GDPR bygger på prinsippene om at all behandling av personopplysninger skal ha et rettslig grunnlag og et klart definert formål, at behandlingen skal være åpen og kjent for personene opplysningene gjelder, at det ikke skal behandles flere personopplysninger enn nødvendig for formålet, og at opplysningene skal slettes når formålet er oppnådd. I tillegg skal personopplysninger behandles på en sikker måte.

For å etterleve personvernprinsippene og regelverket for øvrig, kreves en god oversikt over behandlingen av personopplysninger i virksomheten, presise og praktiske rutiner som gjør ansatte i stand til å følge regelverket, og et aktivt forhold til informasjonssikkerhet. I tillegg stilles det krav om at virksomheten kan dokumentere sin etterlevelse.

Vi har lang erfaring med å bistå virksomheter med effektiv etterlevelse av personvernregelverket, både ved utvikling av nye forretningsområder og implementering av GDPR. Implementering av GDPR i virksomheter krever ikke bare en forståelse for regelverkets krav, men også praktisk erfaring med hvordan regelverket best kan etterleves i ulike bransjer, samt innsikt i den konkrete virksomhetens egenart og behov.

Vi gir deg nødvendig innsikt for å sikre at personvernregelverket følges, samtidig som virksomhetens forretningsmessige behov ivaretas.

Våre ekspertiseområder

Databehandleravtaler og andre avtaler om behandling av personopplysninger

Vi bistår virksomheter med inngåelse, utarbeidelse og revisjon av databehandleravtaler, og andre avtaler om behandling av personopplysninger, som for eksempel avtale om felles behandlingsansvar eller utlevering av personopplysninger til tredjepart.

Bistand ved akutte sikkerhetshendelser

Ved akutte sikkerhetshendelser er det behov for å handle raskt, samtidig som arbeidstakeres personvern må ivaretas. Vi har lang erfaring med praktisk rådgivning for å sikre at virksomheten får undersøkt og stanset mulige datainnbrudd, uten at det oppstår unødig risiko for at virksomheten selv bryter lovregler.

Bistand ved brudd på personopplysningssikkerheten

Når personopplysninger kommer på avveie eller personopplysningssikkerheten på andre måter brytes, må virksomheten som hovedregel varsle Datatilsynet innen 72 timer. I noen tilfeller må også personene opplysningene gjelder varsles. Vi bistår våre klienter med å vurdere om varsling er påkrevd, samt å gjennomføre varsling til Datatilsynet innen lovens frist.

Bistand ved tilsyn og klagesaker hos Datatilsynet og Personvernnemnda

Hjort har lang erfaring med å bistå virksomheter som er innklaget til Datatilsynet og Personvernnemnda. Vi bistår med å besvare henvendelser på en strukturert og god måte, slik at saken undergis rett og en godt dokumentert behandling hos tilsynet.

Kameraovervåkning og annen overvåkning

Kameraovervåkning utgjør også behandling av personopplysninger, og det gjelder strenge krav til slik overvåkning. Vi bistår våre klienter med å vurdere om det er rettslig adgang til å overvåke, samt hvordan overvåkningen kan innrettes for å ivareta prinsippet om dataminimering.

Vurdering av personvernkonsekvenser (DPIA)

En del behandlingstyper krever en grundig vurdering av personvernkonsekvensene. Dette gjelder særlig behandling av personopplysninger som innebærer overvåkning eller bruk av ny teknologi. Vi vurderer personvernkonsekvensene av behandling, eller tilbyr rådgivning til våre klienter når de selv gjennomfører disse vurderingene.

Innsyn i arbeidstakers e-postkasse

Noen ganger må arbeidsgivere gjøre innsyn i arbeidstakers e-postkasse. Slike innsyn er strengt regulerte. Vi bistår med vurdering av om det er grunnlag for innsyn, og bistår gjennom hele innsynsprosessen for å sikre at regelverket overholdes og at det sikres god dokumentasjon av prosessen.

Personvern og mangfoldsarbeid

Mange selskaper arbeider med å øke mangfoldet blant sine ansatte. Når resultatet av dette arbeidet skal måles, kan det oppstå spørsmål om hvilke personopplysninger om ansatte arbeidsgiver kan og bør samle inn. Vi har god erfaring med å bistå våre klienter med å finne balansen, slik at mangfoldsarbeidet ikke går på bekostning av ansattes personvern.

Personvern og markedsføring

Personvernregelverket og markedsføringsregelverket inneholder mange regler for hvordan virksomheter kan behandle personopplysninger når de skal markedsføre sine produkter. Vi har lang erfaring med å bistå klienter med å oppnå sine forretningsmessige behov, uten å risikere brudd på personvernregelverket og regelverket for markedsføring.

Personvernombud (DPO)

Personvernombud er en særskilt rolle som en del virksomheter plikter å ha. Personvernombudet skal ha en overordnet, og ikke en operativ rolle. En del virksomheter velger å etablere et personvernombud selv om dette ikke er lovpålagt. Vi tilbyr personvernombudtjenester, slik at vi kan påta oss denne rollen for virksomheter som ikke ønsker internt personvernombud, eller som ikke har denne kompetansen internt.

Personvern innen forskning - helseforskning

Forskningsprosjekter innebærer ofte omfattende behandling av store mengder personopplysninger, og ofte også helseopplysninger eller andre sensitive opplysninger om personer som deltar i forskningsstudier. Hjort bistår forskningsinstitusjoner med å etablere gode rutiner for innsamling og behandling av personopplysninger for forskningsformål, vurdere behandlingsansvar og behandlingsgrunnlag, samt å utarbeide samtykkeskjema og informasjonsskriv til deltakere. Vi bistår også forskningsinstitusjoner i kontakt med REK og NEM.

Personvern og granskning

Når det gjennomføres eksterne granskninger, behandles det store mengder personopplysninger. Det oppstår jevnlig problemstillinger om behandling av personopplysninger i granskninger, for eksempel relatert til de involverte parters rett til informasjon og innsyn, innsyn i elektronisk lagret materiale, og granskerens formelle rolle som behandlingsansvarlig eller databehandler. Våre granskninger ivareta alle berørtes personvern.

Kontaktpersoner

Claude A. Lenth

Partner

cal@hjort.no

+47 91 68 89 78

Monica Syrdal

Partner

msy@hjort.no

+47 99 59 49 95

22. oktober 2025 Personvern og GDPR

Lagmannsretten opprettholder gebyr på 65 miillioner til Grindr

Datatilsynet vedtok i 2021 å ilegge Grindr et overtredelsesgebyr på 65 millioner kroner for brudd på GDPR fordi Grindr hadde delt personopplysninger om brukere av Grindrs app med annonsepartnere. Borgarting lagmannsrett har forkastet Grindrs anke og opprettholdt Datatilsynets gebyr.

24. juni 2025 Personvern og GDPR, Teknologi og digitalisering

Digitalsikkerhetsloven trer i kraft 1. oktober 2025 – Er du klar?

Den nye digitalsikkerhetsloven med forskrift trer i kraft 1. oktober 2025. Loven gjelder for tilbydere av samfunnskritiske tjenester innenfor utvalgte sektorer, og enkelte typer digitale tjenester, og implementerer NIS1-direktivet i Norge. Forskriften operasjonaliserer kravene i loven.

28. april 2025 Næringsliv, Personvern og GDPR

EU-domstolen sikrer transpersoners rett til å få rettet opplysninger om kjønn i offentlige registre

I en fersk avgjørelse fastslår EU-domstolen transpersoners rett til å få rettet opplysninger om sin kjønnsidentitet i offentlige registre uten at det kan stilles krav om kjønnsbekreftende operasjon.

Se flere