Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen. Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysninger.

Videre er en dynamisk IP-adresse i gitte tilfeller også definert som personopplysning. Registreringsnummeret på en bil kan være en personopplysning hvis det kan knyttes til en bestemt person, mens ikke hvis det står på en firmabil som benyttes av flere.

Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i, hvilke tv-serier du ser på, hvor du fysisk beveger deg i løpet av en dag og hva du søker etter på nettet er alt sammen eksempler på dette. En av de nyere utfordringene for personvernet  er nemlig det at vi legger igjen så mange digitale spor - ofte uten å vite om det eller tenke over det.

Kilde: Datatilsynet

Alle bedrifter og organisasjoner som håndterer personopplysninger, uavhengig av størrelse, er pålagt å vise hvorfor de har grunnlag til å bruke personopplysningene. Dette kalles en behandlingsprotokoll.

Behandlingsprotokollen gir oversikt over hvorfor og hvordan hvordan virksomheten behandler personopplysninger. Dette inkluderer blant annet:

• Hvilke personopplysninger som lagres

• Hvorfor personopplysningene lagres

• Hvor de lagres, dvs i hvilke systemer og hvor i verden)

• Hvem som har tilgang til opplysningene

• Hvordan de er sikret

• Hvilke sletterutiner virksomheten har har

Kilde: Datatilsynet

Det vil alltid være risiko knyttet til oppbevaring av personopplysninger. Risikovurderingen er dokumentasjonen som viser at du har tenkt på hva som kan gå galt, sannsynligheten for at det går galt og konsekvensen dersom det går galt.

Her er noen eksempler på ting som bør risikovurderes:

• personopplysninger behandles uten rettslig grunnlag

• det ikke er tilstrekkelig åpenhet rundt behandlingen av personopplysninger

• det samles inn mer personopplysninger enn det som er nødvendig for formålet

• personopplysningene som behandles ikke er korrekte

• personopplysninger lagres lengre enn det som er nødvendig for formålet

• den registrerte ikke får tilstrekkelig informasjon til å gjøre et informert valg

• den registrerte ikke får innsyn i hvilke personopplysninger som er lagret

• den registrerte ikke får korrigert eller slettet sine personopplysninger

• andre enn de som trenger det har tilgang

Kilde: Datatilsynet

Du har plikt til å ha en databehandleravtale med samarbeidspartnere som behandler data på vegne av deg, eller som har tilgang til sensitiv data du deler med dem.

Databehandleravtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket.

Du er også pliktig til å ha oversikt over hvilke samarbeidspartnere som behandler personopplysninger fra deg.

Kilde: Datatilsynet

Alle virksomheter har plikt til å behandle personopplysninger på en åpen måte. Det betyr blant annet at de må gi kort og forståelig informasjon om hvordan de behandler personopplysningene. Denne informasjonen gis blant annet i en personvernerklæring.

En personvernerklæring forteller hvordan hvordan du behandler personopplysninger du samler inn. Denne er erklæringen publiseres som oftest på hjemmesiden til virksomheten, og skal blant annet inneholde:

• hvilke personopplysninger som virksomheten samler inn

• hvorfor personopplysningene blir samlet inn, og bakgrunnen for det (eksempelvis for å sende ut nyhetsbrev, eller ta i mot jobbsøknader)

• hvem du deler personopplysningene med

• hvor lenge du oppbevarer personopplysningene, dvs. når de slettes

• Hvilke rettigheter man har til blant annet innsyn, retting, sletting, herunder å trekke tilbake et samtykke

• hvordan virksomheten kan kontaktes

• Hvilke klagemuligheter man har til Datatilsynet.

Kilde: Datatilsynet