Ny personvernforordning

EU har vedtatt ny personvernforordning som trer i kraft i mai 2018. Det nye regelverket medfører flere viktige endringer i dagens regelverk som vil få betydning for norske bedrifter.

Den norske personopplysningsloven bygger i stor grad på personverndirektivet fra EU av 1995. Med tanke på de teknologiske endringene som har funnet sted siden da, har det vært behov for en større oppdatering av reglene for kommunikasjonsvern.

Det nye regelverket har som formål å sikre at alle enkeltpersoner og virksomheter i EU i større grad enn i dag får lik grad av beskyttelse ved bruk av elektronisk kommunikasjon. Målet med den nye forordningen er å styrke tillit og sikkerhet i EUs digitale indre marked. Dette markedet har Norge tilgang til gjennom EØS-avtalen. Forordningen er EØS-relevant og vil dermed måtte inntas også i norsk lovgivning. Derimot er den ikke direkte gjeldende, men må inntas som et vedlegg til EØS-avtalen.

Forordningsformen vil innebære full harmonisering av personvernreglene i EU/EØS. Dette innebærer at det i utgangspunktet ikke er adgang til å fravike reglene og heller ikke til å gi supplerende regler. Det vil være en stor fordel for virksomheter at det kun er ett sett regler for kommunikasjonsvern i hele EU.  Imidlertid åpner forordningen selv for at det kan gis egne nasjonale regler i enkelte tilfeller. Dette vil kunne bli tilfellet i arbeidslivet, der forordningen åpner for at land kan fastsette egne regler for å ivareta personvernet til de ansatte. Regjeringen vil vurdere om det er nødvendig med slike regler for å sikre personvernet. Det er forventet et høringsnotat i løpet av sommeren 2017. Det gjenstår å se hva som kommer ut av dette.

Personvernforordningen og personopplysningsloven opererer med begrepet «behandlingsansvarlig» som den som er juridisk ansvarlig for at personopplysningene blir lovlig behandlet og «den registrerte» som den personopplysningene knytter seg til. I arbeidsforhold vil det normalt være arbeidsgiver som har rollen som behandlingsansvarlig og den ansatte eller kunden vil være den registrerte.

De største endringene i ny personvernforordning er at den registrerte har fått flere rettigheter, at det stilles større krav til bedrifter om å selv kontrollere og vurdere om regelverket er fulgt og at konsekvensene av å behandle personopplysninger ulovlig har blitt strengere. En arbeidsgiver som ikke er oppdatert på den nye personvernforordningen vil dermed kunne få store konsekvenser for bedriften. I det følgende gjør vi rede for hvilke prinsipper i dagens personopplysningslov som videreføres og hvilke endringer i den nye forordningen som arbeidsgivere bør sette seg inn i.

Prinsipper som videreføres

Det saklige virkeområdet for personvernforordningen er det samme som i dagens personopplysningslov. Loven gjelder for all behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, samt annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister. I tillegg omfattes alle former for kameraovervåking. Loven opererer med et vidt virkeområdet som fører til at den kommer til anvendelse på nærmest all innhenting, behandling og bruk av personopplysninger i en virksomhet, både overfor ansatte og eventuelle kunder.

Grunnkravet til behandling av personopplysninger videreføres som det er i dag. Dette innebærer at den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Personopplysninger som er innsamlet kan ikke senere brukes til formål som er uforenlig med det opprinnelige formålet med innsamlingen uten annet lovlig behandlingsgrunnlag. Videre må personopplysningene være tilstrekkelige og relevante for formålet med behandlingen, og være korrekte og oppdaterte. Personopplysninger skal heller ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Arbeidsgivere må derfor ha rutiner for sletting av personopplysninger om ansatte.

Personopplysninger kan fortsatt bare behandles dersom arbeidsgiver har lovlig behandlingsgrunnlag. Lovens utgangspunkt er at behandling av personopplysninger er forbudt med mindre det følger av lov, foreligger samtykke fra den registrerte eller behandlingen anses nødvendig ut fra en rekke vilkår. I tillegg kreves det et eget rettslig grunnlag for behandling av sensitive personopplysninger.

Hovedtrekkene i retten til innsyn i egne personopplysninger, retten til å kreve mangelfulle opplysninger rettet og retten til å kreve opplysninger slettet under nærmere bestemte vilkår, videreføres, men med strengere krav til informasjon- og dokumentasjonsplikt.

Endringer i den nye forordningen

Området for europeiske personvernregler blir utvidet

Personopplysningsloven gjelder i dag for virksomheter som er etablert i Norge. Dette innebærer at opplysninger som oppbevares i Norge for en behandlingsansvarlig som ikke er etablert i landet, ikke vil være omfattet av lovens regler. Loven vil også gjelde for virksomheter som er etablert utenfor EØS-området dersom den behandlingsansvarlige benytter seg av hjelpemidler i Norge. En datamaskin kan for eksempel være et slikt hjelpemiddel.

I den nye personvernforordningen er derimot reglene gitt såkalt ekstraterritoriell virkning. Det betyr at reglene vil gjelde også for virksomheter som ikke er etablert i EØS, men som tilbyr varer eller tjenester i EØS, eller som overvåker kunder/brukere i EØS. De som tilbyr sine tjenester til det europeiske markedet fra tredjeland vil dermed ikke kunne gjøre dette uten å overholde de europeiske personvernreglene. Dette vil eksempelvis gjelde for et asiatisk selskap som overvåker norsk internettbruk i markedsføringsøyemed.

Strengere regler og større konsekvenser

Forordningen er mer detaljert og krever et helt annet fokus fra bedriftene enn dagens personverndirektiv. Det nye regelverket pålegger bedriftene et større ansvar for at personvernreglene er fulgt og fører til at bedriftens ansvar for personvern bør flyttes fra “datarommet til styrerommet”, blant annet som følge av at overtredelsesgebyrene ved brudd på reglene øker kraftig. Etter dagens regelverk kan Datatilsynet (den norske tilsynsmyndigheten) vedta overtredelsesgebyr på inntil 10 G (ca. 1 million kroner i 2017). Med ny personvernforordning gis tilsynsmyndighetene kompetanse til å vedta overtredelsesgebyr på opptil 20 millioner EURO eller der det gjelder et selskap, inntil. 4 % av virksomhetens årlige globale omsetning. Dette er en betydelig økning som fører til at de mange arbeidsgivere ikke vil ha råd til å trå feil.

Strengere krav til samtykke

Et av grunnlagene for behandling av personopplysninger er som sagt samtykke. Arbeidsgiver kan i dag innhente samtykke fra den ansatte/kunden for å behandle og oppbevare deres personopplysninger elektronisk eller i et personregister. Det er et vilkår at slik samtykke er gitt frivillig, uttrykkelig, og informert. I dette ligger det et krav om at det ikke skal være tvil om at det er gitt samtykke, hva som er omfanget av samtykket og at den registrerte må få all informasjon som er nødvendig for å vurdere om slikt samtykke skal gis. Det er ikke tilstrekkelig med forhåndsavkryssede “samtykkebokser” eller andre passive samtykker.

Kravene til samtykke blir videreført i den nye forordningen. I tillegg følger det av den nye forordningen at ved bruk av samtykke som behandlingsgrunnlag skal de bestemte opplysningene den registrerte samtykker til skilles tydelig fra andre opplysninger og eventuelle andre behandlingsgrunnlag. Ved brudd på dette kravet, er samtykket ikke bindende. Dette er en presisering av det som i dag er “best practice”, men det er likevel mange virksomheter som innhenter nødvendige samtykker til bruk av personopplysninger uten at dette er adskilt fra andre opplysninger i standardvilkår eller personvernerklæring. Disse virksomhetene risikerer å ikke ha gyldig grunnlag for behandlingen av personopplysninger, og bør derfor oppdatere samtykkene sine først som sist.

Dataportabilitet

Den nye forordningen gir den registrerte rett til å få personopplysningene sine med seg. Dette stiller krav til at arbeidsgiver må kunne overføre personopplysningene i et strukturert, vanlig utbredt og maskinlesbart format til den registrerte selv eller til en annen behandlingsansvarlig etter den registrertes ønske (dataportabilitet). Retten til dataportabilitet gjelder bare opplysninger som er skaffet fra (“provided by”) den registrerte. Der en person har lagret sine personopplysninger hos et selskap kan vedkommende kreve at personopplysningene flyttes fra et selskap til et annet selskap han/hun velger.

Personvernombud

Den nye hovedregelen er at dersom den behandlingsansvarlige er en offentlig myndighet er det obligatorisk å oppnevne et personvernombud. Det blir også pålagt private bedrifter som behandler sensitive data i et visst omfang og bedrifter som har som kjernevirksomhet å behandle personopplysninger, til å utnevne et personvernombud. Andre virksomheter kan fritt velge om de vil oppnevne et slikt ombud. Personvernombudet er bedriftens personvernekspert som skal følge opp bedriftens rutiner for behandling av personopplysninger. Det er virksomheten som sitter med ansvaret for at regelverket blir fulgt og personvernombudet er direkte underlagt virksomhetens øverste leder. Personvernombudet skal gjøre virksomhetens kontroll enklere og fungere som bindeledd mellom bedriften og Datatilsynet. Personvernombudet kan være ansatt i bedriften eller være en profesjonell tredjepart.

Internkontroll

  • Bortfall av melde- og konsesjonsordningen – DPIA og etterkontroll

Den nye forordningen viderefører dagens forpliktelser med hensyn til å etablere internkontroll mer eller mindre uendret, med tillegg av krav om personvernombud. Dette innebærer at virksomheter som oppfyller dagens krav trolig også vil oppfylle kravene etter personvernforordningen.

Meldeplikten og konsesjonsplikten slik vi kjenner den i dag bortfaller. Med den nye forordningen vil Datatilsynet for det meste drive etterkontroll av virksomheters overholdelse av regelverket. Dette vil føre til en økt dokumentasjonsplikt for virksomheter som behandler personopplysninger. Forordningen erstatter konsesjons- og meldeplikten med en plikt til å konsultere tilsynsmyndigheten der virksomhetens risikovurdering tilsier at den planlagte behandlingen av personopplysninger medfører høy risiko, Data Protection Impact Assessments (DPIA). En slik risiko kan for eksempel være ved bruk av ny teknologi hvor det er usikkerhet rundt sikkerheten til personopplysningene som behandles.

Etter forordningen vil personvernombudet være rettslig forpliktet til å varsle Datatilsynet innen 72 timer ved sikkerhetsbrudd som har medført ulovlig behandling av personopplysninger. Den registrerte skal også bli informert når det har skjedd sikkerhetsbrudd som kan ramme vedkommende. Sikkerhetsbrudd kan for eksempel være der noen har hacket seg inn og stjålet data eller en minnepinne har kommet på avveie.

Ved at Datatilsynet bare foretar etterkontroll, øker ansvaret for den behandlingsansvarlige og et eventuelt personvernombud for selv å kontrollere om det finnes et lovlig behandlingsgrunnlag og om de øvrige reglene er fulgt.

Hvilke endringer skjer i norsk lovgivning?

Den nye forordningen vil føre til endringer i personopplysningsloven og tilhørende forskrift. Ovenfor har vi gitt en redegjørelse for noen av endringene som vil komme. Hvordan endringene konkret vil se ut og om Norge vil benytte muligheten til å supplere forordningen med egne bestemmelser, gjenstår å se. Justis- og beredskapsdepartementet har uttalt at de vil komme med en høring i løpet av juli 2017. I den forbindelse vil det også komme en foreløpig norsk oversettelse av forordningen. Norske virksomheter og bedrifter vil uansett være nødt til å ta inn over seg endringene som følge av forordningen innen 25. mai 2018. At overtredelsesgebyrene har skutt i været, gir god grunn til å sette seg inn i endringene jo før jo bedre.

Norge har en del nasjonale regler som kan bli påvirket av forordningen, slik som regler om informasjonssikkerhet, internkontroll, innsyn i e-post og kontrolltiltak for å nevne noen. Hvordan disse reglene vil bli påvirket av den nye forordningen jobber regjeringen fortsatt med.

Virksomheter bør være oppmerksomme på hvilke endringer som kommer og vi anbefaler alle å sette seg inn i forordningen og påse at bedriftens regelverk og rutiner er i tråd endringene. Ta gjerne kontakt ved spørsmål eller ønske om bistand.