NY PERSONOPPLYSNINGSLOV FØR SOMMEREN 2018

Ny personopplysningslov før sommeren 2018

Justis- og beredskapsdepartementet la fredag 23. mars 2018 frem forslag til ny personopplysningslov som gjennomfører EUs personvernforordning (GDPR).

Ny personopplysningslov har totalt 34 paragrafer. Her presiseres lovens virkeområde. I tillegg gis det utfyllende regler om behandling av personopplysninger, bl.a. at barn kan gi samtykke fra fylte 13 år, vilkår for bruk av fødselsnummer mv. Videre gis det noen nasjonale unntak fra den registrertes rettigheter etter GDPR, personvernombuds taushetsplikt spesifiseres, mens andre bestemmelser angir tilsyn og klageregler, sanksjonsregler og overgangsregler.

I tillegg foreslås det en rekke endringer i andre lover for å tilpasse norsk rett til GDPR. Et eksempel er at det foreslås nye bestemmelse i arbeidsmiljøloven om innsyn i arbeidstakers epost mv. og om kameraovervåking på arbeidsplassen.

I EU-land blir GDPR automatisk del av deres gjeldende rett fra 25. mai. Norge må som EØS-medlem ta inn EUs forordninger som sådan i norsk lov, og departementet foreslår at ny personopplysningslov § 1 angir at GDPR skal gjelde som norsk lov.

Hva er nytt med GDPR?

Lovforslaget tar sikte på å videreføre gjeldende norsk rett så langt GDPR åpner for det. GDPR inneholder 99 artikler som er selve lovbestemmelsene. I tillegg inneholder GDPR 173 fortalepunkter som forklarer bakgrunn og formål med disse artiklene, og disse vil være til hjelp med å forstå hva GDPR innebærer.

Selv om GDPR er det mest omfattende og strengeste regelsettet som finnes i verden for å beskytte personvernet til fysiske personer, er GDPR i stor grad en videreføring og videreutvikling av dagens regler. Eksempeler på dette er prinsippene for behandling av personopplysninger som alle behandlingsansvarlige plikter å følge, hva som er rettsgrunnlag (lovlige behandlingsgrunnlag) og krav til overføring av personopplysninger til tredjeland. Mange av de registrertes rettigheter finnes også allerede i dag.

De viktigste nyhetene for norsk rett er dette:

• Melde- og konsesjonsplikten bortfaller.

• I stedet vil privat og offentlig virksomhet få større ansvar til å foreta egenkontroll og risikovurderinger:
  • Forhåndsvurdering: Dersom det er trolig at en type behandling vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet. Eksempel: En virksomet tar i bruk ny teknologi og må gjennomføre slik forhåndsvurdering.
  • Personkonsekvensanalyse (DPIA): Dersom forhåndsvurdering avdekker høy risiko, f.eks. at det er en behandling i stor skala av sensitive personopplysninger eller behandlingsansvarlig bruker profilering som danner grunnlag for avgjørelser som har rettsvirkning for den fysiske personen, skal den behandlingsansvarlige utføre en personkonsekvensanalyse. Denne analysen kalles «Data Protection Impact Assessment» (DPIA) og skal gjennomføres for å håndtere personvernrisikoen for de registrerte.
  • Forhåndsdrøftelse: Datatilsynet skal involveres i forhåndsdrøftelser av den behandlingsansvarlige dersom utført DPIA viser fortsatt høy risiko for behandlingen den behandlingsansvarlige skal utføre, dvs. at restrisikoen med de tiltak den behandlingsansvarlige vil iverksette er for høy eller trolig for høy.

• Noe strengere krav til samtykke som behandlingsgrunnlag. Fra GDPR trer i kraft må den behandlingsansvarlige informere om at samtykke kan trekkes tilbake like enkelt av den registrerte.

• Noen flere rettigheter for de registrerte.
  • Retten til å bli glemt er nytt i navnet, men viderefører i stor grad dagens regler om sletteplikt.
  • Den største nyheten er retten til dataportabilitet. Det blir enklere for den registrerte å flytte sine personopplysninger fra en behandlingsansvarlig til en annen behandlingsansvarlig, f.eks. bytte bank eller leverandør av IT-tjenester. Dataportabilitet må gis dersom behandlingsgrunnlaget er samtykke eller avtale og behandlingen har vært utført automatisk, og personopplysningene må være gitt til den behandlingsansvarlige av den registrerte selv samt må gjelde den registrerte selv.

• Det stilles nye krav til innholdet i databehandleravtaler. En avtale mellom en kunde som behandlingsansvarlig og en leverandør som behandler personopplysninger på vegne av kunden (slik leverandør er «databehandler), må inneholde flere plikter for databehandleren.

• Flere detaljerte reglene blir borte ved at eksisterende lov hadde flere forskrifter og dermed detaljerte krav som den behandlingsansvarlge måtte følge. Selv om slike detaljerte regler oppheves, vil hovedinnholdet i de fleste viktige reglene gjelde fortsatt. Det nye er at den behandlingsansvarlige må følge kravene i GDPR.

Et eksempel er kravet til internkontroll. De behandlingsansvarlige må fortsatt dokumentere at de har kontroll på de behandlinger av personopplysninger de er ansvarlige for. Dokumentasjonen må oppdateres til å gjelde de krav GDPR stiller, f.eks. må den behandlingsansvarlige ivareta prinsippet om innebygd personvern til enhver tid, og allerede fra planlegging av hvilke IT-systemer som skal brukes av virksomheten.

Et annet eksempel er at rutiner må oppdateres. Et eksempel er at den behandlingsansvarlige etter GDPR må melde fra til Datatilsynet innen 72 timer etter å ha fått kjennskap til et brudd på personopplysningssikkerheten.

I tillegg må den behandlingsansvarlige dokumentere å ha tilstrekkelig sikkerhet for behandlingen av personopplysningene (informasjonssikkerhet) – både i egne systemer og hos de leverandører som slike personopplysninger behandles i. Det bør derfor utarbeides nye sjekklister som viser at slike risikovurderinger er foretatt, og hver virksomhet må også gjennomgå slik dokumentasjon årlig for å påse at kravene faktisk overholdes.

• Sanksjonene for å bryte de viktigste reglene i GDPR blir langt strengere.Risiko for høyt overtredelsesgebyr samtidig som GDPR også får anvendelse på leverandører utenfor EU/EØS som behandler borgere i Norge eller annet land i EU/EØS, er hovedårsaken til at mange bedriftsledere nå har det travelt med å få sin virksomhet i overensstemmelse med de nye kravene som GDPR stiller.

Selv om dette arbeidet vil ta tid og medføre interne kostnader for norsk virksomhet, er det positivt at GDPR vil styrke personvernet og datasikkerheten for oss som borgere. Selv mindre selskap har nå verktøy i GDPR som kan brukes til å stille krav til store globale leverandører. Selv en bruker av en app som behandler personopplysninger på grunnlag av et samtykke, kan nå kreve at samtykketeksten stpr klart og tydelig adskilt fra brukervilkårene og kreve flere rettigheter ved å kontakte den behandlingsansvarlige. Vi kommer til å se mer tydelige personvernerklæringer fra både norske og utenlandske leverandører fremover.

Mer informasjon

• Lovforslaget: Prop. 56 LS (2017–2018) Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen. Lovforslaget inneholder også en oversatt versjon av GDPR.
• Datatilsynet har mye informasjon om veiledning om hvordan norsk virksomhet skal håndtere de nye reglene.
• Ny bok: Før sommeren vil Jon Wessel-Aas og Magnus Ødegaard i Bing Hodneland gi ut boken «Personvern – publisering og behandling av personopplysninger». Denne boken vil bl.a. forklare hva GDPR innebærer i praksis for norsk virksomhet.

Bing Hodneland har et team på seks partnere og ni advokater/advokatfullmektiger som arbeider med ulike problemstillinger til personvern daglig; kvalitetssikre eller utarbeide internkontrolldokumentasjon, databehandleravtaler, personkonsekvensanalyser og andre risikovurderinger etter GDPR, bistå i konfliktløsning knyttet til ærekrenkelser og regler innen publisering av personopplysninger i sosiale medier, internett eller andre steder, bistand til vurderinger knyttet til personvern, informasjonssikkerhet, kommunikasjonsvern og ytringsfrihet – og balansen mellom dem.