Konsesjon og melding

Den nye personopplysningsloven med personvernforordning avskaffer ordningen med meldeplikt og som hovedregel krav til forhåndsgodkjenning (konsesjon) fra Datatilsynet.

Dette betyr at det ikke lenger er nødvendig å søke om tillatelser til å starte nye behandlinger. Det er heller ikke behov for å søke om å gjøre endringer i allerede pågående behandlinger. Det finnes overgangsregler som gjør unntak fra dette.

Formålet med denne endringen er å flytte ansvaret for behandling av personopplysninger fra Datatilsynet til virksomhetene, og fjerne byråkratiske prosesser når personopplysninger behandles. Datatilsynet skal nå kontrollere etterlevelse av regelverket gjennom tilsyn fremfor forhåndsgodkjenning av behandlinger.

Overgangsregler

Konsesjoner med krav og vilkår gitt i medhold av den gamle personopplysningsloven gjelder i utgangspunktet ikke lenger. Det er imidlertid kommet overgangsregler for noen områder i påvente av nye regelverk. De mest sentrale er:

  1. Kredittopplysning 
    Kommunal- og moderniseringsdepartementet arbeider med ny kredittopplysningslov. Inntil den nye loven er på plass må man fortsatt søke konsesjon. Konsesjoner som tidligere er gitt i medhold av personopplysningsforskriften fortsetter å gjelde (§ 4 i overgangsreglene). 

    Oversikt over hvem som har konsesjon 

  2. Dopingkontroll i treningssentre
    Konsesjoner som tidligere er gitt til treningssentre i forbindelse med dopingkontroll gjelder frem til nytt regelverk kommer. Det er også mulig å søke Datatilsynet om tillatelse til å behandle sensitive personopplysninger i forbindelse med at man vil bli Rent Senter i samarbeid med Anti-Doping Norge (§ 6 i overgangsreglene). 

    Les mer om dette og finn søknadsskjema

Virksomhetene skal nå selv vurdere lovligheten

Det at konsesjonsplikten har falt bort betyr i praksis at den behandlingsansvarlige selv må vurdere om en behandling av personopplysninger er tillatt. Det innebærer blant annet å vurdere om det finnes behandlingsgrunnlag, om man oppfyller alle pliktene knyttet til behandlingen og så videre. Her kan du lese om alle pliktene en virksomhet som behandler personopplysninger har.

I mange tilfeller vil det være plikt til å vurdere personvernkonsekvensene når det behandles personopplysninger, og deretter iverksette tiltakene som er nødvendige for å redusere eventuelle personvernulemper. I noen få tilfeller kan det også være en plikt til å rådføre seg med Datatilsynet før behandlingen starter. Det kalles forhåndsdrøftelse.

Mange av vilkårene i de gamle konsesjonene var satt fordi det, ut fra en vurdering av personvernulemper, har vært ansett som nødvendig for å kunne gi konsesjon. Dersom en behandlingsansvarlig velger å gå bort fra vilkår som tidligere er gitt, anbefaler vi at det gjøres en grundig vurdering av hvilke konsekvenser dette vil medføre for personvernet til de det gjelder.

Konsesjonenes vilkår må fortsatt følges dersom det er nødvendig for at den aktuelle behandlingen skal være å være i tråd med den nye personopplysningsloven. Motsatt kan det være at konsesjonens krav ikke lenger kan følges fordi det fører til brudd på loven.

Mellom disse tilfellene kan situasjonen være at det ikke er nødvendig å opptre i samsvar med vilkåret for å være i overensstemmelse med det nye regelverket, men det vil samtidig ikke være et brudd på regelverket å fortsatt gjøre det. I så fall vil vilkåret ofte være noe Datatilsynet anbefaler at man likevel etterlever (beste praksis). 

10