Den nye personvernloven, og GDPR (EUs personvernforordning) vil trolig tre i kraft i Norge i løpet av juli. NEF har hatt fokus på dette temaet på kurs det siste året, senest på NEFs Vårkonferanse i Bergen nå i mai. Forbrukerrådgiver Carsten Pihl og juridisk rådgiver Katerin Lind-Klev holder kurs om personvern og GDPR for eiendomsmeglere i Oslo 7. juni, Trondheim 13. juni og i…
GDPR – Hva betyr det for vår virksomhet?
- Av: Redaksjonen
- 29. januar 2018
- Fagstoff, Forsidenytt

Eiendomsmeglere er i likhet med alle andre virksomheter som behandler opplysninger om kunder og ansatte bundet av personvernlovgivningen. Dette får betydning når personverndirektivet – GDPR trer i krav i mai 2018.
Av: Senioradvokat Nina Thjømøe, Homble Olsby
Den 25. mai 2018 trer EUs nye personvernforordning GDPR – The General Data Protection Regulation – i kraft, og vil fra samme tidspunkt også få anvendelse i Norge.
En vesentlig del av de reglene som gjelder i dag, vil videreføres også etter implementeringen av GDPR. Nedenfor følger derfor en kort gjennomgang av de viktigste reglene for behandling av personopplysninger i gjeldende regelverk:

Forfatteren: Nina Elisabeth Thjømøe hos Advokatfirmaet Homble Olsby
Hva er personopplysninger?
Personopplysninger er opplysninger eller vurderinger som kan knyttes til enkeltpersoner, for eksempel navn, telefonnummer, adresse, e-postadresse, bilnummer, bilder, fingeravtrykk og fødselsnummer. Opplysninger om en persons adferdsmønster er også regnet som personopplysninger, for eksempel hvor vedkommende handler, hva man søker etter på nettet mv.
Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.
Les også: Hvem eier bildet?– om bruk av bilder tatt i forbindelse med megleroppdrag
Behandlingsgrunnlag
For å kunne behandle personopplysninger må virksomheten ha et lovlig behandlingsgrunnlag for behandlingen. Dette kan enten være samtykke fra vedkommende personopplysningene gjelder eller positiv hjemmel i lov. Etter personopplysningsloven kan virksomheter i tillegg behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.
Grunnkrav til behandling av personopplysninger
Behandling av personopplysninger innebærer etter personopplysningsloven enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.
Personopplysningene kan kun brukes til angitte og spesifikke formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet. Eiendomsmeglerselskapet kan for eksempel ikke bruke personopplysninger om kunder i markedsføringsøyemed, dersom opplysningen opprinnelig kun ble hentet inn for å utføre et konkret oppdrag.
Det stilles også krav til kvaliteten av opplysningene som behandles – de må være relevante for det formålet de skal benyttes til, korrekte og oppdaterte.
Informasjonssikkerhet og internkontroll
Virksomheten skal ved behandling av personopplysninger sørge for sikring av opplysningenes i) konfidensialitet ii) integritet og iii) tilgjengelighet. Sikkerhetstiltakene skal dokumenteres.
Virksomheter som behandler personopplysninger har plikt til å etablere rutiner for å sikre at kravene personopplysningsloven og -forskriften stiller til behandling av personopplysninger etterfølges (internkontroll).
Innsynsrett og informasjonsplikt
Enhver som ber om det, har rett til å få innsyn i hvordan en virksomhet behandler personopplysninger. Denne retten gjelder uavhengig av om man er registrert eller ikke. Den registrerte har i tillegg rett til å få innsyn i hvilke opplysninger som er registrert om dem, og hvilke sikkerhetstiltak virksomheten har ved behandlingen.
Retting og sletting
Den registrerte kan kreve at mangelfulle eller uriktige personopplysninger rettes.
Personopplysninger skal ikke behandles lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.
Databehandler
En databehandler er en virksomhet som helt eller delvis behandler personopplysninger på vegne av et annet selskap, typisk en ekstern leverandør av virksomhetens IT-løsning. Forholdet mellom databehandleren og behandlingsansvarlig skal være regulert i en databehandleravtale, og databehandleren kan ikke behandle personopplysninger på annen måte enn det som følger av databehandleravtalen.
Overføring til utlandet
En overføring av personopplysninger til en adresse eller en server utenfor Norge innebærer overføring av personopplysninger til utlandet. Personopplysninger kan kun overføres til stater som sikrer en forsvarlig behandling av personopplysningene. Land som har implementert det gjeldende EU-direktivet 95/46/EF oppfyller dette kravet.
Melde- og konsesjonsplikt
Når en virksomhet skal registrere eller behandle personopplysninger elektronisk, eller sensitive personopplysninger manuelt, skal det sendes melding til Datatilsynet før behandlingen starter. Meldingen er ment som en orientering til datatilsynet og er vanligvis gyldig i tre år.
Unntatt fra meldeplikten er registrering og behandling av personopplysninger knyttet til kunder og nåværende eller tidligere ansatte. Meldeplikten vil gjelde hvor eiendomsmeglerforetaket registrer personopplysninger om andre, for eksempel potensielle kjøpere.
Ved behandling av sensitive personopplysninger kreves konsesjon fra Datatilsynet. Vi antar at dette er lite praktisk for eiendomsmeglere.
Sanksjoner
Datatilsynet er ansvarlig for å håndheve personopplysningsloven. Ved overtredelser kan Datatilsynet pålegge overtrederen å betale et gebyr på inntil 10 ganger grunnbeløpet i folketrygden (G) (ca. 930.000 kr p.t.).
Datatilsynet kan også kreve at behandling av personopplysninger i strid med personopplysningsloven skal opphøre, eller stille vilkår for behandlingen. Datatilsynet kan videre fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfyllelse, til pålegget er oppfylt.
Ved brudd på visse lovbestemte plikter kan straff i form av bøter eller fengsel ilegges, eventuelt begge deler. I noen tilfeller kan det også bli aktuelt med erstatning.
Les også: Risikofylte transaksjoner – hva skal eiendomsmegler være oppmerksom på
Hva er nytt med GDPR?
Nedenfor gis en oversikt over de viktigste endringene i forordningen, hensyntatt hva som vil være mest relevant for eiendomsmeglere:
Skjerpede krav til samtykke
GDPR skjerper kravene til hva som er et gyldig samtykke. Samtykke skal gis ved en aktiv handling eller tydelig bekreftelse. Forhåndsavkryssede bokser eller taushet vil dermed ikke tilfredsstille kravene til samtykke under GDPR. Samtykket må videre være frivillig, spesifikt, informert og utvetydig for å være gyldig.
Etter forordningen skal samtykke avgis separat for hvert enkelt formål, og det skal kunne trekkes tilbake like lett som det ble avgitt.
Krav til klart språk og krav til åpenhet
GDPR får konsekvenser for hvordan personvernerklæringer og brukervilkår kan utformes. Informasjon om hvordan personopplysninger behandles skal gis på en klar og tydelig måte. Informasjonen skal være lett tilgjengelig og sikre åpenhet om behandlingen.
Formål
Også etter GDPR er det forbudt å bruke personopplysninger til formål som er uforenlige med det opprinnelige formålet de ble samlet inn for. Nytt med forordningen er imidlertid at den inneholder en mer detaljert regulering av hva som er forenlige formål.
Databehandler
Databehandlere får mer omfattende lovfestede plikter etter GDPR sammenlignet med gjeldende rett, og kravene til hva en databehandleravtale skal inneholde lovfestes.
Nye rettigheter for den registrerte
GDPR gir den registrerte en rekke nye rettigheter, herunder rett til å ta med seg data mellom virksomheter (dataportabilitet).
Andre nye rettigheter som registrerte får i medhold av GDPR er retten til å få behandlingen av personopplysningen begrenset, retten til å motsette seg en behandling, og retten til å motsette seg profilering og automatiserte avgjørelser.
Videre styrkes retten til å bli glemt (få personopplysninger slettet).
Innrapportering av brudd
Brudd på personopplysningsloven skal etter ny personvernlovgivning rapporteres til Datatilsynet uten ugrunnet opphold, og senest 72 timer etter å ha fått kjennskap til sikkerhetsbruddet. I visse tilfeller skal også den registrerte informeres om bruddet.
Skjerpede sanksjoner
Mye av grunnen til at GDPR har fått så mye oppmerksomhet, er at bøtenivået for brudd økes betraktelig sammenlignet med nivået i någjeldende personopplysningslov. Etter GDPR får tilsynsmyndighetene mulighet til å ilegge overtrederen et gebyr på opptil 20 millioner euro, eller inntil 4 % av virksomhetens samlede globale årsomsetning forutgående regnskapsår.
Det er foreslått at straffebestemmelsen i någjeldende personopplysningslov bortfaller.
Innebygget personvern
GDPR oppstiller et krav om innebygd personvern (‘’data protection by design and by default’’). Kravet innebærer at virksomheter må bygge personvern inn i alle løsninger, systemer og tjenester som brukes for å behandle personopplysninger. Personvern skal være standardinnstilling, og man skal iverksette tekniske og organisatoriske tiltak for å sikre gjennomføring av personvernprinsippene.
Meldeplikt- og konsesjonsplikt forsvinner
Dagens ordning med melde- og konsesjonsplikt forsvinner, og erstattes med krav til virksomheten om å vurdere forhåndsdrøftinger med tilsynsmyndigheten og å foreta personvernkonsekvensutredning. Sistnevnte blir trolig mest aktuelt hvor det er tale om behandling av sensitive opplysninger i stor skala.
Hva bør virksomheter gjøre nå?
Vi anbefaler at virksomheter allerede nå setter seg inn i de nye reglene som trer i kraft i mai 2018.
Bedriften bør starte med å kartlegge hvilke personopplysninger de behandler, og klargjøre hva som er formålet med behandlingen og om virksomheten har et lovlig behandlingsgrunnlag. Videre bør det etableres rutiner for blant annet innhenting av samtykke der det er nødvendig, sletting av opplysninger og avvikshåndtering. Ovennevnte bør dokumenteres i en internkontrollrutine.
Virksomheter som har god oversikt over behandlingen av personopplysninger, har god internkontroll og behandler personopplysninger i tråd med gjeldende regler vil ha et godt utgangspunkt for tilpasning til GDPR.
Er du usikker på hvordan din virksomhet skal forholde deg til de nye personvernreglene bør du søke juridisk rådgivning. Å ikke overholde GDPR kan få store konsekvenser for din virksomhet, både økonomisk og omdømmemessig.
Artikkelen stod første gang på trykk i Eiendomsmegleren nr 6-2017
Homble Olsby
Homble Olsby er et forretningsjuridisk advokatfirma som er spesialisert innen arbeidslivets juss. I tillegg bistår vi våre klienter innen generell forretningsjuss, herunder selskapsrett, kontraktsrett, fast eiendoms rettsforhold, transaksjoner m.v. Våre kunder er i hovedsak større og mindre bedrifter, både fra det private næringsliv og det offentlige, men vi yter også bistand til privatpersoner, særlig i arbeidsrelaterte saker.
Vi legger vekt på å oppnå en personlig kontakt med våre klienter. På denne måten ønsker å vi oppnå en åpen og konstruktiv dialog som sammen med juridisk spisskompetanse, gir grunnlag for råd som hensyntar både juridiske og forretningsmessige aspekter ved klientenes virksomhet.
NEFs medlemmer får gode medlemsfordeler ved rådgivning hos Homble Olsby. Les mer her!
Relaterte Artikler
-
GDPR trer snart i kraft – er du klar?
-
NEF – samarbeidspartner i Tettpå
Samarbeid mot arbeidslivskriminalitet Tettpå er et tiltak mot arbeidslivskriminalitet på tvers av offentlige etater, partene i arbeidslivet, byggebransjen og forbrukernes interesseorganisasjoner. Tiltaket er implementert i 20 av landets største by- og hyttekommuner. - Formålet med Tettpå er å påvirke og dyktiggjøre forbrukerne til å ta informerte valg av håndverkere, sier Carl O. Geving, administrerende direktør i Norges Eiendomsmeglerforbund. Du kan lese mer om Tettpå…
-
Kritikkverdige forhold – hva om dette avdekkes i din virksomhet?
Fra tid til annen kommer eiendomsmeglerbransjen i medias søkelys med påstander om kritikkverdige forhold av forskjellige slag. En av de mest omtalte sakene den senere tid er den såkalte Boligbygg-saken hvor representanter fra bransjen har vært involvert i kjøp og salg av eiendommer, verdivurderinger og oppgjør, og hvor konkursgjengangere skal ha vært involvert. Av advokat Anne Helsingeng Denne artikkelen skal ikke handle om Boligbygg-saken,…
-
Finanstilsynet: Ny risikovurdering – hvitvasking og terrorfinansiering
Finanstilsynet har oppdatert sin vurdering av hvitvaskings- og terrorfinansieringsrisiko hos rapporteringspliktige foretak under tilsyn. Den nye risikovurderingsrapporten bygger på risikovurderingen som Finanstilsynet publiserte i januar 2018, og andre kilder som belyser trusler og sårbarheter i arbeidet mot hvitvasking og terrorfinansiering. Den nye risikovurderingen er mer omfattende enn den forrige, og identifiserer potensielle situasjoner der hvitvasking og terrorfinansiering kan skje hos og gjennom rapporteringspliktige foretak…
-
Ny rettsstiftelsesident i grunnboken - hva betyr tallene?
NEFs juridiske avdeling dekoder Kartverkets nye koder! Av Katerin Lind-Klev, advokat på NEFs juridiske avdeling I forbindelse med at man åpnet for elektronisk tinglysing 18. april i år har Kartverket gått over til nye rettstiftelsesidenter i grunnboken. Tidligere hadde et tinglyst dokument typisk en slik ident: 536586 16/06/2015 Nå vil det tinglyste dokumentet over ha denne identen i grunnboken: 2015/536586-1/200 Det er særlig…
-
20. juli kommer ny personopplysningslov (GDPR)
Den nye personopplysningsloven trer i kraft 20. juli. Med dette gjennomføres det mye omtalte EUs personvernforordning (GDPR) i Norge. Stortinget vedtok i mai en ny personopplysningslov som gjennomfører EUs personvernforordning i Norge. Det ble i statsråd 15. juni besluttet at den nye personopplysningsloven trer i kraft samme dag som beslutningen som innlemmer forordningen i EØS-avtalen trer i kraft, skriver regjeringen på sine nettsider. Det…
Min NEF
NEF regelverk
Flere fordeler i NEFs fordelsprogram
- Advokatfirma Arntzen de Besche
- Advokatfirmaet Grette
- Advokatfirmaet Henriksen & Co ANS
- Advokatfirma Homble Olsby
- SANDS advokatfirma
- Autogear
- Autozeek elektronisk kjørebok
- Avis Bilutleie
- Bertel O. Steen – Mercedes-Benz / Smart / Peugeot / Citroën / DS / Opel / Kia
- BMW
- Booknordics.com
- Dine Penger
- Eurocard
- Falck Redning
- Hotel Continental
- Kredinor
- Skattebetalerforeningen
- Smarthotel
- TRYG Forsikring
- Universitetsforlaget
- Verisure
For meglere
- Innmeldingsskjema
- Få ekstra stort utbytte med MNEF Pluss! En fordelaktig tjeneste for deg som allerede er MNEF og ønsker mer ut av medlemskapet
- Tilbud til fullmektiger
- Tilbud til studenter
- Fordeler
- Spar penger ved å bruke NEFs fordelsprogram!
- NEF regelverk
- Vilkår
- Styret og lokalforeningsledere
- Utmerkelser fra NEF
- NEF-HELP stipendet
- Proptech-2020
Mest populære søk
NEF på kartet

Kontakt oss
Norges Eiendomsmeglerforbund
Apotekergata 10
0180 Oslo
Telefon: 22 54 20 80
E-post: firmapost@nef.no
Ansatte: Se ansatte i NEF
Pressekontakter: Se oversikt
Innhold: Slik kjøper du bolig
Innhold: Slik selger du bolig
Siste innlegg
- Normal boligprisutvikling i september
- Ny bunn-notering for sekundærboliger rammer leiemarkedet
- Nye analyser: Markant fall i antall førstegangskjøperne og flere må kjøpe sammen
- Svak boligprisutvikling i juli
- Mekling i nybyggprosjekter – et uforløst potensial
- Viktige råd til boligkjøpere høsten 2022
- Småhusplanen: Reguleringsplan for småhus-områder i Oslo ytre by
- Utsatt plikt til veiopparbeidelse og potensielle refusjonskrav – meglers ansvar for opplysninger
- Ny turvei over fritidseiendom ikke en mangel
- Næringsmegling, god meglerskikk og merverdiavgift
- Tilgjengelighet av eiendomsdata er ikke problemet
Her finner du mer hjelp!
Les mer om disse temaene!
Siste fagartiker for eiendomsmeglere
- Mekling i nybyggprosjekter – et uforløst potensial
- Småhusplanen: Reguleringsplan for småhus-områder i Oslo ytre by
- Utsatt plikt til veiopparbeidelse og potensielle refusjonskrav – meglers ansvar for opplysninger
- Ny turvei over fritidseiendom ikke en mangel
- Næringsmegling, god meglerskikk og merverdiavgift
- Salg av eiendommer i villastrøk
- Hvorfor er det viktig at tinglyst hjemmel og reelt eierforhold stemmer overens?
- Eiendomsskatt på boliger og fritidsboliger
- Har selger opplysningsplikt om at nabo er dømt for seksuelt misbruk av mindreårige?
- Oppsplitting av eiendomshandel – tomtekjøpsavtale og byggekontrakt
NEF i nyhetsbildet
- Kjøper trakk seg - reagerer 15. august 2022
- Finansavisen 15. august 2022
- Rekordfå sekundærboliger i landet- rammer leiemarkedet 15. august 2022
- Norges Eiendomsmeglerforbund 15. august 2022
- Putin vil knytte tettere bånd med Nord - Korea 15. august 2022
- Flere må få hjelp av foreldrene med boliglån 15. august 2022
- Ny bunn-notering for sekundærboliger: – Ganske dramatisk for Oslo, sier NEF-sjefen 15. august 2022
- Rekordlav andel sekundærboliger: – Dramatisk for Oslo 15. august 2022
- Ny bunn-notering for sekundærboliger rammer leiemarkedet 15. august 2022
Pressekontakt
Pressemeldinger
Ledige stillinger
- En feil oppstod, som antagelig betyr at strømmen er nede. Prøv igjen senere.
Viktig når du redigerer profilen:
Her kan du deler av profilen din og legge til informasjon om deg. Du kan også endre passord for innlogging til Min NEF.
Her er noen små kommentarer knyttet til feltene:
Bilde: Last opp for å vises på "Finn eiendomsmegler" på NEFs forbrukersider.
Vises på Finn eiendomsmegler: Kryss av her for at du vises i eiendomsmegleroversikten for bolig/fritidsboliger på NEFs forbrukersider. (Vil være aktuelt for de fleste, men kanskje ikke for de som kun jobber administrativt, med oppgjør eller med næring.
Tittel: Velg en av våre forhåndsutfylte, eller velg "Annet" for å skrive inn egen tittel.
NB: Du skriver inn tittelen i linjen under der det står "Annet". Husk "MNEF" til slutt!
Profilsidelink: Legg inn lenken til din kontakt-/profilside hos din arbeidsgiver. Denne lenken vil vises i "Finn eiendomsmegler" på NEFs forbrukersider, slik at forbrukere kan lese mer om deg.
Andre endringer gjøres av NEF sekretariat. Send oss en epost: firmapost@nef.no