Utlevering av personopplysninger

– til hvem og i hvilken utstrekning?

  • Share

Utlevering av personopplysninger reguleres av personopplysningsloven med tilhørende forskrift. Hva er så en personopplysning? I loven er personopplysninger definert som opplysninger og vurderinger som kan knyttes til enkeltpersoner. Navn, fødselsnummer, kontonummer, mobiltelefonnummer, bostedsadresse og et bilde vil derfor kunne være informasjon som anses som personopplysninger, men også andre opplysninger kan omfattes. Det vesentlige er at opplysningen eller informasjonen kan knyttes til en enkelt person.

Artikkelen er tidligere publisert i Revisjon og Regnskap og gjengis med tillatelse.

Opplysninger om juridiske personer regnes derimot ikke som personopplysninger og omfattes derfor ikke av loven. En rekke opplysninger knyttet til juridiske personer vil likevel også være opplysninger om fysiske personer. I disse tilfellene vil opplysningene være omfattet av loven.

Utlevering til tredjepart – samtykke, lovhjemmel eller nødvendighet
Dersom skattemyndigheter, revisor, politiet, bostyrere eller andre tredjeparter ber om å få utlevert personopplysninger om ens kunder eller ansatte, må vilkårene i personopplysningsloven være oppfylt. Utlevering til tredjepart anses som «behandling» av personopplysninger, og krever som hovedregel samtykke av personen opplysningene er knyttet til. Mangler samtykke, må utleveringen enten forankres i lovhjemmel eller være «nødvendig» etter en av flere kriterier som er opplistet i loven. Loven gir for eksempel adgang til å utlevere opplysninger til tredjemann dersom dette er nødvendig for å oppfylle en avtale som et selskap har med denne personen, eller det er nødvendig for å ivareta denne personens vitale interesser.
 
Krav om saklighet og relevans for formålet
I tillegg kreves det at personopplysninger kun utleveres i den utstrekning disse er saklige og relevante for det formålet de skal brukes til.  En virksomheten kan aldri utlevere samtlige opplysninger den besitter uten at den foretar en konkret vurdering av opplysningenes saklighet og relevans for formålet.

Loven stiller også krav til hvordan personopplysninger kan utleveres, som bl.a. skal sikre at opplysningene ikke kommer på avveie i utleveringsprosessen.

Sensitive personopplysninger
Utlevering av «sensitive personopplysninger» er underlagt strengere vilkår. Sensitive personopplysninger er opplysninger om rasemessig/etnisk bakgrunn; politisk, filosofisk religiøs oppfatning; at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling; helseforhold; seksuelle forhold; eller medlemskap i fagforeninger. Informasjon om personnummer eller lønn er ikke sensitive personopplysninger, men behandlingen av disse vil naturlig begrenses av kravet om saklighet og relevans for formålet.

Reglene om behandling av personopplysninger er basert på EU-rett, og det er nye regler på trappene. De nye reglene er planlagt å tre i kraft fra mai 2018, og medfører delvis store endringer sammenlignet med dagens regler.