Trenger du en mal for personvernerklæring til nettstedet ditt som oppfyller personvernforordningen (GDPR)? Her er en komplett template klar til å tilpasse. En personvernerklæring er informasjonen du etter artikkel 13 og 14 plikter å gi de registrerte om hvordan du behandler personopplysningene deres – hvem som er behandlingsansvarlig, hvilke opplysninger som samles inn, til hvilke formål, på hvilket rettslig grunnlag, hvor lenge de lagres, og hvilke rettigheter den enkelte har. Erklæringen skal være lett tilgjengelig, skrevet i et klart og forståelig språk, og den skal gjenspeile hva du faktisk gjør.
Etter malen forklarer vi hvordan du tilpasser den, og hvilke feil du bør unngå. For rammeverket bak, se våre artikler om innsynsrett og samtykke. Personvernforordningen gjelder i Norge gjennom personopplysningsloven og EØS-avtalen.
Mal for personvernerklæring
PERSONVERNERKLÆRING FOR [NETTSTED/VIRKSOMHET] Sist oppdatert: [dato]
1. Behandlingsansvarlig. [Virksomhet AS], org.nr. [xxx], [adresse], er behandlingsansvarlig for personopplysningene som behandles gjennom dette nettstedet. Kontakt: [e-post/telefon]. [Personvernombud: [kontakt], hvis utnevnt.]
2. Hvilke opplysninger vi behandler. Vi behandler følgende personopplysninger:
- Kontaktopplysninger du oppgir (navn, e-post, telefon) via skjema, e-post eller bestilling.
- Opplysninger om bruk av nettstedet (IP-adresse, nettlesertype, besøkte sider) via informasjonskapsler og logger.
- [Kundeopplysninger, ordrehistorikk, betalingsopplysninger ved kjøp.]
3. Formål og rettslig grunnlag.
- Besvare henvendelser: for å svare deg. Grunnlag: berettiget interesse (art. 6 nr. 1 f) eller avtale (art. 6 nr. 1 b).
- Levere bestilte varer/tjenester: grunnlag avtale (art. 6 nr. 1 b).
- Oppfylle lovpålagte plikter (regnskap, bokføring): grunnlag rettslig forpliktelse (art. 6 nr. 1 c).
- Nyhetsbrev og markedsføring: grunnlag samtykke (art. 6 nr. 1 a), som kan trekkes tilbake når som helst.
- Statistikk og forbedring av nettstedet: grunnlag samtykke for ikke-nødvendige informasjonskapsler.
4. Informasjonskapsler (cookies). Nettstedet bruker nødvendige informasjonskapsler for at det skal fungere, og – med ditt samtykke – informasjonskapsler til statistikk og markedsføring. Du kan når som helst endre eller trekke tilbake samtykket via [innstillinger for informasjonskapsler].
5. Mottakere og databehandlere. Vi deler personopplysninger med leverandører som behandler dem på våre vegne (f.eks. nettstedleverandør, e-postverktøy, betalingsleverandør, regnskapsbyrå). Disse er bundet av databehandleravtaler. Vi selger ikke personopplysninger.
6. Overføring til land utenfor EØS. [Vi overfører ikke personopplysninger utenfor EØS. / Enkelte leverandører er etablert utenfor EØS. Overføring skjer da på grunnlag av EU-kommisjonens standard personvernbestemmelser eller en gyldighetsbeslutning.]
7. Lagringstid. Vi lagrer personopplysninger så lenge det er nødvendig for formålet: henvendelser [x måneder], kundeopplysninger [kundeforholdets varighet + x], regnskapsmateriale 5 år etter regnskapsårets slutt (bokføringsloven), nyhetsbrev til samtykket trekkes tilbake.
8. Dine rettigheter. Du har rett til innsyn i, retting og sletting av dine personopplysninger, til begrensning og til å protestere mot behandling, og til dataportabilitet. Der behandlingen bygger på samtykke, kan du trekke det tilbake når som helst. For å utøve rettighetene, kontakt oss på [e-post]. Du har også rett til å klage til Datatilsynet.
9. Klage til Datatilsynet. Mener du at vi behandler personopplysningene dine i strid med regelverket, kan du klage til Datatilsynet, www.datatilsynet.no.
10. Endringer. Vi kan oppdatere denne erklæringen. Endringer publiseres her med ny dato øverst.
Slik tilpasser du malen
Fyll inn reelle opplysninger, ikke plassholdere. Den vanligste feilen er å publisere en mal med [firkantparenteser] igjen. Erstatt alle plassholdere med virksomhetens faktiske opplysninger, behandlinger og frister.
Speil behandlingsprotokollen. Personvernerklæringen skal gjenspeile hva du faktisk gjør. Bruk behandlingsprotokollen som kilde – hvert formål og hver mottaker i erklæringen skal svare til en behandling i protokollen. Hver mottaker som er databehandler, skal dessuten ha en databehandleravtale som samsvarer med det erklæringen sier. Sier erklæringen noe annet enn det du gjør, er den villedende.
Vær presis på rettslig grunnlag. Ikke skriv «samtykke» der du egentlig bygger på avtale eller berettiget interesse. Feil grunnlag i erklæringen skaper både et juridisk problem og et forventningsavvik. Se vår gjennomgang av gyldig samtykke.
Konkretiser lagringstiden. Punkt 7 skal ha konkrete frister, ikke «så lenge nødvendig», i tråd med lagringsbegrensning.
Gjør rettighetene reelle. Punkt 8 lover innsyn, sletting og portabilitet. Sørg for at du faktisk har rutiner for å oppfylle innsynskrav innen én måned. Et verktøy som Legiscope kan koble erklæringens innhold til de underliggende behandlingene og rutinene, slik at det du lover, faktisk kan leveres.
Hvordan gjøre erklæringen lett tilgjengelig og forståelig?
Artikkel 12 krever at informasjonen gis i en «kortfattet, åpen, forståelig og lett tilgjengelig form, og i et klart og enkelt språk». I praksis betyr det en synlig lenke i bunnteksten på hver side, gjerne også ved skjemaer der opplysninger samles inn. Unngå juridisk sjargong og lange, uklare setninger – erklæringen skal kunne forstås av en vanlig bruker, ikke bare av en jurist. En anbefalt løsning er en lagdelt erklæring: en kort oppsummering øverst med de viktigste punktene (hvem, hva, hvorfor, rettigheter), og utfyllende detaljer under. Retter tjenesten seg mot barn, skal språket tilpasses målgruppen ytterligere. En erklæring som er teknisk korrekt, men uforståelig, oppfyller ikke informasjonsplikten.
Hold cookie-avsnittet i takt med samtykkeløsningen. Punkt 4 lover at brukeren kan endre eller trekke tilbake samtykke til ikke-nødvendige informasjonskapsler. Det forutsetter en samtykkeløsning som faktisk blokkerer statistikk- og markedsføringskapsler til samtykke er gitt. Datatilsynet og andre europeiske tilsyn har gjentatte ganger reagert på bannere der «godta»-knappen er langt mer fremtredende enn «avvis», eller der skript lastes før samtykke. En erklæring som beskriver et samtykkevalg tjenesten i praksis ikke gir, er et av de vanligste avvikene mellom det som står skrevet og det som faktisk skjer.
Vanlige feil
- Å kopiere en annens erklæring. En erklæring som beskriver behandlinger du ikke har (eller mangler behandlinger du har), er verre enn ingen – den er direkte villedende.
- Plassholdere igjen i publisert tekst. [Firkantparenteser] og «Firma AS» i den offentlige versjonen avslører at erklæringen ikke er tilpasset.
- Feil rettslig grunnlag. Å oppgi samtykke der du bygger på avtale eller lov, eller motsatt.
- Å blande sammen erklæring og protokoll. Erklæringen er offentlig informasjon; protokollen er intern dokumentasjon. De har ulikt innhold og formål.
- Cookie-samtykke som ikke virker. Å love samtykkevalg for informasjonskapsler uten en fungerende samtykkeløsning er en klassisk avvikskilde.
Ofte stilte spørsmål
Må alle nettsteder ha en personvernerklæring?
I praksis ja. Så snart et nettsted behandler personopplysninger – gjennom kontaktskjema, logger, informasjonskapsler eller bestillinger – utløses informasjonsplikten i artikkel 13. En personvernerklæring er den vanlige måten å oppfylle plikten på, og gjelder også små virksomheter og enkeltpersonforetak.
Hva er forskjellen på personvernerklæring og behandlingsprotokoll?
Personvernerklæringen er offentlig informasjon til de registrerte etter artikkel 13-14. Behandlingsprotokollen er intern dokumentasjon som føres etter artikkel 30 og bare vises til Datatilsynet på forespørsel. Protokollen er mer detaljert; erklæringen er skrevet for allmennheten.
Hvor ofte må erklæringen oppdateres?
Hver gang de faktiske behandlingene endres – nye formål, nye leverandører, ny lagringstid eller nye informasjonskapsler. Erklæringen skal til enhver tid gjenspeile virkeligheten. Sett en dato øverst, og gå gjennom den minst årlig.
Må personvernerklæringen finnes på norsk?
Retter nettstedet seg mot norske brukere, skal informasjonen gis på et språk brukerne forstår – i praksis norsk. En erklæring bare på engelsk for en tjeneste rettet mot det norske markedet oppfyller neppe kravet i artikkel 12 om et forståelig språk. Har du brukere i flere land, bør erklæringen finnes på de relevante språkene.
Konklusjon
En personvernerklæring er ikke et pliktløp, men et løfte om åpenhet som må gjenspeile det du faktisk gjør. Bruk malen over, fyll inn reelle opplysninger, speil behandlingsprotokollen, vær presis på rettslig grunnlag og lagringstid, og sørg for at rettighetene du lover, faktisk kan oppfylles. En kopiert eller utdatert erklæring er verre enn ingen, fordi den villeder. Hold den oppdatert, og gjør den lett tilgjengelig – den er ofte det første en besøkende, en kunde eller Datatilsynet ser.
Denne malen gir generell informasjon om artikkel 13-14 og utgjør ikke juridisk rådgivning. Tilpass den til din konkrete situasjon.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial