Alle må kunne oppfylle borgernes nye rettigheter

Dagens personopplysningsregelverk inneholder mange rettigheter for de registrerte. Rett til innsyn og rett til retting av uriktige eller mangelfulle personopplysninger er eksempler. Disse rettighetene videreføres i forordningen, men den inneholder også flere nye rettigheter. Alle virksomheter må sette seg inn i disse nye rettighetene og legge til rette for å oppfylle dem. Dere skal ha rutiner for å vurdere krav fra de registrerte og å etterkomme dem. Fristen for å svare den registrerte er én måned.

Retten til å bli glemt

Den registrerte får en tydeligere rett til å kreve sletting av egne personopplysninger i det nye regelverket. Dette kalles retten til å bli glemt. Den registrerte kan kreve at opplysninger om han eller henne skal slettes dersom:

  1. det ikke lenger er nødvendig å ta vare på opplysningene for å oppnå formålet med behandlingen
  2. behandlingen er basert på samtykke, og samtykket trekkes tilbake
  3. de registrerte har rett til å motsette seg behandlingen av personopplysninger (se nedenfor)
  4. personopplysningene har blitt behandlet i strid med reglene
  5. personopplysningene har blitt samlet inn i forbindelse med barns bruk av nettjenester

Disse reglene følger av forordningens artikkel 17.

Retten til å kreve begrensning

Dersom den registrerte ikke ønsker at opplysninger skal slettes eller bestrider at opplysningene er korrekte, kan hun eller han kreve at behandlingen av personopplysningene begrenses. I slike tilfeller kan opplysningene lagres, men ellers bare brukes

  1. med den registrertes samtykke,
  2. for å forsvare et rettskrav,
  3. for å forsvare en annens rettigheter, eller
  4. for å ivareta viktige samfunnsinteresser

Når opplysningene skal slettes eller begrenses, har den behandlingsansvarlige plikt til å formidle dette til alle som har mottatt personopplysningene, med mindre dette er uforholdsmessig eller umulig.

Reglene om begrensing følger av forordningen artikkel 18 og 19.

Retten til dataportabilitet

Dersom noen behandler personopplysninger basert på samtykke, for eksempel for å oppfylle en avtale med den registrerte, kan den registrerte kreve å ta med seg opplysningene sine til en annen virksomhet. Dette kalles dataportabilitet. Dersom det er teknisk mulig, kan den registrerte kreve at den behandlingsansvarlige sørger for å overføre opplysningene til den nye virksomheten.

Opplysningene skal være i et strukturert, allment brukt og maskinlesbart format. Retten til dataportabilitet gjelder ikke for behandlinger som er nødvendige for å gjennomføre oppgaver i samfunnets interesse eller under offentlig myndighetsutøvelse.

Disse reglene følger av forordningen artikkel 20.

Retten til å motsette seg behandling

Etter det nye personvernregelverket har enkeltpersoner rett til å reservere seg mot at personopplysningene deres behandles i enkelte tilfeller.

Prinsippet i dagens regelverk om at all behandling av personopplysninger skal ha et behandlingsgrunnlag, videreføres i forordningen. Hva som er et gyldig behandlingsgrunnlag, fremgår av forordningens artikkel 6 og 9. Om den enkelte kan reservere seg, kommer an på hva behandlingsgrunnlaget er eller hva formålet er.

Enkeltpersoner kan reservere seg dersom:

  1. Opplysningene behandles fordi det er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet etter forordningen art. 6 (1) (e)
  2. Opplysningene behandles med grunnlag i en interesseavveining etter art. 6 (1) (f)
  3. Formålet med behandlingen er direkte markedsføring (uavhengig av hva behandlingsgrunnlaget er)

Dersom en person motsetter seg, må den behandlingsansvarlige slutte å behandle personopplysningene og slette dem. Dette gjelder uansett hva slags behandling det er snakk om, men regelen er kanskje særlig praktisk når det gjelder utarbeidelse av personprofiler og profilering.

Berettiget grunn

Det finnes et unntak fra denne regelen. Den behandlingsansvarlige kan likevel fortsette å behandle personopplysningene dersom virksomheten kan vise til tvingende, berettigede grunner for behandlingen som går foran den enkeltes personvern og rettigheter. Det samme gjelder dersom behandlingen er nødvendig for å ivareta et rettskrav. Dette unntaket gjelder ikke når formålet er direkte markedsføring. Da har den enkelte alltid rett til å motsette seg.

Informasjon

Den behandlingsansvarlige har plikt til å informere eksplisitt om retten til å motsette seg. Informasjonen skal presenteres på en klar måte og separat fra annen informasjon. For eksempel er det ikke tilstrekkelig å ha informasjon om retten til å motsette seg i en lang og generell personvernerklæring.

Regler for å motsette seg profilering er gitt i forordningens artikkel 21.

Automatiserte avgjørelser

Med automatiserte avgjørelser menes avgjørelser som foretas av dataprogrammer uten reell menneskelig innblanding eller påvirkning. Når slike avgjørelser har rettsvirkning eller på tilsvarende måte betydelig påvirker for den enkelte, setter forordningen strenge grenser. Hovedregelen er at slike avgjørelser er forbudt.

Et eksempel på denne typen behandling av personopplysninger er lånesøknader på nett der man får svar umiddelbart.

Automatiserte avgjørelser er kun tillatt dersom de:

  • er nødvendige for å inngå eller gjennomføre en avtale med de registrerte,
  • er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte,
  • er basert på eksplisitt og gyldig samtykke.

Dersom den automatiserte avgjørelsen tas for å inngå en avtale, eller det finnes et eksplisitt samtykke, må den behandlingsansvarlige også sette i verk tiltak som varetar den enkeltes rettigheter på en tilstrekkelig måte. I det minste må den enkelte ha en mulighet til å få avgjørelsen overprøvd av en fysisk person og muligheten til å bestride avgjørelsen.

Andre relevante tiltak kan være:

  • tekniske og organisatoriske tiltak for å oppdage uriktige personopplysninger og for å sørge for at personopplysningene er oppdaterte.
  • test av systemene og gjennomgang av algoritmene for å påse at behandlingen er rettferdig og ikke diskriminerende.

I tillegg har den behandlingsansvarlige plikt til å gi informasjon om at automatiserte avgjørelser finner sted, den underliggende logikken, betydningen og de forventede konsekvensene av avgjørelsen (art. 13 (2) (f) og 14 (2) (g)).

Systemene som brukes må selvsagt bygges etter prinsippene om innebygd personvern (art. 25).

Automatiserte avgjørelser og sensitive opplysninger

Automatiserte avgjørelser som bygger på sensitive personopplysninger er kun lov med eksplisitt og gyldig samtykke eller dersom behandlingen har vesentlig offentlig interesse og har hjemmel i lov. Også her må det foreligge tiltak for å vareta den enkeltes rettigheter. De nærmere reglene om automatiserte avgjørelser finnes i forordningen artikkel 22.

Barns sikkerhet på nett

For å ivareta barns sikkerhet på nett må såkalte informasjonssamfunnstjenester somsosiale medier og andre nettjenester innhente foreldres samtykke for barn under 16 år. Norge har imidlertid adgang til å bestemme at barn mellom 13 og 16 år kan bruke disse tjenestene uten foreldrenes samtykke. Vi legger til grunn at Justisdepartementet vil komme med en presisering om hva som vil være nedre grense for foreldrenes samtykke i god tid før forordningen trer i kraft.

Virksomheten som tilbyr tjenesten har ansvar for å iverksette rimelige tiltak for å verifisere at den som har foreldreansvar for barnet har gitt sitt samtykke. Tjenestetilbyderen må som en del av dette vurdere hva som er teknisk mulig å få til.

Barns sikkerhet på nett reguleres i forordningens artikkel 8.

Disse reglene følger av forordningens artikkel 22.