Kontohjelp

Personopplysning

Alle opplysninger og vurderinger knyttet til en person. Må gjelde en fysisk person som kan identifiseres. Opplysninger som er helt anonymisert anses ikke å være identifiserbare, og er dermed ikke en personopplysning. Vær oppmerksom på at personopplysninger som er blitt pseudonymisert, og som kan knyttes til en fysisk person ved hjelp av tilleggsopplysninger, bør anses som opplysninger om en identifiserbar fysisk person.

Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med rimelighet kan tenkes å bli tatt bruk for å identifisere den fysiske personen bør det tas hensyn til alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet, samt den teknologiske utvikling.

Eksempler på personopplysninger er navn, personnummer, telefonnummer, adresse, alder, kjønn o.l. IP-adresse anses også som personopplysning, da de etterlater spor som særlig i kombinasjon med entydige identifikatorer og andre opplysninger en server mottar, kan brukes til å opprette profiler for fysiske personer og identifisere dem.

Eksempler på vanlig personopplysninger i en virksomhet er:

• Personalia ansatte
• Lønnstrekk for ansatte
• Sykmeldinger ansatte
• Kontaktopplysninger kunder
• Kjøpshistorikk kunder
• Betalingshistorikk kunder

Skillet mellom vanlige personopplysninger og sensitive personopplysninger er viktig da det avgjør risiko og hvor god intern kontroll du må etablere rundt informasjonen. Sensitive personopplysninger er opplysninger om en persons etnisk eller rasemessig bakgrunn, helseforhold, religiøse eller politiske oppfatning, seksuell legning, informasjon rundt straffbare handlinger (har vært mistenkt, siktet, tiltalt eller dømt) o.l. Behandling av denne type personopplysninger er i utgangspunktet forbudt, men kan tillates i særlige tilfeller hvor denne type informasjon er nødvendig for å overholde plikter eller rettigheter. Merk at personnummeret ikke er sensitiv informasjon.

Registrert

Den personen som personopplysningene gjelder. Kun fysiske personer.

Behandlingsansvarlig

Virksomheter som bestemmer formålet (hvorfor opplysningene skal brukes) og virkemidlene med bruken av personopplysninger (på hvilken måte skal opplysningene brukes). Kun virksomheter, ikke fysiske personer. For eksempel bank og forsikringsselskap med opplysninger om kunder, og arbeidsgiver med opplysninger om den ansatte.

Databehandler

Virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er dette leverandør av IT-tjenester/skybaserte tjenester og regnskapsbyrå. Sistnevnte er ofte ansvarlig for å kjøre lønn på vegne av kunden som er arbeidsgiver. Det er ikke regnskapsbyrået som har bestemt hva som skal være grunnlaget, men forholder seg til kundens data. Kun virksomheter, ikke fysiske personer.

Merk: En og samme virksomhet kan være både databehandler og behandlingsansvarlig.

Etter EUs personvernforordning (GDPR) skal det inngås en databehandleravtale når en databehandler skal behandle personopplysninger på vegne av en behandlingsansvarlig. Oppdragsgiver er behandlingsansvarlig og oppdragstaker er databehandler ved behandling av personopplysninger.

Formål

Personopplysninger skal kun behandles der det finnes et tydelig spesifisert formål. Det betyr at ethvert formål med behandling av personopplysninger skal identifiseres og være forklart på en måte som gjør at alle berørte har samme forståelse av hva opplysningene skal brukes til.

Dersom man ønsker å behandle personopplysninger til andre formål enn de var innhentet for, må man forsikre seg om at det nye formålet er forenlig med det gamle. Det som er nytt med det nye regelverket, er at behandlingsansvarlig får hjelp til å avgjøre hva som er forenlige formål og ikke, ved en «kompatibilitets-test» i forordningsteksten. Dersom konklusjonen er at det nye formålet er uforenlig med det gamle, skal det innhentes samtykke, eller behandlingen må hjemles i lov.

Behandlingsgrunnlag

All behandling av personopplysninger må ha et rettslig grunnlag for å være lov (jf. personvernforordningen artikkel 6). Det betyr at virksomheten på forhånd må ha identifisert om det finnes et behandlingsgrunnlag. Hvis ikke det finnes, er behandlingen ulovlig. Datatilsynet har laget en oversikt over de ulike behandlingsgrunnlagene og når de gjelder.

Dataportabilitet

En person kan kreve å ta med seg personopplysninger fra en leverandør til en annen i et vanlig brukt filformat så fremt det er teknisk mulig.

For eksempel kan kunder som har registrert informasjon om preferanser i en nettbutikk for å få relevante tilbud og informasjon, kreve å få opplysningene utlevert i et strukturert, maskinlesbart dokument. Dersom mulig kan kunden også kreve å få det overført til en ny nettbutikk.

Personvernombud

En person som er utpekt av en behandlingsansvarlig og godkjent av Datatilsynet. Personen har som oppgave å bidra til at den behandlingsansvarlige følger personopplysningsloven med forskrift. Personvernombudet skal informere og gi råd, overvåke etterlevelse av forordning og interne retningslinjer, gi råd om PIA (personvernkonsekvenser) og samarbeide med Datatilsynet. Ombudet kan være både en ansatt eller en profesjonell tredjepart.