Logg på for å laste ned PDF

Spør advokaten

Advokat

Jane Wesenberg

Partner EY Law

Om Spør advokaten

Jane Wesenberg er advokat og partner i EY Law. Hun arbeider særlig med arbeidsrett, personvern, petroleumsrett, forvaltningsrett og offentlige anskaffelser. EY Law tilbyr tjenester innen et bredt spekter av forretningsjus, og i denne spalten vil Jane svare på spørsmål knyttet til hele EY Laws fagområde. Har du spørsmål som også kan være av interesse for Revisjon og regnskaps lesere, kan disse sendes: jane.wesenberg@no.ey.com. I utgangspunktet vil kun spørsmål som kommer på trykk bli besvart.

Utlevering av personopplysninger – til hvem og i hvilken utstrekning?

I kjølvannet av Panama Papers-avsløringene har det blitt et stort fokus på utlevering av opplysninger. Mange virksomheter oppbevarer personopplysninger om både egne ansatte og kunder, som også kan være verdifulle for andre enn bedriften. I hvilken utstrekning kan bedriften utlevere slike opplysninger?

Utlevering av personopplysninger reguleres av personopplysningsloven med tilhørende forskrift. Hva er så en personopplysning? I loven er personopplysninger definert som opplysninger og vurderinger som kan knyttes til enkeltpersoner. Navn, fødselsnummer, kontonummer, mobiltelefonnummer, bostedsadresse og et bilde vil derfor kunne være informasjon som anses som personopplysninger, men også andre opplysninger kan omfattes. Det vesentlige er at opplysningen eller informasjonen kan knyttes til en enkelt person.

Opplysninger om juridiske personer regnes derimot ikke som personopplysninger og omfattes derfor ikke av loven. En rekke opplysninger knyttet til juridiske personer vil likevel også være opplysninger om fysiske personer. I disse tilfellene vil opplysningene være omfattet av loven.

Utlevering til tredjepart – samtykke, lovhjemmel eller nødvendighet

Dersom skattemyndigheter, revisor, politiet, bostyrere eller andre tredjeparter ber om å få utlevert personopplysninger om ens kunder eller ansatte, må vilkårene i personopplysningsloven være oppfylt. Utlevering til tredjepart anses som «behandling» av personopplysninger, og krever som hovedregel samtykke av personen opplysningene er knyttet til. Mangler samtykke, må utleveringen enten forankres i lovhjemmel eller være «nødvendig» etter en av flere kriterier som er opplistet i loven. Loven gir for eksempel adgang til å utlevere opplysninger til tredjemann dersom dette er nødvendig for å oppfylle en avtale som et selskap har med denne personen, eller det er nødvendig for å ivareta denne personens vitale interesser.

Krav om saklighet og relevans for formålet

I tillegg kreves det at personopplysninger kun utleveres i den utstrekning disse er saklige og relevante for det formålet de skal brukes til. En virksomhet kan aldri utlevere samtlige opplysninger den besitter uten at den foretar en konkret vurdering av opplysningenes saklighet og relevans for formålet.

Loven stiller også krav til hvordan personopplysninger kan utleveres, som bl.a. skal sikre at opplysningene ikke kommer på avveie i utleveringsprosessen.

Sensitive personopplysninger

Utlevering av «sensitive personopplysninger» er underlagt strengere vilkår. Sensitive personopplysninger er opplysninger om rasemessig/etnisk bakgrunn; politisk, filosofisk eller religiøs oppfatning; at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger. Informasjon om personnummer eller lønn er ikke sensitive personopplysninger, men behandlingen av disse vil naturlig begrenses av kravet om saklighet og relevans for formålet.

Reglene om behandling av personopplysninger er basert på EU-rett, og det er nye regler på trappene. De nye reglene er planlagt å tre i kraft fra mai 2018, og medfører delvis store endringer sammenlignet med dagens regler.