Hva blir nytt med forordningen?

I 2018 innføres ny personvernlovgivning i Norge og Europa. Hva blir annerledes?

Gjelder for større geografisk område

Behandlingsansvarlige som er registrert utenfor EU, men som tilbyr varer og tjenester til EU-borgere, vil bli omfattet av det nye regelverket. Det er de ikke i dag. Det gjelder for eksempel nettbutikker som ikke er etablert i Europa, men som selger varer over nett, og kanskje tilbyr frakt til europeiske land og betaling i norske kroner. Regelverket vil også gjelde behandlingsansvarlige som er etablert i tredjeland, men som overvåker adferden til EU-borgere innenfor EU, for eksempel amerikanske selskaper som profilerer EU-borgere på bakgrunn av nettbruken deres.

Opplysninger skal ikke brukes til nye, uforenlige formål

Personopplysninger skal kun behandles der det finnes et tydelig spesifisert formål. Dersom man ønsker å behandle personopplysninger til andre formål enn de var innhentet for, må man forsikre seg om at det nye formålet er forenlig med det gamle. Det som er nytt med det nye regelverket, er at behandlingsansvarlig får hjelp til å avgjøre hva som er forenlige formål og ikke, ved en «kompatibilitets-test» i forordningsteksten. Dersom konklusjonen er at det nye formålet er uforenlig med det gamle, skal det innhentes samtykke, eller behandlingen må hjemles i lov.

Nye rettigheter for borgere

Forordningen fører med seg fire nye rettigheter for EU-borgere – og nordmenn:

Rettigheten til å få behandlingen begrenset, retten til dataportabilitet, retten til å motsette seg en behandling, og rettigheter til å motsette deg profilering og automatiserte avgjørelser.

Du får rett til å motsette deg profilering begått av offentlige myndigheter, og til å motsette deg profilering for direkte markedsføring. Du får også rett til å klage på automatiserte avgjørelser som tas på bakgrunn av en profil som er utarbeidet om deg. Profiler skal ikke utarbeides på bakgrunn av sensitive opplysninger, hvis ikke den registrerte har samtykket eller slik profilering kan begrunnes med en særlig samfunnsinteresse som er hjemlet i lov.

Bedrifter får større ansvar for personvern

Virksomheter får utvidet sin plikt til å selv vurdere personvernkonsekvenser ved behandling av personopplysninger. Denne plikten utvides, og det ser ut til at færre vil trenge å søke konsesjon fra sitt lands personvernmyndigheter, som Datatilsynet i Norge. De får også plikt til å identifisere risikoreduserende tiltak. Kun i de tilfellene der risikoen ikke kan håndteres på en tilfredsstillende måte internt, skal de søke forhåndsgodkjenning fra nasjonale myndigheter (Datatilsynet). Innebygd personvern og personvern som standardinnstilling i applikasjoner blir lovpålagt.

Personvernombudet blir mer sentralt enn tidligere

Det vil høyst sannsynlig bli flere personvernombud, fordi flere virksomheter enn i dag vil plikte å opprette ombud. Disse vil trenge personvernombud:

  1. Offentlige virksomheter
  2. Virksomheter som behandler sensitive personopplysninger i stor skala
  3. Virksomheter som systematisk overvåker europeiske borgere i stor skala

Norge kan også pålegge andre å ha personvernombud gjennom lovregulering. I store trekk blir oppgavene og forventningene til personvernombud uendret. Det presiseres i forordningsteksten at det er viktig at ombudene unngår interessekonflikt, og det kommer et eksplisitt krav om at bedriften skal legge til rette for at personvernombudene skal kunne få tid og rom til å gjøre en god jobb.

Databehandlere skal på lik linje med behandlingsansvarlige oppnevne personvernombud. De skal sørge for informasjonssikkerhet og dokumentere det, gjennomføre risikovurderinger. Innholdskravene til en databehandleravtale er gitt i forordningen. Slik var det ikke tidligere.

Et klart språk og krav til åpenhet

Det er et viktig prinsipp i forordningen at informasjon om behandling av personopplysninger skal gis på en klar og tydelig måte, og ikke gjemmes bort i en personvernerklæring. Det kan se ut til at den registrerte har fått styrket sitt krav på åpenhet. Det er et viktig prinsipp at behandlingen skal for de registrerte fremstå som åpen og rimelig. Opplysningene om hvilke registreringer som gjøres, skal gis på en klar og tydelig måte, i lett forståelig språk. Informasjonen skal gis uten vederlag. Behandlingsansvarlige får på sin side en plikt til forsikre seg om at de henvender seg til rette vedkommende når de gir for eksempel elektronisk informasjon om behandlingene.

Plikter å samarbeide internasjonalt

Nasjonale datatilsyn får en plikt til å samarbeide og utveksle informasjon med hverandre. Samarbeidet skal inkludere utveksling av informasjon i konkrete saker.

Datatilsynet skal opptre uavhengig i Norge, men samtidig være del av et europeisk felleskap. I store europeiske saker skal konsistensmekanismen anvendes: Datatilsynsmyndighetene i alle landene som er berørt av saken, plikter å samarbeide. Et ledende tilsyn oppnevnes, som skal stå for kontakten med behandlingsansvarlige, registrerte og så videre. Blir ikke de nasjonale myndighetene enige, må saken løftes til European Data Protection Board (EDPB), et nytt EU-organ som er gitt myndighet til å gjøre bindende avgjørelser i konkrete saker i tillegg til å avgi uttalelser om hvordan forordningen skal tolkes.

De nasjonale datatilsynene får videre fullmakter til å ilegge sanksjoner. Etter det nye regelverket kan Datatilsynet gi gebyrer på opptil fire prosent av en virksomhets årlige, globale omsetning.

Arbeidet med det nye regelverket er godt i gang både i Europa og her i Norge. Her finner du en oversikt over hvem som gjør hva. 

Hva blir nytt i 2018?

Vi har laget en veiledning for virksomheter om de nye personvernreglene som trer i kraft i mai 2018. Vi har også laget en liste med punkter som oppsummerer hva som blir nytt, samt hva virksomhetene bør gjøre nå.

Hva blir nytt i 2018?