Personvern, GDPR og internkontroll – Roller, rettslig grunnlag og styringsdokumentasjon

Av /

Personvern, GDPR og internkontroll – Roller, rettslig grunnlag og styringsdokumentasjon

Personvern handler grunnleggende om å verne enkeltpersoners rett til å bestemme over egne personopplysninger. Det er ikke bare en juridisk forpliktelse, men en integrert del av god virksomhetsstyring. Manglende etterlevelse av GDPR kan medføre betydelige sanksjoner, omdømmeskade og tapt tillit.

Personvern som del av virksomhetsstyringen

EUs personvernforordning (GDPR) og den norske personopplysningsloven stiller strenge krav til hvordan virksomheter behandler personopplysninger. Disse kravene må overholdes for å unngå betydelige økonomiske sanksjoner og andre negative konsekvenser.

Respekt for personvern er en grunnleggende etisk verdi, og virksomheter som demonstrerer at de tar personvern på alvor, bygger tillit hos sine interessenter. Dette kan være en viktig konkurransefordel i dagens marked, hvor forbrukere er stadig mer bevisste på hvordan deres data blir behandlet.

Informasjonssikkerhet er en annen viktig komponent. For å beskytte personopplysninger må virksomheter iverksette tiltak for å sikre konfidensialitet, integritet og tilgjengelighet – gjennom kryptering, tilgangskontroll og sikkerhetskopiering – som bør være integrert i virksomhetens internkontrollsystem.

Samtykke eller rettslig grunnlag

I henhold til GDPR er samtykke ett av flere mulige rettslige grunnlag for å behandle personopplysninger. Det er altså ikke alltid nødvendig med samtykke.

Når kreves samtykke?

Samtykke er nødvendig når det ikke finnes et annet rettslig grunnlag. Samtykket må være frivillig, spesifikt, informert og utvetydig – den registrerte må aktivt bekrefte sitt samtykke.

Alternativt rettslig grunnlag

Personopplysninger kan behandles uten samtykke dersom behandlingen er:

  • Nødvendig for å oppfylle en avtale med den registrerte
  • Nødvendig for å oppfylle en rettslig forpliktelse
  • Nødvendig for å beskytte vitale interesser
  • Nødvendig for å utføre en oppgave av allmenn interesse
  • Nødvendig for å ivareta berettigede interesser som veier tyngre enn personvernhensynet

Personopplysninger

Personopplysninger er enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person. Definisjonen er bred og dekker et stort spekter av informasjon.

Eksempler på personopplysninger:

  • Navn, adresse, telefonnummer, e-postadresse
  • Fødselsnummer, personnummer
  • Bilder, videoopptak, lydopptak
  • IP-adresser, lokaliseringsdata
  • Informasjon om atferdsmønstre som kjøpshistorikk og nettleserhistorikk
  • Informasjon om arbeidsforhold, utdanning, økonomi

Sensitive personopplysninger

Disse kategoriene er underlagt særlig vern og behandling er i utgangspunktet forbudt uten særskilt rettslig grunnlag:

  • Rasemessig eller etnisk opprinnelse
  • Politisk oppfatning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmedlemskap
  • Helseopplysninger
  • Seksuelle forhold eller seksuell legning
  • Genetiske og biometriske opplysninger
  • Opplysninger om straffedommer og lovovertredelser

Risikovurdering av personopplysningsbehandling

1. Identifiser behandlingen: Kartlegg hvilke opplysninger som behandles og dokumenter formålet.

2. Vurder risiko: Identifiser potensielle risikoer for de registrertes rettigheter og friheter. Vurder sannsynlighet og konsekvens.

3. Implementer tiltak: Iverksett tekniske (kryptering) eller organisatoriske (opplæring) tiltak.

4. Dokumenter og evaluer: Dokumenter risikovurderingen og evaluer den jevnlig.

Behandlingsansvarlig og databehandler

Behandlingsansvarlig

Bestemmer formålet og midlene. Har overordnet ansvar for samsvar, inkludert ivaretakelse av rettigheter, valg av databehandler og meldeplikt ved brudd.

Databehandler

Behandler opplysninger på vegne av den behandlingsansvarlige etter instruks. Skal sikre konfidensialitet og bistå ved brudd på personopplysningssikkerheten.

Den registrertes rettigheter

Den registrerte har rett til:

  • Informasjon om behandlingen
  • Innsyn i egne personopplysninger
  • Retting av uriktige opplysninger
  • Sletting («retten til å bli glemt»)
  • Begrensning av behandling
  • Dataportabilitet
  • Protest mot behandling
  • Rett til ikke å være gjenstand for automatiserte avgjørelser

Styringsdokumentasjon

Virksomheter må etablere instrukser for:

  • Innsamling og behandling (formål og rettslig grunnlag)
  • Sikkerhet (tilgang, kryptering og backup)
  • Ivaretakelse av de registrertes rettigheter
  • Databehandlere og databehandleravtaler
  • Risikovurdering og DPIA (personvernkonsekvensvurdering)

Personopplysningsarbeid og internkontroll

Personopplysningsarbeidet er et lovpålagt krav iht. GDPR artikkel 24 og internkontrollforskriften. Det krever en risikobasert tilnærming, omfattende dokumentasjon og kontinuerlig forbedring. Se mer om internkontroll og risikostyring.

Koblingen mellom personopplysningsloven, datasikkerhetsloven og sikkerhetsloven

Datasikkerhet er en forutsetning for personvern. Den nye loven om digital sikkerhet (NIS2) stiller krav til forsvarlig sikkerhetsnivå. Sikkerhetsloven ivaretar nasjonal sikkerhet, og i visse situasjoner må hensynet til personvern balanseres mot nasjonale sikkerhetsinteresser.

⚖️ Øvrig regelverk: Arbeidsmiljøloven, Forvaltningsloven og Arkivloven stiller egne krav til behandling av personopplysninger som virksomheter må hensynta i sin styringsdokumentasjon.

Trenger du hjelp med GDPR og personvern i internkontrollsystemet?

Vi bistår med risikovurderinger, databehandleravtaler og instrukser for personvernarbeidet.

Ta kontakt her
Svein Roar Holt

Svein Roar Holt

Grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™. Spesialrådgiver innen virksomhetsstyring, regulatorisk etterlevelse og styrets personlige ansvar.

Om Svein Roar → LinkedIn →

Internkontroll AS · © 2026 Svein Roar Holt

Personvern og GDPR

← Til oversikten → Internkontroll → Risikostyring → Avviksbehandling → Virksomhetsstyring

Lovhenvisninger

→ Personopplysningsloven → GDPR (norsk) → Datatilsynet

Relaterte artikler

→ GDPR og leverandørkjeden → Universell utforming av IKT → Artikkelarkiv

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Skroll til toppen