Hva er nytt med personvernforordningen?

I 2018 fikk vi ny personvernlovgivning i hele EU/EØS. Her er en kort oversikt over noe av det som ble nytt.

Gjelder for større geografisk område

Behandlingsansvarlige som er registrert utenfor EU, men som tilbyr varer og tjenester til EU-borgere, vil være omfattet av det nye regelverket. Det var de ikke etter tidligere regelverk. Det gjelder for eksempel nettbutikker som ikke er etablert i Europa, men som selger varer over nett, og kanskje tilbyr frakt til europeiske land og betaling i norske kroner. Regelverket gjelder behandlingsansvarlige som er etablert i tredjeland, men som overvåker adferden til EU-borgere innenfor EU, for eksempel amerikanske selskaper som profilerer EU-borgere på bakgrunn av nettbruken deres.

Opplysninger skal ikke brukes til nye, uforenlige formål

Personopplysninger skal kun behandles der det finnes et tydelig spesifisert formål. Dersom man ønsker å behandle personopplysninger til andre formål enn de var innhentet for, må man forsikre seg om at det nye formålet er forenlig med det gamle. Det som er nytt med det nye regelverket, er at behandlingsansvarlig får hjelp til å avgjøre hva som er forenlige formål og ikke, ved en «kompatibilitets-test» i forordningsteksten. Dersom konklusjonen er at det nye formålet er uforenlig med det gamle, skal det innhentes samtykke, eller behandlingen må hjemles i lov.

Nye rettigheter for borgere

Forordningen fører med seg nye rettigheter for enkeltpersoner. 

Du får blant annet rett til å motsette deg profilering begått av offentlige myndigheter, og til å motsette deg profilering for direkte markedsføring. Du får også rett til å klage på automatiserte avgjørelser som tas på bakgrunn av en profil som er utarbeidet om deg. Profiler skal ikke utarbeides på bakgrunn av sensitive opplysninger, hvis ikke den registrerte har samtykket eller slik profilering kan begrunnes med en særlig samfunnsinteresse som er hjemlet i lov.

Bedrifter får større ansvar for personvern

Virksomhetene får flere tydelige plikter i det nye regelverket.

De får blant annet utvidet sin plikt til å selv vurdere personvernkonsekvenser ved behandling av personopplysninger. De får også plikt til å identifisere risikoreduserende tiltak. Kun i de tilfellene der risikoen ikke kan håndteres på en tilfredsstillende måte internt, skal de søke forhåndsgodkjenning fra nasjonale myndigheter (i Norge Datatilsynet). Innebygd personvern og personvern som standardinnstilling i applikasjoner blir lovpålagt.

Personvernombudet blir mer sentralt enn tidligere

Det vil bli mange flere personvernombud, fordi flere virksomheter enn i dag har fått plikt til å opprette ombud. Disse vil trenge personvernombud:

  1. Offentlige virksomheter
  2. Virksomheter som behandler sensitive personopplysninger i stor skala
  3. Virksomheter som systematisk overvåker europeiske borgere i stor skala

Norge kan også pålegge andre å ha personvernombud gjennom lovregulering. I store trekk blir oppgavene og forventningene til personvernombud uendret. Det presiseres i forordningsteksten at det er viktig at ombudene unngår interessekonflikt, og det kommer et eksplisitt krav om at bedriften skal legge til rette for at personvernombudene skal kunne få tid og rom til å gjøre en god jobb.

Databehandlere skal på lik linje med behandlingsansvarlige oppnevne personvernombud. De skal sørge for informasjonssikkerhet og dokumentere det, gjennomføre risikovurderinger.

Les mer om personvernombudsordningen

Et klart språk og krav til åpenhet

Det er et viktig prinsipp i forordningen at informasjon om behandling av personopplysninger skal gis på en klar og tydelig måte, og ikke gjemmes bort i en personvernerklæring. Det kan se ut til at den registrerte har fått styrket sitt krav på åpenhet. Det er et viktig prinsipp at behandlingen skal for de registrerte fremstå som åpen og rimelig. Opplysningene om hvilke registreringer som gjøres, skal gis på en klar og tydelig måte, i lett forståelig språk. Informasjonen skal gis uten vederlag. Behandlingsansvarlige får på sin side en plikt til forsikre seg om at de henvender seg til rette vedkommende når de gir for eksempel elektronisk informasjon om behandlingene.

Plikter å samarbeide internasjonalt

Nasjonale datatilsynsmyndigheter får en plikt til å samarbeide og utveksle informasjon med hverandre. Samarbeidet skal inkludere utveksling av informasjon i konkrete saker.

Datatilsynet skal opptre uavhengig i Norge, men samtidig være del av et europeisk felleskap. I store europeiske saker skal konsistensmekanismen anvendes: Datatilsynsmyndighetene i alle landene som er berørt av saken, har plikt til å samarbeide. Et ledende tilsyn oppnevnes, som skal stå for kontakten med behandlingsansvarlige, registrerte og så videre. Blir ikke de nasjonale myndighetene enige, må saken løftes til European Data Protection Board (EDPB), et nytt EU-organ som er gitt myndighet til å gjøre bindende avgjørelser i konkrete saker i tillegg til å avgi uttalelser om hvordan forordningen skal tolkes.

De nasjonale datatilsynsmyndighetene får videre fullmakter til å ilegge sanksjoner. Etter det nye regelverket kan Datatilsynet gi gebyrer på opptil fire prosent av en virksomhets årlige, globale omsetning.