Hva må en personvernerklæring inneholde?

GDPR artikkel 13 lister tolv obligatoriske informasjonspunkter: identitet og kontaktopplysninger, personvernombud (om aktuelt), formål og rettslig grunnlag, berettiget interesse (om brukt), mottakere, overføring til tredjeland, lagringstid, den registrertes rettigheter, rett til å trekke samtykke, rett til å klage, om opplysningene er lovpålagt, og automatiserte avgjørelser.

Hvor lenge kan jeg lagre personopplysninger?

Bare så lenge det er nødvendig for formålet. For hvert formål skal det stå konkret tidsramme («inntil ett år etter siste kontakt») eller et etterprøvbart kriterium («så lenge kundeforholdet varer pluss fem år for regnskapsloven»). «Så lenge det er nødvendig» alene er for vagt og blir påpekt av Datatilsynet.

Må jeg liste hver databehandler ved navn?

Enten ved navn, eller med kategorier presise nok til at den registrerte forstår hvilke aktører som er involvert. «Tredjepartstjenester» uten navn er ikke nok — mottakerne skal kunne identifiseres, ikke gjettes. Hostingleverandør, e-postleverandør, betalingsleverandør, analyseverktøy og support-systemer skal være med.

Hvor ofte må personvernerklæringen oppdateres?

Hver gang noe materielt endrer seg — ny databehandler, nytt formål, endret oppbevaringstid. Datoen for sist oppdatering skal være synlig i dokumentet. Datatilsynet ser etter dette under tilsyn: en erklæring som ikke er rørt på tre år ringer umiddelbart alarmklokker.

Hva skjer hvis personvernerklæringen er mangelfull?

Datatilsynet vurderer erklæringen punkt for punkt ved tilsyn. En ufullstendig erklæring er den enkleste måten å havne i et tilsynsforløp og kan utløse pålegg, irettesettelse eller overtredelsesgebyr — opptil fire prosent av årsomsetning eller 20 millioner euro, alt etter hva som er høyest.

← Blogg

Personvern

Personvernerklæring mal: slik dekker du GDPR art. 13 riktig

Hver virksomhet som samler personopplysninger via en nettside må publisere en personvernerklæring. GDPR artikkel 13 sier ikke bare at den må finnes — den lister tolv konkrete informasjonspunkter erklæringen må dekke. Dropper du ett, er informasjonsplikten brutt.

Publisert 15. mai 202610 min lesing

Illustrasjon av en personvernerklæring som dekker GDPR artikkel 13. Et kortdokument med tolv nummererte krav, hvert avkrysset, omgitt av et nettleservindu med hengelås, et forstørrelsesglass over en dokument-ikon, en footer-lenke, og et merke med teksten «Transparens · Tillit · Kontroll».

En personvernerklæring er ikke en formalitet du legger i bunnteksten og glemmer. Den er den juridiske dokumentasjonen på at virksomheten din oppfyller personvernforordningen (GDPR) artikkel 13: informasjonsplikten overfor den registrerte. Datatilsynet vurderer erklæringen punkt for punkt når de gjør tilsyn, og en utdatert eller ufullstendig erklæring er den enkleste måten å havne i et tilsynsforløp.

Denne malen går gjennom alle tolv punktene artikkel 13 krever, viser hva hvert punkt skal inneholde, og peker på de vanligste feilene. Eksemplene er hentet fra Datatilsynets egne veiledninger og fra tilsynsavgjørelser de siste to årene.

Hvem må ha en personvernerklæring?

Alle virksomheter som behandler personopplysninger — i praksis alle som har en nettside med kontaktskjema, nyhetsbrev, brukerkonto, ordresystem eller besøksstatistikk. Det gjelder uavhengig av størrelse og uavhengig av om dere er privat eller offentlig sektor.

Plikten gjelder også for små enkeltpersonforetak. Den eneste reelle terskelen er at dere ikke behandler personopplysninger i det hele tatt — og det er sjeldent tilfellet for et nettsted som er åpent for besøk.

Erklæringen skal være lett tilgjengelig. Datatilsynet anbefaler en permanent lenke i bunnteksten på alle sider, slik at den registrerte finner den uten å lete. Den skal være skrevet i et språk som er forståelig for målgruppen — ikke i jusspråk.

De tolv punktene GDPR artikkel 13 krever

Artikkel 13 deler informasjonsplikten i to ledd. Ledd 1 dekker identiteten til behandlingsansvarlig og selve behandlingen. Ledd 2 dekker hva som må til for at behandlingen skal være «rettferdig og gjennomsiktig» — først og fremst den registrertes rettigheter. Mangler ett av punktene, er informasjonsplikten ikke oppfylt.

1. Identiteten og kontaktopplysningene til behandlingsansvarlig

Hvem er virksomheten, og hvordan kan du nå dem? Bedriftens fulle navn, organisasjonsnummer og en kontaktadresse — typisk en e-postadresse som faktisk leses. «kontakt@firma.no» er greit; en bunntekst-lenke som åpner et skjema er ikke nok dersom skjemaet ikke svarer på GDPR-henvendelser.

2. Kontaktopplysninger til personvernombud, hvis dere har det

Personvernombud (DPO) er obligatorisk for offentlige organer og for virksomheter som driver med systematisk overvåking i stor skala eller behandling av særlige kategorier av personopplysninger (helseopplysninger, etnisitet, religion). Har dere et ombud, skal navn og kontaktadresse stå i erklæringen. Har dere det ikke, kan dere droppe punktet — eller si eksplisitt at dere ikke er pålagt å ha ombud.

3. Formålene med behandlingen og rettslig grunnlag

For hvert formål — kontaktskjema, nyhetsbrev, ordrebehandling, besøksstatistikk — skal det stå hvilket rettslig grunnlag i artikkel 6 dere bygger på. De seks grunnlagene er samtykke, avtale, rettslig plikt, vitale interesser, allmennhetens interesse, og berettiget interesse. Velger dere flere grunnlag for samme formål, skal det komme tydelig fram hvilket som dekker hva.

4. Berettiget interesse, hvis dere bruker det som grunnlag

Bruker dere artikkel 6(1)(f) — berettiget interesse — som rettslig grunnlag, må dere oppgi hva den interessen består i. Det holder ikke å skrive «berettiget interesse»: dere må forklare interessen konkret, slik at den registrerte kan vurdere om den veier opp for inngrepet i personvernet.

5. Mottakere av opplysningene

Hvem får tilgang til opplysningene — internt og eksternt? Eksterne mottakere omfatter alle databehandlere som behandler opplysninger på vegne av dere: e-postleverandører, hostingleverandører, betalingsleverandører, analyseverktøy, support-systemer. Enten lister dere dem ved navn, eller dere beskriver kategorier presist nok til at den registrerte forstår hvilke aktører som er involvert.

6. Overføring til tredjeland

Hvis dere overfører personopplysninger ut av EØS — for eksempel ved å bruke amerikanske leverandører som ikke er sertifisert under EU-US Data Privacy Framework — må dette stå eksplisitt. Dere må også oppgi rettslig grunnlag for overføringen (standardvilkår, samtykke, eller annet) og hvordan den registrerte kan få kopi av sikkerhetstiltakene.

7. Hvor lenge opplysningene lagres

For hvert formål skal det stå hvor lenge opplysningene oppbevares — enten som en konkret periode («inntil ett år etter siste kontakt») eller som et kriterium dere kan etterprøves på («så lenge kundeforholdet varer pluss fem år for regnskapsloven-pliktige dokumenter»). «Så lenge det er nødvendig» alene er for vagt og blir regelmessig påpekt av Datatilsynet.

8. Rettighetene den registrerte har

Den registrerte har seks lovbestemte rettigheter etter GDPR artikkel 15 til 21: innsyn, korrigering, sletting, begrensning, protestering og dataportabilitet. Alle skal nevnes ved navn. Datatilsynet aksepterer ikke en vag formulering om at «du har rettigheter under personvernforordningen» — hver rettighet skal listes med en kort forklaring på hvordan den utøves.

9. Retten til å trekke tilbake samtykke

Behandler dere noe på grunnlag av samtykke (typisk nyhetsbrev eller enkelte cookies), skal det stå hvordan samtykket trekkes tilbake. Tilbakekallet skal være like enkelt som det opprinnelige samtykket. Se også vår artikkel om spesifikt samtykke til cookies for hva tilbakekallsmekanismen må inneholde i praksis.

10. Retten til å klage til Datatilsynet

Den registrerte har rett til å klage til Datatilsynet hvis hen mener virksomheten bryter personvernregelverket. Erklæringen skal nevne både retten og lenken til klagekanalen. Skriv det eksplisitt — Datatilsynet anbefaler en hyperlenke direkte til klageskjemaet.

11. Om opplysningene er lovpålagt å gi

Når dere ber om opplysninger, skal det komme fram om angivelsen er lovpålagt (for eksempel for å oppfylle bokføringsloven), avtalefestet (for å levere en bestilling), eller frivillig — og hvilke konsekvenser det får for den registrerte hvis hen ikke gir opplysningene. Mest relevant ved kontoopprettelse og bestillingsskjemaer.

12. Automatiserte avgjørelser og profilering

Bruker dere automatiserte beslutningssystemer som har rettslig eller tilsvarende vesentlig virkning for den registrerte — for eksempel kredittvurdering, automatisk avslag på søknader, eller adferdsbasert prising — skal det stå hvilken logikk som ligger til grunn og hvilke konsekvenser behandlingen kan få. De fleste SMB-er er ikke i denne kategorien, men da skal det også stå eksplisitt at dere ikke gjør automatiserte avgjørelser.

Slik strukturerer du dokumentet

De tolv punktene over er obligatoriske, men de trenger ikke følges slavisk i samme rekkefølge som artikkelteksten. Datatilsynet aksepterer enhver struktur som gjør hvert punkt lett å finne. En struktur som fungerer for de fleste virksomheter:

Hvem vi er. Behandlingsansvarlig, kontaktadresse, personvernombud hvis aktuelt.
Hva vi samler og hvorfor. Ett underavsnitt per formål — kontaktskjema, nyhetsbrev, bestillinger, statistikk — med rettslig grunnlag, oppbevaringstid og mottakere for hvert.
Databehandlere. Liste over leverandører som behandler opplysninger på vegne av dere, med formål og land.
Overføring til tredjeland. Hvis aktuelt — ellers skriv eksplisitt at dere ikke overfører.
Dine rettigheter. Listen over de seks rettighetene etter artikkel 15 til 21, hvordan de utøves, og kontaktadressen for å sende henvendelser.
Klage til Datatilsynet. Med direkte lenke.
Endringer i erklæringen. Hvordan den oppdateres, og dato for sist gjennomgang.

Dato for sist oppdatering skal være synlig øverst eller nederst i dokumentet. Endrer dere noe materielt — ny databehandler, nytt formål, endret oppbevaringstid — skal datoen bumpes. Datatilsynet ser etter dette under tilsyn: en erklæring som ikke er rørt på tre år ringer umiddelbart alarmklokker.

Vanlige feil — og hvorfor de feller en tilsynssak

«Vi bruker cookies for å forbedre opplevelsen» — uten å si hvilke, hvem som mottar dataene, eller hva det rettslige grunnlaget er. Punkt 3 og 5 i artikkel 13 er brutt.
Databehandlere oppgitt som «tredjepartstjenester» uten å navngi dem. Mottakerne (punkt 5) skal kunne identifiseres, ikke gjettes.
«Vi sletter opplysningene når de ikke lenger er nødvendige» — uten konkret tidsramme eller etterprøvbart kriterium. Punkt 7.
«Du har rettigheter etter personvernforordningen» — uten å liste hvilke. Punkt 8.
Berettiget interesse oppgitt som grunnlag uten å forklare interessen. Punkt 4 stiller eksplisitt krav om å beskrive interessen konkret.
Erklæringen er ikke oppdatert siden 2021. Selv om innholdet skulle være korrekt, mistenker tilsynet at den ikke gjenspeiler dagens behandling — og krever dokumentasjon.
Kun engelsk versjon på et nettsted med norske kunder. Datatilsynet krever at språket er forståelig for målgruppen.

Slik gjør Vordr det selv

Vi praktiserer det vi selger. Vordrs egen personvernerklæring er generert av samme plattform vi tilbyr kundene — alle tolv artikkel 13-punktene er strukturert som egne seksjoner, hver databehandler er listet med formål og land, og oppbevaringstid er oppgitt per formål.

Da vi nylig tok i bruk Plausible for besøksstatistikk, ble Plausible Insights ApS (Danmark) lagt til i databehandler-listen samme dag. Statistikk-formålet ble lagt til med rettslig grunnlag berettiget interesse, oppbevaringstid inntil ett år. Dato-stempelet øverst ble oppdatert automatisk. Det er denne typen vedlikehold artikkel 13 krever — og som er praktisk umulig å holde tritt med manuelt over tid.

Videre lesning

Samtykke til cookies i Norge: krav, vanlige feil og bøter — pillar-artikkelen om Ekomloven-kravene som lever ved siden av artikkel 13. Erklæringen din må dekke begge regelverkene.
Spesifikt samtykke til cookies — hvordan samtykkemekanismen må se ut når dere bygger på artikkel 6(1)(a) som rettslig grunnlag.
Datatilsynets veiledning om informasjonsplikten — myndighetens egen tolkning av artikkel 13, med eksempler og sjekklister.
Vordrs cookie-erklæring — søsterdokumentet til personvernerklæringen, generert fra samme skann.