Inge Kristian Brodersen
Partner, Advokatfirmaet Schjødt
Partner, Advokatfirmaet Schjødt
Partner, Advokatfirmaet Schjødt
Partner, Advokatfirmaet Schjødt
Partner, Advokatfirmaet Schjødt
Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) hører under Justis- og beredskapsdepartementet (JD). Loven angir at forordning (EU) 2016/679 (personvernforordningen) gjelder som norsk lov. Både personopplysningsloven og forordningen har omfattende bestemmelser om behandling av personopplysninger som har stor innvirkning på både individer, privat næringsliv og offentlig sektor. Personopplysningsloven erstatter tidligere lov 14. april 2000 nr. 31. Forarbeidene til loven er Prop. 56 LS 82017–2018).
Det finnes flere norske kommentarutgaver til personopplysningsloven, men den mest omfattende kommentaren er på engelsk og omfatter kun selve personvernforordningen, se Christopher Kuner, Lee A. Bygrave og Christopher Docksey (red.), The EU General Data Protection Regulation (GDPR) – A Commenatry, Oxford University Press, 2020. De har også utgitt en oversikt over endringer mellom 1. august 2019 til 1. januar 2021, som er tilgjengelig her: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3839645.
Annen litteratur som er sentral for norske brukere, er Åste Marie Bergseng Skullerud, Cecilie Rønnevik, Jørgen Skorstad og Marius Engh Pellerud, Personvernforordningen (GDPR) Kommentarutgave, Universitetsforlaget, 2018; Eva Jarbekk (red.), Personopplysninger og personvernforordningen (GDPR) med kommentarer, Gyldendal Norsk Forlag, 2019; Eva Jarbekk og Simen Sommerfeldt, Personvern og GDPR i praksis, Cappelen Damm, 2019; Eva Jarbekk og Simen Sommerfeldt, Personvern og GDPR i praksis, Cappelen Damm, 2024; Roy Johansen, Håndbok – Behandling av kundeopplysninger i forsikring – Innhenting, bruk og utlevering av person- og bedriftsopplysninger i lys av GDPR og taushetsplikt, Frende Forsikring, 2019; Dag Wiese Schartum og Lee A. Bygrave, Personvern i informasjonssamfunnet, 3. utg., Fagbokforlaget, 2016 og David Frydlinger, Tobias Edvardsson, Caroline Olstedt Calström og Sandra Beyer, GDPR – Juridik, organisation och säkerhet enligt dataskyddsförordningen, Nordstedts Juridik, 2018.
Det er en stor og økende mengde avgjørelser fra norske og europeiske tilsynsmyndigheter og domstoler som er viktige når man skal tolke regelverket. Ettersom det er et europeisk regelverk, er også kilder fra andre EFTA-land relevante. I Norge er også avgjørelser fra Personvernnemnda viktige, disse er tilgjengelig på https://www.personvernnemnda.no/. Retningslinjer fra Personvernrådet (på engelsk European Data Protection Board, EDPB) er også sentrale rettskilder og er tilgjengelige her: https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en.
En god kilde for å finne praksis fra andre land er nettsiden GDPRhub som drives som en wiki på initiativ fra personvernorganisasjonen NOYB. Nettsiden er gratis og har gode søkemuligheter.
Enkelte veiledere gitt av den tidligere såkalte article 29 Working Party (også ofte benevnt WP29-gruppen eller bare WP29) under det tidligere europeiske personverndirektivet 95/46/EF er også relevante fremdeles da de gir uttrykk for tolkninger som fremdeles er aktuelle for prinsipper som er videreført i personvernforordningen. Personvernrådets beslutning om å videreføre (de kaller det å «endorse») en del av de eldre veiledningene er tilgjengelig her: https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf
Det danske Datatilsynet har laget en standard databehandleravtale som er tilgjengelig på engelsk og dansk. Det norske Datatilsynet har laget en norsk uoffisiell oversettelse. Avtalen har vært lagt frem for Personvernrådet, som har sikret at den oppfyller kravene etter personvernforordningen. Avtalen kan dermed også brukes som en mal i Norge, og den er blitt svært vanlig å bruke. Klikk her for å laste ned malen, med lovkommentarforfatters merknader og innspill.
Skjema for vurdering av berettiget interesse kan lastes ned her.