Personvern / GDPR

Personvern / GDPR

1 Introduksjon

EUs personvernforordning – The General Data Protection Regulation er gjeldende rett i Norge fra 20. juli 2018. Forordningen er implementert i den norske personopplysningsloven gjennom en henvisningsbestemmelse.

Formålet med forordningen er å styrke fysiske personers grunnleggende rettigheter i forbindelse med behandling av personopplysninger. Videre er formålet å harmonisere reglene for personvern i Europa. Reglene er gitt i en forordning, som betyr at den gjelder direkte i alle EUs medlemsland uten at ytterligere implementering er nødvendig. Forordningen gjelder imidlertid også for virksomheter utenfor EU, men som tilbyr varer og tjenester til personer som befinner seg i EU.

I de neste punktene vil vi gjennomgå hovedtrekkene i personvernforordningen. Til slutt vil vi kommentere de nasjonale tilpasningene i Norge.

2 Definisjoner

Personopplysninger er all informasjon som kan knyttes til en enkeltperson, herunder navn, bilde, e-postadresse, IP-adresse, bilnummer, atferdsmønstre,  fingeravtrykk, fødselsnummer mv. Omtrent alle bedrifter behandler personopplysninger - for eksempel om ansatte, kunder og samarbeidspartnere – og må dermed overholde kravene i GDPR. Personen opplysningene er knyttet til kalles «den registrerte».

Med behandling av personopplysninger menes enhver aktivitet opplysningene brukes til, herunder innsamling, registrering, lagring, tilpasning eller endring, bruk, utlevering, spredning, sammenstilling mv.

Den behandlingsansvarlige er virksomheter som bestemmer formålet med behandlingen av personopplysninger, og hvilke midler som skal benyttes i den forbindelse.

3 Grunnkrav til behandling av personopplysninger

Personvernforordningen oppstiller noen grunnleggende krav til behandling av personopplysninger.

Personopplysninger skal behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte. Dette innebærer for eksempel at behandlingen skal være forståelig for de registrerte, og at det må foreligge et lovlig behandlingsgrunnlag for behandlingen (se mer informasjon om dette nedenfor).

Opplysningene skal bare behandles for spesifikke, uttrykkelige angitte og berettigede formål. Formålet med behandlingen er sentralt for hva opplysningene kan brukes til, og hvor lenge de kan lagres. Personopplysninger skal ikke viderebehandles på en måte som er uforenlig med disse formålene. Forordningen inneholder detaljert regulering av hva som er forenlige formål.

Det stilles også krav til kvaliteten av opplysningene som behandles – de må være relevante og tilstrekkelige for det formålet de skal benyttes til, samt korrekte og oppdaterte. Det skal ikke samles inn flere personopplysninger enn det som er nødvendig for å oppfylle formålet som opplysningene ble samlet inn for.

Opplysningene skal videre behandles på en måte som sikrer tilstrekkelig informasjonssikkerhet.

4 Krav til behandlingsgrunnlag

For å kunne behandle personopplysninger må virksomheten ha et behandlingsgrunnlag i samsvar med personvernforordningen artikkel 6. Dette kan for eksempel være samtykke fra den registrerte, at behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige. Behandlingsgrunnlaget kan også være at behandlingen er nødvendig for å ivareta den behandlingsansvarliges berettigede interesser, og hensynet til den registrertes personvern ikke går foran og krever vern av personopplysninger (interesseavveining).

Det gjelder særlige krav til samtykke som behandlingsgrunnlag. Samtykket må gis ved en aktiv handling eller tydelig bekreftelse. Forhåndsavkryssede bokser eller taushet er dermed ikke tilstrekkelig. Samtykket må videre være frivillig, spesifikt, informert og utvetydig for å være gyldig, og den behandlingsansvarlige skal kunne bevise at samtykke er gitt.

Behandlingsgrunnlagene i artikkel 6 er likestilte. Samtykke er dermed ikke et bedre eller "mer gyldig" behandlingsgrunnlag enn de øvrige alternativene.

Dersom virksomheten behandler særlige kategorier av personopplysninger som regnes som sensitive, for eksempel helseopplysninger, kreves i tillegg et behandlingsgrunnlag i GDPR artikkel 9 nr. 2.

5 Krav til dokumentasjon

Virksomheter som behandler personopplysninger skal kunne påvise at grunnkravene til behandling av personopplysninger overholdes. Den behandlingsansvarlige skal videre gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingene utføres i samsvar med personvernlovgivningen.

Ved et eventuelt tilsyn er dokumentasjon det første Datatilsynet ber om og gjennomgår. Et av de sentrale dokumentene for å vise at man overholder kravene i GDPR vil være en internkontroll. Dette uttrykket brukes ikke i GDPR, men med dette menes et skriftlig dokument hvor virksomheten beskriver virksomhetens behandling av personopplysninger, vurderingene de har gjort, og rutinene og prosedyrene de har for å overholde reglene i personvernlovgivningen.

6 Informasjonsplikt

Virksomheter har informasjonsplikt ovenfor den registrerte når opplysninger samles inn fra den registrerte selv. Informasjonen skal gis senest når personopplysningene samles inn, og gis på en kortfattet, åpen forståelig og lett tilgjengelig måte, og på et klart og enkelt språk. Informasjonsplikten skal sikre at de registrerte forstår hvordan personopplysninger blir behandlet, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter vedkommende har og hvordan rettighetene kan tas i bruk.

Virksomheter har også informasjonsplikt ovenfor den registrerte når personopplysninger samles inn fra en tredjepart. Kravene til hvilken informasjon som er tilnærmet lik informasjonen som skal gis dersom opplysningene samles inn fra den registrerte selv.

7 De registrertes rettigheter

Personvernforordningen gir den registrerte en del rettigheter knyttet til behandlingen av personopplysninger om vedkommende.

  • Innsyn - Den registrerte har rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og dersom dette er tilfellet, innsyn i opplysningene og informasjon om behandlingen.
  • Korrigering og supplering av personopplysninger - De registrerte har rett til å få uriktige personopplysninger om seg selv korrigert, og få ufullstendige personopplysninger supplert.
  • Retten til å bli glemt – Den registrerte har i visse tilfeller rett til å kreve at personopplysninger om dem selv slettes. Dette kalles også «retten til å bli glemt».
  • Rett til begrensning av behandling - Den registrerte har, dersom nærmere bestemte vilkår er oppfylt, rett til å kreve at behandlingen av personopplysninger om dem selv begrenses. Dette innebærer at personopplysningene ikke kan brukes til noe, kun lagres.
  • Dataportabilitet – Dersom behandlingen foregår elektronisk, og er basert på samtykke eller avtale med den registrerte, har vedkommende rett til å ta med seg opplysningene fra en virksomhet til en annen (dataportabilitet).
  • Innsigelsesrett – GDPR gir den registrerte rett til å protestere mot behandling av personopplysninger om vedkommende i visse tilfeller. Dersom vilkårene i bestemmelsen er oppfylt, må behandlingen av de aktuelle opplysningene opphøre.

8 Krav til innebygget personvern

GDPR oppstiller et krav om innebygd personvern (‘’data protection by design and by default’’). Kravet innebærer at virksomheter må bygge personvern inn i alle løsninger, systemer og tjenester som brukes for å behandle personopplysninger. Personvern skal være standardinnstilling, og man skal iverksette tekniske og organisatoriske tiltak for å sikre gjennomføringen av personvernprinsippene. Dette innebærer for eksempel at et system ikke skal samle inn eller vise flere personopplysninger enn nødvendig.

9 Plikt til å utpeke verneombud

GDPR gjør det obligatorisk for følgende virksomheter å ha et personvernombud:

  • offentlige myndigheter
  • virksomheter hvor kjernevirksomheten består i regelmessig og systematisk overvåkning av personer i stor skala
  • virksomheter hvor kjernevirksomheten består i behandling av sensitive personopplysninger i stor skala.

Personvernombudets oppgave er blant annet å gi råd om hvordan den behandlingsansvarlige best mulig kan ivareta og oppfylle kravene i GDPR, og å samarbeide med Datatilsynet.

10 Plikt til å vurdere personvernkonsekvenser

Personvernforordningen pålegger virksomheter plikt til å gjennomføre en vurdering av personvernkonsekvenser dersom det er sannsynlig at en behandling av personopplysninger vil medføre høy risiko for fysiske personers rettigheter og friheter. Personvernforordningen inneholder en opplisting av hva vurderingen som et minimum skal inneholde.

Dersom det er sannsynlig at behandlingen vil medføre en høy risiko dersom den behandlingsansvarlige ikke gjennomfører tiltak for å redusere risikoen, skal den behandlingsansvarlige rådføre seg med Datatilsynet før behandlingen igangsettes.

11 Krav til bruk av databehandlere

En databehandler er en virksomhet som helt eller delvis behandler personopplysninger på vegne av et annet selskap. Dersom databehandler(e) skal benyttes må forholdet mellom den behandlingsansvarlige og databehandleren være regulert i en databehandleravtale. Databehandleren kan ikke behandle personopplysninger på annen måte enn det som følger av databehandleravtalen. GDPR oppstiller detaljerte krav til hva en databehandleravtale skal inneholde.

12 Personopplysningssikkerhet

Etter GDPR skal både den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå. Ved vurderingen av egnet sikkerhetsnivå skal det tas hensyn til risikoene forbundet med behandlingen, særlig risikoen for utilsiktet eller ulovlig sletting eller tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

13 Rapporteringsplikt ved brudd på personopplysningssikkerheten

Brudd på personopplysningssikkerheten skal rapporteres til Datatilsynet uten ugrunnet opphold, og senest 72 timer etter at sikkerhetsbruddet er oppdaget, med mindre det er lite trolig at bruddet medfører risiko for fysiske personers rettigheter og friheter. Ethvert brudd på personopplysningssikkerheten skal dokumenteres, og skal kunne etterprøves av Datatilsynet.

I visse tilfeller skal også den registrerte informeres om bruddet.

14 Sanksjoner ved brudd

Datatilsynet er ansvarlig for å håndheve personvernforordningen. Ved overtredelser har Datatilsynet mulighet til å ilegge overtrederen et gebyr på opptil 20 millioner euro, eller inntil 4 % av den samlede globale årsomsetningen forutgående regnskapsår.

15 Nasjonale tilpasninger til GDPR

I personopplysningsloven er det fastsatt en del nasjonale regler der personvernforordningen åpner for nasjonale tilpasninger.

Det er for eksempel gjort unntak fra retten til informasjon og innsyn. Disse rettighetene gjelder blant annet ikke for opplysninger som er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser, eller opplysninger som er underlagt taushetsplikt.

Loven etablerer Datatilsynet som tilsynsmyndighet og Personvernnemda som klageorgan, og pålegger personvernombud og ansatte i Datatilsynet/Personvernnemda taushetsplikt. Videre inneholder loven en bestemmelse om den norske aldersgrensen for barns samtykke til behandling av personopplysninger, som er 13 år, og en bestemmelse som tillater behandling av fødselsnummer og andre entydige identifikasjonsmidler på nærmere vilkår.

* * *

Å ikke overholde personvernreglene kan få store konsekvenser for din virksomhet, både omdømmemessig og økonomisk. Homble Olsby har lang erfaring med å bistå bedrifter med å oppfylle kravene i personvernlovgivningen, og utarbeide nødvendig dokumentasjon i den forbindelse.

 

 

 

Homble Olsby advokatfirma as

Akersgata 28 
0158 Oslo 

Tel (+47) 23 89 75 70
Faks (+47) 23 89 75 71

E-post: Denne e-postadressen er beskyttet mot programmer som samler e-postadresser. Du må aktivere javaskript for å kunne se den.
Meld deg på vårt nyhetsbrev


Homble olsby Legal500Homble olsby EuropeChambers2018