Hva er personopplysninger?

Skrevet av Øystein Werner den 17. mars, 2019

Kategorier: GDPR

For mange er møtet med personvernforordningen (GDPR) og personvern som å komme til en ny verden, med egne regler og eget språk. Ettersom dette er noe alle organisasjoner må forholde seg til, har vi laget en enkel oversikt over hva dette dreier seg om og hva dette betyr for din bedrift.

 

Få oversikt og forståelse for GDPR. Klikk her for å få tilgang til ordlisten! 


Personopplysninger – kort fortalt

Personopplysninger er alle opplysninger som kan, direkte eller indirekte, knyttes til deg som enkeltperson.
Datatilsynet gir denne definisjonen av personopplysninger:

“Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer.”


Hadde definisjonen stoppet der så ville et enkelt Excel-dokument holdt vel og bra for din bedrift som GDPR-verktøy. Men listen stopper ikke der.

Videre lister også Datatilsynet opp at personopplysninger kan være:

    • Bilder. Gitt at personen kan gjenkjennes.

    • Lydopptak. Dette gjelder selv i lydopptak der ingen navn blir nevnt.

    • Biometri. Eksempelvis fingeravtrykk, øyenfarge, hodeform. De to sistnevnte for bruk av ansiktsgjenkjenning.

    • Dynamisk IP-adresse. Dette vil si en IP-adresse som endrer seg ved oppkobling.

    • Registreringsnummeret på en bil. Her gjøres det unntak dersom dette gjelder en firmabil som brukes av flere. Kan registreringsnummeret derimot knyttes til en spesifikk person går det inn under personopplysninger.

Personopplysninger kan være hva du handler på nettOpplysninger om atferd regnes også som personopplysning, som for eksempel hva du søker etter på nettet, hva du handler og hvor du gjør dette, hvilke tv-serier du ser på – og ikke minst hvor du fysisk beveger deg i løpet av en dag.

I en hverdag der teknologien har fått så stor plass som den har fått, byr dette på utfordringer for personvernet. Vi legger stadig igjen flere digitale spor - ofte uten å vite om det eller tenke noe nevneverdig over det. Det er nettopp disse digitale sporene vi legger igjen, som er spesielt viktig for bedrifter som eksempelvis samler inn informasjon om sine besøkende på nettsiden.


Hva er forskjellen mellom alminnelige og sensitive personopplysninger?

Det skilles gjerne mellom to typer personopplysninger: alminnelige -og sensitive personopplysninger.

Alminnelige personopplysninger er opplysninger som, direkte eller indirekte, kan knyttes til deg som enkeltperson.

De sensitive personopplysningene, lever opp til sitt navn, og innebærer litt mer prekære opplysninger om enkeltindividet:

    • Rasemessig eller etnisk opprinnelse

    • Helseopplysninger

    • Politisk oppfatning

    • Religiøs, livssynsmessige eller filosofiske oppfatninger

    • Seksuell forhold, orientering eller legning

    • Fagforeningsmedlemskaper

    • Genetiske og biometriske opplysninger for bruk som identifikasjon. Eksempelvis ansikts -og fingeravtrykk gjenkjennelse for å låse opp en telefon eller nettbrett.

    • Strafferettslige forhold som straffedommer og lovovertredelser. Her inngår mistenkte, siktede, tiltalte og dømte i forbindelse med en straffbar handling.


Hva betyr dette for din bedrift?

Kort fortalt er personopplysninger viktig å ha kjennskap til for alle bedrifter som behandler opplysninger om sine ansatte, kunder, leverandører, besøkende, ja, rett og slett alle dere får eller henter inn opplysninger på eller fra. Slike opplysninger går nemlig inn under kategorien personopplysninger som omfattes av Personopplysningsloven (GDPR). Det er også viktig for bedriften å være klar over hvilke opplysninger som er sensitive da det er særskilte krav om behandling av disse.

Personopplysningsloven – kort fortalt

Hva er personopplysningerPersonopplysningsloven er selve loven som handler om nettopp dette: behandling av personopplysninger. Den tar for seg alt fra innsamling av personopplysninger, til hva bedriften bruker denne dataen til og hvordan, og hvor, dataene lagres.

Kort forklart setter denne loven en rekke krav til bedrifter om hvordan de skal hente inn, lagre og behandle data – samtidig som det gir enkeltpersoner en rekke rettigheter. Loven gjelder for så og si alle bedrifter.


De 6 viktigste prinsippene du må vite om personopplysninger for å kunne etterleve GDPR-kravene.


For å lettest mulig forstå hvordan du og din bedrift skal forholde dere til personopplysninger og personopplysningsloven, kan du ta utgangspunkt i deg selv som enkeltindivid og se på hvilke rettigheter du har – ikke på hvilke krav din bedrift må tilfredsstille.


1) Det skal være åpenhet (informasjonsplikt) og lovlig (må ha et juridisk grunnlag)

Du har altså krav på å tilstrekkelig med informasjon om hvorfor og hvordan opplysningene dine behandles. Denne informasjonen må også være skrevet og tilgjengeliggjort på en måte som gjør at du faktisk forstår hva det innebærer.

2) Data skal kun benyttes til det formålet som de samles inn for

Se for deg at naboen din ber om å låne bilen din en dag, for å hente sin nye sofa. Det går vel fint, svarer du, og har tillit til at naboen tar godt vare på bilen din. Dersom du senere finner ut at han har tatt flere kopier av bilnøklene og i tillegg lånt bort bilen til flere av sine kompiser ville denne tilliten raskt vært brutt.  

På samme måte skal opplysningene bedrifter krever av deg kun brukes til det formålet de har oppgitt. At du samtykker til at kunden din kan lagre dine personopplysninger er ikke det samme som at informasjonen brukt til markedsføring eller delt videre med tredjeparter.

3) Man skal ikke samle inn mer data enn høyst nødvendig for å oppfylle formålet

Dersom du blir kunde av noen betyr ikke det at den bedriften har rett til å vite alt om deg. Tvert i mot. Enhver bedrift må nemlig vurdere hvilke opplysninger man faktisk behøver for å oppfylle det gitte formålet - og denne vurderingen må være dokumentert.


4) Dataene skal være korrekt

Enhver person har krav på å korrigere informasjonen som er lagret om dem. For å sikre at dataene er korrekte burde man opprette interne rutiner for datakvalitet og oppdatering av opplysninger. For hva er vel  hensikten med å sitte på utgått informasjon?


5) Dataene skal ikke lagres lenger enn nødvendig. Når formålet er oppfylt skal dataene slettes.

Her kan vi igjen trekke frem eksempelet med bilen som lånes bort. Dersom du har gitt naboen rett til å låne bilen din for å hente en sofa, vil du trolig ikke bli fornøyd om han også bruker den for en helgetur til Sverige. Du forventer heller ikke at han lager en kopi av nøkkelen, slik at han lett kan bruke bilen til andre formål senere.


6) Mens man har dataene skal disse oppbevares på en trygg måte slik at de ikke kommer på avveie eller kan skades.

Sist, men ikke minst, er det viktig at du får bilen tilbake like hel. Det betyr at du forventer at naboen kan veitrafikkloven og er forsiktig med bilen. Hvis uhellet først skulle vært ute forventer du at naboen ordner opp, så du ikke får noen problemer eller ekstra kostnader.

 

Ble det for mange fremmedord i artikkelen? Last ned vår gratis ordliste for GDPR:

GDPR