Spørsmål og svar

om personvern og GDPR


Ofte stilte spørsmål

Hva er GDPR, også kalt personvernforordningen?

GDPR står for General Data Protection Regulations og blir kalt personvernforordningen på norsk. Det er et nytt sett med personvernregler som innføres i hele EU, inkludert Norge.  Dette regelverket viderefører hovedprinsippene, men er strengere enn personopplysningsloven. Den nye loven trer i kraft 25. mai 2018 i EU og 1. juli i Norge.

Hvem gjelder personvernforordningen for og hva er formålet?

Loven gjelder for alle enheter i Venstre som behandler persondata, herunder alle lokal- og fylkeslag  som er juridiske enheter ettersom vi administrerer medlemmer og andre personer som påtar seg roller i Venstre. Hovedformålet er å gi enkeltpersoner sterkere rettigheter og bedre kontroll over sitt eget personvern gjennom strengere grenser for hvilke data som kan samles inn og lagres. Man kan kreve å få vite hvilken informasjon som er lagret om seg, og be om at data slettes, feil endres eller å få dataene utlevert elektronisk for gjenbruk.


Hva er personopplysninger og hva betyr det å behandle personopplysninger?

En personopplysning er en hvilken som helst opplysning som er knyttet til en identifiserbar privatperson (direkte eller indirekte). Det omfatter alt fra fødselsnummer, navn, IP-adresse, bilder, opplysning eller vurdering som kan knyttes til deg som enkeltperson. Behandling omfatter all bruk og lagring av opplysninger om personer uavhengig om det lagres på papir, et dokument,  i regneark eller i et medlemsregister. Innhenting av medlemsopplysninger som så lagres, og senere oppdateres og brukes som grunnlag for fakturering av kontingent er bare et enkelt eksempel.  Andre eksempler kan være sammenstillinger, rapporter, utlevering og formidling av slike opplysninger. Man behandler altså opplysninger om personer selv om man ikke aktivt bruker opplysningene til noe. Det er behandling enten den skjer elektronisk, automatisk (uten manuelle prosesser) eller manuelt.


Hva er alminnelige personopplysninger?

Alminnelige personopplysninger er den folkelige betegnelsen på personopplysninger som ikke er sensitive (i spesielle kategorier). Alminnelige personopplysninger omfatter blant annet informasjon i e-post, telefonnummer, personnummer, økonomiske forhold og IP-adresser.

Hva er sensitive personopplysninger?

Sensitive opplysninger er en persons rasemessige eller etniske bakgrunn, politisk tilhørighet, religiøs eller filosofisk oppfatning eller medlemskap i fagforening og politisk parti. Også opplysninger om helse og seksuell legning er sensitive opplysninger. For lagring/oppbevaring av sensitive personopplysninger er særlige regler med særskilte krav. 

Fødselsnummer er for eksempel ikke en sensitiv personopplysning. Preferanse om Halal-mat er en indikasjon på religiøs overbevisning, som er et eksempel på sensitiv personopplysning.

Rase eller etnisk opprinnelse

Dette gjelder opplysninger som hudfarge, morsmål, tradisjoner eller informasjon om tilhørighet i en folkegruppe.

Politisk tilhørighet

At noen for eksempel er medlem i et bestemt politisk parti er en sensitiv personopplysning. Har personen derimot stått på en offentlig tilgjengelig kandidatliste vil forbudet normalt opphøre.

Religiøs eller filosofisk overbevisning

Det behøver ikke være notert hvilken religion eller filosofi noen tilhører; for at opplysningen skal betraktes som sensitiv holder det at det fremkommer av sammenhengen. Det kan blant annet gjelde opplysninger om matpreferanser eller klesvalg. 

Medlemskap i fagforening

Dette er en sensitiv personopplysning. Notering av medlemskap i fagforening kan likevel være berettiget i et HR-system, men skal beskyttes strengt, slik at det ikke er tilgjengelig utenom til legitime formål som lønnsrevisjon, forhandling eller lignende.

Helse

En sykdomsdiagnose behøver ikke være notert for at en personopplysning regnes for å være sensitiv. Også indirekte opplysninger som for eksempel søknader om spesialskole, informasjon om sykefravær eller behov for hjelpemidler er omfattet. 

Seksualliv

Informasjon om et individs seksualliv er sensitiv informasjon slik som for eksempel noens legning. 

Genetiske opplysninger

Opplysninger som inneholder genetisk karakteristika, slik som DNA, er definert som sensitive opplysninger. 

Biometriske opplysninger

Biometriske opplysninger, typisk fingeravtrykk eller irisgjenkjenning, er sensitive kun dersom de benyttes til å entydig identifisere et individ. Dette kan for eksempel foregå ved sikker innlogging i applikasjoner.

Hovedregelen er at det er ulovlig å registrere sensitive personopplysninger med mindre det foreligger en tillatelse til behandlingen. En tillatelse kan typisk være et samtykke fra den registrerte eller en lovhjemmel. Dette må vurderes for hver enkelt behandling.

Hva slags personopplysninger kan man lagre?

Virksomheten skal ha et legitimt formål med behandling av personopplysninger. Formålet skal være forhåndsdefinert og ikke til å misforstå. Det er i utgangspunktet ulovlig å behandle opplysningene til andre formål enn det som først ble tiltenkt. 

Lovlighet, rimelighet og gjennomsiktighet

Det er i utgangspunktet ikke lov til å behandle personopplysninger med mindre man har en tillatelse. Dette vil typisk være samtykke fra individet opplysningene gjelder, at det foreligger en lovhjemmel f.eks. arbeidsrettslig eller at behandlingen er nødvendig ut i fra bestemte formål.

Datakvalitet

Opplysningene skal være korrekte og oppdaterte til enhver tid.

Hva mened med nødvendige personopplysninger ("Dataminimering")?

Innsamlede personopplysninger skal være være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette bygger på et prinsipp om dataminimering og proporsjonalitet som i praksis innebærer at det skal behandles så få personoplysninger som mulig.

Opplysningene skal være "relevante", noe som innebærer at behandlingen ikke må omfatte personopplysninger som ikke henger sammen med formålet med behandlingen.

At opplysningene skal være "adekvate" må sees i sammenheng med kravet om at opplysningene skal være begrenset til det som er nødvendig ut fra formålet med behandlingen.

Om behandlingen av personopplysninger er nødvendig for å oppfylle de angitte formålene må det vurderes konkret basert på om behandlingen av opplysningene går utover hva som er nødvendig for å oppfylle de formål som den behandlingsansvarlige har rett til å forfølge. 

Hvem kan ha adgang til personopplysninger?

Adgang til personopplysninger skal kun tildeles personer som behøver disse for å utføre sitt verv eller arbeid, uavhengig av hvilken type personopplysninger det gjelder. Utgangspunktet er at færrest mulig skal ha tilgang for å minimere risiko for misbruk, og at man skal gjøre nødvendige tilpasninger for at ikke opplysninger kommer i kontakt med flere enn hva som er rimelig å forvente av organisasjonen.

Hvor mye personsopplysninger kan man lagre?

Personopplysninger som registreres skal begrenses til kun den data som er nødvendig for å oppnå det formål som organisasjonen har satt for behandlingen. 

Det er altså ikke tillatt å registrere data fordi det er "kjekt å ha". De må være hensiktsmessige og oppfylle en helt klar funksjon for å nå målet. Det er viktig å vurdere fortløpende om man registrerer relevante opplysninger. 

Hvor lenge kan man lagre personopplysninger?

Personopplysninger skal fjernes når de ikke lengre er nødvendige for å oppfylle formålet med behandlingen. Dette gjelder uansett om du tenker organisasjonen kan få bruk for dem senere eller har sikre lagringsmuligheter som hindrer at et individ kan bli identifisert.

 I Venstre blir persondata blir lagret i inntil to år med ubetalt kontingent før man blir automatisk utmeldt og oppføringen slettet . Melder man  seg aktivt ut blir opplysningene slettet innen første regnskapsår. Dersom man ber om det blir dataene slettet umiddelbart.

Er elektroniske lister i feks  Excel-ark eller Word-filer omfattet av lovgivningen?

Ja. Loven gjelder i alle tilfeller foruten fysiske papirer som ikke er sortert i et register (Manuelt førte og ustrukturerte personopplysninger omfattes ikke av loven). 

Helt enkle filer som Word eller notater på PC eller andre IT-verktøy som lagres digitalt og lokalt er derfor omfattet, som for eksempel personopplysningene strukturert i et Excel-ark.

Hvor opplysningene lagres, f.eks. hjemme eller på jobb, lokalt eller ekstern, har ingen betydning for hvorvidt loven kommer til anvendelse. 

Hva med egne notater og kommentarer i feks fritekstfelt?

I mange datasystem finnes det felter for fritekst. Dette innebærer at den som registrerer opplysninger ikke er bundet av forvalg og kan uttrykke og formulere seg fritt. Fritekst er vanlig å benytte for å logge informasjon mottatt gjennom samtaler med for eksempel medlemmer, tillitsvalgte eller ansatte.

Det er viktig at det finnes rutiner for hvordan slik fritekst skal håndteres. Det er viktig at ikke det registreres overflødig, integritetssensitiv eller krenkende informasjon. Unngå personlige refleksjoner omkring et individs atferd.

Hvor finnes regelverket?

De reglene som gjelder i dag følger av personopplysningsloven og dens forskrift.

EUs forordning finnes foreløpig i en uoffisiell norsk oversettelse her, men det kommer en ny lov og nye forskrifter.

Hva skjer hvis man bryter GDPR-reglene?

I Norge er det Datatilsynet som fører tilsyn med etterlevelsen av reglene. Datatilsynet kan ilegge overtredelsesgebyr ved lovbrudd. 

Konsekvensene kan være økonomiske sanksjoner fra tilsynet (opptil 4% av virksomhetens globale omsetning inntil 20 mill EUR), negativt omdømme blant velgere og i media samt erstatningskrav fra individer som utsettes for å få skadet sin integritet.

Den juridiske personen, altså virksomheten, er ansvarlig for at lovgivningen følges. Dette vil normalt være den øverste ledelsen, for eksempel et styre. Det er behandlingsansvarlig som kan få økonomiske gebyrer fra Datatilsynet ved avvik og straffeforfølges.

Hva med sikkerhet? Hva kan vi feks gjøre for å minimere sjansen for at informasjon kan komme på avveie?

Det er viktig at det finnes programvarer som beskytter IT-verktøyene våre og at man har regler og rutiner som sørger for sikker bruk av mobile enheter - spesielt når det gjelder å kombinere privat bruk med jobb

Personopplysninger lagres på mobile enheter som data, mobil, nettbrett eller minnebrikker. Alt dette er enheter det er mulig å stjele og ofte deler vi informasjon automatisk på tvers av dem. Når vi bringer dem med oss utenfor arbeidsplassen øker også risikoen for at informasjon kan komme på avveie, blant annet gjennom nettverkstilkoblinger.

Unngå derfor åpne offentlig nettverk. Bruk derfor mobilnett via mobiltelefonen der det er mulig. Og slå alltid  på tofaktorautentisering/totrinnsbekreftelse på kontoer der det er mulig (feks epost, facebook og skytjenester)

Når trenger man samtykke for å legge ut bilder på nett?

Hovedregelen er at det alltid skal innhentes samtykke fra alle som lett kan identifiseres på bildene før de publiseres. Dersom de som er avbildet er under 15 år må samtykke hentes inn både av barnet selv og foresatte. 

Bilder som viser en eller flere bestemte personer, altså bilder der de enkelte personene er hovedmotivet kalles også portrettbilder. Dersom du skal publisere slike bilder på nett eller dele dem med andre (selv om det er i lukkede grupper), må du ha samtykke fra den eller de som er avbildet før bildet publiseres. Vernet gjelder i den avbildedes levetid og 15 år etter utløpet av personens dødsår (åndsverkloven 45 c). Dette gjelder også film/video, og det gjelder enten du har tatt bildene eller bare videreformidler dem.

Dersom det gjelder bilder av barn eller andre personer som ikke kan gi gyldig samtykke selv, må foresatte eller verger gi samtykke på disse sine vegne.

Gruppebilder også definert som portrettbilder siden det er personene som er hovedmotivet. Hvis et lokallag ønsker å publisere gruppebilde på sine hjemmesider, kan dette bare gjøres dersom det er innhentet et godkjent samtykke fra alle på bildet, og fra deres foresatte dersom elevene er under 15 år.

Samtykke skal hentes inn før offentliggjøringen. Dette gjelder selvsagt uansett om bildene publiseres på en hjemmeside, på en blogg, på sosiale medier eller andre nettsider. Det gjelder også om bildene deles i åpne eller lukkede grupper (slik som Facebook-grupper med flere medlemmer), og det gjelder direktestreaming selv om ingenting lagres. Brudd på disse reglene kan være straffbart.

Situasjonsbilder kan derimot offentliggjøres uten samtykke fra de avbildede så lenge bildene er harmløse og ikke på noen måte er krenkende for de som er avbildet. Situasjonsbilder kan defineres som bilder der selve situasjonen eller aktiviteten er det egentlige motivet i bildet. Akkurat hvem som er med på bildet er da mindre viktig enn hovedinnholdet i bildet. Eksempler på dette kan være en gruppe mennesker på en konsert, et idrettsarrangement, 17. mai-tog eller hendelser som har allmenn interesse.

Når det gjelder bilder av krenkende situasjoner eller mer spesielle anledninger, for eksempel der man ser ventende på et legekontor eller peroner i et badeanlegg eller på en strand, bør disse normalt ikke deles uten samtykke.

Det kan av og til være vanskelig å avgjøre hva som er et situasjonsbilde og portrettbilde, eller om situasjonen kan være krenkende for noen. Som hovedregel bør man derfor alltid be om samtykke dersom bilder eller filmer skal deles.