Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Hva betyr de nye personvernreglene for din virksomhet?

EUs forordning for personvern, The General Data Protection Regulation (GDPR), blir norsk lov i 2018.  Det betyr at vi får nye regler for personvern i Norge. Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter.

Her får du vite mer om hva som blir nytt og hva dere kan gjøre for å forberede dere.

Skriv ut veileder
Hva betyr de nye personvernreglene for din virksomhet?

Alle norske virksomheter får nye plikter

EUs forordning for personvern blir norsk lov i 2018, og erstatter da dagens regelverk. Vi får med andre ord nye regler for personvern i Norge. De gir virksomheter nye plikter, og personene man behandler personopplysninger om, de registrerte, får nye rettigheter.

Dagens regelverk stiller krav til at dere skal ha rutiner for å etterleve personopplysningsloven. Når loven endres, må dere også endre disse rutinene. De nye rutinene skal sørge for at dere følger de nye pliktene dere vil få etter ny lov.

Det er virksomhetens ledelse som har ansvaret for å utforme de nye rutinene, men alle i organisasjonen må kjenne til og følge de nye reglene.

Det krever ressurser å sette seg inn nye regler, lage nye rutiner og lære opp ansatte. Det er viktig at virksomheten allerede nå lager en plan for overgangen til nye plikter og setter av tilstrekkelige ressurser til dette arbeidet.

Hva blir nytt i 2018?

Vi har laget en veiledning for virksomheter om de nye personvernreglene som trer i kraft i mai 2018. Vi har også laget en liste med punkter som oppsummerer hva som blir nytt, samt hva virksomhetene bør gjøre nå.

Hva blir nytt i 2018?

Alle skal gi god informasjon om hvordan de behandler personopplysninger

Når dere behandler personopplysninger, plikter dere å informere de registrerte. Kravene til denne informasjonen blir strengere når forordningen trer i kraft.

Form og språk

Forordningen stiller krav til informasjonens form og språk. Informasjonen skal være kortfattet, klar og tydelig, lett forståelig og lett tilgjengelig. Dette gjelder særlig informasjon rettet mot barn. Virksomheter som behandler personopplysninger om barn må altså utforme informasjonen sin slik at barna kan forstå den.

Reglene står i artikkel 12 i forordningen.

Hva slags informasjon skal gis

Dagens regler for når informasjon skal gis og unntak fra informasjonsplikten videreføres i stor grad, men virksomheter skal gi mer informasjon enn tidligere. Kravene til hva slags informasjon man må gi er litt ulike hvis dere samler inn opplysningene fra den registrerte selv, eller om dere henter dem fra noen andre.

Du skal informere om følgende:

  1. Kontaktdetaljer til den behandlingsansvarlige virksomheten.
  2. Kontaktdetaljer til et eventuelt personvernombud.
  3. Hva som er formålet med behandlingen av personopplysninger.
  4. Hva slags personopplysninger som behandles.
  5. Grunnlaget for behandlingen av personopplysninger (behandlingsgrunnlaget):
    • Dersom behandlingsgrunnlaget for behandlingen er samtykke, skal dere informere om retten til å trekke samtykket tilbake.
    • Dersom behandlingsgrunnlaget for behandlingen er en interesseavveining (dagens personopplysningslov § 8 bokstav f), skal dere informere om hvilken berettiget interesse virksomheten ivaretar ved denne behandlingen.
  6. Hvem personopplysningene eventuelt skal utleveres til.
  7. Hvis personopplysningene skal utleveres til et land utenfor EU-/EØS-området eller en internasjonal organisasjon, må det vises til beskyttelsestiltakene som er satt i verk for å sikre opplysningene. Det må også opplyses om hvordan man kan få informasjon om tiltakene.
  8. Hvor lenge opplysningene skal oppbevares. Dersom det ikke er mulig å angi nøyaktig tid, skal det opplyses om hvilke kriterier som bestemmer lagringstiden.
  9. At den registrerte har rett til innsyn, retting, sletting, dataportabilitet, å kreve at behandlingen av personopplysninger begrenses, og å motsette seg visse former for behandling.
  10. At den registrerte har rett til å klage til Datatilsynet på behandling i strid med reglene.
  11. Om det forekommer automatiske avgjørelser, som for eksempel profilering. I så fall må virksomheten som et minimum gi meningsfylt informasjon om logikken bak,betydningen av, og de forutsette konsekvensene av behandlingen for den registrerte.
  12. Dersom opplysningene innhentes fra den registrerte selv, skal de få informasjon om innhentingen av personopplysninger er lovpålagt, følger av kontraktsforpliktelser eller er nødvendig for å inngå en kontrakt. Det skal også opplyses om den registrerte har plikt til å oppgi opplysningene og om hva som er de eventuelle følgene av å la være eller nekte.
  13. Dersom opplysningene innhentes fra andre den registrerte, skal de få vite hvor personopplysningene er hentet fra og eventuelt om de stammer fra en offentlig kilde.
  14. Dersom personopplysninger skal behandles for et annet formål enn de ble samlet inn for, inntrer informasjonsplikten på nytt. Det betyr at virksomheten må opplyse hva det nye formålet er, og gi deler av informasjonen ovenfor på nytt.

Disse reglene følger av forordningen artikkel 13 og 14.

Alle skal vurdere risiko og personvernkonsekvenser

Noen virksomheter må etter det nye regelverket utrede personvernkonsekvensene av et tiltak i tillegg til å gjennomføre risikovurderinger. Dette gjelder i tilfeller der tiltaket utgjør et stort inngrep i personvernet.

I enkelte tilfeller skal også Datatilsynet involveres i forhåndsdrøftelser.

Utredning av personvernkonsekvenser

Plikten til utrede personvernkonsekvensene (konsekvensanalyse) inntrer når dere planlegger en behandling av personopplysninger som sannsynligvis vil utgjøre høy risiko for personers rettigheter, som retten til personvern. I vurderingen av om det er nødvendig med en slik utredning skal dere ta hensyn til arten, omfanget, sammenhengen og formålet med behandlingen. Dere må også ta hensyn til om dere benytter ny teknologi.

Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser:

  1. systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser
  2. behandling av sensitive personopplysninger i stort omfang
  3. systematisk overvåking av offentlig område i stort omfang

Konsekvensanalysen skal som et minimum inneholde:

  • en systematisk beskrivelse av behandlingen, dens formål og eventuelt hvilken berettiget interesse den ivaretar
  • en vurdering av om behandlingen er nødvendig og forholdsmessig, sett opp mot formålet
  • en vurdering av risikoen behandlingen har for personers rettigheter, herunder retten til personvern
  • hvilke tiltak som skal settes i verk mot risikoen som er identifisert

Dersom virksomheten har personvernombud, skal han eller hun involveres i utredningen. Noen ganger skal også den behandlingsansvarlige innhente de registrertes synspunkter og innspill.

Dersom det er nødvendig, og i alle fall hvis risikoen endrer seg, skal den behandlingsansvarlige på nytt gå gjennom hvordan behandlingen gjøres  for å sikre at konsekvensanalysen fortsatt er riktig.

Det vil være unntak for plikten til utrede for enkelte behandlinger med hjemmel i lov.

Reglene står i forordningens artikkel 35.

Forhåndsdrøftelser med Datatilsynet

Vi skal involveres i forhåndsdrøftelser dersom konsekvensanalysen viser at behandlingen dere skal gjøre gir høy risiko, og at risikoen ikke kan reduseres ved hjelp av interne tiltak. 

Når vi involveres, skal virksomheten som et minimum gi oss informasjon om:

  • ansvarsforhold mellom behandlingsansvarlige og databehandlere,
  • formålet med behandlingen og virkemidlene som skal benyttes i behandlingen,
  • hvilke sikkerhetstiltak som skal iverksettes for å sikre at de registrertes rettigheter ivaretas,
  • kontaktopplysninger til eventuelt personvernombud
  • konsekvensanalysen dere har gjennomført

Vi kan gi råd om hva virksomheten skal gjøre dersom vi mener at behandlingen er i strid med forordningen, eller at virksomheten ikke i har identifisert risikoer eller redusert dem i tilstrekkelig grad. Vi kan eventuelt ilegge sanksjoner, som å forby den aktuelle behandlingen.

Vi har plikt til å gi skriftlig veiledning til den behandlingsansvarlige eller databehandleren som ber om en forhåndsdrøftelse Veiledningen skal finne sted innen åtte uker. I mer omfattende, komplekse saker, kan denne fristen forlenges med opptil 6 uker. Dette betyr at vi skal reagere raskt på slike forespørsler, slik at planlagte behandlinger ikke blir unødig forsinket av at Datatilsynet skal involveres.

Reglene følger av forordningens artikkel 36.

Alle skal bygge personvern inn i nye løsninger

Datatilsynet anbefaler at alle virksomheter som behandler personopplysninger eller som for eksempel skal  bygge nye IKT-systemer, følger prinsippene for innebygd personvern. Når forordningen trer i kraft, blir dette også en plikt.

Innebygd personvern handler om å ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Det er både kostnadsbesparende og mer effektivt enn å endre et ferdig system. Vår veileder om innebygd personvern vil hjelpe deg i gang med arbeidet.

Forordningen sier at dere skal iverksette tekniske og organisatoriske tiltak som effektivt ivaretar personvernprinsippene og som sørger for at dere følger forordningen. Loven forplikter dere til å bygge personvern inn i løsningene i den innledende fasen, hvor dere bestemmer hvilke virkemidler dere vil bruke, og å også tenke innebygd personvern i fortsettelsen, så lenge dere behandler personopplysninger. I vurderingen av hvor personvernvennlige tiltakene kan gjøres, skal dere ta hensyn til alt fra tilgjengelig teknologi og implementeringskostnader til  hva slags behandling som skal gjøres, hvor omfattende den er, og i hvilken sammenheng den gjøres.

Som en del av kravet om innebygd personvern, skal dere bruke personvern som standardinnstilling. Det betyr at det minst personverninngripende alternativet skal være standarden i alle systemer og løsninger. Forordningen nevner konkret at man skal ha standardinnstillinger for:

  1. mengden personopplysninger man samler inn
  2. omfang av behandlingen
  3. lagringstid
  4. tilgjengelighet

Det stilles også et eksplisitt krav om at det ikke skal være mulig å gjøre personopplysninger tilgjengelig for et ubestemt antall personer uten den registrertes medvirkning. Dette skal settes opp som en standard i løsningen.

Du finner disse reglene i forordningens artikkel 25.

 

Mange virksomheter må opprette personvernombud

Dagens personvernombudsordning er frivillig. Med den nye forordningen får mange virksomheter en plikt til å opprette personvernombud. De som ikke må opprette ombud, kan selvsagt også velge å følge ordningen på frivillig basis.

Hvem ha personvernombud?

Følgende virksomheter må utnevne personvernombud:

  1. offentlige virksomheter (unntatt domstolene)
  2. virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang
  3. virksomheter som behandler sensitive personopplysninger i stort omfang

Personvernombudet skal velges ut fra faglig kvalitet, ekspertise innen personvernrett og evne til utføre oppgavene. Forordningen stiller altså krav til ombudets fagkunnskap.

Konserner eller offentlige myndigheter med underliggende etater kan ha ett felles ombud, forutsatt at ombudet er lett tilgjengelig for alle konsernets etableringer. Ombudet kan være ansatt i virksomheten eller en profesjonell tredjepart.

Etter forordningen vil det ikke lenger være nødvendig med Datatilsynets godkjennelse av personvernombudet. I stedet vil det opprettes en registreringsordning der virksomheter selv kan registrere sitt personvernombud.

Reglene om hvem som må ha personvernombud følger av forordningens artikkel 37.

Personvernombudets stilling

Personvernombudet skal involveres i alle saker som handler om behandling av personopplysninger. Personvernombudet skal inkluderes i prosessen både tidlig nok og på en god nok måte til at hun eller han kan utføre sin rolle. I tillegg skal ombudet være kontaktpunkt for de registrerte. Det betyr at alle registrerte som har spørsmål eller krav knyttet til behandlingen av deres personopplysninger skal kunne ta direkte kontakt med personvernombudet.

Virksomheten har ansvar for at ombudet har tilstrekkelige ressurser og adganger til å utføre sine oppgaver og opprettholde sin ekspertise.

Personvernombudet skal være helt uavhengig. Det er virksomhetens ansvar å sørge for at personvernombudet ikke mottar instruksjoner om hvordan han eller hun skal utføre arbeidet sitt. Ombudet kan ikke avskjediges eller straffes for å utføre sine oppgaver. Personvernombudet skal rapportere til øverste ledelsesnivå i virksomheten.

Ombudet skal være bundet av taushetsplikt eller konfidensialitet under utførelsen av sine plikter. Så lenge det ikke fører til noen interessekonflikt, kan ombudet også utføre andre oppgaver i virksomheten.

Disse reglene følger av forordningen artikkel 38.

Personvernombudets oppgaver

Ombudet skal, i tillegg til å være kontaktpunkt for de registrerte:

  1. informere og gi råd til virksomheten og de ansatte
  2. bidra til etterlevelse av forordningen og virksomhetens personvernpolitikk
  3. gi råd om og delta i konsekvensanalyser
  4. fungere som kontaktpunkt mellom Datatilsynet og virksomheten

For Norges del er reglene langt på vei en kodifisering av eksisterende praksis.

Disse reglene følger av forordningen artikkel 39.

Personvernombud

Les mer om personvernombudsordningen på vår samleside. Her finner du utfyllende informasjon om hva ordningen går ut på og pliktene et ombud har, registreringsskjema, hvilke kurs og seminar som finnes, samt kontaktinformasjon.

Personvernombud

Reglene gjelder også virksomheter utenfor Europa

Virksomheter utenfor EU eller EØS

Virksomheter som er etablert utenfor EU- eller EØS-området må følge forordningens regler dersom de:

  1. tilbyr varer og tjenester til EU- eller EØS-borgere
  2. kartlegger EU- eller EØS-borgeres adferd innen EU- eller EØS-området

Disse reglene følger av forordningens artikkel 3.

Virksomheter i flere EU- eller EØS-land

Virksomheter som er etablert i flere EU- eller EØS-land trenger bare å forholde seg til datatilsynsmyndighetene i landet der de har sin hovedetablering. Unntaket er hvis behandlingen av personopplysninger bare skjer i ett land eller bare i vesentlig grad påvirker registrerte i ett land. Da kan datatilsynsmyndighetene i landet som er berørt, følge opp behandlingen.

Med hovedetablering menes det stedet virksomheten har sin sentraladministrasjon. Det er imidlertid også noen unntak fra denne regelen:

Dersom virksomheten er behandlingsansvarlig, men formålet med og virkemidlene for behandlingen av personopplysninger blir fastsatt et annet sted, er det stedet disse fastsettes som regnes som hovedetableringen.

Eksempel: En virksomhet har sentraladministrasjonen i Oslo, men det er avdelingen i Reykjavik som bestemmer formålet med og virkemidlene for bruken av personopplysninger. Avdelingen i Reykjavik regnes da som hovedetableringen.

Dersom virksomheten er databehandler og ikke har en sentraladministrasjon innenfor EU- eller EØS-området, regnes hovedetableringen som det stedet der hoveddelen av behandlingen av personopplysninger skjer.

Eksempel: En virksomhet har sentraladministrasjon i New York. Den tilbyr blant annet serverplass for europeiske virksomheter. De fleste serverne står i Stockholm, men det finnes også en server i København. Virksomheten behandler også personopplysninger til egne formål i Helsinki, og det er her flest personopplysninger behandles. Avdelingen i Stockholm regnes da som hovedetableringen for databehandlingen.

Uansett hvilken datatilsynsmyndighet virksomheten forholder seg til, vil den registrerte alltid kunne klage til datatilsynet i landet der vedkommende bor eller jobber.

Forordningen inneholder også regler for hvordan datatilsynene i Europa skal samarbeide. Som en del av dette samarbeidet skal det opprettes et eget European Data Protection Board (EDPB). EDPB skal blant annet skal koordinere og gi råd om behandling av personopplysninger i EU- eller EØS-området.

Reglene for dette står i forordningens artikler 4, 56 flg. og 77.

Alle databehandlere får nye plikter

En databehandler er en virksomhet som behandler personopplysninger på vegne av en annen virksomhet, den såkalt behandlingsansvarlige. I dag følger den behandlingsansvarliges plikter av loven, mens databehandlerens plikter følger av en databehandleravtale mellom den behandlingsansvarlige og databehandleren. Loven pålegger dem å ha en slik avtale, men innholdet i avtalen er det langt på vei de to partene som blir enige om.

Forordningen vil inneholde selvstendige plikter for databehandlere. Disse pliktene kommer altså i tillegg til pliktene databehandlere har etter databehandleravtalen. Mange av pliktene vil være de samme som etter databehandleravtalene, mens noen er nye. Dessuten vil forordningen stille flere krav til databehandleravtaler og inneholde regler for godkjenning av underleverandører.

Plikter for databehandlere

Forordningen vil blant annet gi databehandlere plikt til å:

  1. sørge for informasjonssikkerhet, se artikkel 32
  2. umiddelbart varsle den behandlingsansvarlige om avvik, se artikkel 33
  3. opprette personvernombud på lik linje med behandlingsansvarlig, se artikkel 37

Databehandlere må også å si ifra til den behandlingsansvarlige dersom de mener at instruksjonene de får fra behandlingsansvarlige er i strid med forordningen eller personvernrett for øvrig. Selv om databehandlere får nye plikter, er det viktig å understreke at den behandlingsansvarlige fremdeles har hovedansvaret for behandlingen av personopplysninger. Den behandlingsansvarlige kan bare velge en databehandler som gir tilstrekkelige garantier for at personvernreglene følges.

Disse reglene følger av forordningen artikkel 28.

Brudd på disse pliktene kan føre til sanksjoner fra Datatilsynet. Dersom brudd på reglene medfører tap for den registrerte, vil både den behandlingsansvarlige og databehandleren være erstatningsansvarlige (solidaransvar). Disse reglene følger av forordningen artikkel 58 og fortalen nr. 146.

Krav til databehandleravtalen

Forordningen stiller følgende krav til innholdet i en databehandleravtale:

  • Databehandler skal kun behandler personopplysninger etter dokumenterte instruksjoner fra den behandlingsansvarlige.
  • Databehandler skal kun overføre personopplysninger til et land utenfor EU-/EØS-området eller til internasjonale organisasjoner slik det er beskrevet i dokumenterte instruksjoner fra den behandlingsansvarlige.
  • De som har tilgang til personopplysningene som behandles er underlagt taushetsplikt.
  • Databehandler skal sørge for informasjonssikkerhet i tråd med artikkel 32.
  • Databehandler må respektere reglene for underleverandører i tråd med artikkel 28.
  • Avtalen skal spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med å etterkomme krav fra enkeltpersoner.
  • Avtalen skal spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med informasjonssikkerhet, avvikshåndtering og konsekvensanalyse.
  • Databehandler skal avhengig av hva den behandlingsansvarlige velger, slette eller tilbakeføre alle personopplysninger når databehandlingstjenestene opphører. Kopier skal også slettes. Dette gjelder med mindre en annen lov krever  at de skal tas vare på.
  • Databehandler skal tilgjengeliggjøre dokumentasjon som viser at de etterlever artikkel 28 for den behandlingsansvarlige. Databehandler skal også bidra til revisjoner.

Avtalen skal være skriftlig, herunder elektronisk.

Kravene følger av forordningens artikkel 28.

Underleverandører

En underleverandør er en virksomhet som behandler personopplysninger på vegne av en databehandler. Forordningen understreker at behandlingsansvarlig skal godkjenne alle underleverandører skriftlig. Dette kan gjøre på to måter: Enten ved 1)en spesifikk godkjenning som betyr at den behandlingsansvarlige eksplisitt godkjenner én eller flere navngitte databehandlere, eller 2)ved en generell godkjenning som betyr at databehandleren fortløpende informerer den behandlingsansvarlige om hvilke underleverandører den planlegger å bruke, og den behandlingsansvarlige kan motsette seg de enkelte underleverandørene.

Forholdet mellom databehandleren og underleverandøren skal reguleres i en avtale mellom den behandlingsansvarlige og databehandleren. Denne avtalen tilsvarer databehandleravtalen. Dersom underleverandøren ikke følger reglene, er det databehandleren som er ansvarlig for dette ovenfor den behandlingsansvarlige.

Kravene følger av forordningen artikkel 28.

Alle bør samarbeide i egne nettverk og følge bransjenormer

Forordningen oppfordrer til at virksomheter innen samme sektor går sammen om å utarbeide av bransjenormer. En bransjenorm er retningslinjer for hvordan en sektor eller bransje skal sikre at den behandler personopplysninger på en god og riktig måte. Slike bransjenormer tar hensyn til sektorens art og virksomhetens størrelse. Bransjenormer skal etter de nye reglene godkjennes av Datatilsynet.

Ved å følge sin bransjenorm, vil virksomheten få på plass de viktigste rutinene for å etterleve forordningen. Det er også andre fordeler ved å inngå bransjenormer:

  1. Tilslutning til bransjenormen kan brukes som et element i å dokumenter at virksomheten har tilstrekkelig informasjonssikkerhet, se artikkel 32.
  2. Tilslutning til bransjenormen kan brukes som en del av målingen eller evalueringen av risiko ved behandling av personopplysninger når dere gjennomfører konsekvensanalyser, se artikkel 35.
  3. Tilslutning til bransjenormen kan brukes som en del av databehandleres garantier for at reglene følges, se artikkel 28.
  4. Dersom en virksomhet utenfor EU-/EØS-området gir sin tilslutning til bransjenormen, kan tilslutningen brukes som et eget grunnlag for å overføre opplysninger til tredjeland, se artikkel 40.

Disse reglene følger av forordningens artikler 40 og 41.

Alle får nye krav til avvikshåndtering

Etter dagens regelverk skal virksomheter melde fra til Datatilsynet dersom konfidensielle personopplysninger har kommet på avveier. Kravene til håndtering av sikkerhetsbrudd skjerpes når forordningen trer i kraft.

Når skal dere melde avvik til Datatilsynet?

Hovedregelen i forordningen er at alle avvik som skyldes brudd på datasikkerhetenskal meldes til Datatilsynet. Unntak fra dette gjelder hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern.

Det stilles samtidig krav til at avviksmeldingen skal leveres til oss innen 72 timer. Dersom virksomheten ikke har full oversikt over avviket, kan de sende avviksmeldingen trinnvis.

Virksomheten må ha dokumentasjon på alle avvik og hvilke tiltak som er iverksatt. Formålet er at vi skal kunne kontrollere at reglene om avviksvarsling følges.

Reglene for når avvik skal meldes står i forordningens artikkel 33.

Innhold i avviksmeldingen

Etter de nye reglene skal en avviksmelding som et minimum inneholde:

  1. en beskrivelse av avviket, hva slags personer og personopplysninger som er berørt
  2. et anslag på hvor mange personer og oppføringer av personopplysninger som er berørt av sikkerhetsbruddet
  3. kontaktinformasjon til personvernombudet eller et annet kontaktpunkt i virksomheten
  4. en beskrivelse av hvilke konsekvenser avviket trolig vil ha
  5. en beskrivelse av de tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene av det

Disse reglene følger av forordningen artikkel 33.

Varsling av de berørte

Forordningen gir regler for når de som er berørt av et brudd på datasikkerheten skal varsles. Slik varsling skal skje når det er sannsynlig at avviket vil medføre en høy risiko for personvernet til de som er berørt. Virksomheten kan imidlertid la være å varsle de berørte på visse vilkår.

  • Dersom det er iverksatt beskyttelsestiltak for personopplysningene som er omfattet av sikkerhetsbruddet, særlig dersom tiltakene gjør opplysningene uleselige for uvedkommende, for eksempel ved kryptering.
  • Dersom det er iverksatt etterfølgende tiltak som gjør at risikoen sannsynligvis ikke lenger er reell.
  • Hvis et er uforholdsmessig vanskelig å varsle hver enkelt av de berørte. I slike tilfeller skalinformasjonen isteden offentliggjøres eller deles på annen måte, slik at de berørte likevel underrettes på en effektiv måte.

Varsel skal gis uten opphold. Det skal ha et klart og forståelig språk og som et minimum inneholde:

  1. en beskrivelse av avvikets natur
  2. kontaktinformasjon til personvernombudet eller annet kontaktpunkt i virksomheten
  3. en beskrivelse av mulige konsekvenser av avviket
  4. en beskrivelse av tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene

Regler for hva avviksvarsler skal inneholde er gitt i forordningens artikkel 34.

Alle må kunne oppfylle borgernes nye rettigheter

Dagens personopplysningsregelverk inneholder mange rettigheter for de registrerte. Rett til innsyn og rett til retting av uriktige eller mangelfulle personopplysninger er eksempler. Disse rettighetene videreføres i forordningen, men den inneholder også flere nye rettigheter. Alle virksomheter må sette seg inn i disse nye rettighetene og legge til rette for å oppfylle dem. Dere skal ha rutiner for å vurdere krav fra de registrerte og å etterkomme dem. Fristen for å svare den registrerte er én måned.

Retten til å bli glemt

Den registrerte får en tydeligere rett til å kreve sletting av egne personopplysninger i det nye regelverket. Dette kalles retten til å bli glemt. Den registrerte kan kreve at opplysninger om han eller henne skal slettes dersom:

  1. det ikke lenger er nødvendig å ta vare på opplysningene for å oppnå formålet med behandlingen
  2. behandlingen er basert på samtykke, og samtykket trekkes tilbake
  3. de registrerte har rett til å motsette seg behandlingen av personopplysninger (se nedenfor)
  4. personopplysningene har blitt behandlet i strid med reglene
  5. personopplysningene har blitt samlet inn i forbindelse med barns bruk av nettjenester

Disse reglene følger av forordningens artikkel 17.

Retten til å kreve begrensning

Dersom den registrerte ikke ønsker at opplysninger skal slettes eller bestrider at opplysningene er korrekte, kan hun eller han kreve at behandlingen av personopplysningene begrenses. I slike tilfeller kan opplysningene lagres, men ellers bare brukes

  1. med den registrertes samtykke,
  2. for å forsvare et rettskrav,
  3. for å forsvare en annens rettigheter, eller
  4. for å ivareta viktige samfunnsinteresser

Når opplysningene skal slettes eller begrenses, har den behandlingsansvarlige plikt til å formidle dette til alle som har mottatt personopplysningene, med mindre dette er uforholdsmessig eller umulig.

Reglene om begrensing følger av forordningen artikkel 18 og 19.

Retten til dataportabilitet

Dersom noen behandler personopplysninger basert på samtykke, for eksempel for å oppfylle en avtale med den registrerte, kan den registrerte kreve å ta med seg opplysningene sine til en annen virksomhet. Dette kalles dataportabilitet. Dersom det er teknisk mulig, kan den registrerte kreve at den behandlingsansvarlige sørger for å overføre opplysningene til den nye virksomheten.

Opplysningene skal være i et strukturert, allment brukt og maskinlesbart format. Retten til dataportabilitet gjelder ikke for behandlinger som er nødvendige for å gjennomføre oppgaver i samfunnets interesse eller under offentlig myndighetsutøvelse.

Disse reglene følger av forordningen artikkel 20.

Retten til å motsette seg behandling

Etter det nye personvernregelverket har enkeltpersoner rett til å reservere seg mot at personopplysningene deres behandles i enkelte tilfeller.

Prinsippet i dagens regelverk om at all behandling av personopplysninger skal ha et behandlingsgrunnlag, videreføres i forordningen. Hva som er et gyldig behandlingsgrunnlag, fremgår av forordningens artikkel 6 og 9. Om den enkelte kan reservere seg, kommer an på hva behandlingsgrunnlaget er eller hva formålet er.

Enkeltpersoner kan reservere seg dersom:

  1. Opplysningene behandles fordi det er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet etter forordningen art. 6 (1) (e)
  2. Opplysningene behandles med grunnlag i en interesseavveining etter art. 6 (1) (f)
  3. Formålet med behandlingen er direkte markedsføring (uavhengig av hva behandlingsgrunnlaget er)

Dersom en person motsetter seg, må den behandlingsansvarlige slutte å behandle personopplysningene og slette dem. Dette gjelder uansett hva slags behandling det er snakk om, men regelen er kanskje særlig praktisk når det gjelder utarbeidelse av personprofiler og profilering.

Berettiget grunn

Det finnes et unntak fra denne regelen. Den behandlingsansvarlige kan likevel fortsette å behandle personopplysningene dersom virksomheten kan vise til tvingende, berettigede grunner for behandlingen som går foran den enkeltes personvern og rettigheter. Det samme gjelder dersom behandlingen er nødvendig for å ivareta et rettskrav. Dette unntaket gjelder ikke når formålet er direkte markedsføring. Da har den enkelte alltid rett til å motsette seg.

Informasjon

Den behandlingsansvarlige har plikt til å informere eksplisitt om retten til å motsette seg. Informasjonen skal presenteres på en klar måte og separat fra annen informasjon. For eksempel er det ikke tilstrekkelig å ha informasjon om retten til å motsette seg i en lang og generell personvernerklæring.

Regler for å motsette seg profilering er gitt i forordningens artikkel 21.

Automatiserte avgjørelser

Med automatiserte avgjørelser menes avgjørelser som foretas av dataprogrammer uten reell menneskelig innblanding eller påvirkning. Når slike avgjørelser har rettsvirkning eller på tilsvarende måte betydelig påvirker for den enkelte, setter forordningen strenge grenser. Hovedregelen er at slike avgjørelser er forbudt.

Et eksempel på denne typen behandling av personopplysninger er lånesøknader på nett der man får svar umiddelbart.

Automatiserte avgjørelser er kun tillatt dersom de:

  • er nødvendige for å inngå eller gjennomføre en avtale med de registrerte,
  • er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte,
  • er basert på eksplisitt og gyldig samtykke.

Dersom den automatiserte avgjørelsen tas for å inngå en avtale, eller det finnes et eksplisitt samtykke, må den behandlingsansvarlige også sette i verk tiltak som varetar den enkeltes rettigheter på en tilstrekkelig måte. I det minste må den enkelte ha en mulighet til å få avgjørelsen overprøvd av en fysisk person og muligheten til å bestride avgjørelsen.

Andre relevante tiltak kan være:

  • tekniske og organisatoriske tiltak for å oppdage uriktige personopplysninger og for å sørge for at personopplysningene er oppdaterte.
  • test av systemene og gjennomgang av algoritmene for å påse at behandlingen er rettferdig og ikke diskriminerende.

I tillegg har den behandlingsansvarlige plikt til å gi informasjon om at automatiserte avgjørelser finner sted, den underliggende logikken, betydningen og de forventede konsekvensene av avgjørelsen (art. 13 (2) (f) og 14 (2) (g)).

Systemene som brukes må selvsagt bygges etter prinsippene om innebygd personvern (art. 25).

Automatiserte avgjørelser og sensitive opplysninger

Automatiserte avgjørelser som bygger på sensitive personopplysninger er kun lov med eksplisitt og gyldig samtykke eller dersom behandlingen har vesentlig offentlig interesse og har hjemmel i lov. Også her må det foreligge tiltak for å vareta den enkeltes rettigheter. De nærmere reglene om automatiserte avgjørelser finnes i forordningen artikkel 22.

Barns sikkerhet på nett

For å ivareta barns sikkerhet på nett må såkalte informasjonssamfunnstjenester somsosiale medier og andre nettjenester innhente foreldres samtykke for barn under 16 år. Norge har imidlertid adgang til å bestemme at barn mellom 13 og 16 år kan bruke disse tjenestene uten foreldrenes samtykke. Vi legger til grunn at Justisdepartementet vil komme med en presisering om hva som vil være nedre grense for foreldrenes samtykke i god tid før forordningen trer i kraft.

Virksomheten som tilbyr tjenesten har ansvar for å iverksette rimelige tiltak for å verifisere at den som har foreldreansvar for barnet har gitt sitt samtykke. Tjenestetilbyderen må som en del av dette vurdere hva som er teknisk mulig å få til.

Barns sikkerhet på nett reguleres i forordningens artikkel 8.

Disse reglene følger av forordningens artikkel 22.

Hva bør dere gjøre nå?

1. Ha oversikt over hvilke personopplysninger dere behandler

Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som gjelder også etter dagens lov.

2. Sørg for å oppfylle dagens lovkrav

Overgangen til de nye reglene blir lettere om dere etterlever kravene i personopplysningsloven, som gjelder i Norge i dag. Har dere gode rutiner for internkontroll som fungerer etter hensikten og er kjent i organisasjonen, er det lettere å få oversikt over hva dere må endre.

3. Sett dere inn i det nye regelverket

Les forordningsteksten. Følg også med på Datatilsynets nettsider. Der fyller vi også på med artikler om de nye reglene etter hvert som vi utarbeider dem.

4. Lag rutiner for å følge de nye reglene

Gå gjennom rutinene dere har for behandling av personopplysninger. Oppdater dem etter nytt regelverk der det trengs. Dokumenter de nye rutinene og legg en plan for nødvendige endringer. Er systemene deres laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Klarer dere å fange opp og besvare henvendelser fra borgerne innen én måned?

Endringer i systemer og rutiner tar tid. Begynn allerede nå!

Hva blir nytt i 2018?

Vi har laget en veiledning for virksomheter om de nye personvernreglene som trer i kraft i mai 2018. Vi har også laget en liste med punkter som oppsummerer hva som blir nytt, samt hva virksomhetene bør gjøre nå.

Hva blir nytt i 2018?