Konsesjon og melding

Den nye personopplysningsloven med personvernforordning avskaffer ordningen med meldeplikt og krav til forhåndsgodkjenning (konsesjon) fra Datatilsynet.

Dette betyr at det ikke lenger er nødvendig å søke om tillatelser til å starte nye behandlinger. Det er heller ikke behov for å søke om å gjøre endringer i allerede pågående behandlinger.

Formålet med denne endringen er å flytte ansvaret for behandling av personopplysninger fra Datatilsynet til virksomhetene, og å fjerne byråkratiske prosesser når personopplysninger behandles. Datatilsynet skal nå kontrollere etterlevelse av regelverket gjennom tilsyn heller enn å forhåndsgodkjenne behandlinger.

Hva betyr det at konsesjonsplikten har falt bort?

Det at konsesjonsplikten har falt bort betyr i praksis at den behandlingsansvarlige selv må vurdere om en behandling av personopplysninger er tillatt.

Det innebærer blant annet å vurdere om det finnes behandlingsgrunnlag, om man oppfyller alle plikter knyttet til behandlingen mv. I mange tilfeller vil det være plikt til å vurdere personvernkonsekvensene en behandling av personopplysninger har, og så sette i gang de tiltakene som er nødvendige for å redusere eventuelle personvernulemper. I noen få tilfeller kan det også være en plikt til å rådføre seg med Datatilsynet før behandlingen starter (forhåndsdrøftelse).

Betydning for konsesjoner som er gitt tidligere

Den gamle personopplysningsloven er opphevet. Det betyr at konsesjoner og vilkår gitt i medhold av den ikke lenger er bindende.

Justis- og beredskapsdepartement har sagt følgende om gyldigheten av allerede gitte konsesjoner:

Etter departementets syn bør som et utgangspunkt gjeldende konsesjoner ikke videreføres ved ikrafttredelse av ny personopplysningslov. Dette vil ikke innebære at behandlingene som konsesjonene gjelder, blir ulovlige. Konsesjonens vilkår vil imidlertid bortfalle, og det vil ikke lenger være en plikt til å søke konsesjon for tilsvarende behandling av personopplysninger. (…) Når en konsesjon ikke videreføres, vil eventuelle vilkår i konsesjonen som knytter spesifikke krav til hvordan en behandling skal utføres, ikke lenger være bindende for den behandlingsansvarlige. I stedet må den behandlingsansvarlige sørge for at behandlingen skjer i tråd med forordningens generelle bestemmelser og eventuelle supplerende lover og forskrifter. Dette innebærer at behandlingen ikke er ulovlig bare fordi den ikke lenger utføres i samsvar med vilkårene i den opphevede konsesjonen. Det er i stedet tolkningen og anvendelsen av de generelle reglene som er avgjørende for lovligheten. Hvis konsesjonsvilkårene for eksempel fastsetter en spesifikk maksimal lagringstid for personopplysningene, vil det ikke være denne fristen som er avgjørende for hvor lenge opplysningene kan lagres – i stedet må det foretas en konkret vurdering av forordningens bestemmelser om lagringsbegrensning. Motsatt blir behandlingen ikke nødvendigvis lovlig bare fordi den utføres i tråd med vilkårene i den opphevede konsesjonen, hvis forordningen stiller strengere krav enn de opphevede konsesjonsvilkårene. Departementet understreker imidlertid at forordningen i det vesentlige viderefører dagens grunnleggende prinsipper og regler som konsesjonsvilkårene i stor grad er et utslag av. Bortfalte konsesjoner vil derfor kunne gi betydelig veiledning i hvordan forordningens regler bør tolkes og anvendes på det aktuelle livsområdet.»

- Fra forarbeidene til ny personopplysningslov (Prop.56. LS (2017-2018)

Gjeldende konsesjoner vil altså falle bort og de spesifikke kravene og vilkårene i konsesjonene gjelder i utgangspunktet ikke lenger.

Mange av vilkårene i konsesjonene er satt fordi det, ut fra en vurdering av personvernulemper, har vært ansett som nødvendig for å kunne gi konsesjon. Dersom en behandlingsansvarlig velger å gå bort fra vilkår som tidligere er gitt, anbefaler vi at det gjøres en grundig vurdering av hvilke konsekvenser dette vil medføre for personvernet til de det gjelder.

Konsesjonenes vilkår må fortsatt følges dersom det er nødvendig for at den aktuelle behandlingen skal være å være i tråd med den nye personopplysningsloven. Motsatt kan det være at konsesjonens krav ikke lenger kan følges fordi det fører til brudd på loven.

Mellom disse tilfellene kan situasjonen være at det ikke er nødvendig å opptre i samsvar med vilkåret for å være i overensstemmelse med det nye regelverket, men det vil samtidig ikke være et brudd på regelverket å fortsatt gjøre det. I sistnevnte tilfelle kan vilkåret være noe Datatilsynet i så fall anbefaler etterlevd (beste praksis). 

21