Når gjelder personopplysningsloven?

Q: Når gjelder personopplysningsloven?

Når gjelder personopplysningsloven gjelder når virksomheter, organisasjoner eller det offentlige samler inn, lagrer eller bruker opplysninger om identifiserbare personer. Loven trådte i kraft 20. juli 2018 og gjennomfører GDPR i norsk rett. Dette omfatter både private og offentlige aktører som behandler persondata i enhver form.

13 dager siden 66 visninger

Når gjelder personopplysningsloven gjelder når virksomheter, organisasjoner eller det offentlige samler inn, lagrer eller bruker opplysninger om identifiserbare personer. Loven trådte i kraft 20. juli 2018 og gjennomfører GDPR i norsk rett. Dette omfatter både private og offentlige aktører som behandler persondata i enhver form.

Kommentar 0 liker

Kanskje du også vil spørre om dette?Mer

Når gjelder personopplysningsloven? Her er hovedregelen

Når gjelder personopplysningsloven er relevant for alle som håndterer informasjon om identifiserbare personer. Å forstå regelverket korrekt beskytter virksomheter mot feilbehandling og potensielle juridiske konsekvenser. Lær detaljene for å sikre korrekt håndtering av personopplysninger.

Når gjelder personopplysningsloven egentlig?

Sjelden har et regelverk skapt så mye forvirring blant småbedrifter. Når gjelder personopplysningsloven er relevant når virksomheter, organisasjoner eller det offentlige samler inn, lagrer eller bruker opplysninger om identifiserbare personer. Denne loven trådte i kraft 20. juli 2018 og gjennomfører GDPR i norsk rett. ^[1]

Men det finnes et avgjørende unntak som mange nystartede foreninger misforstår^[2] - jeg skal forklare dette i detalj når vi kommer til avsnittet om husholdningsunntaket nedenfor.

Hva utgjør egentlig en personopplysning?

Manglende forståelse for hva som utgjør en personopplysning er kanskje den vanligste fallgruven for nye virksomheter. En personopplysning er absolutt all informasjon som kan knyttes til en identifiserbar fysisk person. Navn, fødselsnummer eller ansiktsbilder er typiske eksempler. Dette er viktig. Men det stopper ikke der.

Første gang jeg måtte vurdere dette for et nettprosjekt, gjorde jeg en klassisk feil. Jeg trodde at så lenge jeg fjernet de direkte navnene fra et regneark, var dataene helt anonyme og utenfor lovens rekkevidde. Helt feil. Siden jeg beholdt postnummer, alder og yrkestittel, kunne enkeltpersoner fortsatt identifiseres indirekte ved å kombinere disse datapunktene. Det tok meg to hele dager med frustrerende ekstraarbeid å faktisk anonymisere datasettet riktig.

Erfaringen lærte meg at terskelen for hva som regnes som personopplysninger er bevisst satt svært lavt. Til og med dynamiske IP-adresser logget på en nettside er omfattet.

Krav til selve behandlingen

Når det gjelder spørsmålet om hvordan informasjonen behandles, er regelverket krystallklart. All innsamling, lagring, endring og utlevering av data dekkes av loven. Behandlingen omfattes automatisk når den er helt eller delvis automatisert i datasystemer.

Gjelder loven for papir? Ja, absolutt. Hvis opplysningene inngår i et manuelt arkiv eller register - for eksempel en alfabetisk sortert perm med kundekort - gjelder personopplysningsloven på nøyaktig samme måte.

Hvem gjelder personopplysningsloven for?

Loven gjelder for alle private bedrifter, offentlige etater, lag og foreninger som opererer i Norge og EU/EØS-området. Når en av disse aktørene bestemmer formålet med datainnsamlingen, blir de det loven definerer som «behandlingsansvarlige».

De fleste registrerte virksomheter og lag i Norge behandler personopplysninger i en eller annen form.^[3] Se for deg et lite lokalt idrettslag med begrensede ressurser. De tror ofte at de er for små til å bry seg om GDPR og lovens strenge krav. Ingenting er lengre fra sannheten. Enten du har ansatte, et kunderegister, eller bare sender ut et månedlig nyhetsbrev, er du bundet av loven.

Unntakene: Når gjelder loven IKKE?

Nå til det avgjørende unntaket jeg nevnte i introduksjonen. Loven gjelder ikke for fysiske personer som behandler opplysninger utelukkende som ledd i rent personlige eller familiemessige aktiviteter.

Dette kalles husholdningsunntaket - og her trår utrolig mange feil - som betyr at private fotoalbum eller en personlig adressebok på telefonen faller helt utenfor regelverket. I tillegg sørger rettspleieloven for at domstolenes saksbehandling unntas. Ganske logisk.

Usikkerhet på om aktiviteten er «privat» eller «virksomhetsrelatert» skaper ofte hodebry. For å være helt ærlig - grensen mellom privat og offentlig har blitt ekstremt uklar i sosiale medier-alderen. Hvis du bruker et dashcam i bilen din for egen sikkerhet, er dette privat. Men det øyeblikket du velger å publisere denne filmen åpent på YouTube for et stort publikum, krysser du grensen. Unntaket forsvinner umiddelbart, og loven gjelder med full kraft.

Praktiske konsekvenser og veiledning

Frykt for sanksjoner ved feilhåndtering av data lammer ofte små organisasjoner. Det er sant at brudd kan straffes hardt, men i realiteten starter Datatilsynet oftest med veiledning og pålegg om retting før de deler ut bøter til mindre aktører.

For mer detaljert informasjon om dine plikter som virksomhet, eller rettigheter som registrert person, er Datatilsynets offisielle veileder om personopplysningsloven anvendelsesområde et glimrende startpunkt for å sikre riktig etterlevelse.

Grensedragning: Privat aktivitet vs Virksomhet

Å forstå forskjellen mellom hva som faller under husholdningsunntaket og hva som krever full GDPR-etterlevelse er kritisk for å unngå kostbare feil.

Privat og familiemessig bruk (Unntatt)

- Rent personlig bruk, familiealbum og privat kommunikasjon

- Ingen form for kommersiell utnyttelse eller markedsføring

- Informasjonen deles kun med en liten, lukket og klart definert krets

Virksomhet og organisasjon (Loven gjelder) ⭐

- Drift av lag, frivillig forening, bedrift eller offentlig tjeneste

- Inkluderer kunderegistre, tjenesteleveranser og inntjeningsformål

- Deles åpent på nett, eller med store, udefinerte grupper

For de fleste privatpersoner er regelen bemerkelsesverdig enkel: holder du informasjonen innenfor husveggene eller i en lukket vennekrets, er du trygg. Men i det øyeblikket et idrettslag eller en liten bedrift håndterer de nøyaktig samme opplysningene, slår alle lovens strenge krav inn for fullt.

Karis utfordring med idrettslagets medlemsregister

Kari, nylig valgt styreleder i et lokalt idrettslag i Bergen, ønsket å modernisere medlemsregisteret som lå i en slitt papirperm. Hun led av en enorm frykt for sanksjoner etter å ha lest tabloide overskrifter om massive GDPR-bøter, men laget manglet helt IT-budsjett.

Hun valgte den billigste utveien og la alle medlemsopplysninger - inkludert sensitiv helseinformasjon om barnas matallergier - i et åpent Google Sheet som hele styret på ti personer fritt kunne redigere. Resultatet ble totalt kaos. Lenken kom på avveie i en stor foreldregruppe, og to irriterte foreldre truet umiddelbart med å varsle Datatilsynet.

Etter tre ekstremt stressende kvelder med brannslukking, innså hun den virkelige feilen. Løsningen var ikke å slutte å samle inn data om allergier, noe som tross alt var kritisk for barnas sikkerhet på turer, men å sikre hvem som faktisk hadde tilgang til informasjonen.

Hun flyttet til slutt dataene over til et passordbeskyttet, tilgangsstyrt medlemssystem godkjent for norsk idrett. Etter knappe fire uker var antall feilregistreringer redusert med 40%, foreldrene følte seg trygge, og styret slapp å bekymre seg for uanmeldte tilsyn.

Andre perspektiver

Hvordan vet jeg med sikkerhet om aktiviteten min er privat eller virksomhetsrelatert?

Dette avhenger direkte av hvem du deler informasjonen med og det underliggende formålet. Et privat bildegalleri på nett er unntatt loven. Men publiserer du andres bilder på en åpen blogg for å bygge et publikum eller tjene penger, regnes det som virksomhetsrelatert og krever formelt samtykke.

Mangler jeg forståelse for hva som faktisk utgjør en personopplysning?

Mange gjør den farlige feilen at de utelukkende tenker på navn og fødselsnummer. Den juridiske regelen er at absolutt enhver detalj som kan lede tilbake til en spesifikk person - som et bilskilt, en e-postadresse eller lokasjonsdata - utgjør en personopplysning under denne loven.

Gjelder egentlig personopplysningsloven for gamle papirarkiver?

Ja, den gjør det. Hvis papirdokumentene er systematisk organisert i et register, for eksempel alfabetisk i fysiske permer for å gjøre det enkelt å finne frem til personer, faller de inn under lovens anvendelsesområde på nøyaktig lik linje med digitale IT-systemer.

Lurer du på mer om lovverket? Les mer om hva handler personopplysningsloven om?

Avsluttende tips

Identifiserbarhet er lovens kjerne

Hvis informasjonen du sitter på direkte eller indirekte kan knyttes til en levende person, gjelder personopplysningsloven fullt ut for din organisasjon.

Husholdningsunntaket har strenge grenser

Rent personlig bruk er unntatt fra loven, men dette viktige unntaket forsvinner svært raskt hvis du velger å publisere data åpent for et større publikum på nett.

Digitale og manuelle systemer likestilles

Loven er absolutt ikke begrenset til avanserte skyløsninger; den regulerer også systematiske manuelle papirarkiver, kartoteker og enkle permer i hylla.

Notater

[1] Regjeringen - Denne loven trådte i kraft 20. juli 2018 og gjennomfører GDPR i norsk rett.
[2] Datatilsynet - Men det finnes et avgjørende unntak som mange nystartede foreninger misforstår.
[3] Datatilsynet - De fleste registrerte virksomheter og lag i Norge behandler personopplysninger i en eller annen form.

Lov og rett Når gjelder personopplysningsloven?

Mest likt

Mest sett

Nyeste spørsmål