Konsesjon og melding

Den nye personopplysningsloven med personvernforordning avskaffer ordningen med meldeplikt og krav til forhåndsgodkjenning (konsesjon) fra Datatilsynet.

Dette betyr at det ikke lenger er nødvendig å søke om tillatelser til å starte nye behandlinger. Det er heller ikke behov for å søke om å gjøre endringer i allerede pågående behandlinger.

Formålet med denne endringen er å flytte ansvaret for behandling av personopplysninger fra Datatilsynet til virksomhetene, og å fjerne byråkratiske prosesser når personopplysninger behandles. Datatilsynet skal nå kontrollere etterlevelse av regelverket gjennom tilsyn heller enn å forhåndsgodkjenne behandlinger.

Overgangsregler

Konsesjoner med krav og vilkår gitt i medhold av den gamle personopplysningsloven gjelder altså ikke lenger. Det er imidlertid kommet overgangsregler for noen områder i påvente av nye regelverk. De mest sentrale er:

  1. Kredittopplysning. Kommunal- og moderniseringsdepartementet arbeider for tiden med ny kredittopplysningslov. Inntil den nye loven er på plass, gjelder derfor konsesjoner som tidligere er gitt i medhold av personopplysningsforskriften (§ 4 i overgangsreglene). Oversikt over hvem som har konsesjon 
  2. Dopingkontroll i treningssentre. Konsesjoner som tidligere er gitt til treningssentre i forbindelse med dopingkontroll, vil gjelde frem til nytt regelverk kommer. Det er også mulig å søke Datatilsynet om tillatelse til å behandle sensitive personopplysninger i forbindelse med at man vil bli Rent Senter i samarbeid med Anti-Doping Norge (§ 6 i overgangsreglene). Les mer om dette og finn søknadsskjema

Virksomhetene skal nå selv vurdere lovligheten

Det at konsesjonsplikten har falt bort, betyr i praksis at den behandlingsansvarlige selv må vurdere om en behandling av personopplysninger er tillatt. Det innebærer blant annet å vurdere om det finnes behandlingsgrunnlag, om man oppfyller alle pliktene knyttet til behandlingen og så videre. Vi har samlet alle pliktene en virksomhet som behandler personopplysninger har på en egen side

I mange tilfeller vil det være plikt til å vurdere personvernkonsekvensene når det behandles personopplysninger, og så sette i gang de tiltakene som er nødvendige for å redusere eventuelle personvernulemper. I noen få tilfeller kan det også være en plikt til å rådføre seg med Datatilsynet før behandlingen starter. Det kalles forhåndsdrøftelse.

Mange av vilkårene i de gamle konsesjonene var satt fordi det, ut fra en vurdering av personvernulemper, har vært ansett som nødvendig for å kunne gi konsesjon. Dersom en behandlingsansvarlig velger å gå bort fra vilkår som tidligere er gitt, anbefaler vi at det gjøres en grundig vurdering av hvilke konsekvenser dette vil medføre for personvernet til de det gjelder.

Konsesjonenes vilkår må fortsatt følges dersom det er nødvendig for at den aktuelle behandlingen skal være å være i tråd med den nye personopplysningsloven. Motsatt kan det være at konsesjonens krav ikke lenger kan følges fordi det fører til brudd på loven.

Mellom disse tilfellene kan situasjonen være at det ikke er nødvendig å opptre i samsvar med vilkåret for å være i overensstemmelse med det nye regelverket, men det vil samtidig ikke være et brudd på regelverket å fortsatt gjøre det. I så fall vil vilkåret ofte være noe Datatilsynet anbefaler at man likevel etterlever (beste praksis). 

20