Avtale er et av de mest benyttede behandlingsgrunnlagene. Et typisk eksempel er en bedrift med nettbutikk som har solgt en vare til en privatperson og må behandle kundens adresseopplysninger for å sende varen. Adresseopplysningene er nødvendige for å levere varen kunden ønsker.
For å bruke avtale som behandlingsgrunnlag er det viktig å være oppmerksom på at:
Avtalegrunnlaget kan bare benyttes fra det tidspunkt en avtale er inngått, ikke før. De samme opplysningene kan likevel registreres før avtaleinngåelse dersom dette skjer for å gjennomføre tiltak på den registrertes anmodning før avtale inngås.
Avtalen gjelder bare mellom individet som har inngått avtalen og den enheten som har gjort avtalen, i praksis det organisasjonsnummeret som er oppgitt som behandlingsansvarlig. Dette betyr at kundeopplysninger eller HR-opplysninger ikke automatisk kan deles med andre samarbeidspartnere eller andre selskaper. Dersom slik deling skal skje, må det finnes et særskilt hjemmelsgrunnlag.
Forordningens regler om informasjonssikkerhet følger av artikkel 32, mens artikkel 33 og 34 gir regler om varsling av henholdsvis Datatilsynet og den registrerte ved «brudd på personopplysningssikkerheten».
Brudd på personopplysningssikkerheten er i artikkel 4 definert som:
«Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.»
Den behandlingsansvarlige skal dokumentere ethvert brudd på personopplysningssikkerheten, herunder de faktiske forholdene rundt bruddet, virkningene av det og hvilke tiltak som er truffet for å utbedre det, jf. art. 33 nr. 5.
Etter artikkel 33 skal man varsle Datatilsynet uten ugrunnet opphold og senest 72 timer etter at man fikk kjennskap til bruddet, med mindre bruddet sannsynligvis ikke vil medføre risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes innen 72 timer, skal årsakene til forsinkelsen oppgis.
Dersom det er sannsynlig at bruddet vil medføre høy risiko for de registrerte, skal den behandlingsansvarlige uten ugrunnet opphold underrette den registrerte om bruddet, jf. artikkel 34.
Dersom en databehandler oppdager et brudd, skal denne gi den behandlingsansvarlige beskjed uten ugrunnet opphold. Dette er naturlig fordi det er den behandlingsansvarlige som har varslingsplikt overfor Datatilsynet og eventuelt de registrerte, ikke databehandleren.
Datatilsynet har kategorisert brudd på personopplysningssikkerheten slik at et brudd kan omfatte én eller en kombinasjon av følgende situasjoner:
Datatilsynet har også listet opp typiske eksempler på avvik som skal meldes:
En behandlingsansvarlig har ansvar for å iverksette egnede tekniske og organisatoriske tiltak for å sikre og kunne fremlegge bevis for at behandling skjer i samsvar med personvernforordningen. Gjennomføringen skal skje under hensyn til behandlingens type, omfang, omstendigheter og formål, samt sannsynlighet og alvorlighetsgrad av risiko. Det følger også et ansvar for å gjennomgå og oppdatere tiltakene.
For å kunne demonstrere oppfyllelse av forpliktelser kan den behandlingsansvarlige følge godkjente atferdsregler i samsvar med art. 40 eller godkjent sertifiseringsprosedyre i samsvar med art. 42.
Felles behandlingsansvarlige
Når to eller flere behandlingsansvarlige i fellesskap bestemmer formål og virkemidler, er de sammen ansvarlige. Det kreves en avtale hvor forordningens plikter fordeles mellom partene. Avtalen må gjenspeile faktiske funksjoner og forhold mellom de felles behandlingsansvarlige og de registrerte. Det vesentlige innholdet i avtalen skal gjøres tilgjengelig for de registrerte. Den registrerte har rett til å henvende seg til hver enkelt behandlingsansvarlig, uavhengig av ansvarsfordeling.
Representant for behandlingsansvarlig utenfor EU
Dersom en behandlingsansvarlig ikke er etablert i EU, men behandler personopplysninger om registrerte i unionen, skal behandlingsansvarlig skriftlig utpeke en representant. Representanten opptrer på vegne av den behandlingsansvarlige og skal være et tilgjengelig kontaktpunkt for de registrerte. Representanten skal være etablert i en av medlemsstatene hvor det behandles personopplysninger.
Oppnevnelsen av en representant fritar ikke den behandlingsansvarlige for rettslig ansvar. Dersom virksomheten behandler personopplysninger fra EU, er det likevel ikke nødvendig å oppnevne representant dersom behandlingen bare er periodevis og ikke omfatter omfattende behandling i henhold til art. 9 nr. 1 eller art. 10. Kravet gjelder heller ikke for offentlige organer eller myndigheter.
Når berettiget interesse brukes som behandlingsgrunnlag, plikter den behandlingsansvarlige å være åpen om dette. Den behandlingsansvarlige må:
Det er et vilkår at den registrertes grunnleggende personverninteresser ikke veier tyngre enn den behandlingsansvarliges interesse i å behandle opplysningene. Denne interesseavveiningen må den behandlingsansvarlige selv foreta og dokumentere.
Ved vurderingen av hvilken ulempe behandlingen medfører for den enkelte, er det naturlig å se hen til:
Interesseavveiningen må dokumenteres, blant annet overfor den registrerte og overfor tilsynsmyndighetene ved kontroll.
Bøter reguleres av art. 84 og skal være effektive, forholdsmessige og avskrekkende. Bøtenivået er harmonisert i Europa for å unngå «fristater» og kan være opptil fire prosent av brutto omsetning eller 20 millioner euro, avhengig av hva som gir høyest beløp.
I Norge er en av de største bøtene varslet Oslo kommune, for brudd på sikkerheten i en app de benyttet. Bruddet medførte at uvedkommende kunne ta seg inn i en skolesystemer og hente informasjon om elever og ansatte. Boten ble varslet til 2 millioner kroner, fordi opplysninger om barn klassifiseres som sensitive etter art. 9.
Internasjonalt har Facebook fått bot på 5 milliarder amerikanske dollar som følge av Cambridge Analytica-skandalen. Grunnlaget var brudd på kravene til samtykke før deling av personopplysninger. Registrerte ble utsatt for tilpasset markedsføring foran et presidentvalg, basert på analyser av deres personalia. Mengder av personopplysninger ble delt og analysert uten samtykke eller kunnskap, noe som bidro til størrelsen på boten.
PWC ble ilagt bot på 150 000 euro for å ha påvirket registrertes samtykke, som skal gis frivillig. Virksomheten brøt også med prinsippet om gjennomsiktighet ved å bruke et rettslig grunnlag ansatte ikke var klar over, og manglet nødvendig dokumentasjon for behandlingsgrunnlaget.
I noen situasjoner må man foreta en vurdering av personvernkonsekvenser (DPIA – Data Protection Impact Assessment). Hensikten er å sikre grundige vurderinger der behandlingen medfører spesielt høy risiko for de registrertes rettigheter eller friheter.
Hovedregelen er at det skal gjennomføres DPIA når behandlingen medfører spesielt høy risiko for den registrerte. Unntak gjelder der behandlingen er nødvendig for å oppfylle en rettslig forpliktelse eller en offentlig oppgave den behandlingsansvarlige er pålagt.
Siden en DPIA kan føre til at en behandling endres eller ikke kan gjennomføres, bør den gjøres tidlig i en utviklings- eller innkjøpsprosess.
Overordnet gang i en DPIA-prosess:
Hvordan virksomheten bør arbeide med DPIA:
Virksomheten bør først identifisere hvilke prosesser som er aktuelle for DPIA. Deretter settes et egnet team, eventuelt med leverandører og samarbeidspartnere.
Analysen gjennomføres typisk i workshops og møter. Det er viktig å samle inn mest mulig informasjon på forhånd. Noen med personvernkompetanse må delta, i tillegg til systemeiere, fagpersoner på forretningsprosesser, tekniske arkitekter og eventuelle samarbeidspartnere. Erfaring med ROS-analyser er nyttig.
Når DPIA er godkjent, bør virksomheten vurdere hvilke parter som skal informeres om analysen.
Minimumsinnhold i en DPIA:
En databehandler behandler personopplysninger på vegne av en behandlingsansvarlig. Behandlingen krever grunnlag i skriftlig kontrakt eller annet juridisk instrument.
Avtalen skal binde databehandler når det gjelder:
Avtalen skal blant annet inneholde:
Dersom databehandler benytter underleverandør, skal denne være underlagt de samme databeskyttelsesforpliktelsene. Dersom underleverandøren ikke overholder sine forpliktelser, er databehandler ansvarlig overfor behandlingsansvarlig.
Dersom databehandler selv bestemmer formål og midler for behandlingen, vil databehandler anses som behandlingsansvarlig for den delen av behandlingen.
Artikkel 3 regulerer det geografiske (stedlige) virkeområdet. Sammen med artikkel 2 angis hvilke behandlingssituasjoner forordningen gjelder.
Forordningen får anvendelse:
Utvidet geografisk virkeområde
Dersom behandlingsansvarlig eller databehandler ikke er etablert i EØS, men behandler personopplysninger om personer i EØS, må vedkommende forholde seg til forordningen dersom det tilbys varer eller tjenester til disse individene, uavhengig av betaling.
Det samme gjelder dersom slike aktører monitorerer individers atferd i EU. Begrepet «monitorering» er ikke definert i detalj, men fortalepunkt 24 presiserer at det omfatter sporing av fysiske personer på internett, herunder profilering, spesielt for å treffe beslutninger om dem eller analysere/forutsi preferanser, atferd eller holdninger.
Retten til å være informert omfatter krav til åpenhet mellom behandlingsansvarlig og den registrerte. Artikkel 12 er en overordnet bestemmelse om åpenhet, og viser til øvrige rettighetsbestemmelser i kapittelet.
Artikkel 12 skal leses i lys av prinsippet i art. 5 nr. 1 bokstav a om at personopplysninger skal behandles lovlig, rettferdig og åpent.
Den behandlingsansvarlige skal:
Artikkel 13 og 14 spesifiserer hva virksomheten må informere om. Informasjonen skal gis aktivt, på en måte som er enkel å få tilgang til, lese og forstå.
Når opplysningene samles inn fra den registrerte (art. 13) skal det gis informasjon om:
a) identiteten og kontaktopplysningene til behandlingsansvarlig og eventuell representant
b) kontaktopplysningene til personvernombud, dersom relevant
c) formålene med behandlingen og rettslig grunnlag
d) dersom grunnlaget er art. 6 nr. 1 bokstav f – hvilke berettigede interesser som forfølges
e) mottakere eller kategorier av mottakere
f) eventuelle overføringer til tredjestater eller internasjonale organisasjoner, og referanse til beskyttelsesnivå og garantier
I tillegg skal den behandlingsansvarlige gi:
a) lagringstid eller kriterier for å fastsette denne
b) informasjon om retten til innsyn, retting, sletting, begrensning, dataportabilitet og protest
c) retten til å trekke samtykke tilbake når samtykke er grunnlag
d) retten til å klage til tilsynsmyndighet
e) om det foreligger krav om å gi personopplysninger, og konsekvenser av å ikke gi opplysningene
f) om det forekommer automatiserte avgjørelser, herunder profilering, og informasjon om logikk, betydning og konsekvenser
Når opplysningene ikke samles inn fra den registrerte (art. 14):
Den behandlingsansvarlige skal gi samme informasjon som over, samt:
Informasjonen skal gis:
a) innen rimelig tid, senest én måned etter at opplysningene er samlet inn
b) senest ved første kommunikasjon med den registrerte dersom opplysningene brukes til slik kommunikasjon
c) senest ved første utlevering dersom opplysningene skal utleveres til annen mottaker
Innebygd personvern og personvern som standard reguleres av art. 25. Innebygd personvern («privacy by design») ble utviklet av personvernmyndighetene i Ontario på 1990-tallet og har siden fått fotfeste internasjonalt.
Innebygd personvern krever at behandlingsansvarlig implementerer nødvendige tekniske og organisatoriske tiltak for å ivareta prinsippene i art. 5 på en effektiv måte. Tiltakene skal være egnet til å:
Tiltak kan være alt fra tekniske løsninger til opplæring av personell. Retningslinjene oppfordrer til at tiltak planlegges og implementeres i de tidligste fasene av nye behandlingsoperasjoner.
Kravene vurderes etter:
Behandlingsansvarlig er ansvarlig for å holde seg oppdatert på teknologisk utvikling. Det er ikke nok å implementere generiske tiltak; hvert tiltak må ha faktisk og dokumenterbar effekt.
Art. 25 krever ikke bestemte tiltak, så lenge de valgte tiltakene samlet sett er tilstrekkelige.
Ved vurdering av risiko viser EDPB til art. 35 om DPIA. DPIA beskriver behandling og vurderer nødvendighet og proporsjonalitet, og kan også benyttes som grunnlag ved risikoanalyse etter art. 25.
Eksempler på tiltak:
Databeskyttelse som standard
Databeskyttelse som standard krever at standardinnstillinger i systemer er mest mulig personvernvennlige, for eksempel når det gjelder:
Personopplysninger skal som standard ikke være tilgjengelige på ubestemt tid eller for et ubestemt antall personer. Kun nødvendige opplysninger skal behandles.
Dette gjelder både innstillinger satt av virksomheten og innstillinger tilgjengelig for den registrerte. Behandlingsansvarlig må på forhånd spesifisere formål med behandlingen, for å kunne sikre at nødvendige tiltak er iverksatt.
Et eksempel er en sosial medieplattform som bør ha mest personvernvennlig profilinnstilling som standard, slik at profiler ikke automatisk blir tilgjengelige for et ubestemt antall personer.
Retten til innsyn gir den registrerte rett til en kopi av personopplysninger og annen tilleggsinformasjon. Etter art. 15 har den registrerte rett til informasjon om:
En godt skrevet personvernerklæring vil ofte dekke det meste av dette, med unntak av den konkrete kopien av personopplysningene og noen ganger oversikt over tredjeparter og databehandlere.
Innsynsbestemmelsen innebærer at den registrerte kan få innsyn i mange dokumenttyper, også interne dokumenter, inkludert fritekstfelt/chat hvor vedkommende er omtalt. Innsynet gjelder kun personopplysninger om den registrerte, slik at annen informasjon kan sladdes.
Fortalepunkt 59 anbefaler at virksomheter legger til rette for elektroniske forespørsler, for eksempel via innsynsskjema. Samtidig er innsynsforespørsler gyldige uansett hvordan de fremmes, og virksomheten må informere om at bruk av skjema ikke er obligatorisk.
Kapittel 5 gjelder når behandlingsansvarlig eller databehandler overfører personopplysninger til tredjestater eller internasjonale organisasjoner.
En tredjestat er en stat utenfor EU. EØS-landene Norge, Island og Liechtenstein regnes ikke som tredjestater når forordningen er gjennomført.
Ett overføringsgrunnlag er at Europakommisjonen har fastslått at et tredjeland har tilstrekkelig beskyttelsesnivå. Overføring til slike land likestilles med overføring innen EU/EØS og krever verken egen godkjenning eller varsling til Datatilsynet. Per 11. desember 2019 forelå det 13 slike beslutninger.
Hvis det ikke foreligger beslutning om tilstrekkelig beskyttelsesnivå, kan overføring skje dersom behandlingsansvarlig eller databehandler gir «nødvendige garantier», og den registrerte har håndhevbare rettigheter og effektive rettsmidler, jf. art. 46 nr. 2. Dette kan sikres ved:
Dersom standardklausuler ikke passer, kan virksomheten utforme egne 계약vilkår som må godkjennes av Datatilsynet med tilslutning fra Personvernrådet.
Offentlige myndigheter som overfører personopplysninger til utenlandske motparter kan bruke administrative ordninger (for eksempel Memorandum of Understanding) med bestemmelser som gir registrerte håndhevbare rettigheter og effektive rettsmidler. Ordningen må godkjennes av Datatilsynet.
Hvis ingen av mekanismene passer, kan overføring likevel være tillatt i særskilte unntakstilfeller. Reglene er snevre, og avhengig av unntaksgrunn må Datatilsynet varsles på forhånd. Mer informasjon finnes på Datatilsynets nettsider.
Hva innebærer det å være personvernombud?
Personvernombudet er en ressurs utpekt av organisasjonen for å gi veiledning og informasjon om forpliktelser etter personvernforordningen. Ombudet skal påse at forpliktelser etter forordningen, øvrig EU-rett og nasjonale databeskyttelsesregler overholdes. Dette inkluderer:
Ombudet skal ha tilstrekkelig uavhengighet og kan ikke være del av virksomhetens ledelse. Ombudet kan være intern eller ekstern. Det er ingen formelle utdanningskrav, men ombudet skal utnevnes på bakgrunn av kunnskap og kompetanse. Ombudet fungerer som kontaktpunkt for Datatilsynet og offentligheten.
Hvem skal ha personvernombud?
Plikt til personvernombud utløses når virksomheten:
Sykefraværsoppfølging av egne ansatte regnes normalt ikke som kjernevirksomhet, mens helsehjelp i sykehus gjør det. Ekomtilbydere har ombudsplikt.
Artikkel 5 inneholder generelle, grunnleggende prinsipper for behandling. Disse:
All behandling skal som hovedregel tilfredsstille prinsippene, og unntak må ha hjemmel.
Personopplysninger skal:
Den registrerte kan i enkelte tilfeller kreve at behandlingen begrenses. Begrensning betyr at opplysningene fortsatt lagres, men at videre behandling stoppes eller begrenses.
Rett til begrensning foreligger når:
Artikkel 18 regulerer denne retten.
Rett til dataportabilitet gjelder når behandlingsgrunnlaget er samtykke eller avtale, og behandlingen skjer automatisk (ikke papirbasert).
Rettigheten gir den registrerte:
Den registrerte har krav på informasjon om hvordan personopplysninger behandles. Dette ivaretas typisk i en personvernerklæring.
Artikkel 13 og 14 gir liste over informasjon som må gis (se egen seksjon om informasjon). Retten til innsyn gir i tillegg rett til kopi av egne personopplysninger og tilleggsinformasjon som hjelper den registrerte å forstå behandlingen og kontrollere lovlighet.
Artikkel 16 gir registrerte rett til å få uriktige personopplysninger rettet. Den registrerte kan også kreve at ufullstendige opplysninger kompletteres.
Artikkel 17 gir rett til sletting («retten til å bli glemt»). Retten er ikke absolutt og gjelder ikke der behandlingsansvarlig må oppfylle rettslige forpliktelser, for eksempel bokføringsplikt.
Den registrerte kan protestere mot behandling dersom vedkommende har særskilt behov for å få behandlingen stanset. Innsigelsesretten er ikke ubetinget; den avhenger av behandlingsgrunnlag og den registrertes situasjon, jf. art. 21.
Dersom virksomheten mottar protest og ikke har tungtveiende grunner til å avvise den, må behandlingen stanses. Det kan likevel være at opplysningene må beholdes for andre lovlige formål.
Automatiserte beslutninger er beslutninger tatt utelukkende ved automatiserte midler, uten menneskelig innblanding.
Slike beslutninger med rettsvirkning eller lignende betydelig virkning er bare tillatt når:
All behandling må ha rettslig grunnlag etter art. 6. Følgende alternativer finnes:
a) samtykke til ett eller flere spesifikke formål
b) nødvendig for å oppfylle avtale med den registrerte eller gjennomføre tiltak før avtaleinngåelse
c) nødvendig for å oppfylle rettslig forpliktelse som påhviler behandlingsansvarlig
d) nødvendig for å verne den registrertes eller annen fysisk persons vitale interesser
e) nødvendig for å utføre oppgave i allmennhetens interesse eller utøve offentlig myndighet
f) nødvendig for berettigede interesser som forfølges av behandlingsansvarlig eller tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter går foran (særlig for barn)
Artikkel 2 angir saklig virkeområde. Forordningen gjelder i utgangspunktet enhver behandling av personopplysninger, elektronisk eller fysisk, der opplysninger er systematisert eller kan gjenfinnes.
Forordningen er teknologinøytral og gjelder både:
Unntak (art. 2 nr. 2) gjelder blant annet:
Etter art. 6 nr. 1 bokstav a kan behandling baseres på samtykke. Samtykket må være knyttet til ett eller flere spesifikke formål.
Det er ikke formkrav til formen på samtykket, men behandlingsansvarlig må kunne dokumentere:
Samtykke skal gis før behandlingen starter.
Etter art. 4 nr. 11 er samtykke:
«Enhver frivillig, spesifikk, informert og utvetydig viljestyring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende.»
Krav til gyldig samtykke:
Samtykke kan trekkes tilbake når som helst, og det skal være like enkelt å trekke tilbake som å gi. Etter tilbaketrekking kan opplysningene ikke lenger behandles på grunnlag av samtykke, og skal normalt slettes med mindre annet behandlingsgrunnlag gjelder (for eksempel bokføringsregler).
Behandlingsgrunnlag for særlige kategorier personopplysninger finnes i art. 9. Hovedregelen er forbud mot behandling av opplysninger om:
Unntak fra forbudet, blant annet: