Behandling av personopplysninger – betydning av GDPR

I juli 2018 trådte det i kraft en ny personopplysningslov i Norge. Gjennom denne loven ble det nye EU-regelverket for innhenting og oppbevaring av personopplysninger, GDPR, gjort gjeldende her til lands.

GDPR regulerer virksomheters innhenting og oppbevaring av personopplysninger. Med «personopplysninger» menes enhver opplysning om en person som er identifisert eller kan identifiseres, eksempelvis navn, fødselsnummer, adresse med videre.

For at en virksomhet skal kunne innhente og oppbevare personopplysninger, gir GDPR i artikkel 6 en uttømmende liste over alternative rettslige grunnlag for dette. Det første grunnlaget er at den det oppbevares opplysninger om har samtykket til behandling av slike opplysninger. Når et slikt samtykke avgis, må det knytte seg til ett eller flere spesifikke formål for behandlingen av opplysningene. Behandlingen må ikke gå utover disse formålene. Andre grunnlag for behandling av personopplysninger er blant annet at det er nødvendig for å oppfylle en avtale som den personopplysningene knytter seg til er part i, at det er nødvendig for å oppfylle en rettslig forpliktelse som påhviler virksomheten som oppbevarer opplysningene, eller at det er nødvendig for å verne vitale interesser for fysiske personer.

I det praktiske liv betyr GDPR at alle virksomheter som behandler personopplysninger, det vil si innhenter og/eller oppbevarer slike opplysninger, må kunne forankre behandlingen i ett eller flere av de grunnlag som er opplistet i GDPR artikkel 6.

Sist oppdatert 11. februar 2019

Site Footer