Gjelder GDPR for små bedrifter i Norge?

Ja, GDPR gjelder for alle virksomheter som behandler personopplysninger, uavhengig av størrelse. Personopplysningsloven gjennomfører GDPR i norsk rett, og Datatilsynet fører tilsyn med at reglene overholdes. Noen unntak gjelder for virksomheter med under 250 ansatte når det gjelder dokumentasjonskrav.

Hva er et behandlingsgrunnlag etter GDPR?

Et behandlingsgrunnlag er den rettslige hjemmelen som gir virksomheten lov til å behandle personopplysninger. GDPR artikkel 6 lister opp seks mulige grunnlag: samtykke, oppfyllelse av avtale, rettslig forpliktelse, vern av vitale interesser, oppgave i allmennhetens interesse, og berettiget interesse.

Hva risikerer en småbedrift som bryter GDPR?

Brudd på GDPR kan føre til overtredelsesgebyr på inntil 20 millioner euro eller 4 % av global årsomsetning. Datatilsynet kan også gi pålegg om endring eller stans av behandlingen. I tillegg kan enkeltpersoner kreve erstatning for skade de har lidd som følge av bruddet.

GDPR for småbedrifter: Komplett guide til personvern i Norge (2026)

Hvorfor GDPR er viktig for småbedrifter

Mange eiere av små og mellomstore bedrifter (SMB) tror at GDPR kun gjelder store konsern med enorme datamengder. Det stemmer ikke. Alle virksomheter som behandler personopplysninger er omfattet av regelverket, fra frisørsalongen med en kundeliste til konsulentselskapet med ansattdata.

Personopplysningsloven, som trådte i kraft 20. juli 2018, gjennomfører EUs personvernforordning (GDPR) i norsk rett. Loven gjelder for behandling av personopplysninger som utføres helt eller delvis ved hjelp av elektroniske hjelpemidler, samt manuell behandling av personopplysninger som inngår i et register.

Grunnleggende prinsipper (GDPR artikkel 5)

GDPR artikkel 5 fastlegger syv grunnprinsipper for behandling av personopplysninger som alle virksomheter må følge:

Lovlighet, rettferdighet og åpenhet – behandlingen må ha et rettslig grunnlag, være rimelig overfor den registrerte, og være transparent
Formålsbegrensning – personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål
Dataminimering – kun personopplysninger som er nødvendige for formålet skal samles inn
Riktighet – opplysningene skal være korrekte og oppdaterte
Lagringsbegrensning – opplysninger skal ikke lagres lenger enn nødvendig
Integritet og konfidensialitet – opplysningene skal beskyttes mot uautorisert tilgang og tap
Ansvar – den behandlingsansvarlige skal kunne påvise at prinsippene overholdes

Behandlingsgrunnlag (GDPR artikkel 6)

For å kunne behandle personopplysninger lovlig, må virksomheten ha et behandlingsgrunnlag etter GDPR artikkel 6. De seks mulige grunnlagene er:

1. Samtykke

Den registrerte har gitt uttrykkelig samtykke til behandlingen. Samtykket må være frivillig, spesifikt, informert og utvetydig.

2. Oppfyllelse av avtale

Behandlingen er nødvendig for å oppfylle en avtale den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse.

3. Rettslig forpliktelse

Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, for eksempel regnskapsloven eller skattelovgivningen.

4. Vern av vitale interesser

Behandlingen er nødvendig for å verne den registrertes eller en annen persons vitale interesser. Dette gjelder typisk i nødsituasjoner.

5. Oppgave i allmennhetens interesse

Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet.

6. Berettiget interesse

Behandlingen er nødvendig for formål knyttet til en berettiget interesse som veier tyngre enn den registrertes personvern. For SMB-er er dette ofte det mest relevante grunnlaget ved for eksempel markedsføring til eksisterende kunder.

Informasjonsplikt (GDPR artikkel 13)

Når du samler inn personopplysninger, har du en plikt til å informere den registrerte om behandlingen. GDPR artikkel 13 krever at du oppgir:

Identiteten til den behandlingsansvarlige og kontaktopplysninger
Formålet med behandlingen og behandlingsgrunnlaget
Eventuelle mottakere av personopplysningene
Hvor lenge opplysningene vil bli lagret
Den registrertes rettigheter (innsyn, retting, sletting, dataportabilitet osv.)
Retten til å klage til Datatilsynet

I praksis oppfyller de fleste virksomheter informasjonsplikten gjennom en personvernerklæring på nettsidene sine og informasjon i avtaler og skjemaer.

Databehandleravtaler

Dersom virksomheten bruker eksterne leverandører som behandler personopplysninger på virksomhetens vegne – for eksempel leverandører av skylagring, regnskapssystemer eller e-postmarkedsføring – må det inngås en databehandleravtale.

En databehandleravtale skal ifølge GDPR artikkel 28 blant annet inneholde:

Formålet med og varigheten av behandlingen
Typen personopplysninger og kategorier av registrerte
Den behandlingsansvarliges rettigheter og plikter
Krav om at databehandleren kun handler etter dokumenterte instrukser
Krav om tilstrekkelige sikkerhetstiltak
Regler for bruk av underleverandører
Bistand ved utøvelse av registrertes rettigheter
Sletting eller tilbakelevering av data ved avtalens opphør

Protokoll over behandlingsaktiviteter (GDPR artikkel 30)

GDPR artikkel 30 krever at virksomheter fører en protokoll over behandlingsaktiviteter. Denne skal inneholde en oversikt over all behandling av personopplysninger i virksomheten.

For virksomheter med under 250 ansatte gjelder kravet i utgangspunktet bare dersom behandlingen:

Sannsynligvis medfører en risiko for den registrertes rettigheter
Ikke er sporadisk
Omfatter særlige kategorier av opplysninger (helseopplysninger, fagforeningsmedlemskap osv.)

I praksis betyr dette at de fleste SMB-er likevel må føre en slik protokoll, siden behandling av for eksempel ansattopplysninger og kundeopplysninger normalt ikke anses som sporadisk.

Informasjonssikkerhet (GDPR artikkel 32)

GDPR artikkel 32 krever at virksomheter iverksetter passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet med hensyn til risikoen. For en SMB kan dette innebære:

Tilgangskontroll – begrens hvem som har tilgang til personopplysninger
Kryptering – krypter data ved lagring og overføring
Sikkerhetskopiering – ta regelmessige sikkerhetskopier
Oppdatert programvare – hold systemer og programvare oppdatert
Opplæring av ansatte – sørg for at ansatte vet hvordan de skal håndtere personopplysninger
Rutiner for avvikshåndtering – ha en plan for håndtering av personvernbrudd

Datatilsynets rolle og krav

Datatilsynet er den norske tilsynsmyndigheten for personvern. Tilsynets oppgaver inkluderer:

Føre tilsyn med at personvernregelverket overholdes
Behandle klager fra registrerte
Ilegge overtredelsesgebyr ved brudd
Gi veiledning og råd til virksomheter

Datatilsynet har de senere årene ilagt flere norske virksomheter betydelige gebyrer for brudd på GDPR. Det er derfor viktig å ta personvern på alvor, uavhengig av virksomhetens størrelse.

Praktisk sjekkliste for SMB-er

For å komme i gang med GDPR-etterlevelse, bør du som minimum:

Kartlegg personopplysningene dere behandler – hva samler dere inn, hvorfor og fra hvem?
Identifiser behandlingsgrunnlaget for hver type behandling
Opprett en personvernerklæring og gjør den tilgjengelig
Inngå databehandleravtaler med alle leverandører som behandler personopplysninger
Etabler en protokoll over behandlingsaktiviteter
Implementer sikkerhetstiltak tilpasset virksomhetens risiko
Lag rutiner for håndtering av henvendelser fra registrerte (innsynsbegjæringer, slettekrav osv.)
Lag en avviksprosedyre for personvernbrudd

Lag din personvernerklæring og databehandleravtale med Pakto.ai

Med Pakto.ai kan du generere profesjonelle juridiske dokumenter på sekunder. Spar tid og sikre at dokumentene dine er i tråd med norsk lov.

Kom i gang gratis →