Hopp til innhold

Personvernforordningen

Fra Wikipedia, den frie encyklopedi
(Omdirigert fra «GDPR»)
EUs flagg EU-forordning
2016/679
Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning)
Bakgrunn
Utarbeidet 27. april 2016
Trådte i kraft 25. mai 2018
EØS-relevant tekst
EØS-komitevedtak 154/2018
Annen lovgivning
Erstatter Direktiv 95/46/EF
Status: Gjeldende lovgivning
Logo for GDPR.

Personvernforordningen (forordning 2016/679, på engelsk General Data Protection Regulation, forkortet GDPR) er en forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i Den europeiske union (EU). Opprettelsen av like regler for de næringsdrivende i EU, er også ment å tjene den økonomiske utviklingen i dette området. Forordningen omhandler også i noen grad behandling som skjer utenfor EU eller overføring av personopplysninger ut av EU.

Forordningen trådte i kraft 25. mai 2018.[1] Den avløste da personverndirektivet, og har direkte virkning i medlemslandene, og krever, i motsetning til direktiver, ikke egen eller særskilt nasjonal lovgivning. På dagen for ikrafttredelse ble en rekke nyhetsnettsteder i USA blokkert for europeiske brukere på grunn av de nye personvernreglene.[2]

Personvernforordningen er også relevant i EØS-samarbeidet.[3] I Norge trådte forordningen i kraft 20. juli 2018.[4]

Oppsummering, begrunnelse

[rediger | rediger kilde]

Bakgrunnen for forordningen er et ønske om å bedre enkeltpersoners mulighet for å kontrollere opplysninger registrert om dem selv. Videre mente EU at opprettelsen av like regler for alle medlemsland (europeisk integrasjon), ville tjene den økonomiske utviklingen i dette området.[5]

Forordningen utvider virkeområdet for EUs personvernlovgivning ved at det også dekker alle utenlandske selskaper som behandler data om innbyggere i EU. Ved å skape et felles regelverk i EU blir det enklere for virksomheter å følge reglene. Det legges opp til et strengt vern, og brudd kan medføre strenge straffer på opptil 4% av en den samlede omsetningen til virksomheten.

Forordningen viderefører personverndirektivet. Den inneholder følgende sentrale endringer:

Virkeområde

[rediger | rediger kilde]

Forordningen gjelder dersom den behandlingsansvarlige, eller databehandleren (en virksomhet), eller den registrerte (individet) er i EU.

I motsetning til det tidligere direktiv gjelder altså forordningen også for virksomheter som er basert utenfor EU, dersom de behandler personopplysninger om EUs innbyggere.

Forordningen gjelder ikke for behandling av personopplysninger av hensyn til nasjonal sikkerhet eller i forbindelse med kriminalitetsbekjempelse.

Personopplysningsbegrepet dekker alle opplysninger knyttet til en person, enten det gjelder hans eller hennes private, profesjonelle eller offentlige liv. Det kan være alt fra et navn, et bilde, en e-post-adresse, bankdetaljer, innlegg på sosiale nettverk nettsteder, medisinsk informasjon, eller en IP-adresse til datamaskinen.[6]

I Norge inviterte Justis- og beredskapsdepartementet i 2017 til en høringsrunde om hvordan de norske reglene burde se ut.[7] Etter høringsrunden fremsatte departementet en proposisjon om hvordan den nye personopplysningsloven kunne innlemme EØS-komiteens forordning.[8] Stortinget vedtok lovforslaget 22. mai 2018, og den nye personopplysningsloven trådte i kraft 20. juli 2018.[9][4]

Felles regler og one-stop shop

[rediger | rediger kilde]

Forordningen gir et felles regelsett for alle EU-medlemsland. Hver medlemsstat skal opprette en uavhengig tilsynsmyndighet som skal ta imot og behandle klager og ilegge administrative sanksjoner for brudd på forordningen, Tilsynsmyndighetene i hver medlemsstat skal samarbeide med de andre tilsynsmyndighetene, og gi gjensidig bistand.

For virksomheter som er etablert i flere medlemsstater vil den kunne forholde seg til en enkelt tilsynsmyndighet som den ledende tilsynsmyndigheten. Denne skal velges basert på plasseringen av virksomhetens «viktigste etablering» (dvs. stedet hvor den viktigste behandlingen foregår). Den ledende tilsynsmyndigheten vil fungere som en «one-stop-shop» for å føre tilsyn med all behandling aktiviteter for næringslivet i hele EU[10][11] (GDPR artikkel 46–55).

Koordinering av tilsynsmyndigheter utføres av et europeisk personvernstyre (European Data Protection Board). Den instansen avløste «Artikkel 29 Working Party» (Artikkel 29-gruppen), som var hjemlet i personverndirektivet.

Gyldig samtykke må være eksplisitt for data som samles inn og formål data som er brukt (Artikkel 7; definert i Artikkel 4). Samtykke for barn under 13 år må være gitt av barnets foreldre eller depotmottaker, og etterprøvbar (Artikkel 8). Behandlingsansvarlige må være i stand til å bevise samtykket («opt in») og samtykket kan trekkes tilbake.[12]

Personvernombud

[rediger | rediger kilde]

Utdypende artikkel: Personvernombud

Dersom den behandlingsansvarlige er en offentlig myndighet (med visse unntak for domstolene m.v.) eller en virksomheter med over 250 ansatte, er det obligatorisk å oppnevne et personvernombud. Det samme gjelder databehandlere hvor kjerneoppgaven er behandling av personopplysninger. Andre virksomheter kan fritt velge om de vil oppnevne et personvernombud. Krav til utnevning av ombudets og rammer for oppgaveutførelsen fremgår av forordningens artikler 35–37. Artikkel 29-gruppen hadde fra før utarbeidet en veiledning til forordningens krav til personvernombud.[13]

Sikkerhetsbrudd

[rediger | rediger kilde]

Etter forordningen vil den behandlingsansvarlige være rettslig forpliktet til å varsle tilsynsmyndighetene uten ugrunnet opphold ved sikkerhetsbrudd, med mindre det er usannsynlig at bruddet medfører risiko for personers frihet og rettigheter.[14] Som sikkerhetsbrudd regnes alle hendelser som har medført ulovlig behandling av personopplysninger.[15] Enkeltpersoner har rett til å bli varslet, hvis sikkerhetsbruddet sannsynligvis medfører høy risiko for personen.[16]

Sanksjoner

[rediger | rediger kilde]

Følgende sanksjoner kan ilegges:

  • en skriftlig advarsel i tilfeller av førstegangs og ikke-tilsiktede brudd
  • krav om jevnlig tilsyn
  • en bot på opptil 10 000 000 EUR eller, for foretak, opptil 2 % av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder (artikkel 83 nr. 4[17])
  • en bot opp til 20 000 000 EUR, eller, for foretak, opptil 4 % av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder (artikkel 83, avsnitt 5 og 6[17])

Rett til sletting («retten til å bli glemt»)

[rediger | rediger kilde]

Utdypende artikkel: Retten til å bli glemt

Artikkel 17 fastslår at den registrerte har rett til å be om at personopplysninger om ham slettes, hvis et av flere alternative grunnlag er til stede. Et av grunnlagene er at behandlingen ikke er lovlig, eksempelvis at artikkel 6 bokstav f ikke er oppfylt (de legitime interessene til den behandlingsansvarlige overstiger ikke den registrertes interesser og rettigheter).  (se også Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).

I forordningsutkastet fra EU-kommisjonen var denne retten beskrevet som en rett til å bli glemt, og dette uttrykket kan forklare formålet med bestemmelsen. Den vedtatte teksten omhandler imidlertid retten til sletting.

Dataportabilitet

[rediger | rediger kilde]

Den registrerte er i forordningen gitt rett til å kunne overføre sine personopplysninger fra ett system til et annet uten å bli hindret fra å gjøre det av den behandlingsansvarlige. Det er også et krav om at opplysningene må gis den registrerte i et strukturert og vanlig brukt elektroniske format. Retten til dataportabilitet er hjemlet i artikkel 20 i forordningen. Artikkel 29 Working Party hadde fra før utarbeidet retningslinjer for denne rettigheten.[18]

Diskusjoner

[rediger | rediger kilde]

Forordningsforslaget gav opphav til mange diskusjoner. Blant temaene som ble diskutert var:

  • Hvorvidt kravet om å ha et personvernombud vil være for administrativt tyngende
  • Om forordningen gir tilstrekkelig vern for håndtering av ansattes opplysninger
  • Om kravet til dataportabilitet mer er et funksjonelt krav for til skytjenester og sosiale nettverk, enn et personvernkrav
  • Språklige og personellmessige utfordringer for de lokale personvernmyndigheter:
    • Ikke-europeiske selskaper kan komme til å foretrekke de britiske eller irske personvernmyndighetene på grunn av det engelske språket. Dette vil kreve omfattende ressurser i disse landene.
    • EU-borgere har ikke lenger bare har én personvernmyndighet å kontakte om sine bekymringer, men må forholde seg den myndigheten som den behandlingsansvarlige virksomheten har valgt. Kommunikasjonsproblemer på grunn av fremmedspråk må forventes.
  • Om den nye forordningen vil være i strid med andre ikke-europeiske lover og regler og praksis (f.eks. overvåking fra stater). Virksomheter som er basert i slike land, bør ikke lenger betraktes som akseptable for behandling av personopplysninger om EU-personer.
  • Den største utfordringen kan være gjennomføringen av personvernforordningen i praksis:
    • Gjennomføringen vil kreve store endringer i rutinene for selskaper som ikke hadde implementert et sammenlignbart nivå for personvern før forskriften trådte i kraft. Dette gjelder spesielt for ikke-europeiske selskaper som håndterer EU-personers opplysninger
    • Det er allerede mangel på personverneksperter og personvernkunnskap i dag. Nye krav som kan forverre situasjonen. Derfor vil utdanning i data- og personvern være en kritisk faktor for å lykkes med forordningen.
    • EU-kommisjonen og personvernmyndighetene må få tilstrekkelige ressurser og myndighet til å gjennomføre implementeringen og et felles beskyttelsesnivå må avtales med alle myndighetene, ettersom ulike fortolkninger vil kunne føre til ulikt personvernnivå i medlemslandene.

Referanser

[rediger | rediger kilde]
  1. ^ «Art. 99 GDPR – Entry into force and application». 
  2. ^ «US news sites unavailable in EU over GDPR». 25. mai 2018 – via www.bbc.co.uk. 
  3. ^ «Personvernforordningen (GDPR)». Regjeringen.no (på norsk). 27. august 2014. Besøkt 5. november 2022. 
  4. ^ a b Justis- og beredskapsdepartementet (10. juli 2018). «Ny personopplysningslov 20. juli». Regjeringen.no (på norsk). Besøkt 10. juli 2018. 
  5. ^ «2018 reform of EU data protection rules | European Commission». 24. januar 2018. Arkivert fra originalen 24. januar 2018. Besøkt 27. mai 2018. 
  6. ^ European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25. januar 2012.
  7. ^ «Høring om utkast til ny personopplysningslov – gjennomføring av personvernforordningen i norsk rett». Regjeringen.no (på norsk). Justis- og beredskapsdepartementet. 6. juli 2017. Besøkt 29. desember 2018. 
  8. ^ «Prop. 56 LS (2017–2018) : Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen». Regjeringen.no (på norsk). Justis- og beredskapsdepartementet. 23. mars 2018. Besøkt 29. desember 2018. 
  9. ^ Stortinget. «Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen». Besøkt 29. desember 2018. 
  10. ^ The Proposed EU General Data Protection Regulation.
  11. ^ «Data protection» (på engelsk). European Commission. Besøkt 5. november 2022. 
  12. ^ Judy Schmitt United Technologies Corp. and Florian Stahl msg systems ag (11. oktober 2012). «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide» (PDF) – via IAPP.org. 
  13. ^ ◦Guidelines on Data Protection Officers ('DPOs'), WP243 rev 01, april 2017
  14. ^ Artikkel 33 nr 1
  15. ^ Artikkel 3 nr 12
  16. ^ Artikkel 34 nr 1
  17. ^ a b «REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)». eur-lex.europa.eu. 4. mai 2016. Besøkt 5. november 2022. 
  18. ^ Guidelines on the right to "data portability", WP 242 rev.01, april 2017

Litteratur

[rediger | rediger kilde]
  • Åste Marie Bergseng Skullerud, Cecilie Rønnevik, Jørgen Skorstad og Marius Engh Pellerud Personopplysningsloven og personvernforordningen (GDPR) Kommentarutgave Universitetsforlaget 2019 ISBN 9788215032160

Eksterne lenker

[rediger | rediger kilde]