Personvernerklæring Norge
Personvernforordningen (GDPR) art. 13-14; personopplysningsloven (2018); ekomloven
PERSONVERNERKLÆRING
[Ansvarlig Navn]
Nettsted: [Nettsted Domene]
1. INNLEDNING
[Ansvarlig Navn], organisasjonsnummer [Ansvarlig Orgnr], med adresse [Ansvarlig Adresse] (heretter kalt «Virksomheten», «vi» eller «oss»), er behandlingsansvarlig for behandlingen av personopplysninger som beskrives i denne personvernerklæringen. Nettstedet [Nettsted Domene] brukes til [Nettsted Formal].
Denne personvernerklæringen er utarbeidet i samsvar med Europaparlaments- og rådsforordning (EU) 2016/679 (personvernforordningen, GDPR), som gjelder i Norge gjennom EØS-avtalen, personopplysningsloven (2018) og ekomloven om elektronisk kommunikasjon, samt øvrig relevant norsk lovgivning. Erklæringen beskriver hvordan Virksomheten samler inn, bruker, lagrer og deler personopplysninger, og hvilke rettigheter du som registrert har.
2. KONTAKTOPPLYSNINGER
Behandlingsansvarlig: [Ansvarlig Navn], organisasjonsnummer [Ansvarlig Orgnr], [Ansvarlig Adresse]. E-post: [Ansvarlig Epost]. Telefon: [Ansvarlig Telefon].
Personvernombud: [Ombud Navn], e-post: [Ombud Epost]. Personvernombudet er direkte kontaktbart ved personvernrelaterte spørsmål etter personvernforordningen (GDPR) artikkel 38 nr. 4.
3. KATEGORIER AV PERSONOPPLYSNINGER SOM BEHANDLES
Virksomheten behandler følgende kategorier av personopplysninger: [Opplysningskategorier].
Personopplysninger samles inn direkte fra deg gjennom bruk av nettstedet, din kundekonto, kundeservicehenvendelser, bestillinger og nyhetsbrev. I enkelte tilfeller samles opplysninger inn fra tredjepart (betalingstjenester, leverandører, sosiale medier) innenfor rammen av eksisterende avtaler eller med ditt samtykke.
4. FORMÅL OG RETTSLIGE GRUNNLAG FOR BEHANDLINGEN
Virksomheten behandler dine personopplysninger for følgende formål og med grunnlag i følgende rettslige grunnlag etter personvernforordningen (GDPR) artikkel 6: [Rettslige Grunnlag].
Ved samtykke som rettslig grunnlag etter artikkel 6 nr. 1 bokstav a har du rett til når som helst å trekke tilbake samtykket. Tilbaketrekkingen påvirker ikke lovligheten av behandling som har skjedd før tilbaketrekkingen. Ved berettiget interesse etter artikkel 6 nr. 1 bokstav f har Virksomheten foretatt en interesseavveining, der dine rettigheter og friheter er veid mot Virksomhetens interesser. Ved behandling for markedsføring har du alltid rett til å protestere kostnadsfritt etter artikkel 21 nr. 2.
5. MOTTAKERE AV PERSONOPPLYSNINGER
Virksomheten kan dele dine personopplysninger med følgende kategorier av mottakere: (a) databehandlere som behandler opplysninger på Virksomhetens vegne (IT-leverandører, hosting, e-postutsendelse, betalingstjenester, logistikk) under databehandleravtale etter personvernforordningen (GDPR) artikkel 28; (b) banker, kortinnløsere og betalingstjenesteleverandører; (c) offentlige myndigheter ved lovpålagt rapporteringsplikt eller rettslig prosess (Skatteetaten, politiet, domstolene); (d) regnskaps- og revisjonsforetak etter bokføringsloven (2004) og revisorloven (2020); (e) selskaper i samme konsern.
Ved eventuell overføring til tredjeland utenfor EØS anvendes overføringsgrunnlag etter personvernforordningen (GDPR) artiklene 44 til 49, først og fremst EU-kommisjonens standard personvernbestemmelser eller bindende virksomhetsregler etter artikkel 47. Beslutning om tilstrekkelig beskyttelsesnivå for visse tredjeland etter artikkel 45 anvendes der slik beslutning er gyldig.
6. LAGRINGSTIDER
Personopplysninger lagres bare så lenge det er nødvendig for de formålene de ble samlet inn for, eller så lenge det kreves etter lov. Konkrete lagringstider: [Lagringstid].
Regnskapsopplysninger lagres i fem år etter bokføringsloven (2004) § 13. Avtaledokumenter og kundekommunikasjon kan lagres i foreldelsestiden etter foreldelsesloven (1979), normalt tre år for alminnelige fordringer og ti år for fordringer på grunnlag av gjeldsbrev. Etter angitt lagringstid slettes eller anonymiseres personopplysningene.
7. DINE RETTIGHETER SOM REGISTRERT
Som registrert har du følgende rettigheter etter personvernforordningen (GDPR) og personopplysningsloven (2018):
Rett til informasjon etter artiklene 13 og 14 — å få informasjon om behandlingen av dine personopplysninger, slik denne erklæringen beskriver.
Rett til innsyn etter artikkel 15 — å få bekreftet at vi behandler dine opplysninger og å få en kopi av opplysningene.
Rett til retting etter artikkel 16 — å få uriktige eller ufullstendige opplysninger rettet.
Rett til sletting etter artikkel 17 (retten til å bli glemt) — å få dine opplysninger slettet når et av grunnlagene i artikkel 17 nr. 1 er oppfylt.
Rett til begrensning av behandlingen etter artikkel 18 — å kreve at behandlingen begrenses ved tvist om riktighet eller lovlighet.
Rett til dataportabilitet etter artikkel 20 — å få utlevert dine opplysninger i et strukturert, alminnelig anvendt og maskinlesbart format for overføring til en annen behandlingsansvarlig.
Rett til å protestere etter artikkel 21 — å protestere mot behandling som bygger på berettiget interesse eller mot direkte markedsføring.
Rett til ikke å være gjenstand for automatiserte avgjørelser etter artikkel 22 — å ikke være gjenstand for avgjørelser som utelukkende bygger på automatisert behandling, herunder profilering, med rettslige følger for deg.
Rett til å trekke tilbake samtykke etter artikkel 7 nr. 3 — å når som helst trekke tilbake et samtykke vi bygger behandlingen på.
Rett til å klage til Datatilsynet etter artikkel 77 samt rett til effektivt rettsmiddel for domstolene etter artikkel 79.
For å utøve dine rettigheter, kontakt oss via [Ansvarlig Epost] eller [Ombud Epost]. Vi besvarer din begjæring uten ugrunnet opphold og senest innen en måned etter personvernforordningen (GDPR) artikkel 12 nr. 3.
8. INFORMASJONSKAPSLER (COOKIES) OG SPORINGSTEKNOLOGI
Nettstedet bruker informasjonskapsler (cookies) og lignende sporingsteknologi etter ekomloven om elektronisk kommunikasjon, som gjennomfører ePrivacy-direktivet. For andre informasjonskapsler enn de som er strengt nødvendige for tjenestens funksjon, kreves ditt samtykke. Samtykke innhentes via et samtykkebanner ved besøk på nettstedet.
Informasjonskapsler brukes til (a) teknisk nødvendige funksjoner (handlekurv, innlogging, sikkerhet); (b) statistikk og analyse (anonymisert data); (c) markedsføring og personalisering (dersom du har samtykket); (d) tredjepartskapsler fra sosiale medier dersom du har samtykket. Du kan når som helst endre dine innstillinger for informasjonskapsler via nettstedets innstillingsside eller via nettleseren.
9. SIKKERHETSTILTAK
Virksomheten treffer egnede tekniske og organisatoriske sikkerhetstiltak etter personvernforordningen (GDPR) artikkel 32 for å beskytte dine personopplysninger mot uautorisert tilgang, ulovlig behandling, utilsiktet tap, ødeleggelse eller skade. Sikkerhetstiltakene omfatter kryptering (SSL/TLS for dataoverføring), tilgangskontroll med rettighetsstyring, tofaktorautentisering for administrative systemer, regelmessig sikkerhetstesting, sikkerhetskopiering og beredskapsplaner samt opplæring av ansatte i informasjonssikkerhet.
Ved brudd på personopplysningssikkerheten etter personvernforordningen (GDPR) artikkel 33 melder vi fra til Datatilsynet uten ugrunnet opphold og senest innen 72 timer, og ved risiko for dine rettigheter og friheter informerer vi deg etter artikkel 34.
10. ENDRING AV PERSONVERNERKLÆRINGEN
Denne personvernerklæringen kan bli endret ved endringer i vår behandling av personopplysninger, ny lovgivning eller praksis fra Datatilsynet, Personvernnemnda eller EU-domstolen. Ved vesentlige endringer informerer vi deg via nettstedet eller direkte dersom du har konto hos oss. Den nyeste versjonen er alltid tilgjengelig på [Nettsted Domene].
11. KLAGE OG ESKALERING
Dersom du er misfornøyd med vår behandling av personopplysninger, kontakt oss i første omgang via [Ansvarlig Epost] eller [Ombud Epost]. Du har også rett til å klage til tilsynsmyndigheten etter personvernforordningen (GDPR) artikkel 77.
Datatilsynet er tilsynsmyndighet etter personvernforordningen (GDPR) artikkel 51 og personopplysningsloven (2018). Klage kan sendes via datatilsynet.no eller per post. Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018).
Hva er Personvernerklæring Norge?
Personvernerklæring Norge er en offentlig erklæring der en virksomhet som behandlingsansvarlig informerer de registrerte om hvordan personopplysningene deres samles inn, brukes, lagres og deles. Erklæringen oppfyller informasjonsplikten etter personvernforordningen (GDPR) artiklene 13 og 14, som gjelder i Norge gjennom EØS-avtalen, sammen med personopplysningsloven (2018) og ekomloven om elektronisk kommunikasjon når det gjelder informasjonskapsler. Erklæringen angir den behandlingsansvarlige, kategoriene av opplysninger, de rettslige grunnlagene etter artikkel 6, lagringstidene, de registrertes rettigheter og retten til å klage til Datatilsynet.
Informasjonsplikten er en grunnleggende plikt for den behandlingsansvarlige etter personvernforordningen (GDPR). Når personopplysninger samles inn fra den registrerte selv, gjelder artikkel 13; når opplysningene samles inn fra andre kilder, gjelder artikkel 14. Personvernerklæringen er det praktiske verktøyet for å oppfylle denne plikten på en samlet og tilgjengelig måte, og gjør det mulig for de registrerte å forstå og kontrollere hvordan opplysningene deres behandles.
Den behandlingsansvarlige er den som bestemmer formålene med og midlene for behandlingen av personopplysninger etter personvernforordningen (GDPR) artikkel 4 nr. 7. Personvernerklæringen skal identifisere den behandlingsansvarlige med navn, organisasjonsnummer og kontaktopplysninger. Dersom virksomheten har utpekt et personvernombud etter personvernforordningen (GDPR) artikkel 37, skal også ombudets kontaktopplysninger oppgis. Personvernombud er obligatorisk for offentlige myndigheter og for virksomheter som driver omfattende eller systematisk overvåking eller behandler særlige kategorier av opplysninger i stor skala.
Erklæringen skal angi kategoriene av personopplysninger som behandles og formålene med behandlingen. Vanlige kategorier er kontaktopplysninger, bestillings- og betalingsopplysninger, IP-adresse, opplysninger fra informasjonskapsler, kommunikasjonshistorikk og innloggingsopplysninger. For hvert formål skal det angis et rettslig grunnlag etter personvernforordningen (GDPR) artikkel 6, for eksempel avtale, samtykke, berettiget interesse eller rettslig forpliktelse.
Erklæringen skal angi lagringstidene for de ulike kategoriene av opplysninger. Personopplysninger skal bare lagres så lenge det er nødvendig for formålene, eller så lenge det kreves etter lov. For eksempel skal regnskapsopplysninger lagres i fem år etter bokføringsloven (2004) § 13, mens avtaledokumenter og kundekommunikasjon kan lagres i foreldelsestiden etter foreldelsesloven (1979). Etter lagringstiden skal opplysningene slettes eller anonymiseres.
De registrertes rettigheter er en sentral del av erklæringen. Den registrerte har blant annet rett til innsyn etter personvernforordningen (GDPR) artikkel 15, rett til retting etter artikkel 16, rett til sletting etter artikkel 17, rett til begrensning etter artikkel 18, rett til dataportabilitet etter artikkel 20, rett til å protestere etter artikkel 21, og rett til ikke å være gjenstand for automatiserte avgjørelser etter artikkel 22. Erklæringen skal informere om disse rettighetene og om hvordan de kan utøves.
Bruk av informasjonskapsler (cookies) reguleres av ekomloven om elektronisk kommunikasjon, som gjennomfører ePrivacy-direktivet. For andre informasjonskapsler enn de som er strengt nødvendige for tjenestens funksjon, kreves den registrertes samtykke, som normalt innhentes via et samtykkebanner ved besøk på nettstedet. Personvernerklæringen eller en egen informasjonskapselerklæring skal beskrive hvilke informasjonskapsler som brukes og til hvilke formål.
Forskjellene mot beslektede dokumenter er vesentlige. Personvernerklæringen oppfyller informasjonsplikten overfor de registrerte, mens en databehandleravtale etter personvernforordningen (GDPR) artikkel 28 regulerer forholdet mellom behandlingsansvarlig og databehandler. En GDPR innsynsbegjæring er et verktøy for den registrerte til å utøve innsynsretten etter artikkel 15. Det videre forms-legal.com biblioteket omfatter maler for flere av disse dokumentene, blant annet GDPR innsynsbegjæring.
Når trenger du Personvernerklæring Norge?
Personvernerklæring Norge trengs av alle virksomheter og organisasjoner som behandler personopplysninger, fordi informasjonsplikten etter personvernforordningen (GDPR) artiklene 13 og 14 gjelder for nær sagt all behandling av personopplysninger. En personvernerklæring er det praktiske verktøyet for å oppfylle denne plikten.
Nettbutikker og netthandel. Alle nettbutikker som behandler kundeopplysninger, bestillinger og betalinger, må ha en personvernerklæring. Erklæringen skal beskrive hvilke opplysninger som samles inn ved kjøp, hvilke rettslige grunnlag som gjelder (typisk avtale etter personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav b), hvor lenge opplysningene lagres, og hvilke databehandlere og betalingstjenester som benyttes. Erklæringen kombineres med en informasjonskapselerklæring og et samtykkebanner etter ekomloven.
Nettsteder med kontaktskjema eller nyhetsbrev. Selv enkle nettsteder som samler inn personopplysninger gjennom kontaktskjema, påmelding til nyhetsbrev eller analyseverktøy, må ha en personvernerklæring. Erklæringen skal informere besøkende om behandlingen og om deres rettigheter etter personvernforordningen (GDPR). Ved nyhetsbrev basert på samtykke etter artikkel 6 nr. 1 bokstav a skal erklæringen informere om retten til å trekke tilbake samtykket.
Arbeidsgivere og behandling av ansattes opplysninger. Alle arbeidsgivere behandler personopplysninger om ansatte, herunder personalmappe, lønn, fravær og kommunikasjon. Arbeidsgiveren bør ha en egen personvernerklæring eller personvernrutine for ansatte som beskriver behandlingen, de rettslige grunnlagene og lagringstidene etter personvernforordningen (GDPR) og personopplysningsloven (2018). Behandling av ansattes opplysninger er i tillegg regulert av egne regler om arbeidsgivers innsyn.
Foreninger, lag og frivillige organisasjoner. Foreninger og frivillige organisasjoner som behandler medlemsopplysninger, deltakerlister og kontaktinformasjon, omfattes også av personvernforordningen (GDPR) og må informere medlemmene gjennom en personvernerklæring. Erklæringen skal beskrive hvilke opplysninger som behandles, til hvilke formål, og hvor lenge de lagres. Også mindre organisasjoner har informasjonsplikt etter artiklene 13 og 14.
Virksomheter med kundekontoer og lojalitetsprogrammer. Virksomheter som tilbyr kundekontoer, lojalitetsprogrammer eller medlemskap, behandler omfattende kundeopplysninger og bør ha en grundig personvernerklæring. Erklæringen skal beskrive profilering og målrettet markedsføring der dette forekommer, og informere om retten til å protestere etter personvernforordningen (GDPR) artikkel 21. Ved automatiserte avgjørelser skal erklæringen informere om dette etter artikkel 22.
Virksomheter som overfører opplysninger til tredjeland. Virksomheter som bruker skytjenester, leverandører eller samarbeidspartnere utenfor EØS, må informere i personvernerklæringen om overføring til tredjeland og om overføringsgrunnlaget etter personvernforordningen (GDPR) artiklene 44 til 49, for eksempel EU-kommisjonens standard personvernbestemmelser. Dette er aktuelt for de fleste virksomheter som bruker internasjonale IT-tjenester.
Virksomheter som driver markedsføring og analyse. Virksomheter som driver digital markedsføring, retargeting og nettanalyse, behandler personopplysninger gjennom informasjonskapsler og sporingsteknologi. Personvernerklæringen og en informasjonskapselerklæring skal beskrive denne behandlingen, og samtykke skal innhentes etter ekomloven for andre informasjonskapsler enn de strengt nødvendige. Korrekt håndtering av samtykke er sentralt for å unngå reaksjoner fra Datatilsynet.
Offentlige virksomheter og myndigheter. Offentlige myndigheter, kommuner og etater som behandler personopplysninger om innbyggere, har informasjonsplikt etter personvernforordningen (GDPR) og skal ha en personvernerklæring. Offentlige virksomheter skal dessuten ha personvernombud etter artikkel 37. Erklæringen skal beskrive behandlingen, de rettslige grunnlagene som ofte er rettslig forpliktelse eller utøvelse av offentlig myndighet etter artikkel 6, og innbyggernes rettigheter.
Hva bør Personvernerklæring Norge inneholde
En komplett Personvernerklæring Norge inneholder følgende nøkkelelementer for å oppfylle informasjonsplikten etter personvernforordningen (GDPR) artiklene 13 og 14 og personopplysningsloven (2018).
Identifikasjon av den behandlingsansvarlige. Erklæringen skal angi den behandlingsansvarliges navn, organisasjonsnummer (ni sifre) og kontaktopplysninger etter personvernforordningen (GDPR) artikkel 13 nr. 1 bokstav a. Den behandlingsansvarlige er den som bestemmer formålene med og midlene for behandlingen etter artikkel 4 nr. 7. Klare kontaktopplysninger gjør det mulig for de registrerte å henvende seg om personvernspørsmål og å utøve sine rettigheter.
Kontaktopplysninger til personvernombud. Dersom virksomheten har utpekt et personvernombud etter personvernforordningen (GDPR) artikkel 37, skal erklæringen angi ombudets kontaktopplysninger etter artikkel 13 nr. 1 bokstav b. Personvernombud er obligatorisk for offentlige myndigheter og for virksomheter som driver omfattende eller systematisk overvåking eller behandler særlige kategorier av opplysninger i stor skala. Ombudet er et kontaktpunkt for de registrerte og for Datatilsynet.
Formål og rettslig grunnlag for behandlingen. Erklæringen skal angi formålene med behandlingen og det rettslige grunnlaget for hvert formål etter personvernforordningen (GDPR) artikkel 13 nr. 1 bokstav c. De rettslige grunnlagene følger av artikkel 6: samtykke (bokstav a), avtale (bokstav b), rettslig forpliktelse (bokstav c), vitale interesser (bokstav d), offentlig myndighet (bokstav e) eller berettiget interesse (bokstav f). Ved berettiget interesse skal interesseavveiningen omtales, og ved samtykke skal retten til å trekke det tilbake fremgå.
Kategorier av personopplysninger. Erklæringen skal beskrive hvilke kategorier av personopplysninger som behandles, for eksempel kontaktopplysninger, bestillings- og betalingsopplysninger, IP-adresse, opplysninger fra informasjonskapsler, kommunikasjonshistorikk og innloggingsopplysninger. Ved behandling av særlige kategorier av personopplysninger etter personvernforordningen (GDPR) artikkel 9, som helseopplysninger, skal det særskilte grunnlaget for slik behandling angis.
Mottakere av personopplysningene. Erklæringen skal angi mottakerne eller kategoriene av mottakere av personopplysningene etter personvernforordningen (GDPR) artikkel 13 nr. 1 bokstav e. Dette omfatter databehandlere som behandler opplysninger på vegne av den behandlingsansvarlige under databehandleravtale etter artikkel 28, samt offentlige myndigheter, betalingstjenester og samarbeidspartnere. Ved overføring til tredjeland skal overføringsgrunnlaget etter artiklene 44 til 49 angis.
Lagringstider. Erklæringen skal angi hvor lenge personopplysningene lagres, eller kriteriene for å fastsette lagringstiden, etter personvernforordningen (GDPR) artikkel 13 nr. 2 bokstav a. Personopplysninger skal bare lagres så lenge det er nødvendig for formålene, eller så lenge det kreves etter lov. Regnskapsopplysninger lagres i fem år etter bokføringsloven (2004) § 13, og avtaledokumenter kan lagres i foreldelsestiden etter foreldelsesloven (1979).
De registrertes rettigheter. Erklæringen skal informere om de registrertes rettigheter etter personvernforordningen (GDPR) artikkel 13 nr. 2 bokstav b: rett til innsyn etter artikkel 15, retting etter artikkel 16, sletting etter artikkel 17, begrensning etter artikkel 18, dataportabilitet etter artikkel 20, og rett til å protestere etter artikkel 21. Erklæringen skal også informere om retten til å trekke tilbake samtykke etter artikkel 7 nr. 3 og om hvordan rettighetene utøves. Disse elementene utfyller forms-legal.com bibliotekets maler for personvern.
Informasjonskapsler og sporingsteknologi. Erklæringen, eller en egen informasjonskapselerklæring, skal beskrive bruken av informasjonskapsler (cookies) og lignende sporingsteknologi etter ekomloven om elektronisk kommunikasjon. For andre informasjonskapsler enn de strengt nødvendige kreves samtykke, som innhentes via et samtykkebanner. Erklæringen skal beskrive hvilke typer informasjonskapsler som brukes (tekniske, statistikk, markedsføring) og hvordan den registrerte kan endre innstillingene.
Sikkerhetstiltak og avviksbehandling. Erklæringen bør beskrive de tekniske og organisatoriske sikkerhetstiltakene etter personvernforordningen (GDPR) artikkel 32, for eksempel kryptering, tilgangskontroll og opplæring. Den bør også omtale rutinen ved brudd på personopplysningssikkerheten, herunder melding til Datatilsynet uten ugrunnet opphold og senest innen 72 timer etter artikkel 33, og varsling av de registrerte ved høy risiko etter artikkel 34.
Klageadgang til Datatilsynet. Erklæringen skal informere om retten til å klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 13 nr. 2 bokstav d og artikkel 77. Datatilsynet er den nasjonale tilsynsmyndigheten etter personopplysningsloven (2018), og Datatilsynets vedtak kan påklages til Personvernnemnda. Erklæringen bør angi hvordan den registrerte først kan henvende seg til virksomheten, og deretter klage til Datatilsynet dersom henvendelsen ikke fører frem.
Slik fyller du ut Personvernerklæring Norge
Å fylle ut en Personvernerklæring Norge korrekt krever at man følger trinnene nedenfor systematisk, slik at erklæringen oppfyller informasjonsplikten etter personvernforordningen (GDPR) artiklene 13 og 14 og personopplysningsloven (2018).
Trinn 1 — Angi den behandlingsansvarlige. Oppgi virksomhetens fulle navn, organisasjonsnummer (ni sifre) og adresse etter Foretaksregisteret, samt en e-postadresse og eventuelt telefonnummer for personvernspørsmål. Den behandlingsansvarlige er den som bestemmer formålene med og midlene for behandlingen etter personvernforordningen (GDPR) artikkel 4 nr. 7. Klare kontaktopplysninger er en forutsetning for at de registrerte kan utøve sine rettigheter.
Trinn 2 — Angi personvernombud dersom aktuelt. Dersom virksomheten har utpekt et personvernombud etter personvernforordningen (GDPR) artikkel 37, oppgi ombudets navn eller funksjon og e-postadresse. Personvernombud er obligatorisk for offentlige myndigheter og for virksomheter som driver omfattende eller systematisk overvåking eller behandler særlige kategorier av opplysninger i stor skala. Dersom virksomheten ikke har ombud, kan dette feltet stå tomt.
Trinn 3 — Beskriv nettstedet og formålet. Oppgi nettstedets domenenavn og en kort beskrivelse av nettstedets hovedformål, for eksempel netthandel, kundeservice eller markedsføring. Beskrivelsen gir de registrerte kontekst for hvilken behandling personvernerklæringen gjelder, og knytter erklæringen til den konkrete virksomheten.
Trinn 4 — Angi kategoriene av personopplysninger. Beskriv hvilke kategorier av personopplysninger virksomheten samler inn og behandler, for eksempel kontaktopplysninger (navn, adresse, e-post, telefon), bestillingsopplysninger, betalingsopplysninger, IP-adresse, opplysninger fra informasjonskapsler, kommunikasjonshistorikk og innloggingsopplysninger. Vær konkret, slik at de registrerte forstår hva som faktisk behandles om dem.
Trinn 5 — Angi rettslige grunnlag for hvert formål. Angi det rettslige grunnlaget for hver type behandling etter personvernforordningen (GDPR) artikkel 6: avtale for kundeforhold (bokstav b), samtykke for nyhetsbrev (bokstav a), berettiget interesse for markedsføring og analyse (bokstav f), og rettslig forpliktelse for bokføring og skatt (bokstav c). Ved berettiget interesse beskriv interesseavveiningen, og ved samtykke informer om retten til å trekke det tilbake.
Trinn 6 — Angi lagringstidene. Beskriv hvor lenge de ulike kategoriene av opplysninger lagres, eller kriteriene for å fastsette lagringstiden. For eksempel lagres regnskapsopplysninger i fem år etter bokføringsloven (2004) § 13, kundekontoer så lenge kontoen er aktiv og deretter en angitt periode, og markedsføringsdata til samtykket trekkes tilbake. Etter lagringstiden skal opplysningene slettes eller anonymiseres.
Trinn 7 — Beskriv mottakere og eventuell overføring til tredjeland. Beskriv hvem opplysningene deles med, for eksempel databehandlere under databehandleravtale etter personvernforordningen (GDPR) artikkel 28, betalingstjenester, offentlige myndigheter og samarbeidspartnere. Dersom opplysninger overføres til tredjeland utenfor EØS, angi overføringsgrunnlaget etter artiklene 44 til 49, for eksempel EU-kommisjonens standard personvernbestemmelser.
Trinn 8 — Informer om de registrertes rettigheter. Beskriv de registrertes rettigheter etter personvernforordningen (GDPR): innsyn etter artikkel 15, retting etter artikkel 16, sletting etter artikkel 17, begrensning etter artikkel 18, dataportabilitet etter artikkel 20, rett til å protestere etter artikkel 21, og rett til å trekke tilbake samtykke etter artikkel 7 nr. 3. Angi hvordan rettighetene utøves, typisk ved henvendelse til virksomhetens e-postadresse for personvernspørsmål.
Trinn 9 — Beskriv informasjonskapsler og sikkerhet. Beskriv bruken av informasjonskapsler (cookies) etter ekomloven, herunder at samtykke innhentes for andre enn strengt nødvendige informasjonskapsler. Beskriv de tekniske og organisatoriske sikkerhetstiltakene etter personvernforordningen (GDPR) artikkel 32, og rutinen ved brudd på personopplysningssikkerheten med melding til Datatilsynet etter artikkel 33.
Trinn 10 — Informer om klageadgang og publiser erklæringen. Informer om retten til å klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77, og at Datatilsynets vedtak kan påklages til Personvernnemnda. Publiser personvernerklæringen tilgjengelig på nettstedet, typisk i bunnteksten, slik at den er lett å finne. Oppdater erklæringen ved endringer i behandlingen eller i regelverket, og angi gjerne dato for siste oppdatering.
Juridiske krav til Personvernerklæring Norge
Personvernerklæring Norge omfattes av et regelverk i personvernforordningen (GDPR), personopplysningsloven (2018) og ekomloven som fastsetter hva erklæringen skal inneholde og hvordan personopplysninger skal behandles.
GDPR gjelder i Norge gjennom EØS-avtalen. Personvernforordningen (GDPR), Europaparlaments- og rådsforordning (EU) 2016/679, gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). De samme grunnleggende pliktene og rettighetene gjelder i Norge som i EU. Datatilsynet er den nasjonale tilsynsmyndigheten, og Personvernnemnda er klageorgan for Datatilsynets vedtak.
Informasjonsplikten etter personvernforordningen (GDPR) artiklene 13 og 14. Når personopplysninger samles inn fra den registrerte selv, skal den behandlingsansvarlige gi informasjon etter artikkel 13; når opplysningene samles inn fra andre kilder, gjelder artikkel 14. Informasjonen omfatter den behandlingsansvarliges identitet og kontaktopplysninger, eventuelt personvernombud, formålene og de rettslige grunnlagene, mottakerne, eventuell overføring til tredjeland, lagringstidene, de registrertes rettigheter og retten til å klage til Datatilsynet. Personvernerklæringen er det praktiske verktøyet for å oppfylle denne plikten samlet.
Rettslig grunnlag for behandling etter personvernforordningen (GDPR) artikkel 6. All behandling av personopplysninger må ha et rettslig grunnlag etter artikkel 6: samtykke, avtale, rettslig forpliktelse, vitale interesser, offentlig myndighet eller berettiget interesse. Erklæringen skal angi grunnlaget for hvert formål. Ved behandling av særlige kategorier av personopplysninger etter artikkel 9, som helse, religion eller fagforeningstilhørighet, kreves et særskilt grunnlag i tillegg. Behandlingen skal også oppfylle de grunnleggende prinsippene i artikkel 5, herunder lovlighet, formålsbegrensning, dataminimering og lagringsbegrensning.
De registrertes rettigheter etter personvernforordningen (GDPR) kapittel 3. Den registrerte har rett til innsyn etter artikkel 15, retting etter artikkel 16, sletting etter artikkel 17, begrensning etter artikkel 18, dataportabilitet etter artikkel 20, og rett til å protestere etter artikkel 21. Den registrerte har dessuten rett til ikke å være gjenstand for automatiserte avgjørelser etter artikkel 22 og rett til å trekke tilbake samtykke etter artikkel 7 nr. 3. Den behandlingsansvarlige skal svare på begjæringer uten ugrunnet opphold og senest innen en måned etter artikkel 12 nr. 3.
Informasjonskapsler etter ekomloven. Bruk av informasjonskapsler (cookies) og lignende sporingsteknologi reguleres av ekomloven om elektronisk kommunikasjon, som gjennomfører ePrivacy-direktivet. For andre informasjonskapsler enn de som er strengt nødvendige for å levere tjenesten den registrerte har bedt om, kreves informert samtykke. Samtykke innhentes normalt via et samtykkebanner ved besøk på nettstedet. Erklæringen eller en egen informasjonskapselerklæring skal beskrive hvilke informasjonskapsler som brukes og til hvilke formål.
Databehandleravtale etter personvernforordningen (GDPR) artikkel 28. Når den behandlingsansvarlige bruker en databehandler som behandler personopplysninger på dens vegne, for eksempel en IT-leverandør eller en e-posttjeneste, skal det inngås en databehandleravtale etter artikkel 28. Avtalen skal regulere blant annet formålet, varigheten, sikkerhetstiltakene og bruken av underdatabehandlere. Personvernerklæringen bør opplyse om at databehandlere benyttes under slike avtaler.
Overføring til tredjeland etter personvernforordningen (GDPR) artiklene 44 til 49. Overføring av personopplysninger til land utenfor EØS krever et særskilt overføringsgrunnlag. Dette kan være en beslutning om tilstrekkelig beskyttelsesnivå etter artikkel 45, EU-kommisjonens standard personvernbestemmelser etter artikkel 46, bindende virksomhetsregler etter artikkel 47, eller unntak etter artikkel 49. Erklæringen skal informere om eventuell overføring til tredjeland og om overføringsgrunnlaget.
Sikkerhet og avviksbehandling etter personvernforordningen (GDPR) artiklene 32 til 34. Den behandlingsansvarlige skal treffe egnede tekniske og organisatoriske sikkerhetstiltak etter artikkel 32 for å sikre et beskyttelsesnivå tilpasset risikoen. Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige melde fra til Datatilsynet uten ugrunnet opphold og senest innen 72 timer etter artikkel 33, og varsle de registrerte ved høy risiko for deres rettigheter og friheter etter artikkel 34.
Tilsyn, klage og sanksjoner etter personvernforordningen (GDPR) og personopplysningsloven (2018). Datatilsynet fører tilsyn med at regelverket overholdes og kan gi pålegg, irettesettelser og overtredelsesgebyr etter personvernforordningen (GDPR) artiklene 58 og 83. Den registrerte kan klage til Datatilsynet etter artikkel 77, og Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018). Den registrerte har også rett til effektivt rettsmiddel for domstolene etter artikkel 79 og rett til erstatning etter artikkel 82. En manglende eller mangelfull personvernerklæring kan utgjøre et brudd på informasjonsplikten.
Vanlige feil i Personvernerklæring Norge
Vanlige feil ved utforming av Personvernerklæring Norge kan føre til at informasjonsplikten ikke oppfylles, at erklæringen blir misvisende, eller at virksomheten risikerer reaksjoner fra Datatilsynet.
Feil 1 — Generisk erklæring som ikke passer virksomheten. Å kopiere en standard personvernerklæring uten å tilpasse den til virksomhetens faktiske behandling gir en erklæring som er misvisende og ikke oppfyller informasjonsplikten etter personvernforordningen (GDPR) artiklene 13 og 14. Løsning: kartlegg hvilke personopplysninger virksomheten faktisk behandler, til hvilke formål og på hvilket grunnlag, og tilpass erklæringen til dette.
Feil 2 — Manglende eller uklart rettslig grunnlag. En erklæring som ikke angir et rettslig grunnlag for hvert formål etter personvernforordningen (GDPR) artikkel 6, oppfyller ikke kravene. Å oppgi samtykke som grunnlag der avtale eller berettiget interesse er det riktige, kan skape problemer. Løsning: angi det korrekte rettslige grunnlaget for hvert formål; bruk samtykke kun der det faktisk innhentes, og berettiget interesse kun etter en reell interesseavveining.
Feil 3 — Manglende informasjon om lagringstid. En erklæring som ikke angir hvor lenge opplysningene lagres, eller kriteriene for dette, bryter personvernforordningen (GDPR) artikkel 13 nr. 2 bokstav a. Løsning: angi konkrete lagringstider for de ulike kategoriene, med henvisning til lovpålagt oppbevaring der det er relevant, for eksempel fem år for regnskapsopplysninger etter bokføringsloven (2004) § 13.
Feil 4 — Manglende håndtering av informasjonskapsler. Å bruke informasjonskapsler til statistikk og markedsføring uten å innhente samtykke etter ekomloven, eller uten å beskrive dem i erklæringen, er en vanlig feil som kan utløse reaksjoner fra Datatilsynet. Løsning: innhent gyldig samtykke via et samtykkebanner for andre enn strengt nødvendige informasjonskapsler, og beskriv informasjonskapslene i erklæringen eller i en egen informasjonskapselerklæring.
Feil 5 — Manglende informasjon om de registrertes rettigheter. En erklæring som ikke informerer om innsyn, retting, sletting, begrensning, dataportabilitet og retten til å protestere etter personvernforordningen (GDPR) kapittel 3, oppfyller ikke informasjonsplikten. Løsning: list opp de registrertes rettigheter og angi hvordan de utøves, typisk ved henvendelse til virksomhetens e-postadresse for personvernspørsmål.
Feil 6 — Manglende informasjon om overføring til tredjeland. Mange virksomheter bruker skytjenester eller leverandører utenfor EØS uten å informere om dette eller om overføringsgrunnlaget etter personvernforordningen (GDPR) artiklene 44 til 49. Løsning: kartlegg om opplysninger overføres til tredjeland, og angi overføringsgrunnlaget i erklæringen, for eksempel EU-kommisjonens standard personvernbestemmelser.
Feil 7 — Manglende databehandleravtaler. Å bruke databehandlere som IT-leverandører og e-posttjenester uten databehandleravtale etter personvernforordningen (GDPR) artikkel 28 er et brudd, selv om personvernerklæringen er korrekt. Løsning: inngå databehandleravtaler med alle som behandler personopplysninger på virksomhetens vegne, og opplys i erklæringen om at databehandlere benyttes under slike avtaler.
Feil 8 — Manglende rutine for avviksbehandling. En erklæring som ikke omtaler hva som skjer ved brudd på personopplysningssikkerheten, og en virksomhet uten rutine for dette, risikerer å bryte meldeplikten etter personvernforordningen (GDPR) artikkel 33. Løsning: etabler en rutine for å oppdage og melde avvik til Datatilsynet uten ugrunnet opphold og senest innen 72 timer, og varsle de registrerte ved høy risiko etter artikkel 34; omtal dette i erklæringen.
Feil 9 — Manglende oppdatering ved endringer. En personvernerklæring som ikke oppdateres når behandlingen, leverandørene eller regelverket endres, blir raskt utdatert og misvisende. Løsning: gjennomgå og oppdater erklæringen jevnlig og ved vesentlige endringer; angi dato for siste oppdatering, og informer de registrerte ved vesentlige endringer.
Feil 10 — Vanskelig tilgjengelig eller uforståelig erklæring. En erklæring som er gjemt bort på nettstedet, eller som er skrevet i et uforståelig juridisk språk, oppfyller ikke kravet om at informasjonen skal gis i en lett tilgjengelig og forståelig form etter personvernforordningen (GDPR) artikkel 12 nr. 1. Løsning: gjør erklæringen lett å finne, typisk i bunnteksten på alle sider, og skriv den i et klart og forståelig språk slik at de registrerte faktisk kan forstå behandlingen.
Siter denne siden
Henvis til denne gratis malen i en artikkel, et pensum eller en forskningsnotat:
Forms Legal. (2026). Personvernerklæring Norge (Norge) [Legal document template]. Forms Legal. https://forms-legal.com/nb/norge/business/policies/personvernerklaering
"Personvernerklæring Norge (Norge)." Forms Legal, 2026, https://forms-legal.com/nb/norge/business/policies/personvernerklaering.
@misc{formslegal-personvernerklaering,
author = {{Forms Legal}},
title = {Personvernerklæring Norge (Norge)},
year = {2026},
howpublished = {\url{https://forms-legal.com/nb/norge/business/policies/personvernerklaering}},
note = {Free legal document template}
}Også tilgjengelig for disse jurisdiksjonene:
Ofte stilte spørsmål
En personvernerklæring er en offentlig erklæring der en virksomhet som behandlingsansvarlig informerer de registrerte om hvordan personopplysningene deres samles inn, brukes, lagres og deles. Erklæringen oppfyller informasjonsplikten etter personvernforordningen (GDPR) artiklene 13 og 14, som gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). I tillegg gjelder ekomloven om elektronisk kommunikasjon for bruk av informasjonskapsler (cookies). Personvernerklæringen skal angi den behandlingsansvarliges identitet og kontaktopplysninger, eventuelt personvernombud etter artikkel 37, formålene med behandlingen og de rettslige grunnlagene etter artikkel 6, kategoriene av personopplysninger, mottakerne, eventuell overføring til tredjeland etter artiklene 44 til 49, lagringstidene, de registrertes rettigheter etter kapittel 3 og retten til å klage til Datatilsynet etter artikkel 77. Datatilsynet er den nasjonale tilsynsmyndigheten, og Datatilsynets vedtak kan påklages til Personvernnemnda. En manglende eller mangelfull personvernerklæring kan utgjøre et brudd på informasjonsplikten som Datatilsynet kan reagere mot med pålegg og overtredelsesgebyr.
Alle virksomheter og organisasjoner som behandler personopplysninger, trenger en personvernerklæring, fordi informasjonsplikten etter personvernforordningen (GDPR) artiklene 13 og 14 gjelder for nær sagt all behandling av personopplysninger. Dette omfatter nettbutikker som behandler kundeopplysninger og betalinger, nettsteder med kontaktskjema, nyhetsbrev eller analyseverktøy, arbeidsgivere som behandler opplysninger om ansatte, foreninger og frivillige organisasjoner som behandler medlemsopplysninger, og offentlige myndigheter som behandler opplysninger om innbyggere. Også mindre virksomheter og enkeltpersonforetak som behandler personopplysninger om kunder eller kontakter, har informasjonsplikt. Plikten gjelder uavhengig av virksomhetens størrelse; det er behandlingen av personopplysninger som utløser plikten, ikke omsetningen eller antallet ansatte. Personvernerklæringen er det praktiske verktøyet for å oppfylle informasjonsplikten på en samlet og tilgjengelig måte. Virksomheter som driver omfattende eller systematisk overvåking, eller som behandler særlige kategorier av personopplysninger i stor skala, må i tillegg utpeke et personvernombud etter personvernforordningen (GDPR) artikkel 37; det samme gjelder offentlige myndigheter. Selv om plikten er generell, skal innholdet i erklæringen tilpasses den enkelte virksomhetens faktiske behandling, slik at den ikke blir generisk og misvisende.
En personvernerklæring må inneholde den informasjonen som følger av informasjonsplikten i personvernforordningen (GDPR) artiklene 13 og 14. Dette omfatter for det første identiteten og kontaktopplysningene til den behandlingsansvarlige, og kontaktopplysningene til et eventuelt personvernombud etter artikkel 37. For det andre skal erklæringen angi formålene med behandlingen og det rettslige grunnlaget for hvert formål etter artikkel 6, for eksempel avtale, samtykke, berettiget interesse eller rettslig forpliktelse; ved berettiget interesse skal interesseavveiningen omtales. For det tredje skal erklæringen angi kategoriene av personopplysninger som behandles, mottakerne eller kategoriene av mottakere, og eventuell overføring til tredjeland utenfor EØS med angivelse av overføringsgrunnlaget etter artiklene 44 til 49. For det fjerde skal erklæringen angi hvor lenge opplysningene lagres eller kriteriene for å fastsette lagringstiden. For det femte skal erklæringen informere om de registrertes rettigheter, herunder innsyn etter artikkel 15, retting etter artikkel 16, sletting etter artikkel 17, begrensning etter artikkel 18, dataportabilitet etter artikkel 20, rett til å protestere etter artikkel 21, og rett til å trekke tilbake samtykke etter artikkel 7 nr. 3. For det sjette skal erklæringen informere om retten til å klage til Datatilsynet etter artikkel 77. I tillegg bør erklæringen, eller en egen informasjonskapselerklæring, beskrive bruken av informasjonskapsler etter ekomloven. Informasjonen skal gis i en kortfattet, åpen, forståelig og lett tilgjengelig form etter artikkel 12 nr. 1.
Ja, for de fleste informasjonskapsler (cookies) trenger du den besøkendes samtykke. Bruk av informasjonskapsler og lignende sporingsteknologi reguleres av ekomloven om elektronisk kommunikasjon, som gjennomfører ePrivacy-direktivet. Hovedregelen er at det kreves informert samtykke før informasjonskapsler lagres på eller leses fra brukerens utstyr, med mindre informasjonskapselen er strengt nødvendig for å levere den tjenesten brukeren uttrykkelig har bedt om. Strengt nødvendige informasjonskapsler, for eksempel slike som husker innholdet i en handlekurv eller sikrer innlogging, krever ikke samtykke. Derimot krever informasjonskapsler som brukes til statistikk og analyse, markedsføring, retargeting og personalisering normalt samtykke. Samtykket skal være frivillig, spesifikt, informert og utvetydig etter personvernforordningen (GDPR), og innhentes vanligvis gjennom et samtykkebanner som vises ved besøk på nettstedet. Banneret bør gi brukeren en reell mulighet til å akseptere eller avvise ikke-nødvendige informasjonskapsler, og det skal være like enkelt å avvise som å akseptere. Personvernerklæringen eller en egen informasjonskapselerklæring skal beskrive hvilke informasjonskapsler som brukes, til hvilke formål, hvem som setter dem, og hvor lenge de lagres, samt hvordan brukeren kan endre eller trekke tilbake samtykket. Manglende eller mangelfull håndtering av informasjonskapsler er et område Datatilsynet følger tett, og kan utløse pålegg og overtredelsesgebyr.
Ved et brudd på personopplysningssikkerheten, ofte kalt et avvik eller en datalekkasje, gjelder særlige plikter etter personvernforordningen (GDPR). Et brudd på personopplysningssikkerheten er et sikkerhetsbrudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger. Den behandlingsansvarlige skal melde et slikt brudd til Datatilsynet uten ugrunnet opphold og om mulig senest innen 72 timer etter at bruddet ble oppdaget, etter personvernforordningen (GDPR) artikkel 33. Meldeplikten gjelder med mindre det er usannsynlig at bruddet medfører en risiko for fysiske personers rettigheter og friheter. Meldingen til Datatilsynet skal beskrive bruddets art, hvilke kategorier og hvor mange registrerte og opplysninger som er berørt, de sannsynlige konsekvensene og hvilke tiltak som er truffet eller foreslås. Dersom bruddet sannsynligvis vil medføre en høy risiko for de registrertes rettigheter og friheter, skal den behandlingsansvarlige i tillegg varsle de berørte registrerte uten ugrunnet opphold etter personvernforordningen (GDPR) artikkel 34, slik at de kan treffe forholdsregler, for eksempel ved å bytte passord. Den behandlingsansvarlige skal også dokumentere alle brudd internt, uavhengig av om de meldes, slik at Datatilsynet kan kontrollere etterlevelsen. For å håndtere dette på en forsvarlig måte bør virksomheten ha en rutine for å oppdage, vurdere, melde og dokumentere avvik, og personvernerklæringen bør omtale denne håndteringen. Manglende overholdelse av meldeplikten kan i seg selv være et brudd som Datatilsynet kan reagere mot.
Ja, dersom virksomheten din bruker en databehandler som behandler personopplysninger på dine vegne, trenger du en databehandleravtale i tillegg til personvernerklæringen. Personvernerklæringen og databehandleravtalen oppfyller to ulike funksjoner. Personvernerklæringen oppfyller informasjonsplikten overfor de registrerte etter personvernforordningen (GDPR) artiklene 13 og 14, og forteller de registrerte hvordan opplysningene deres behandles. Databehandleravtalen etter personvernforordningen (GDPR) artikkel 28 regulerer derimot forholdet mellom deg som behandlingsansvarlig og den eksterne databehandleren som behandler opplysninger på dine vegne, for eksempel en IT-leverandør, en hostingtjeneste, et e-postutsendingssystem, en regnskapsfører eller en betalingsleverandør. En databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige uten selv å bestemme formålene med behandlingen. Databehandleravtalen skal etter artikkel 28 nr. 3 blant annet regulere formålet med og varigheten av behandlingen, arten av personopplysninger og kategoriene av registrerte, databehandlerens plikt til kun å behandle opplysningene etter dokumenterte instrukser, kravet til taushetsplikt, sikkerhetstiltakene etter artikkel 32, vilkårene for bruk av underdatabehandlere, bistand til den behandlingsansvarlige med å oppfylle de registrertes rettigheter, og hva som skjer med opplysningene ved avtalens slutt. Uten en gyldig databehandleravtale er overlatelsen av personopplysninger til databehandleren i seg selv et brudd på regelverket, selv om personvernerklæringen din er korrekt. Personvernerklæringen bør opplyse om at virksomheten bruker databehandlere under databehandleravtaler. Det er altså viktig å sørge for begge deler: en korrekt personvernerklæring overfor de registrerte og databehandleravtaler med alle som behandler opplysninger på dine vegne.
Denne malen leveres kun til informasjonsformål og utgjør ikke juridisk rådgivning. Lover varierer mellom jurisdiksjoner og endres over tid. Rådfør deg med en kvalifisert advokat for råd som er spesifikke for din situasjon.Fullstendig ansvarsfraskrivelse
Fant du en feil? Gi oss beskjedRelated Documents
You may also find these documents useful:
GDPR innsynsbegjæring Norge
Begjæring om innsyn i egne personopplysninger etter personvernforordningen (GDPR) artikkel 15 og personopplysningsloven (2018). Krever bekreftelse, kopi og informasjon om behandlingen med svarfrist på en måned etter artikkel 12, og klageadgang til Datatilsynet.
Vedtekter for AS Norge
Vedtekter for aksjeselskap (AS) i Norge med obligatorisk innhold etter aksjeloven (1997) § 2-2: foretaksnavn, forretningskommune, virksomhet, aksjekapital (minst 30 000 kr) og aksjenes pålydende, samt regler om styre, signatur, aksjeovergang og forkjøpsrett.