Konsesjoner

I personopplysningsloven med personvernforordning som kom i 2018, ble kravene til forhåndsgodkjenning (konsesjon) fra Datatilsynet i all hovedsak fjernet. Målet er å flytte ansvaret for behandling av personopplysninger fra Datatilsynet til virksomhetene, og fjerne byråkratiske prosesser når personopplysninger behandles.

Datatilsynet skal nå kontrollere etterlevelse av regelverket gjennom tilsyn i stedet for å forhåndsgodkjenne behandlinger.

Det at konsesjonsordningen er fjernet betyr at det ikke lenger er nødvendig å søke om tillatelser til å starte nye behandlinger. Det er heller ikke behov for å søke om å gjøre endringer i allerede pågående behandlinger. Det er imidlertid innført overgangsregler på noen få områder i påvente av at nytt regelverk kommer på plass.

Overgangsregler

Dopingkontroll i treningssentre

Konsesjoner som tidligere er gitt til treningssentre i forbindelse med dopingkontroll gjelder frem til nytt regelverk kommer (§ 6 i forskrift om overgangsregler for behandling av personopplysninger). Treningssentre som ønsker å bli et Rent Senter i samarbeid med Antidoping Norge kan søke Datatilsynet om tillatelse for å behandle særlige kategorier personopplysninger eller opplysninger om straffbare forhold (personopplysningsloven § 7). Den behandlingsansvarlige må da ha sendt søknad til Datatilsynet før behandlingen starter.

Nederst i artikkelen finner dere søknadsskjema dersom dere skal søke om konsesjon etter overgangsreglene.

Virksomhetene skal nå selv vurdere lovligheten

Det at konsesjonsplikten har falt bort betyr i praksis at den behandlingsansvarlige selv må vurdere om en behandling av personopplysninger er tillatt. Det innebærer blant annet å vurdere om det finnes behandlingsgrunnlag, om man oppfyller alle pliktene knyttet til behandlingen og så videre. Her kan du lese om alle pliktene en virksomhet som behandler personopplysninger har.

I mange tilfeller vil det være plikt til å vurdere personvernkonsekvensene når det behandles personopplysninger, og deretter iverksette tiltakene som er nødvendige for å redusere eventuelle personvernulemper. I noen få tilfeller kan det også være en plikt til å rådføre seg med Datatilsynet før behandlingen starter. Det kalles forhåndsdrøftelse.

Mange av vilkårene i de gamle konsesjonene var satt fordi det, ut fra en vurdering av personvernulemper, har vært ansett som nødvendig for å kunne gi konsesjon. Dersom en behandlingsansvarlig velger å gå bort fra vilkår som tidligere er gitt, anbefaler vi at det gjøres en grundig vurdering av hvilke konsekvenser dette vil medføre for personvernet til de det gjelder.

Konsesjonenes vilkår må fortsatt følges dersom det er nødvendig for at den aktuelle behandlingen skal være i tråd med den nye personopplysningsloven. Motsatt kan det være at konsesjonens krav ikke lenger kan følges fordi det fører til brudd på loven.

Mellom disse tilfellene kan situasjonen være at det ikke er nødvendig å opptre i samsvar med vilkåret for å være i overensstemmelse med det nye regelverket, men det vil samtidig ikke være et brudd på regelverket å fortsatt gjøre det. I så fall vil vilkåret ofte være noe Datatilsynet anbefaler at man likevel etterlever (beste praksis). 

På denne siden kan du sende inn et skjema. For å gjøre det må du først akseptere en cookie. Du kan trekke tilbake samtykket når som helst ved å velge «administrer cookies» nederst på våre sider.