GDPR - personvern

Den 25. mai 2018 trer EUs personvernforordning – The General Data Protection Regulation – i kraft i EU. Forordningen erstatter EUs personverndirektiv (95/46/EF), og innebærer en omfattende revisjon av den europeisk personvernlovgivningen.

1 Introduksjon

GDPR vil bli implementert i norsk lovgivning samtidig med resten av EU gjennom en henvisnings-bestemmelse i den nye personopplysningsloven. Fra det samme tidspunktet oppheves den någjeldende personopplysningsloven av 14. april 2000 nr. 31, samt personopplysningsforskriften.

Gjennom GDPR innføres en rekke nye plikter og rettigheter. Mange av kravene og prinsippene i dagens lovgivning vil imidlertid videreføres. Utfordringen for flere virksomheter er at de ikke har implementert dagens krav godt nok. Dette medfører at tilpasningen til GDPR krever gjennomføring av regler som allerede gjelder samt nyvinningene i det nye regelverket. I de neste punktene vil vi derfor kort presentere grunnpilarene i dagens regelverk før vi gjennomgår endringene som kommer i mai 2018. Til slutt gir vi noen råd om hvordan en prosess med tilpasning til GDPR kan gjennomføres i praksis.

2 Bakgrunn – hvilke regler gjelder for behandling av personopplysninger i dag?

2.1 Innledning

Dagens regler for behandling av personopplysninger er fastsatt i personopplysningsloven og personopplysningsforskriften. I de følgende punktene gjennomgår vi de viktigste kravene.

2.2 Behandlingsgrunnlag

For å kunne behandle personopplysninger må det foreligge et behandlingsgrunnlag i samsvar med personopplysningsloven § 8. Slikt behandlings-grunnlag kan for eksempel være samtykke fra den registrerte, egen lovhjemmel eller at behandlingen er nødvendig for at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse. Behandlings-grunnlaget kan også at behandlingen er nødvendig for å vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen (interesseavveiningsregelen).

Dersom virksomheten skal behandle sensitive personopplysninger kreves det i tillegg et behandlingsgrunnlag i personopplysningsloven § 9. I internkontrollen må virksomhetene klargjøre hvilket behandlingsgrunnlag som gir hjemmel for den enkelte behandlingen, se punkt 2.11.

2.3 Grunnkrav til behandling av personopplysninger

De materielle kravene som stilles til behandling av personopplysninger fremgår av personopplysnings-loven § 11.

I tillegg til at det må foreligge et behandlingsgrunnlag (se forrige punkt) kan personopplysningene bare brukes til formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Opplysningene kan som utgangspunkt ikke senere brukes til formål som er uforenlig med det formålet de opprinnelig ble innhentet for.

Det stilles også krav til kvaliteten av opplysningene som behandles – de må være relevante og tilstrekkelige for det formålet de skal benyttes til, samt korrekte og oppdaterte.

2.4 Informasjonssikkerhet og internkontroll

Virksomheten skal ved behandling av personopplysninger sørge for sikring av opplysningenes

  • konfidensialitet
  • integritet og
  • tilgjengelighet.

Sikkerhetstiltakene skal dokumenteres som en del av internkontrollen, se punkt 2.11.

2.5 Innsynsrett og informasjonsplikt

Enhver som ber om det, har rett til å få innsyn i hvordan en virksomhet behandler person-opplysninger. Denne retten gjelder uavhengig av om man er registrert eller ikke. Den registrerte har i tillegg rett til å få innsyn i hvilke opplysninger som er registrert om dem, og hvilke sikkerhetstiltak virksomheten har ved behandlingen.

Virksomheter har informasjonsplikt ovenfor den registrerte, både når opplysninger samles inn fra den registrerte selv og når de samles inn fra en tredjepart. Hvilken informasjon som skal gis fremgår av personopplysningsloven §§ 19 og 20.

2.6 Retting og sletting

Den registrerte kan kreve at mangelfulle eller uriktige personopplysninger rettes.

Personopplysninger skal ikke behandles lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.

Den registrerte kan kreve at opplysninger som er sterkt belastende for ham eller henne skal slettes, såfremt dette ikke strider med bestemmelser i andre norske lover, og er forsvarlig ut ifra en samlet vurdering.

2.7 Databehandler

En databehandler er en virksomhet som helt eller delvis behandler personopplysninger på vegne av et annet selskap. Forholdet mellom databehandleren og behandlingsansvarlig skal være regulert i en databehandleravtale, og databehandleren kan ikke behandle personopplysninger på annen måte enn det som følger av databehandleravtalen.

2.8 Overføring til utlandet

Overføring av personopplysninger til en adresse eller en server utenfor Norge er overføring av personopplysninger til utlandet.

Personopplysninger kan kun overføres til stater som sikrer en forsvarlig behandling av person-opplysningene. Land som har implementert EU-direktivet 95/46/EF oppfyller dette kravet, og personopplysninger kan dermed overføres til land innen EU og EØS-området.

2.9 Melde- og konsesjonsplikt

For noen typer behandlinger kreves melding til Datatilsynet. Dette gjelder blant annet behandling med elektroniske hjelpemidler. Meldingen må gis senest 30 dager før behandlingen tiltar.

Ved behandling av sensitive personopplysninger kreves som hovedregel konsesjon fra Datatilsynet.

2.10 Kameraovervåkning

Personopplysningsloven og personopplysnings-forskriften har egne bestemmelser om kamera-overvåkning. Reglene gjelder også for utstyr som lett kan forveksles med et ekte kamera. Overvåkningen må være saklig begrunnet i virksomheten. I tillegg stilles andre uttrykkelige krav.

2.11 Internkontroll

Virksomheter som behandler personopplysninger har plikt til å etablere rutiner for å sikre at kravene personopplysningsloven og -forskriften stiller til behandling av personopplysninger, etterfølges (internkontroll). Internkontrollen er kjernen i virksomheters arbeid med å sikre etterlevelse av personopplysningsregelverket.

2.12 Sanksjoner

Datatilsynet er ansvarlig for å håndheve personopplysningsloven. Ved overtredelser kan Datatilsynet pålegge overtrederen å betale et gebyr på inntil 10 ganger grunnbeløpet i folketrygden (G) (ca. 930 000 kr p.t.). Datatilsynet kan også kreve at behandling av personopplysninger i strid med personopplysnings-loven skal opphøre, eller stille vilkår for behandlingen. Datatilsynet kan videre fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfyllelse, til pålegget er oppfylt.

Ved brudd på visse lovbestemte plikter kan straff i form av bøter eller fengsel ilegges, eventuelt begge deler. I noen tilfeller kan det også bli aktuelt med erstatning.

3 Hva er nytt med GDPR?

3.1 Geografisk virkeområde

GDPR gjelder direkte i alle EUs medlemsstater fra 25. mai 2018. Forordningen gjelder også for virksomheter utenfor EU, men som tilbyr varer og tjenester til personer som befinner seg i EU.

3.2 Skjerpede krav til samtykke

GDPR skjerper kravene til hva som er et gyldig samtykke. Samtykke skal gis ved en aktiv handling eller tydelig bekreftelse. Forhåndsavkryssede bokser eller taushet vil dermed ikke tilfredsstille kravene til samtykke under GDPR. Samtykket må videre være frivillig, spesifikt, informert og utvetydig for å være gyldig.

Etter forordningen skal samtykke avgis separat for hvert enkelt formål, og det skal kunne trekkes tilbake like lett som det ble avgitt.

3.3 Krav til klart språk og krav til åpenhet

GDPR får konsekvenser for hvordan personvern-erklæringer og brukervilkår kan utformes. Informasjon om hvordan personopplysninger behandles skal gis på en klar og tydelig måte. Informasjonen skal være lett tilgjengelig og sikre åpenhet om behandlingen.

3.4 Formål

Også etter GDPR er det forbudt å bruke personopplysninger til formål som er uforenlige med det opprinnelige formålet de ble samlet inn for. Nytt med forordningen er imidlertid at den inneholder en mer detaljert regulering av hva som er forenlige formål.

3.5 Databehandler

Alle databehandlere får lovfestede plikter etter GDPR som utvider gjeldende praksis, og kravene til hva en databehandleravtale skal inneholde, lovfestes.

3.6 Nye rettigheter for den registrerte

GDPR gir den registrerte rett til å ta med seg data fra en virksomhet til en annen i et strukturert, alminnelig anvendt og maskinleselig format (dataportabilitet).

Gjennom GDPR får den registrerte også rett til å få behandlingen av personopplysningen begrenset, rett til å motsette seg en behandling, og rett til å motsette seg profilering og automatiserte avgjørelser.

Videre styrkes retten til å bli glemt (få personopplysninger slettet).

3.7 Plikt til å ha personvernombud

Under GDPR utvides ordningen med personvern-ombud betydelig sammenlignet med gjeldende norsk rett.

GDPR gjør det obligatorisk for følgende virksomheter å ha et personvernombud:

  • offentlige myndigheter
  • virksomheter hvor kjernevirksomheten består i regelmessig og systematisk overvåkning av personer i stor skala
  • virksomheter hvor kjernevirksomheten består i behandling av sensitive personopplysninger i stor skala.

Personvernombudets oppgave er blant annet å kontrollere overholdelse av GDPR, og å samarbeide med Datatilsynet.

3.8 Plikt til å ha EU-representant

Virksomheter som ikke er etablert i EU, men som har kunder som befinner seg i EU, må etter den nye forordningen utpeke en representant i EU som tilsynsmyndighetene og registrerte kan henvende seg til ved spørsmål om behandlingen.

3.9 Innrapportering av brudd

Brudd på personopplysningsloven skal etter den nye personvernlovgivningen rapporteres til Datatilsynet uten ugrunnet opphold, og senest 72 timer etter at sikkerhetsbruddet er oppdaget. I visse tilfeller skal også den registrerte informeres om bruddet.

3.10 Innebygget personvern

GDPR artikkel 25 oppstiller et krav om innebygd personvern (‘’data protection by design and by default’’). Kravet innebærer at virksomheter må bygge personvern inn i alle løsninger, systemer og tjenester som brukes for å behandle personopplysninger. Personvern skal være standardinnstilling, og man skal iverksette tekniske og organisatoriske tiltak for å sikre gjennomføringen av personvernprinsippene.

3.11 Meldeplikt- og konsesjonsplikt forsvinner

Dagens ordning med melde- og konsesjonsplikt forsvinner, og erstattes med krav om å vurdere personvernkonsekvenser og forhåndsdrøftinger med tilsynsmyndigheten.

3.12 Samarbeidsplikt

Etter GDPR får nasjonale datatilsyn plikt til å samarbeide og utveksle informasjon med hverandre, også i konkrete saker.

3.13 Skjerpede sanksjoner

Mye av grunnen til at GDPR har fått så mye oppmerksomhet, er at bøtenivået for brudd økes betraktelig sammenlignet med nivået i den någjeldende personopplysningsloven. Etter GDPR får tilsynsmyndighetene mulighet til å ilegge overtrederen et gebyr på opptil 20 millioner euro, eller inntil 4 % av den samlede globale års-omsetningen forutgående regnskapsår. Det er foreslått at straffebestemmelsen i den någjeldende personopplysningsloven bortfaller.

4 Hva bør virksomheter gjøre nå?

Selv om den nye forordningen ikke blir norsk lov før i mai 2018, bør virksomheter allerede nå innstille seg på de nye reglene som kommer. Virksomheter bør starte med å kartlegge hvilke personopplysninger de behandler, og deretter hvilke krav som gjelder for denne behandlingen. Virksomheten må blant annet klargjøre hva som er formålet med behandlingen og om virksomheten har et lovlig behandlingsgrunnlag. Hvis det er nødvendig å innhente samtykke for behandlingen, bør virksomheten etablere effektive rutiner for dette. Virksomheten må også få klarlagt når de forskjellige opplysningene må slettes, og hvordan dette skal gjøres i praksis. Undersøk om dere bruker databehandlere, og inngå eventuelt databehandleravtaler.

Kartleggingen og vurderingene, samt rutinene som iverksettes, må dokumenteres i en internkontroll. Virksomheter som allerede har god oversikt over behandlingen av personopplysninger, har god internkontroll og behandler personopplysninger i tråd med gjeldende regler vil ha et godt utgangspunkt for tilpasning til GDPR.

Er du usikker på hvordan din virksomhet skal forholde deg til de nye personvernreglene bør du søke juridisk rådgivning. Å ikke overholde GDPR vil kunne få store konsekvenser for din virksomhet, både økonomisk og omdømmemessig.

  • Ansettelse
    Når arbeidsgiver har behov for nye medarbeidere oppstår det mange spørsmål som må avklares. Det første arbeidsgiver må ta stilling til er om det er mulig og eventuelt om det er hensiktsmessig å knytte til seg nye medarbeidere på annen måte enn ved fast ansettelse.
    Les mer
  • Oppsigelse i prøvetid
    Formålet med prøvetid er å gi arbeidsgiver en noe videre adgang til å kunne si opp en arbeidstaker innledningsvis i arbeidsforholdet på grunn av arbeidstakers tilpasning til arbeidet, faglige dyktighet eller pålitelighet.
    Les mer
  • Nedbemanning
    I henhold til aml. § 15-7 kreves det saklig grunn for at arbeidsgiver kan si opp arbeidstaker.
    Les mer
  • Endringer i arbeidsforhold
    Arbeidsgivere vil løpende få behov for å gjøre større eller mindre endringer i organisasjonen. Dette kan skyldes behov for kostnadsreduksjoner som kan medføre (fullstendige) oppsigelser, eller behovet kan begrenses til å gjelde større eller mindre endringer i arbeidstakernes stillinger.
    Les mer
  • Fratredelsesavtaler
    Uansett om det er aktuelt å avvikle et arbeidsforhold på bakgrunn av arbeidsgivers eller arbeidstakers forhold, vil det kunne foreligge gode grunner for å avslutte arbeidsforholdet gjennom en fratredelsesavtale.
    Les mer
  • Administrerende direktør
    Arbeidsmiljøloven stiller i noen sammenhenger virksomhetens øverste leder i en særstilling. Virksomhetens øverste leder vil i praksis si daglig leder/administrerende direktør.
    Les mer
  • KONKURRANSEBEGRENSNINGER MV.
    For de fleste virksomheter er det viktig å beskytte seg mot at ansatte som slutter på urettmessig vis utnytter forretningskritisk informasjon og kunnskap, samt den spesielle kompetanse som har blitt tilegnet gjennom arbeidsforholdet. Ut over avtalte og lovbestemte plikter knyttet til taushetsplikt, vil arbeidsgivers interesser ofte måtte vurderes beskyttet gjennom konkurranse-, kunde- og ikke-rekrutteringsklausuler.
    Les mer
  • Krav til arbeidsmiljø - HMS
    Arbeidsmiljøloven stiler en rekke krav til hvordan arbeidsmiljøet skal være. Hovedregelen er at både det fysiske og psykososiale arbeidsmiljøet skal være "fullt forsvarlig" og fra en enkeltvis og samlet vurdering.
    Les mer
  • Yrkesskade
    Arbeidsgivere er etter lov om yrkesskadeforsikring av 1989 nr. 65 forpliktet til å tegne forsikring for sine ansatte som dekker yrkesskader og yrkessykdommer. Arbeidsgiver som unnlater å tegne slik forsikring vil ha objektivt ansvar overfor yrkesskadeforsikringsforeningen.
    Les mer
  • Kollektiv arbeidsrett
    I den kollektive arbeidsretten står tariffavtalen i sentrum. En tariffavtale er en avtale om arbeids- og lønnsvilkår eller andre arbeidsforhold som er inngått mellom en fagforening og en arbeidsgiver eller en arbeidsgiverorganisasjon.
    Les mer
  • Internasjonale arbeidsforhold
    Næringslivet og dermed arbeidslivet blir i økende grad internasjonalt, og arbeidsforhold får i økende grad en internasjonal dimensjon.
    Les mer
  • FERIE OG FERIEPENGER
    Det følger av ferieloven at alle arbeidstakere har rett på ferie. Loven skiller mellom rett til ferie og rett til feriepenger. Arbeidstakere får ikke lønn under ferieavvikling, men inntektsbortfallet kompenseres gjennom feriepenger.
    Les mer
  • DISKRIMINERING I ARBEIDSLIVET
    Diskriminering i arbeidslivet har i de seneste år fått stadig økt oppmerksomhet, og det har vært mange spørsmål knyttet til blant annet diskriminering pga alder, kjønn og etnisitet som har blitt behandlet av domstolene. For enhver virksomhet er det derfor av stor betydning å være oppdatert på hva som er det nærmere innhold i forbudene mot forskjellsbehandling i de mange lovene som gjelder på dette området.
    Les mer
  • ALDERSGRENSER I ARBEIDSLIVET
    De nye reglene om aldersgrenser som trådte i kraft 1. juli 2015 innebærer at alle virksomheter i privat sektor nøye må vurdere i god tid innen 1. juli 2016 om det er behov for å avvike fra den nye hovedregelen om 72 års aldersgrense. Homble Olsby har lang erfaring med å bistå våre klienter i saker om aldersgrenser.
    Les mer
  • PERMITTERING
    Permittering er aktuelt hvis arbeidsgiveren midlertidig har et redusert arbeidskraftbehov. Ved permittering fritas partene midlertidig for sine rettigheter og plikter etter arbeidsavtalen.
    Les mer
  • VIRKSOMHETSOVERDRAGELSE
    Spørsmålet om det foreligger en virksomhetsoverdragelse i arbeidsrettslig forstand hører til de mest diskuterte problemstillinger i norsk arbeidsrett i nyere tid. Det foreligger etterhvert en rikholdig praksis fra både norske domstoler og EU-domstolen som har gitt grunnlag for både avklaringer men som også har reist nye problemstillinger.
    Les mer
  • GENERELT OM PENSJON
    Alle virksomheter og ansatte skal som den klare hovedregel nå være dekket av en pensjonsordning, og som følge av svært mange og inngripende endringer i reglene om pensjon de seneste år, er det er stort behov for innsikt i hvilke lover og regler som gjelder på dette området, samt hvilke ytelser og rettigheter som er knyttet til pensjonsordningen som gjelder i den enkelte virksomhet. Homble Olsby har lang og bred erfaring innen rådgiving, kursing og prosedyre innen pensjonsrettslige spørsmål.
    Les mer
  • TJENESTEPENSJON OG AFP I PRIVAT SEKTOR
    I privat sektor er det nå en stor valgfrihet med hensyn til hvilken pensjonsordning arbeidsgiver kan tilby sine ansatte. I denne artikkelen gjennomgår vi særtrekk ved de mest praktiske ordninger, samt peker på hvilke regler som gjelder for eventuelle endringer i pensjonsordninger.
    Les mer
  • GDPR - personvern
    Den 25. mai 2018 trer EUs personvernforordning – The General Data Protection Regulation – i kraft i EU. Forordningen erstatter EUs personverndirektiv (95/46/EF), og innebærer en omfattende revisjon av den europeisk personvernlovgivningen.
    Les mer