Hva er personvern?
Hvem omfattes?
Dagens regler og bakgrunnen for dem
Begreper du bør kjenne
Hva var endringene?
Personvernregler for revisor og for regnskapsfører
Hva bør du gjøre?
I tillegg til forholdene omtalt nedenfor kan du sette deg inn i Datatilsynets startpakke for nye virksomheter.
Sett deg inn i regelverket
Se gjennom avsnittet "Hva var endringene?". På Datatilsynets sider finner du lovteksten i EUs forordning, derunder en norsk oversettelse og mye annen nyttig informasjon.
Kartlegge personopplysninger
Alle virksomheter som samler inn eller bruker personopplysninger skal ha en oversikt over hvilke personopplysninger virksomheten behandler. Dette er et krav som også gjaldt etter tidligere regler. Se eget avsnitt under om "Kartlegging av personopplysninger".
Oppdatere rutiner
Vurder behovet for å oppdatere rutiner som sikrer at virksomheten følger reglene for å håndtere personopplysninger, og hvordan de sikrer at informasjonen ikke kommer på avveie. Dokumenter rutinene, og lag en plan for nødvendige endringer.
Vurder hvilke regler som skal gjelde i ulike tilfeller:
- Hvordan samtykke skal gis. For eget personal kan dette for eksempel være opplysninger som skal videre til NAV, skatteetaten, forsikring mv.
- Rutiner ved sikkerhetsbrudd som angår personopplysninger. Se eget avsnitt om avvikshåndtering.
- Rutiner for sletting. Se eget avsnitt om endringene i reglene her.
- Rutiner for retting og korrigering. Der hvor det er nødvendig må det sørges for at opplysningene til enhver tid er korrekte og oppdaterte. Eksempelvis vil dette være viktig i pasientjournaler på sykehus.
- Rutiner for dataportabilitet.
Vurder systemer og utenlandske systemleverandører/databehandlere
Vurder systemene virksomheten bruker. Er de laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Send henvendelser til systemleverandøren på dette om nødvendig. Dersom virksomheten idag har et lønnssystem som ikke lar deg slette informasjon på ansatte som har sluttet, vil det ikke være i tråd med reglene.
Systemleverandør utenfor Norge
Bruker du systemleverandører utenfor Norge bør du finne ut hvor serveren fysisk befinner seg.
I utgangspunktet er det ikke lov å overføre personopplysninger til land utenfor EØS. Det finnes imidlertid noen unntak fra denne regelen, typisk ulike ordninger der den som mottar opplysningene i tredjeland (dataimportøren) tar på seg bestemte forpliktelser. Slike ordninger kaller vi overføringsgrunnlag. Hvis man skal overføre personopplysninger til et land utenfor EØS, må den som skal overføre personopplysningene (dataeksportøren) først finne et passende overføringsgrunnlag samt oppfylle tilleggskravene som EU-domstolen har satt.
Meningen med overføringsgrunnlagene er å gi dataimportøren en rekke plikter for å sikre at europeeres personopplysninger blir like godt beskyttet etter overførselen til tredjeland som de blir i EØS. Dataimportøren kan imidlertid være underlagt lokale lover som er i strid med og går foran forpliktelsene etter overføringsgrunnlaget, eller det kan være andre omstendigheter som senker beskyttelsesnivået. Dataeksportøren må derfor først undersøke om beskyttelsesnivået som vil oppnås i praksis, faktisk er tilsvarende som i EØS. Her er det blant annet særlig viktig å undersøke om det finnes overvåkingslover eller andre lover som gir myndighetene i tredjeland uforholdsmessig stor adgang til dataene, samt om den registrertes rettigheter vil kunne ivaretas i praksis.
Du kan overføre personopplysninger innad i EØS, altså EU-landene, Norge, Island og Liechtenstein, uten å tenke på overføringsgrunnlag og EU-domstolens tilleggskrav. Det samme gjelder land og områder godkjent av EU-kommisjonen. For andre land må det foreligge et annet overføringsgrunnlag hvis personopplysninger skal overføres til disse landene. Les mer om de mest brukte overføringsgrunnlagene.
Den 10. juli 2023 vedtok EU-kommisjonen et nytt rammeverk, EU-USA Data Privacy Framework. Reglene trådte i kraft umiddelbart og innebærer at EU-kommisjonen har godkjent USA gjennom en adekvansbeslutning. Dette innebærer at hvis en amerikansk virksomhet står på listen over godkjente virksomheter (dataprivacyframework.goc), kan det overføres personopplysninger til den som om det var en europeisk virksomhet. Les mer på Datatilsynet.
Private Shield har vært gjeldende for overføring til USA. Den 16. juli 2020 besluttet Europadomstolen at Private Shield er ugyldig som overføringsgrunnlag. Dette innebærer at overføring av personopplysninger til USA fra 16. juli 2020 må baseres på andre overføringsgrunnlag. Se nærmere om overføring av opplysninger til utlandet på
Velg et personvernombud
Dette gjelder ikke alle virksomheter - se nærmer om dette under avsnittet "Hva er endringene?".
Behandlingsansvarlig skal utpeke en person som godkjennes av Datatilsynet. Personen har som oppgave å bidra til at den behandlingsansvarlige følger personopplysningsloven med forskrift. Personvernombudet skal informere og gi råd, overvåke etterlevelse av forordning og interne retningslinjer, gi råd om PIA (personvernkonsekvenser) og samarbeide med Datatilsynet. Ombudet kan være både en ansatt eller en profesjonell tredjepart.
Gjør en vurdering av om virksomheten er pliktig til å ha et personvernombud. Er det tvil om plikten gjelder, er det viktig å dokumentere vurderingene som er gjort.