Om melding og konsesjon

I den nye personopplysningsloven med personvernforordning er ordningen med meldeplikt fjernet helt. Det er dermed ingen behandlinger som skal meldes til Datatilsynet via meldeskjema lenger. Det samme gjelder i all hovedsak også krav til forhåndsgodkjenning (konsesjon) fra Datatilsynet.

Det at konsesjonsordningen er fjernet betyr at det ikke lenger er nødvendig å søke om tillatelser til å starte nye behandlinger. Det er heller ikke behov for å søke om å gjøre endringer i allerede pågående behandlinger. Det er imidlertid innført overgangsregler på noen få områder i påvente av at nytt regelverk kommer på plass.

Formålet med endringene er å flytte ansvaret for behandling av personopplysninger fra Datatilsynet til virksomhetene, og fjerne byråkratiske prosesser når personopplysninger behandles. Datatilsynet skal derfor nå kontrollere etterlevelse av regelverket gjennom tilsyn i stedet for å forhåndsgodkjenne behandlinger.

Overgangsregler

Konsesjoner med krav og vilkår gitt etter den gamle personopplysningsloven gjelder dermed i utgangspunktet ikke lenger, men i påvente av nytt regelverk er det altså gitt overgangsregler for noen få områder (overgangsreglene på lovdata.no). De mest sentrale er:

  1. Kredittopplysning 
    Kommunal- og moderniseringsdepartementet arbeider med ny kredittopplysningslov. Inntil den nye loven er på plass må man fortsatt søke konsesjon. Konsesjoner som tidligere er gitt i medhold av personopplysningsforskriften fortsetter å gjelde (§ 4 i overgangsreglene). 
    Oversikt over hvem som har konsesjon 

  2. Dopingkontroll i treningssentre
    Konsesjoner som tidligere er gitt til treningssentre i forbindelse med dopingkontroll gjelder frem til nytt regelverk kommer (§ 6 i forskrift om overgangsregler for behandling av personopplysninger). Treningssentre som ønsker å bli et Rent Senter i samarbeid med Antidoping Norge kan søke Datatilsynet om tillatelse for å behandle særlige kategorier personopplysninger eller opplysninger om straffbare forhold (personopplysningsloven § 7). Den behandlingsansvarlige må da ha sendt søknad til Datatilsynet før behandlingen starter.

Nederst i artikkelen finner dere søknadsskjema dersom dere skal søke om konsesjon etter overgangsreglene.

Virksomhetene skal nå selv vurdere lovligheten

Det at konsesjonsplikten har falt bort betyr i praksis at den behandlingsansvarlige selv må vurdere om en behandling av personopplysninger er tillatt. Det innebærer blant annet å vurdere om det finnes behandlingsgrunnlag, om man oppfyller alle pliktene knyttet til behandlingen og så videre. Her kan du lese om alle pliktene en virksomhet som behandler personopplysninger har.

I mange tilfeller vil det være plikt til å vurdere personvernkonsekvensene når det behandles personopplysninger, og deretter iverksette tiltakene som er nødvendige for å redusere eventuelle personvernulemper. I noen få tilfeller kan det også være en plikt til å rådføre seg med Datatilsynet før behandlingen starter. Det kalles forhåndsdrøftelse.

Mange av vilkårene i de gamle konsesjonene var satt fordi det, ut fra en vurdering av personvernulemper, har vært ansett som nødvendig for å kunne gi konsesjon. Dersom en behandlingsansvarlig velger å gå bort fra vilkår som tidligere er gitt, anbefaler vi at det gjøres en grundig vurdering av hvilke konsekvenser dette vil medføre for personvernet til de det gjelder.

Konsesjonenes vilkår må fortsatt følges dersom det er nødvendig for at den aktuelle behandlingen skal være å være i tråd med den nye personopplysningsloven. Motsatt kan det være at konsesjonens krav ikke lenger kan følges fordi det fører til brudd på loven.

Mellom disse tilfellene kan situasjonen være at det ikke er nødvendig å opptre i samsvar med vilkåret for å være i overensstemmelse med det nye regelverket, men det vil samtidig ikke være et brudd på regelverket å fortsatt gjøre det. I så fall vil vilkåret ofte være noe Datatilsynet anbefaler at man likevel etterlever (beste praksis). 

Søknad om tillatelse til å behandle personopplysninger

Søknaden gjelder
26