Artikkel 4 og 9 i GDPR
Personopplysninger
Alle selskaper som behandler personopplysninger om personer som befinner seg i EU/EØS, må overholde EUs personvernforordning (GDPR).
Definisjonen av personopplysninger under GDPR
Et sentralt element i å overholde GDPR er forståelsen av hva personopplysninger er for. Det finnes mange forskjellige typer og kategorier av personopplysninger, i tillegg til de mest åpenbare personopplysningene.
Definisjonen av personopplysninger er angitt i artikkel 4 (1) i GDPR. Med «personopplysninger» menes alle opplysninger som direkte eller indirekte gjelder en identifisert eller identifiserbar fysisk levende person.
I tillegg utgjør informasjon knyttet til en eller flere faktorer som er spesifikke for en fysisk persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identitet, også personopplysninger.
Kort sagt, GDPR dekker alle typer data som kan identifisere et naturlig levende individ, både direkte og indirekte.
Hvem må forholde seg til GDPR?
Denne forordning trådte i kraft 25. mai 2018 og gjelder i alle EU/EØS-land. Alle EU-selskaper som behandler personopplysninger må overholde GDPR. Den gjelder også i mange tilfeller selskaper etablert utenfor EU/EØS, herunder om de tilbyr tjenester eller varer, gratis eller mot vederlag, til personer som befinner seg innenfor EU/EØS.
Klare og mindre gjennomsiktige personopplysninger
Når det er mulig å knytte et stykke informasjon til en fysisk levende person på noen måte, er det personopplysninger. Vær oppmerksom på at enda mindre klare data kan betraktes som personopplysninger under GDPR. Det trenger ikke nødvendigvis å være en oppgave som kan knyttes direkte til en person, men det kan også skje indirekte.
Eksempler på indirekte personopplysninger
Hvis en person har et personlig busskort som kan blokkeres hvis han gir transportselskapet kortnummeret til det tapte kortet. For at transportselskapet skal vite hvem kortet tilhører, har de et system som identifiserer personen kortet er registrert på. Med andre ord er det mulig å knytte kortnummeret til personen gjennom en såkalt tilbakeveisidentifikasjon. Kortnummeret anses derfor som personopplysninger. Den samme begrunnelsen gjelder også for registreringsnummeret til et kjøretøy som eies av en privatperson, som derfor også er personopplysninger i henhold til GDPR.
Eksempler på kategorier og typer personopplysninger
- Identifikasjonsdata: Navn, personnummer, passnummer, kunde-ID.
- Kontaktinformasjon: Postadresse, e-postadresse, telefonnummer.
- Stedsdata: IP-adresse knyttet til en person, GPS-koordinater.
- Økonomiske faktorer: Bankkontonummer, transaksjons- og kjøpshistorikk, kredittvurdering.
- Online-identifikator: Brukernavn for sosiale medier, IMEI-nummer, MAC-adresse, enhets-ID, informasjonskapsler.
- Andre personopplysninger: Psykologiske diagnoser.
- Fysiske faktorer: Fingeravtrykk, genetiske data som DNA-prøver.
- Fysiologiske faktorer: Hjerterytmen måles ved hjelp av en smartklokke.
Jo viktigere personopplysningene er, desto høyere sikkerhetskrav
Hvert selskap må implementere hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysningene det behandler. Tiltakene som skal treffes, varierer avhengig av situasjonen, for eksempel hvilke typer personopplysninger det gjelder. Jo viktigere personopplysninger er, desto høyere er sikkerhetskravene.
For eksempel trenger bedrifter sterkere beskyttelse ved lagring av kredittkortdata enn ved lagring av e-postadresser. I tillegg kan det hende at selskapet må utføre en konsekvensanalyse før de begynner å utføre visse typer behandlinger.
Sensitive personopplysninger
Det er visse spesielle kategorier av personopplysninger som, i henhold til den generelle regelen fastsatt i artikkel 9 i GDPR, er forbudt å behandle. På den annen side er det noen unntak fra den generelle regelen. Disse særlige kategoriene av personopplysninger kalles noen ganger «sensitivepersonopplysninger».
- Data som avslører informasjon om følgende utgjør slike sensitive personopplysninger:
- Etnisk opprinnelse.
- Politiske oppfatninger.
- Religiøs eller filosofisk tro.
- Medlemskap i fagforeninger.
- Helsedata (for eksempel blodgruppe, sykefravær, etc.).
- Seksuell orientering eller seksualliv.
- Genetiske opplysninger.
- Biometriske data (f.eks. ved bruk av biometriske data for identifisering via AI via CCTV).
Når det er tillatt å behandle sensitive personopplysninger under GDPR
Behandling av sensitive personopplysninger er forbudt etter hovedregelen i artikkel 9 nr. 1 i GDPR. Imidlertid viser artikkel 9 (2) i GDPR 10 unntak fra den generelle regelen, som angir når det er tillatt å behandle sensitive personopplysninger:
Samtykke
Når den registrerte har samtykket til behandling av hans eller hennes sensitive personopplysninger for ett eller flere spesifikke formål; Dette forutsetter imidlertid at nasjonal lovgivning ikke forbyr bruk av samtykke som lovlig grunnlag.
Arbeidsrett og på områdene trygd og sosial trygghet
når behandlingen er nødvendig for å utøve rettighetene og oppfylle arbeidsgiverens eller den registrertes forpliktelser på områdene arbeidsrett, trygd og trygdeordninger, Dette er underlagt hensiktsmessige garantier som sikrer at de grunnleggende rettighetene og interessene til den registrerte er etablert, og at behandlingen er autorisert av nasjonal lovgivning eller kollektive avtaler.
Beskyttelse av grunnleggende interesser
dersom den registrerte er fysisk eller juridisk ute av stand til å gi samtykke til behandlingen (f.eks. bevisstløs), men behandlingen er nødvendig for å beskytte den registrertes eller en annen fysisk persons liv.
Ikke-kommersielle organisasjoner
En stiftelse, ideell forening eller annen ideell organisasjon med et politisk, filosofisk, religiøst eller faglig formål har rett til å behandle sensitive personopplysninger, forutsatt at behandlingen bare gjelder nåværende eller tidligere medlemmer, eller personer som har regelmessig kontakt med den på grunn av kroppens formål. I slike tilfeller skal egnede garantier iverksettes, og personopplysningene skal ikke utleveres eksternt uten samtykke fra den registrerte.
Offentlig tilgjengelige data
Hvis den registrerte åpenbart har offentliggjort sensitive personopplysninger, er det tillatt å behandle dem.
Rettslige krav
Behandling er lovlig hvis det er nødvendig for etablering, utøvelse eller forsvar av juridiske krav. Det samme gjelder når behandlingen utføres i utøvelsen av rettslige funksjoner.
Betydelig offentlig interesse
Dersom behandlingen er nødvendig av hensyn til en viktig offentlig interesse, basert på unionsretten eller nasjonal lovgivning, og står i forhold til formålet, er behandlingen lovlig. Det må imidlertid treffes hensiktsmessige og konkrete tiltak for å sikre den registrertes grunnleggende rettigheter og interesser.
Helse og sosial omsorg
Behandling er tillatt dersom det er nødvendig for medisinske formål. For eksempel ved vurdering av en arbeidstakers arbeidskapasitet, medisinske diagnoser, helsetjenester, behandling, sosialhjelp osv., forutsatt at behandlingen er tillatt i henhold til unionsretten eller nasjonal lovgivning eller i henhold til kontrakter med helsepersonell, og forutsatt at opplysningene behandles av fagfolk som er underlagt en rettslig taushetsplikt. I tillegg skal det treffes særlige sikkerhetstiltak, for eksempel krypterings- og tilgangskontroll.
Offentlig helse og medisinsk beskyttelse
Behandlingen kan utføres dersom det er nødvendig av hensyn til folkehelsen. For eksempel, for å sikre beskyttelse mot alvorlige grenseoverskridende helsetrusler (for eksempel en pandemi). Dette gjelder hvis behandlingen er basert på EU- eller nasjonal lovgivning. I tillegg skal det være innført særlige garantier for å sikre vern av den registrertes rettigheter og friheter, særlig taushetsplikt.
Forskning, statistikk og arkivering:
- Behandling er tillatt dersom det er nødvendig for:
- a. Arkiveringsformål i allmennhetens interesse (for eksempel lagring av offentlig eller historisk dokumentasjon).
- b. Vitenskapelig forskning (f.eks. medisinske undersøkelser)
- Historisk forskning (for eksempel studier om kultur eller historiske hendelser); eller
- Statistiske formål (f.eks. analyse av trender i samfunnet gjennom statistikk).
Dette gjelder forutsatt at behandlingen er basert på EU-retten eller nasjonal lovgivning i den enkelte medlemsstat. Behandlingen må imidlertid stå i forhold til formålet med behandlingen, respektere essensen av retten til databeskyttelse og være underlagt garantier for å beskytte de grunnleggende rettighetene og interessene til den registrerte.
Bedriftsdata er normalt ikke personopplysninger
Vær oppmerksom på at et organisasjonsnummer ikke utgjør personopplysninger. Opplysninger knyttet til foretak omfattes normalt ikke av GDPR. På den annen side kan det være personopplysninger dersom det gjelder en enkelt næringsdrivende, i tilfeller der organisasjonsnummeret er det samme som eierens personnummer.
I noen tilfeller kan et registreringsnummer på en bil være en personopplysningspost, og i andre tilfeller er det ikke. For eksempel, hvis bileieren er et selskap, er det ikke personopplysninger. Men hvis bileieren er en privatperson, er det i stedet personopplysninger under GDPR.
Tilleggsvilkår
Det som er viktig å vite, er at en medlemsstat kan opprettholde eller innføre ytterligere vilkår, herunder begrensninger, når det gjelder behandling av genetiske, biometriske eller helseopplysninger. Dette fremgår av artikkel 9 nr. 4 i GDPR. Bestemmelsene i GDPR er derfor grunnlaget og minimumskravene, så det er viktig for bedrifter å også være klar over eventuelle unntak som gjelder i de enkelte relevante medlemsstatene.
Mer informasjon om de juridiske og lovlige grunnlagene for GDPR
Kontrakt med registrerte er et annet rettslig grunnlag
Bedrifter har rett til å behandle personopplysninger som er nødvendige for å oppfylle en kontrakt med den registrerte. Dette er et annet juridisk grunnlag for GDPR. Et selskap som driver e-handel kan behandle kundens kontaktinformasjon for å levere produktene til kunden. Selskapet har imidlertid ikke rett til å behandle flere personopplysninger enn det som er nødvendig for å oppfylle kontrakten.