Noen kontrollspørsmål du bør stille deg ved innføring av nye personvernregler


Høsten 2017 er tiden for opprydding i virksomhetens registrering, oppbevaring og bruk av personopplysninger. De fleste virksomheter trenger en del tid på å adoptere de nye kravene til personvern som innføres med effekt fra 25. mai 2018.

Virksomheter har nå mindre enn et år igjen av en totalt to års omstillingsperiode for innføringen av General Data Protection Regulation (GDPR).

De grunnleggende krav som gjelder for behandling av personopplysninger i dag, blir videreført i de nye reglene. Derfor vil virksomhetens gjennomgang av nye personvernregler også gi en god oversikt over etterlevelsen av dagens regler.


Dette er noen av de grunnleggende spørsmålene ledelsen i din virksomhet bør kunne besvare:

1. Hvilke personopplysninger behandler virksomheten?

Ledelsen må vite hvilke personopplysninger virksomheten behandler.

Personopplysninger omhandler for eksempel informasjon som navn og personnummer. All informasjon som kan knyttes til en indentifisert eller identifiserbar person er personopplysninger.

Behandler virksomheten sensitive personopplysninger?

Sensitive personopplysninger (sensitive data) er personopplysninger som for eksempel avslører rase eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk tro, medlemskap i fagforening, genetiske data, biometriske data med formål å identifisere en fysisk person, helsedata eller data om seksuell aktivitet og seksuell orientering. Behandling av sensitive personopplysninger er i utgangspunktet forbudt.

Merk at skillet i personopplysningsloven og Direktiv 95/46/EC mellom personopplysninger og sensitive personopplysninger, opprettholdes i GDPR.

2. Har virksomheten adgang til å behandle personopplysningene?

Virksomheten må ha en lovlig adgang for å behandle personopplysninger. Ledelsen må kunne besvare spørsmål om hvilken rett de har til å behandle personopplysninger.

Samtykke fra den registrerte kan være et slikt grunnlag. Dersom virksomheten behandler personopplysninger med samtykke skal virksomheten demonstrere at den registrerte faktisk har gitt samtykke.

Vær oppmerksom på at barns rettigheter er blitt styrket i de nye personvernreglene. Det innebærer blant annet at dersom grunnlaget for behandling av personopplysninger er samtykke og personen er under 16 år, må virksomheten sørge for at foreldre enten gir samtykke på vegne av barnet eller at det foreligger fullmakt eller tilsvarende fra foreldre.

Andre legale grunner for behandling av personopplysninger kan være:

  • at behandlingen er nødvendig for utførelsen av en kontrakt den registrerte er part i;

  • nødvendig for å overholde en juridisk forpliktelse;

  • nødvendig for å beskytte den registrerte vitnesbyrd, eller;

  • for utførelsen av en oppgave utført av offentlig interesse.

Vær oppmerksom på at det kan gjøres unntak fra hovedregelen om at sensitive personopplysninger ikke kan behandles. I de fleste tilfeller er det ikke nødvendig for virksomheten å behandle sensitive personopplysninger (sensitive data).

3. Hvordan oppdages eventuelle avvik fra krav til behandling av personopplysninger?

Ledelsen må kunne svare på hvordan avvik oppdages og håndteres.

Virksomheten skal ha interne rutiner som gjør at de kan varsle Datatilsynet senest 72 timer etter at de har blitt kjent med avvik fra de krav som gjelder for behandling av personopplysninger.

Rapportering til Datatilsynet gjelder ikke dersom det er usannsynlig at dette avviket medfører en risiko for den registrertes frihet og rettigheter. Dette må vurderes i hvert tilfelle.

I enkelte tilfeller er det også krav om at virksomheten varsler den registrerte, dvs. den personen som det er registrert personopplysninger om. Slik varsling skal skje straks (uten opphold) om det ikke er iverksatt beskyttelsestiltak som kan forhindre slik skade eller fordi det er uforholdsmessig vanskelig å varsle alle berørte (men da skal virksomheten informere de berørte på en annen måte, for eksempel ved offentlig kommunikasjon).

4. Hvem er databehandlere for virksomheten og hvilke avtaler er inngått med disse om behandling av personopplysninger?

Ledelsen må kunne svare på hvem som er databehandlere for virksomheten.

En databehandler er for eksempel en person eller selskap som behandler personopplysninger på vegne av den behandlingsansvarlige. Det skal inngås egen databehandleravtale mellom behandlingsansvarlige og databehandleren.

Det nye regelverket gir databehandleren selvstendige plikter, i tillegg til hva som normalt følger av en databehandleravtale. Disse pliktene innebærer blant annet at databehandlere skal varsle behandlingsansvarlig om avvik eller om databehandler mener behandlingen er i strid med reglene.