntak fra innsynsretten. I noen tilfeller kan selskaper nekte en forespørsel om tilgang til de behandlede personopplysningene. For eksempel om det kan føre til en ulempe for andre registrerte.
Rett til korrigering
Hvis en registrert anser at personopplysninger om dem som behandles av et selskap, er unøyaktige eller ufullstendige, kan de be selskapet om å rette dem. Korreksjonen skal foretas uten unødig opphold. Den skal også underrette mottakerne av de berørte personopplysningene om korrigeringen. Dette gjelder der dette er mulig og ikke for tyngende for selskapet. I tillegg har den registrerte rett til å bli informert om mottakerne.
Rett til sletting
Bedrifter bør slette personopplysninger når de ikke lenger er nødvendige for det formålet de ble samlet inn for. I tillegg må de slette personopplysninger på forespørsel fra en registrert. Det finnes imidlertid unntak. For eksempel kan et selskap ha en forpliktelse til å behandle visse personopplysninger i samsvar med en annen lov. I slike tilfeller skal de ikke slette personopplysningene, selv om den registrerte ber om det. Når selskapet sletter personopplysninger etter en forespørsel fra den registrerte, skal selskapet informere mottakerne av de berørte personopplysningene om slettingen. Dette gjelder der dette er mulig og ikke for tyngende for selskapet. I tillegg har den registrerte rett til å bli informert om mottakerne.
Rett til begrensning av behandling
I noen tilfeller er den registrertes rett til å få sine personopplysninger behandlet begrenset. For eksempel, hvis en person informerer et selskap om at personopplysningene er unøyaktige og ønsker å få behandlingen begrenset til selskapet har undersøkt om det er riktig eller ikke. Når begrensningen oppheves, skal selskapet informere den registrerte om dette.
Rett til å protestere
Når et selskap behandler personopplysninger basert på det juridiske grunnlaget for legitim interesse, har de registrerte rett til å motsette seg behandlingen. Det samme gjelder når formålet er å utføre en oppgave i allmennhetens interesse i utøvelsen av offentlig myndighet. Selskapet kan tillates å fortsette behandlingen dersom det rettslige grunnlaget er berettiget interesse bare dersom de konkluderer med at deres interesse fortsatt råder etter å ha gjennomført en ny utjevningsøvelse. Vær oppmerksom på at de må kunne rettferdiggjøre avgjørelsen.
Rett til dataportabilitet
I noen tilfeller kan den registrerte ha rett til å få sine personopplysninger overført til en annen behandlingsansvarlig. For eksempel, hvis personen oppretter en konto på en sosial medietjeneste og ønsker å bruke de samme dataene til å opprette en konto på en annen lignende tjeneste. Selskapene skal legge til rette for overføring av personopplysninger. De registrerte kan imidlertid bare ha rett til dataportabilitet dersom det juridiske grunnlaget for behandlingen er samtykke eller kontrakt med den registrerte, og hvis det er teknisk mulig.
Automatiserte avgjørelser
Når en automatisert beslutning kan ha alvorlige konsekvenser for en registrert, for eksempel juridiske konsekvenser, har personen rett til ikke å bli underlagt en slik automatisert beslutning. For eksempel, hvis en person er på utkikk etter en jobb og blir nektet uten å ha hatt personlig kontakt, da dette ble gjort gjennom en automatisert e-rekrutteringsprosess.
- Situasjoner der automatiserte beslutninger kan tillates
- Eksplisitt samtykke: når selskapet innhenter uttrykkelig samtykke fra den registrerte;
- Gjennomføring av kontrakter: Dersom foretaket må gjøre dette for å inngå, eller alternativt utføre, en kontrakt.
Praktiske eksempler
Ett selskap ga feil informasjon om at personopplysninger hadde blitt slettet på forespørsel fra en registrert
I tillegg til at selskapet ikke hadde slettet personopplysninger på forespørsel uten unødig forsinkelse, ga de også feil informasjon om at de faktisk hadde slettet den. Selskapet uttalte at de ikke forstod at det var en forespørsel om at de skulle slette personopplysningene, men den svenske databeskyttelsesmyndigheten fant det annerledes. De anså det som klart og konkluderte med at selskapet derfor ikke hadde oppfylt sine forpliktelser i henhold til GDPR. Konsekvensen for selskapet var en reprimande.
Blant annet oppfylte de ikke kravet om transparens når det gjelder dataportabilitet
Den svenske databeskyttelsesmyndigheten fant at et selskap hadde brutt flere regler i GDPR. Inkludert ved å gi mangelfull informasjon om de registrertes rettigheter. En av disse rettighetene var retten til dataportabilitet. Selskapene fikk en bot på 7,5 millioner svenske kroner for brudd på GDPR.
Overtredelser/Penalties/Konsekvenser
Hvis et selskap ikke overholder GDPR, kan de ha en betydelig økonomisk innvirkning. I verste fall kan de bli bøtelagt med flere millioner kroner. Det maksimale sanksjonsbeløpet for alvorlige overtredelser kan være 20 millioner euro eller 4 % av den årlige omsetningen (den høyeste av opsjonene). Noen selskaper har måttet betale bøter på flere hundre millioner euro.
Vær oppmerksom på at boten ikke er tilgjengelig for registranter, da det er en bot betalt til staten. På den annen side kan registrerte kreve erstatning i visse tilfeller, men da må de ta en egen sak i sin egen rettssak. Dette er med andre ord ikke det tilsynsmyndigheten søker for en domstol.
Den europeiske unions domstols holdning
EU-domstolen avgjorde ansvar for brudd på personopplysninger som vil føre til fremtidig misbruk av personopplysninger. De registrerte kan ha rett til erstatning i tilfelle berettiget frykt for fremtidig misbruk av personopplysninger.
Mer om GDPR
Tiltak som virksomheter kan bli nødt til å ta i henhold til GDPR
GDPR krever at selskaper skal kunne demonstrere blant annet at de overholder GDPR, oppfyller rettighetene til de registrerte, beskytter personopplysningene de behandler, etc. Jo viktigere personopplysningene er, desto høyere er sikkerhetskravene. Eksempler på tiltak er etablering av nødvendige GDPR-relaterte avtaler og dokumenter. For eksempel en personvernerklæring og dokumentasjon av gjennomførte konsekvensutredninger. Vær oppmerksom på at de økonomiske konsekvensene for selskaper som bryter med GDPR kan være ødeleggende for selskapet.