Personvernforordningen

Fra Wikipedia, den frie encyklopedi
Hopp til navigering Hopp til søk
Personvernforordningen
Forordning 2016/679
Personvernforordningen
TypeEU-forordning
VirkeområdeDet europeiske økonomiske samarbeidsområde
MyndighetDen europeiske union
Vedtatt27. april 2016
I kraft25. mai 2018
Formålpersonvern

Personvernforordningen (Forordning 2016/679, på engelsk General Data Protection Regulation, forkortet GDPR) er en forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i Den europeiske union (EU). Opprettelsen av like regler for de næringsdrivende i EU, er også ment å tjene den økonomiske utviklingen i dette området. Forordningen omhandler også i noen grad behandling som skjer utenfor EU eller overføring av personopplysninger ut av EU.

Forordningen trådte i kraft 25. mai 2018.[1] Den avløste da personverndirektivet, og har direkte virkning i medlemslandene, og krever altså – i motsetning til direktiver – ikke nasjonal lovgivning. På ikrafttredelsesdagen ble en rekke nyhetsnettsteder i USA blokkert for europeiske brukere på grunn av de nye personvernreglene.[2]

Personvernforordningen er EØS-relevant.[3] I Norge trådte forordningen i kraft 20. juli 2018.[4]

Oppsummering, begrunnelse[rediger | rediger kilde]

Bakgrunnen for forordningen er et ønske om å bedre enkeltpersoners mulighet for å kontrollere opplysninger registrert om dem selv. Videre mente EU at opprettelsen av like regler for alle medlemsland (europeisk integrasjon), ville tjene den økonomiske utviklingen i dette området.[5]

Forordningen utvider virkeområdet for EUs personvernlovgivning ved at det også dekker alle utenlandske selskaper som behandler data om innbyggere i EU. Ved å skape et felles regelverk i EU blir det enklere for virksomheter å følge reglene. Det legges opp til et strengt vern, og brudd kan medføre strenge straffer på opptil 4% av en den samlede omsetningen til virksomheten.

Innhold[rediger | rediger kilde]

Forordningen viderefører personverndirektivet. Den inneholder følgende sentrale endringer:

Virkeområde[rediger | rediger kilde]

Forordningen gjelder dersom den behandlingsansvarlige eller databehandleren (en virksomhet) eller den registrerte (individet) er i EU.

I motsetning til det tidligere direktiv gjelder altså forordningen også for virksomheter som er basert utenfor EU, dersom de behandler personopplysninger om EUs innbyggere.

Forordningen gjelder ikke for behandling av personopplysninger av hensyn til nasjonal sikkerhet eller kriminalitetsbekjempelse.

Personopplysningsbegrepet dekker alle opplysninger knyttet til en person, enten det gjelder hans eller hennes private, profesjonelle eller offentlige liv. Det kan være alt fra et navn, et bilde, en e-post-adresse, bankdetaljer, innlegg på sosiale nettverk nettsteder, medisinsk informasjon, eller en IP-adresse til datamaskinen." [6]

Norge[rediger | rediger kilde]

I Norge har Justis- og beredskapsdepartementet sendt ut høring om hvordan de norske reglene bør se ut. Departementet foreslår å erstatte dagens personopplysningslov og -forskrift med en helt ny lov og forskrift. Den nye loven vil gjengi forordningen i sin helhet, i tillegg til å ha enkelte andre regler. Etter at høring er avsluttet 16. oktober 2017 vil Stortinget behandle lovforslag.[7][8]

Felles regler og one-stop shop[rediger | rediger kilde]

Forordningen gir et felles regelsett for alle EU-medlemsland. Hver medlemsstat skal opprette en uavhengig tilsynsmyndighet som skal ta i mot og behandle klager og ilegge administrative sanksjoner for brudd på forordningen, Tilsynsmyndighetene i hver medlemsstat skal samarbeide med de andre tilsynsmyndighetene, og gi gjensidig bistand.

For virksomheter som er etablert i flere medlemsstater vil den kunne forholde seg til en enkelt tilsynsmyndighet som den ledende tilsynsmyndigheten. Denne skal velges basert på plasseringen av virksomhetens «viktigste etablering» (dvs., stedet hvor den viktigste behandlingen foregår). Den ledende tilsynsmyndigheten vil fungere som en «one-stop-shop» for å føre tilsyn med all behandling aktiviteter for næringslivet i hele EU[9][10] (Artikkel 46 - 55 av GDPR).

Koordinering av tilsynsmyndigheter vil utføres av et europeisk personvernstyre (European Data Protection Board). Dette styret vil avløse Artikkel 29 Working Party, som var hjemlet i personverndirektivet.

Samtykke[rediger | rediger kilde]

Gyldig samtykke må være eksplisitt for data som samles inn og formål data som er brukt (Artikkel 7; definert i Artikkel 4). Samtykke for barn under 13 år må være gitt av barnets foreldre eller depotmottaker, og etterprøvbar (Artikkel 8). Behandlingsansvarlige må være i stand til å bevise samtykket («opt in») og samtykket kan trekkes tilbake.[11]

Personvernombud[rediger | rediger kilde]

Dersom den behandlingsansvarlige er en offentlig myndighet (med visse unntak for domstolene m.v.) eller en virksomheter med over 250 ansatte, er det obligatorisk å oppnevne et personvernombud. Det samme gjelder databehandlere hvor kjerneoppgaven er behandling av personopplysninger. Andre virksomheter kan fritt velge om de vil oppnevne et personvernombud. Krav til utnevning av ombudets og rammer for oppgaveutførelsen fremgår av forordningens artikler 35-37. Artikkel 29-gruppen har utarbeidet en veiledning til forordningens krav til personvernombud.[12]

Sikkerhetsbrudd[rediger | rediger kilde]

Etter forordningen vil den behandlingsansvarlige være rettslig forpliktet til å varsle tilsynsmyndighetene uten ugrunnet opphold ved sikkerhetsbrudd, med mindre det er usannsynlig at bruddet medfører risiko for personers frihet og rettigheter.[13] Som sikkerhetsbrudd regnes alle hendelser som har medført ulovlig behandling av personopplysninger.[14] Enkeltpersoner har rett til å bli varslet, hvis sikkerhetsbruddet sannsynligvis medfører høy risiko for personen.[15]

Sanksjoner[rediger | rediger kilde]

Følgende sanksjoner kan ilegges:

  • en skriftlig advarsel i tilfeller av førstegangs og ikke-tilsiktede brudd
  • krav om jevnlig tilsyn
  • en bot på opptil 10 000 000 EUR eller, for foretak, opptil 2 % av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder (artikkel 83 nr. 4[16])
  • en bot opp til 20 000 000 EUR, eller, for foretak, opptil 4 % av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder (artikkel 83, avsnitt 5 og 6[16])

Rett til sletting («retten til å bli glemt»)[rediger | rediger kilde]

Utdypende artikkel: Retten til å bli glemt

Artikkel 17 fastslår at den registrerte har rett til å be om at personopplysninger om ham slettes, hvis et av flere alternative grunnlag er til stede. Et av grunnlagene er at behandlingen ikke er lovlig, eksempelvis at artikkel 6 bokstav f ikke er oppfylt (de legitime interessene til den behandlingsansvarlige overstiger ikke den registrertes interesser og rettigheter).  (se også Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).

I forordningsutkastet fra EU-kommisjonen var denne retten beskrevet som en rett til å bli glemt, og dette uttrykket kan forklare formålet med bestemmelsen. Den vedtatte teksten omhandler imidlertid retten til sletting.

Dataportabilitet[rediger | rediger kilde]

Den registrerte er i forordningen gitt rett til å kunne overføre sine personopplysninger fra ett system til et annet uten å bli hindret fra å gjøre det av den behandlingsansvarlige. Det er også et krav om at opplysningene må gis den registrerte i et strukturert og brukte elektroniske format. Retten til data portabilitet er hjemlet i Artikkel 18 i forordningen. Artikkel 29-gruppen har utarbeidet retningslinjer til denne rettigheten.[17]

Diskusjoner[rediger | rediger kilde]

Forordningsforslaget gav opphav til mange diskusjoner. Blant temaene som ble diskutert var:

  • Hvorvidt kravet om å ha et personvernombud vil være for administrativt tyngende
  • Om forordningen gir tilstrekkelig vern for håndtering av ansattes opplysninger
  • Om kravet til dataportabilitet mer er et funksjonelt krav for til skytjenester og sosiale nettverk, enn et personvernkrav
  • Språklige og personellmessige utfordringer for de lokale personvernmyndigheter:
    • Ikke-europeiske selskaper kan komme til å foretrekke de britiske eller irske personvernmyndighetene på grunn av det engelske språket. Dette vil kreve omfattende ressurser i disse landene.
    • EU-borgere har ikke lenger bare har én personvernmyndighet å kontakte om sine bekymringer, men må forholde seg den myndigheten som den behandlingsansvarlige virksomheten har valgt. Kommunikasjonsproblemer på grunn av fremmedspråk må forventes.
  • Om den nye forordningen vil være i strid med andre ikke-europeiske lover og regler og praksis (f.eks. overvåking fra stater). Virksomheter som er basert i slike land bør ikke lenger betraktes som akseptable for behandling av personopplysninger om EU-personer.
  • Den største utfordringen kan være gjennomføringen av personvernforordningen i praksis:
    • Gjennomføringen vil kreve store endringer i rutinene for selskaper som ikke hadde implementert et sammenlignbart nivå for personvern før forskriften trådte i kraft. Dette gjelder spesielt for ikke-europeiske selskaper som håndterer EU-personers opplysninger
    • Det er allerede mangel på personverneksperter og personvernkunnskap i dag. Nye krav som kan forverre situasjonen. Derfor vil utdanning i data- og personvern være en kritisk faktor for å lykkes med forordningen.
    • EU-kommisjonen og personvernmyndighetene må få tilstrekkelige ressurser og myndighet til å gjennomføre implementeringen og et felles beskyttelsesnivå må avtales med alle myndighetene, ettersom ulike fortolkninger vil kunne føre til ulikt personvernnivå i medlemslandene.

Referanser[rediger | rediger kilde]

  1. ^ [1]
  2. ^ [2]
  3. ^ [3]
  4. ^ beredskapsdepartementet, Justis- og (10. juli 2018). «Ny personopplysningslov 20. juli». Regjeringen.no (norsk). Besøkt 10. juli 2018. 
  5. ^ «2018 reform of EU data protection rules | European Commission». 24. januar 2018. Arkivert fra originalen 2018-01-24. Besøkt 27. mai 2018. 
  6. ^ European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25. januar 2012.
  7. ^ «Norsk høring om personvernforordningen». www.nho.no (norsk). Besøkt 8. oktober 2017. [død lenke]
  8. ^ regjeringen.no Ny personopplysningslov – gjennomføring av personvernforordningen i norsk rett Lovavdelingen 06.06.2017
  9. ^ The Proposed EU General Data Protection Regulation.
  10. ^ «GDPR proposal»
  11. ^ «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide».
  12. ^ ◦Guidelines on Data Protection Officers ('DPOs'), WP243 rev 01, april 2017
  13. ^ Artikkel 33 nr 1
  14. ^ Artikkel 3 nr 12
  15. ^ Artikkel 34 nr 1
  16. ^ a b Article 83, GDPR
  17. ^ Guidelines on the right to "data portability", WP 242 rev.01, april 2017

Litteratur[rediger | rediger kilde]

  • Åste Marie Bergseng Skullerud, Marius Engh Pellerud, Cecilie Rønnevik og Jørgen Skorstad Personvernforordningen (GDPR) Kommentarutgave Universitetforlaget 2018 ISBN 978-82-15-02647-3

Eksterne lenker[rediger | rediger kilde]