GDPR og dokumenthåndtering: Veiledning for overholdelse

I en tid der informasjon er mer verdifull enn noensinne, er det avgjørende å ha innsikt i og å følge retningslinjene for personvern. General Data Protection Regulation (GDPR) har endret vår tilnærming til behandling av personopplysninger, og denne veiledningen tar sikte på å belyse de intrikate sidene ved personvern og håndtering av dokumenter og informasjon. GDPR ble innført av EU i 2018, og den gjelder også for landene innenfor EØS.

GDPR gir en enhetlig tilnærming til personvernregulering på tvers av medlemslandene i EU og EØS. Dette gir enkeltpersoner bedre kontroll over deres personopplysninger samtidig som det gir bedrifter og organisasjoner retningslinjer for å håndtere slike data på en sikker og lovlig måte.

Bedrifter og organisasjoner håndterer store mengder informasjon, og hvordan håndteringen av denne informasjonen gjøres har innvirkning på enkeltpersoners rettigheter og personvern.

Hvordan kan man oppfylle GDPR-kravene og samtidig effektivt administrere og sikre håndteringen av dokumenter og informasjon? Hvordan kan man oppfylle GDPR-kravene når det gjelder innsamling, lagring og håndtering av personlig informasjon i dokumenter?

Personvernrådet (European Data Protection Board, EDPB) er en uavhengig europeisk tilsynsmyndighet som har ansvar for å bidra til å sikre en konsistent anvendelse av personvernreglene i EU/EØS. Datatilsynet er den nasjonale tilsynsmyndigheten for personvern i Norge, og Datatilsynet sine veiledninger er i tråd med både nasjonale lover og regelverk samt retningslinjene i EDPB.

Alle organisasjoner og bedrifter må følge regelverket, og de skal ha oversikt over personopplysningene de behandler. Å behandle persondata betyr å samle inn, lagre, bruke, overføre, endre og slette slike opplysninger. Virksomheter skal, i tillegg til å ha oversikt over hvilke type personopplysninger de behandler, også ha oversikt over hva som er formålet med behandlingen og om det overføres eller gis tilgang til slike data til en tredjepart.

Den behandlingsansvarlige har ansvaret for å sikre at behandlingen er i samsvar med personvernreglene. En behandlingsansvarlig er en enhet eller person som bestemmer formålet med og måten personopplysninger behandles på.

Dersom man deler personopplysninger, må man kunne vise til et behandlingsgrunnlag. Innad i EØS kan personopplysninger brukes og deles på tvers av landegrensene dersom man har et gyldig behandlingsgrunnlag og at man følger reglene i GDPR. Landene innen EØS har de samme reglene for behandling av personopplysninger. Man kan derfor gå ut fra at personopplysningene vil være like godt beskyttet i alle land i EØS.

De vanligste behandlingsgrunnlagene er:

• Samtykke: Behandlingsansvarlig har mottatt frivillig, informert og klart uttrykt samtykke fra den registrerte angående håndteringen av personopplysninger
• Gjennomføring av kontrakt: Behandlingen er nødvendig for å oppfylle en kontrakt hvor den registrerte er involvert, eller for å gjennomføre handlinger på forespørsel før kontrakten inngås
• Overholdelse av rettslig forpliktelse: Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som pålegges behandlingsansvarlig
• Beskyttelse av vitale interesser: Behandlingen er nødvendig for å beskytte liv eller andre vitale interesser til den registrerte eller en fysisk person
• Oppgaver i allmennhetens interesse eller utøvelse av offentlig myndighet: Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet delegert til behandlingsansvarlig
• Berettigede interesser: Behandlingen er nødvendig for formål knyttet til legitime interesser for behandlingsansvarlig eller tredjepart, med mindre de registrertes interesser eller grunnleggende rettigheter og friheter veier tyngre

Det som avgjør hvilket behandlingsgrunnlag som skal brukes vil avhenge av omstendighetene og formålet med behandlingen av personopplysninger. All behandling må dokumenteres og må ha et definert formål.

Det er to ulike kategorier av bedrifter og organisasjoner som behandler persondata. Den ene kategorien er behandlingsansvarlig (beskrevet over), og den andre er databehandler. En databehandler er den som behandler personopplysninger på vegne av en behandlingsansvarlig. Databehandlere er også underlagt kravene i GDPR. En databehandler kan være en leverandør av skytjenester. Det er et krav at det skal finnes en databehandleravtale mellom behandlingsansvarlig og databehandler.

Når det gjelder personopplysninger, deles disse inn i to hovedkategorier:

• Vanlige personopplysninger: Dette inkluderer navn, telefonnummer, e-postadresser og lignende generell informasjon
• Sensitive personopplysninger: Dette omfatter opplysninger som krever særskilt vern. Dette er informasjon om helse, politisk tilhørighet, religion, etnisitet, seksuell orientering og lignende. Disse opplysningene skal i utgangspunktet ikke behandles, men det finnes unntak. Et eksempel kan være lovpålagt håndtering av pasientjournaler av leger. Videre kan sensitive opplysninger også behandles dersom den registrerte gir eksplisitt og gyldig samtykke. Det kreves da man har et personvernombud som er registrert hos Datatilsynet

GDPR har, i tillegg til å innføre plikter for virksomheter, også innført rettigheter for enkeltpersoner. En viktig rettighet er retten til innsyn. Dette betyr at enkeltpersoner har rett til å vite hvilke data virksomheten har lagret om dem, og også hva dataene brukes til. På Datatilsynets hjemmesider kan man finne oversikt over virksomheters plikter og enkeltpersoners rettigheter.

Overføring av personopplysninger ut av EØS

Å overføre personopplysninger innen EØS er én utfordring, mens overføringen av persondata ut av EØS, til såkalte tredjeland, representerer en helt annen problemstilling. Persondata vil ikke lenger være sikret av beskyttelsen GDPR gir, og det må iverksettes tiltak. Land som er utenfor EØS, kan ha ulike retningslinjer for for håndtering av personopplysninger. Dette gjelder også for internasjonale organisasjoner. Det kreves derfor ekstra juridisk grunnlag for bedrifter og organisasjoner før de kan utføre overføringer av personopplysninger utenfor EØS-området.

Schrems II-dommen, som EU-domstolen avsa sommeren 2020, har fått store konsekvenser for internasjonale overføringer av personopplysninger. Virksomheter i EØS kan ikke uten videre overføre personopplysninger til bl.a. USA.

Bakgrunnen for saken var bekymringer knyttet til overføringen av personopplysninger fra Europa til USA. Maximillian Schrems, en østerriksk jurist og internettaktivist, klagde inn Facebooks overføring av personopplysninger fra Europa til USA til den irske datatilsynsmyndigheten. Han hevdet at personvernet til europeiske borgere ikke var tilstrekkelig beskyttet i henhold til EU-lovgivningen, spesielt på grunn av overvåkingsaktiviteter fra amerikanske myndigheter.

For å overføre personopplysninger til land utenfor EØS må det eksistere et rettslig grunnlag for behandlingen. Det skal også foreligge et overføringsgrunnlag.

Fram til sommeren 2020 var de mest brukte overføringsgrunnlagene mellom EØS og USA Privacy Shield og EU sine standardavtaler ("SCCs"). Privacy Shield var en rammeverksavtale mellom EU og USA som regulerte overføringen av personopplysninger for virksomheter som overførte data fra EU til USA. EU-domstolen erklærte Privacy Shield-avtalen som ugyldig i Schrems II-dommen. Etter denne dommen ble EUs standardavtaler for overføring av personopplysninger mellom dataeksportør og - importør fortsatt ansett som en gyldig mekanisme, men det ble påpekt at ytterligere tiltak kunne være nødvendige for å oppfylle kravene i personvernforordningen (GDPR), spesielt med hensyn til tilstrekkelig beskyttelsesnivå for overførte data. Sommeren 2021 kom det nye SCC-er. Disse oppdaterte SCC-ene er utformet for å adressere en rekke bekymringer som ble reist i Schrems II-dommen. Alle virksomheter er pålagt å følge disse.

Et overføringsgrunnlag er en juridisk mekanisme som tillater overføring av personopplysninger fra EU/EØS til land utenfor dette området. Målet er å sikre at disse opplysningene beholder samme beskyttelsesnivå som i EU/EØS, og det er avgjørende for å oppfylle krav til personvern i samsvar med gjeldende regelverk. Eksempler på slike overføringsgrunnlag inkluderer:

• Adekvansbeslutning: Dette er når EU-kommisjonen fastslår at det aktuelle landet gir tilstrekkelig beskyttelsesnivå for personopplysninger. En adekvansbeslutning gir automatisk tillatelse til å overføre personopplysninger til dette landet
• Standard personvernbestemmelser: Dette er standardiserte kontraktsvilkår som er utarbeidet av EU-kommisjonen. De kan legges til grunn i avtaler mellom dataeksportør og dataimportør for å sikre tilstrekkelig beskyttelse
• Bindende bedriftsregler (Binding Corporate Rules, BCSR): Dette er interne regler for personvern som er vedtatt av multinasjonale selskaper. Disse må godkjennes av tilsynsmyndighetene. De tillater intern overføring av personopplysninger innenfor konsernet
• Unntak iht. Artikkel 49: Dette refererer til bestemmelsene i personvernforordningen som gir mulighet for overføring basert på samtykke, utførelse av avtaler eller andre begrensede unntakssituasjoner

Schrems II-dommen legger vekt på nødvendigheten av en grundig vurdering av overføringsgrunnlaget for å sikre at beskyttelsesnivået for personopplysninger opprettholdes, spesielt med tanke på lovgivningen og praksisen i mottakerlandet.

GDPR er komplekst og omfattende

Enhver organisasjon skal ha en fullstendig oversikt over hvilke personopplysninger den innsamler, bruker og deler i sin rolle som behandlingsansvarlig. Dersom noen av disse opplysningene overføres til land utenfor EØS, påvirkes organisasjonen av Schrems II-avgjørelsen. Ansvaret for å overholde reglene for overføring av personopplysninger til tredjeland (og GDPR generelt) hviler på den behandlingsansvarlige. Manglende kontroll på persondata og brudd på GDPR kan føre til både bøter og omdømmetap.

I 2021 publiserte EDPB endelig versjon av retningslinjer for hvordan virksomheter skal forholde seg til kravene som kom som en følge av Schrems II-dommen. Datatilsynet har utarbeidet retningslinjer som bygger på disse. Kapittel 6: Tilleggskrav (Screms II) gir en oversikt over denne prosessen.

Ved å følge denne prosessen, skal man kunne overføre personopplysninger i samsvar med GDPR-bestemmelsene.

Prosessen innebærer å identifisere nåværende overføringer av personopplysninger til land utenfor EU/EØS og evaluere avtalegrunnlaget. Den behandlingsansvarlige må vurdere om avtalen gir tilstrekkelig beskyttelse i samsvar med GDPR og EU-charteret. Ved utilstrekkelig beskyttelse, må man vurdere passende tiltak for å redusere risikoen.

Iht. Kapittel 6 i Datatilsynets retningslinjer, kan man ta utgangspunkt i følgende sjekkliste når man skal vurdere lovligheten ved å overføre personopplysninger ut av EØS:

1. Kjenn overføringene:

• Det er viktig å ha full oversikt over alle prosesser, tjenester, og involverte parter som overfører personopplysninger ut av EØS
• Også fjernstøtte, som teknisk support, regnes som overføring

2. Identifiser overføringsgrunnlag:

• Før overføringen starter, må et passende overføringsgrunnlag identifiseres, eller unntaksregler kan brukes i noen tilfeller

3. Vurder om overføringsgrunnlaget vil være effektivt i lys av alle omstendighetene ved overføringen:

• Undersøk lovene og praksis i tredjelandet for å vurdere om beskyttelsesnivået vil være lavere enn i EØS
• Noen ganger kan unntak fra personvern aksepteres, men bare hvis det er proporsjonalt og nødvendig

Særlig om steg 3 - Vurdering av beskyttelsesnivået i tredjelandet:

• Se på aktørene, formål, sektor, og type personopplysninger for å vurdere hvordan lover og praksis i tredjelandet påvirker overføringen
• Vurder om inngrep i personvernet er proporsjonale og nødvendige

4. Iverksett ytterligere tiltak:

• Dersom beskyttelsesnivået i praksis er lavere, må det iverksettes ytterligere tiltak for å sikre tilsvarende beskyttelsesnivå som i EØS

Særlig om steg 4 - Ytterligere tiltak:

• Tekniske, juridiske, og organisatoriske tiltak kan være nødvendige for å sikre tilstrekkelig beskyttelsesnivå
• Kryptering, pseudonymisering, og juridiske kontraktsforpliktelser er eksempler på slike tiltak

5. Re-evaluer med jevne mellomrom:

• Overvåk endringer i tredjelandets lover eller praksis og evaluer jevnlig om overføringen fortsatt er lovlig

Vurdering og dokumentasjon: Virksomhetene må selv foreta grundige vurderinger og dokumentere dem godt i henhold til ansvarlighetsprinsippet i personvernforordningen. Datatilsynet vil vektlegge godt dokumenterte vurderinger i en eventuell tilsynssak.

Personvernforordningen er åpen for tolkning: Innenfor juridiske rammer fungerer rettspraksis som retningslinje, med dommer og avgjørelser som definerer tolkningsrommet for regelverket. Det eksisterer ulike tolkninger, avtaler og rettskraftige dommer som veileder oss om hvordan vi skal håndtere GDPR.

Patriot Act

Patriot Act er en amerikansk lov som ble vedtatt etter 11. september 2001. Den gir myndighetene utvidede fullmakter til overvåking og innhenting av informasjon for nasjonal sikkerhet og bekjempelse av terrorisme. Loven har skapt bekymringer om personvern ved overføring av personopplysninger fra EU/EØS til USA. EU-domstolen har i Schrems II-dommen uttalt at overføringer av personopplysninger til land utenfor EU/EØS må sikre et tilstrekkelig beskyttelsesnivå i samsvar med GDPR. Patriot Act kan ikke alene overprøve GDPR-kravene, og bedrifter må implementere andre tiltak som Standard Contractual Clauses (SCC-er) eller bindende bedriftsregler (BCR) for å sikre at overføringer er i samsvar med GDPR og Schrems II-dommen.

Nye regler for overføring av personopplysninger til USA

Det har blitt etablert en ny avtale mellom EU/EØS og USA som sikrer personvernet knyttet til visse selskaper. EU-kommisjonen kan "godkjenne" enkeltland gjennom såkalte adekvansbeslutninger. I praksis betyr dette at det er juridisk tillatt å overføre personopplysninger til godkjente amerikanske selskaper. På listen over disse selskapene er aktører som Google, Amazon og Microsoft. Det er viktig å merke seg at Schrems II fortsatt gjelder. Overføring av personopplysninger fra Europa til spesifikke amerikanske selskaper er lovlig, men ikke til resten av verden. Dersom man tilgjengeliggjør eller overfører persondata til land som Kina eller Russland, må man kunne dokumentere et overføringsgrunnlag.

Google Analytics

Schrems II har skapt en del oppmerksomhet i Norge etter at Telenor ble rapportert til Datatilsynet angående deres bruk av Google Analytics. Mange norske selskaper benytter seg av Google Analytics for å analysere trafikken på sine nettsider.

Datatilsynet har konkludert med at Telenors bruk av Google Analytics har vært ulovlig inntil nylig. Imidlertid har den tidligere nevnte avtalen mellom EU/EØS og USA løst problemene knyttet til overføring av data, noe som var kjerneårsaken til saken mot Telenor.

Dette betyr ikke at Datatilsynet har gitt en generell "godkjenning" av Google Analytics for all fremtidig bruk. Det betyr at det nå er enklere å overføre personopplysninger til USA på en lovlig måte, også ved bruk av Google Analytics. Datatilsynet har utarbeidet en sjekkliste for virksomheter som vurderer å bruke Google Analytics eller lignende verktøy.

Meta - innsamling av persondata

Nylig vant Datatilsynet fram i Oslo tingrett mot teknologigiganten Meta. Selskapet som eier Facebook og Instagram ble beordret til å stanse bruken av nordmenns persondata til adferdsbasert reklame. Kjennelsen førte til at Datatilsynet kunne ilegge Meta millionbøter. Dersom Datatilsynet vinner fram med sitt syn i EDPB, kan lignende vedtak gjelde i hele EU.

Metas nye løsning

Meta ber nå brukerne om å gi sitt samtykke slik at de kan fortsette med adferdsbasert markedsføring. Brukerne får spørsmål om de ønsker å betale for å slippe annonser eller fortsette å bruke gratisversjonen av Facebook eller Instagram. Datatilsynet er bekymret over utviklingen. På europeisk nivå pågår det en prosess for å vurdere lovligheten av den nye løsningen.

Ny teknologi – kunstig intelligens

Ny teknologi fører med seg utfordringer. Dette gjelder også for kunstig intelligens. Bruk av systemer som f.eks. ChatGPT for behandling av personopplysninger kan være risikofylt. Prosjekter med maskinlæring krever grundig planlegging for å unngå uheldige konsekvenser. Datatilsynet anbefaler å opprettholde god åpenhet ved bruk av kunstig intelligens, med fokus på tydelig kommunikasjon, identifisering av målgruppen, og tilgjengelighet av personvernerklæringer.

Hva skjer videre? – Schrems III

EU-kommisjonen har, som nevnt, gitt grønt lys for overføring av personopplysninger til USA under gitte forutsetninger, men personvernadvokat Maximillian Schrems har allerede klagen mot denne beslutningen klar. Meldingen om EU-kommisjonens nye "Trans-Atlantic Data Privacy Framework" anser nå rettsituasjonen i USA for å være forenlig med EU sine personvernregler. Maximillian Schrems mener det er usannsynlig at den nye avtalen stemmer overens med europeisk lovgivning, og forbereder et søksmål mot det nye "Trans-Atlantic Data Privacy Framework". Vi får kanskje en Schrems III-avgjørelse i 2024.

Avslutningsvis

Personvern er en viktig menneskerettighet som er nedfelt i Grunnlovens § 102: "Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet."

Selv om dette er et krevende og komplisert område er det noe alle virksomheter må ha et forhold til, og ikke minst grunnleggende kunnskap om. Hvor starter du for å få kontroll? Vi anbefaler å gjøre følgende steg på vei mot å bli GDPR «compliant»:

1. Kartlegg og klassifiser informasjonen du forvalter
2. Sørg for databehandleravtaler med alle dine IT-leverandører er på plass
3. Sjekk og oppdater personvernerklæringen din på nettsidene, og bruk av analyseverktøy, innhenting av samtykke ifm. Nyhetsbrev o.l.
4. Informer egen organisasjon om de viktigste reglene for behandling av informasjon