GDPR-ordliste

Behandlingsansvarlig er virksomheten (eller personen) som avgjør formålet med og midlene for behandlingen av personopplysninger. Det er den behandlingsansvarlige som har hovedansvaret for at personvernreglene følges, og som de registrerte og Datatilsynet holder ansvarlig ved brudd.

Ansvaret kan ikke avtales bort ved å la en leverandør gjøre selve jobben – du forblir ansvarlig for at behandlingen er lovlig.

En databehandler tar ikke selvstendige beslutninger om hvorfor opplysningene skal behandles – den følger oppdraget fra den behandlingsansvarlige. Typiske databehandlere er skyleverandører, regnskapssystemer, e-postverktøy og IT-driftsleverandører.

Databehandleren har egne plikter etter GDPR: tilstrekkelig sikkerhet, ingen bruk av underleverandører uten godkjenning, og bistand ved innsynskrav og brudd. Forholdet skal alltid reguleres i en databehandleravtale.

Når en databehandler setter ut deler av jobben – for eksempel ved å bruke en underliggende skyplattform til drift – blir denne leverandøren en underdatabehandler. Databehandleren kan ikke ta i bruk en underdatabehandler uten forhåndsgodkjenning fra den behandlingsansvarlige, og må binde underdatabehandleren til de samme pliktene.

Dette skaper en kjede av ansvar: den behandlingsansvarlige skal ha oversikt over hele kjeden, ikke bare sin direkte leverandør.

Når flere aktører i fellesskap avgjør hvorfor og hvordan personopplysninger skal behandles, er de felles behandlingsansvarlige. De må inngå en avtale som tydelig fordeler ansvaret mellom seg – særlig hvem som svarer på de registrertes henvendelser.

De registrerte kan uansett gjøre rettighetene sine gjeldende overfor hvem som helst av partene.

Personvernombudet gir råd, kontrollerer etterlevelse og er kontaktpunkt mot Datatilsynet og de registrerte. Rollen er obligatorisk for offentlige myndigheter og for virksomheter som driver storskala overvåking eller behandler særlige kategorier i stor skala.

Ombudet skal være uavhengig, ikke instrueres i utførelsen av oppgavene, og ikke ha en rolle som skaper interessekonflikt.

Den registrerte er personen i sentrum av personvernet – kunden, den ansatte, brukeren eller pasienten. Det er den registrertes rettigheter (innsyn, retting, sletting m.m.) hele regelverket er bygget for å beskytte.

Bare levende, fysiske personer kan være registrerte; virksomheter og avdøde omfattes ikke.

I Norge er dette Datatilsynet. Tilsynet veileder, behandler klager, gjennomfører tilsyn og kan ilegge overtredelsesgebyr på inntil 20 millioner euro eller 4 % av global årsomsetning. Det er også hit brudd på personopplysningssikkerheten meldes.

Den enkelte har alltid rett til å klage til tilsynsmyndigheten dersom de mener personvernet er krenket.

Begrepet er bredt. Det dekker det åpenbare som navn, fødselsnummer, e-postadresse og bilde – men også indirekte identifikatorer som IP-adresse, lokasjonsdata, enhets-ID og kundenummer, så lenge de kan knyttes til en person direkte eller i kombinasjon med andre opplysninger.

Opplysninger om døde personer eller om virksomheter regnes i utgangspunktet ikke som personopplysninger. Anonymiserte data faller også utenfor – men kun hvis det er reelt umulig å identifisere personen igjen.

Dette omfatter opplysninger om helse, etnisk opprinnelse, religiøs eller politisk overbevisning, fagforeningsmedlemskap, seksuell legning, genetiske data og biometriske data brukt til entydig identifikasjon. Fordi misbruk kan ramme den enkelte spesielt hardt, krever GDPR både et alminnelig behandlingsgrunnlag og et særskilt unntak i artikkel 9 nr. 2.

I praksis betyr det strengere krav til samtykke, sikkerhet og dokumentasjon. Behandling av slike data utløser også oftere krav om personvernkonsekvensvurdering (DPIA).

«Behandling» er et samlebegrep for alt man gjør med personopplysninger: innsamling, registrering, lagring, endring, bruk, utlevering, sammenstilling, sperring og sletting. Også ren lagring uten aktiv bruk regnes som behandling.

Det betyr at GDPR slår inn i det øyeblikket opplysninger samles inn, ikke først når de «brukes».

Profilering bruker personopplysninger til å analysere eller forutsi forhold som arbeidsytelse, økonomi, helse, preferanser, atferd eller bevegelser. Det er lov, men utløser informasjonsplikt og krav om at den registrerte forstår logikken bak.

Profilering som inngår i en helautomatisk avgjørelse med betydelig virkning er underlagt de strengere reglene i artikkel 22.

Når en avgjørelse tas helt uten menneskelig vurdering og får stor betydning for personen, har den registrerte som hovedregel rett til å slippe å være underlagt den. Det finnes unntak (avtale, lov eller uttrykkelig samtykke), men da må det innføres garantier – blant annet rett til menneskelig inngripen og til å bestride avgjørelsen.

Dette er et av de mest aktuelle GDPR-temaene i møte med KI-baserte beslutningssystemer.

Ved pseudonymisering byttes direkte identifikatorer ut med en nøkkel eller kode, mens koblingen mellom kode og person lagres separat og sikret. Dataene er fortsatt personopplysninger og omfattet av GDPR, men risikoen reduseres betydelig.

GDPR fremhever pseudonymisering som et anbefalt sikkerhetstiltak og som et virkemiddel for innebygd personvern.

Til forskjell fra pseudonymisering er anonymisering uopprettelig: det skal ikke være mulig å identifisere personen igjen, verken direkte eller ved å kombinere med andre data. Først da regnes opplysningene ikke lenger som personopplysninger.

Reell anonymisering er vanskelig å oppnå i praksis, fordi rike datasett ofte kan re-identifiseres ved sammenstilling.

Et gyldig samtykke krever en aktiv handling – forhåndsutfylte avkrysningsbokser teller ikke. Samtykket må kunne dokumenteres, og det skal være like enkelt å trekke det tilbake som å gi det. Samtykke er ofte upraktisk som behandlingsgrunnlag nettopp fordi det kan trekkes når som helst.

Hvis det er ubalanse mellom partene – som mellom arbeidsgiver og ansatt – er samtykke sjelden «frivillig» nok til å være gyldig.

Prinsippet sier at innsamlingen skal være adekvat, relevant og begrenset til det nødvendige. Det er fristende å samle inn «alt som kan være nyttig en gang», men det er i strid med GDPR – mer data betyr mer ansvar og større risiko.

Spørsmålet du alltid bør stille er: trenger vi virkelig dette feltet for å oppnå formålet?

Formålet skal være fastsatt, uttrykkelig angitt og legitimt før innsamlingen starter. Opplysninger som er samlet inn til ett formål kan ikke uten videre gjenbrukes til et nytt og uforenlig formål.

Dette beskytter mot «funksjonskryp», der data sakte tas i bruk til stadig nye ting brukeren aldri var med på.

Når formålet er oppfylt, skal opplysningene slettes eller anonymiseres – med mindre annen lovgivning krever lengre oppbevaring (for eksempel bokføringsloven). Virksomheten bør ha en sletterutine med definerte lagringstider for hver type data.

«Vi beholder det for sikkerhets skyld» er ikke et gyldig grunnlag for evig lagring.

Ansvarlighet snur bevisbyrden: det er virksomheten som må vise at den etterlever GDPR, ikke tilsynet som må bevise det motsatte. I praksis betyr det dokumentasjon – behandlingsprotokoll, retningslinjer, risikovurderinger, databehandleravtaler og opplæring.

Uten dokumentasjon hjelper det lite at man «egentlig» gjør ting riktig.

«By design» betyr at personvern tas hensyn til allerede når en løsning utvikles, ikke som et tillegg etterpå. «By default» betyr at brukeren ikke skal måtte aktivt skru på personvernet – det skal være på som utgangspunkt.

Tiltak som dataminimering, pseudonymisering og strenge standardvalg er typiske virkemidler.

All behandling må hvile på minst ett av de seks grunnlagene i artikkel 6: samtykke, oppfyllelse av avtale, rettslig forpliktelse, vitale interesser, allmennhetens interesse eller berettiget interesse. Grunnlaget må være valgt før behandlingen starter, og kan ikke byttes ut underveis for samme formål.

Mange tror «samtykke» alltid er riktig grunnlag, men for et kundeforhold er «oppfyllelse av avtale» som regel et bedre og mer robust grunnlag.

Berettiget interesse krever en interesseavveining i tre trinn: er interessen legitim, er behandlingen nødvendig for den, og veier den tyngre enn personens interesser og forventninger? Avveiningen skal dokumenteres (LIA – legitimate interest assessment).

Grunnlaget kan ikke brukes av offentlige myndigheter i utøvelsen av oppgavene sine, og den registrerte har alltid rett til å protestere.

Når du lar en leverandør behandle personopplysninger for deg, krever GDPR en databehandleravtale. Den skal fastsette formål og varighet, hvilke typer opplysninger som behandles, sikkerhetskrav, bruk av underleverandører, bistand ved innsyn og brudd, samt sletting eller tilbakelevering når oppdraget avsluttes.

En signert avtale er ikke nok i seg selv – innholdet må stemme med hvordan behandlingen faktisk foregår.

Behandlingsprotokollen dokumenterer hva slags opplysninger som behandles, til hvilke formål, hvem de deles med, lagringstider og sikkerhetstiltak. Den er selve grunnmuren i å vise ansvarlighet og som regel det første Datatilsynet ber om.

Plikten gjelder i praksis nesten alle virksomheter, til tross for unntaket for de aller minste.

En DPIA kartlegger hva behandlingen innebærer, vurderer nødvendighet og forholdsmessighet, identifiserer risikoer for de registrerte og fastsetter tiltak for å redusere dem. Den er påkrevd ved blant annet systematisk overvåking, storskala behandling av særlige kategorier, og automatiserte avgjørelser med rettsvirkning.

Vurderingen skal gjøres før behandlingen starter. Hvis risikoen forblir høy etter tiltak, må den behandlingsansvarlige rådføre seg med Datatilsynet før oppstart.

Den registrerte kan be om bekreftelse på om opplysninger behandles, og i så fall få innsyn i blant annet formål, kategorier, mottakere og lagringstid – samt en kopi av selve opplysningene. Svaret skal gis uten ugrunnet opphold og senest innen én måned, og som hovedregel gratis.

Innsynsretten er ofte den første rettigheten en virksomhet møter i praksis, og en god rutine for håndtering er viktig.

Hvis opplysningene en virksomhet har om en person er feil eller mangelfulle, kan personen kreve at de rettes eller suppleres. Virksomheten må også, der det er aktuelt, informere mottakere som har fått de uriktige opplysningene.

Riktige data er ikke bare en rettighet, men også et eget GDPR-prinsipp (riktighet).

Den registrerte kan kreve sletting blant annet når opplysningene ikke lenger er nødvendige, samtykket trekkes tilbake, eller behandlingen er ulovlig. Retten er ikke absolutt – den viker for eksempel der lov krever oppbevaring, eller ved ytrings- og informasjonsfrihet.

For en virksomhet er det viktig å kunne skille mellom det som kan og det som må beholdes.

Retten gjelder opplysninger personen selv har gitt fra seg, der behandlingen bygger på samtykke eller avtale og skjer automatisert. Formålet er å hindre innlåsing hos én leverandør og styrke konkurransen.

Der det er teknisk mulig, kan personen kreve at dataene overføres direkte fra en tjeneste til en annen.

Når behandlingen bygger på berettiget interesse eller allmennhetens interesse, kan den registrerte protestere ut fra sin særlige situasjon, og virksomheten må da stanse med mindre den har tungtveiende grunner. Mot direkte markedsføring er retten absolutt: behandlingen skal stanse umiddelbart.

Virksomheten må informere tydelig om denne retten senest ved første kontakt.

Begrepet er bredere enn «hacking». Det dekker også tapt minnepinne, e-post sendt til feil mottaker, feilkonfigurert tilgang eller utro tjener. Ved et brudd skal den behandlingsansvarlige som hovedregel melde fra til Datatilsynet uten ugrunnet opphold og senest innen 72 timer, med mindre bruddet neppe medfører risiko for de registrerte.

Medfører bruddet sannsynligvis høy risiko for personene, må også de berørte varsles direkte. Alle brudd skal dokumenteres internt – også de som ikke meldes.

Personopplysninger kan bare overføres ut av EØS dersom mottakerlandet gir et tilstrekkelig vernenivå. Grunnlaget kan være en adekvansbeslutning, standard personvernbestemmelser (SCC), bindende virksomhetsregler eller særskilte unntak. Etter Schrems II må man også vurdere om landets myndigheter kan undergrave vernet.

Bruk av amerikanske skytjenester gjør dette til en svært praktisk problemstilling for norske virksomheter.

SCC er ferdig formulerte kontraktsvilkår vedtatt av EU-kommisjonen, som partene tar inn i avtalen uten å endre kjernen. De forplikter mottakeren til å verne opplysningene etter europeisk standard. Etter Schrems II må man i tillegg gjøre en vurdering av om vilkårene faktisk kan etterleves i mottakerlandet, og eventuelt legge til tilleggstiltak.

SCC er det mest brukte grunnlaget når en adekvansbeslutning ikke dekker overføringen.

DPF er EU-kommisjonens beslutning fra 2023 om at USA gir tilstrekkelig vern for personopplysninger som overføres til amerikanske virksomheter som har sertifisert seg under ordningen. Overføring til en DPF-sertifisert mottaker krever da ikke ytterligere grunnlag som SCC.

Ordningen er omstridt og kan utfordres rettslig (en mulig «Schrems III»), så virksomheter bør følge med på utviklingen og vurdere reserveløsninger.