EU vedtok i 2016 ny forordning om personvern, også kalt GDPR (General Data Protection Regulation).

I møte i EØS-komiteen 6. juli 2018 ble det besluttet at personvernforordningen skal innlemmes EØS-avtalen. Beslutning om innlemmelse trådte i kraft 20. juli. Samme dag trådte ny personopplysningslov i kraft. Loven var vedtatt av Stortinget i mai 2018. Dette gjør GDPR til norsk rett ved inkorporasjon, i henhold til EØS-avtalen.

EUs personvernforordning vil herunder bli omtalt som GDPR.

 

Formål

Målet er å sikre vern av personopplysninger, harmoniserte regler i EU og EØS og gi fri utveksling av personopplysning mellom EU- og EØS-landene.

Den innlemmede forordningen er vedlagt i Lov 15. juni 2018 om behandling av personopplysninger, heretter forkortet til popplyl. 2018. GDPR artikkel 1 viser dens formål, gjengitt herunder:

  1. Denne forordning fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger.
  2. Denne forordning sikrer vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger.
  3. Fri utveksling av personopplysninger i Unionen skal verken begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger.

 

Virkeområde

Lovens § 1 viser dens saklige område. I første ledd framkommer det at loven og forordningen skal gjelde ved helt eller delvis automatisert behandling av personvernopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Dersom annet er bestemt i eller med hjemmel i lov, skal dette gå foran forordningen og lovens bestemmelser. Men der det foreligger konflikt med annen lovgivning som regulerer samme forhold, skal forordningen og loven gå foran, jf. siste ledd. Loven virkeområde har også noen unntak gjengitt i § 1 andre ledd. Disse går vi ikke nærmere inn på i denne avhandlingen.

I det følgende vil vedkommende som blir identifisert, altså tatt bilde av, filmet og så videre, bli omtalt som den registrerte. Den som samler inn informasjon om den registrerte, omtales som den behandlingsansvarlige.

 

Definisjon

Personvern er definert i GDPR artikkel 4 første ledd:

«personopplysninger» enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet».

 

Hvorfor er dette relevant for NAFs lokalavdelinger?

I NAF sitt arbeid med trygg skolevei sammen med ulike lokalavdelinger, ønsker vi å dokumentere det som foregår av aktiviteter knyttet til å bedre barns skolehverdag. Dokumentasjon skjer for eksempel i form av video, bilder, intervjuer med de involverte og trafikktelling. Dette må derfor være i tråd med gjeldende regelverk for personopplysninger.

 

Samtykke

Hovedregelen er at det skal innhentes samtykke fra alle som fotograferes og som filmes. Samtykket skal kunne dokumenteres, derfor er det hensiktsmessig at samtykket innhentes skriftlig. Dette framkommer av GDPR artikkel 7, som fastsetter at den behandlingsansvarlige på kunne påvise at den registrerte har samtykket.

Situasjonsbilder kan offentliggjøres uten samtykke så lenge bildene er harmløse og ikke på noen måte er krenkende for de som er avbildet.

Aldersgrensen for samtykke er 13 år, jf. popplyl. 2018 § 5. Er barnet under denne alderen kan foreldrene samtykke på barnets vegne.

Datatilsynet har satt sammen en liste som viser hva som må være på plass for at et samtykke skal være gyldig. Samtykket må være:

  • frivillig
  • spesifikt
  • informert
  • utvetydig
  • gitt gjennom en aktiv handling
  • dokumenterbart
  • mulig å trekke tilbake like lett som det ble gitt

 

Den registrertes rettigheter, jf. GDPR kapittel 3

Den registrertes rettigheter må ivaretas i alle sammenhenger. Den registrerte har rett til:

  • Innsyn
  • Retting
  • Sletting
  • Begrensning
  • Å protestere
  • Informasjon

Les mer om punktene under NAF sin personvernerklæring. Denne er utbedret for å gjelde medlemmer og kunder i NAF, og hvordan NAF ivaretar deres personvern.

https://www.naf.no/om-naf/personvern/