Personvernforordningen

Fra Wikipedia, den frie encyklopedi
Hopp til: navigasjon, søk

Personvernforordningen (Forordning 2016/679) er en forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i Den europeiske union (EU). Det omhandler også i noen grad behandling som skjer utenfor EU eller overføring av personopplysninger ut av EU.

Forordningen trer i kraft 25. mai 2018. Den avløser da personverndirektivet. Den får da direkte virkning i medlemslandene, og krever altså – i motsetning til direktiver – ikke nasjonal lovgivning.

Justisdepartementet har sendt ut høring om hvordan de norske reglene bør se ut. Departementet foreslår å erstatte dagens personopplysningslov og -forskrift med en helt ny lov og forskrift. Den nye loven vil gjengi forordningen i sin helhet, i tillegg til å ha enkelte andre regler. Etter at høring er avsluttet 16. oktober 2017 vil Stortinget behandle lovforslag.  [1] [2]

Oppsummering[rediger | rediger kilde]

Forordningen utvider virkeområdet for EUs personvernlovgivning ved at det også dekker alle utenlandske selskaper som behandler data om innbyggere i EU. Ved å skape et felles regelverk i EU blir det enklere for virksomheter å følge reglene. Det legges opp til et strengt vern, og brudd kan medføre strenge straffer på opptil 4% av en den samlede omsetningen til virksomheten.

Innhold[rediger | rediger kilde]

Forordningen viderefører personverndirektivet. Den inneholder følgende sentrale endringer:

Virkeområde[rediger | rediger kilde]

Forordningen gjelder dersom den behandlingsansvarlige eller databehandleren (en virksomhet) eller den registrerte (individet) er i EU.

I motsetning til etter gjeldende direktiv gjelder altså forordningen også for virksomheter som er basert utenfor Den europeiske union, dersom de behandler personopplysninger om EUs innbyggere.

Forordningen gjelder ikke for behandling av personopplysninger av hensyn til nasjonal sikkerhet eller kriminalitetsbekjempelse.

Personopplysningsbegrepet dekker alle opplysninger knyttet til en person, enten det gjelder hans eller hennes private, profesjonelle eller offentlige liv. Det kan være alt fra et navn, et bilde, en e-post-adresse, bankdetaljer, innlegg på sosiale nettverk nettsteder, medisinsk informasjon, eller en IP-adresse til datamaskinen." [3]

Felles regler og one-stop shop[rediger | rediger kilde]

Forordningen gir et felles regelsett for alle EU-medlemsland. Hver medlemsstat skal opprette en uavhengig tilsynsmyndighet som skal ta i mot og behandle klager og ilegge administrative sanksjoner for brudd på forordningen, Tilsynsmyndighetene i hver medlemsstat skal samarbeide med de andre tilsynsmyndighetene, og gi gjensidig bistand.

For virksomheter som er etablert i flere medlemsstater vil den kunne forholde seg til en enkelt tilsynsmyndighet som den ledende tilsynsmyndigheten. Denne skal velges basert på plasseringen av virksomhetens «viktigste etablering» (dvs., stedet hvor den viktigste behandlingen foregår). Den ledende tilsynsmyndigheten vil fungere som en «one-stop-shop» for å føre tilsyn med all behandling aktiviteter for næringslivet i hele EU[4][5] (Artikkel 46 - 55 av GDPR).

Koordinering av tilsynsmyndigheter vil utføres av et europeisk personvernstyre (European Data Protection Board). Dette styret vil avløse Artikkel 29 Working Party, som var hjemlet i personverndirektivet.

Samtykke[rediger | rediger kilde]

Gyldig samtykke må være eksplisitt for data som samles inn og formål data som er brukt (Artikkel 7; definert i Artikkel 4). Samtykke for barn under 13må være gitt av barnets foreldre eller depotmottaker, og etterprøvbar (Artikkel 8). Behandlingsansvarlige må være i stand til å bevise samtykket (opt-in)og samtykket kan trekkes tilbake.[6]

Personvernombud[rediger | rediger kilde]

Dersom den behandlingsansvarlige er en offentlig myndighet (med visse unntak for domstolene m.v.) eller en virksomheter med over 250 ansatte, er det obligatorisk å oppnevne et personvernombud. Det samme gjelder databehandlere hvor kjerneoppgaven er behandling av personopplysninger. Andre virksomheter kan fritt velge om de vil oppnevne et personvernombud. Krav til utnevning av ombudets og rammer for oppgaveutførelsen fremgår av forordningens artikler 35-37. Artikkel 29-gruppen har utarbeidet en veiledning til forordningens krav til personvernombud.[7]

Sikkerhetsbrudd[rediger | rediger kilde]

Etter forordningen vil den behandlingsansvarlige være rettslig forpliktet til å varsle tilsynsmyndighetene uten ugrunnet opphold ved sikkerhetsbrudd, med mindre det er usannsynlig at bruddet medfører risiko for personers frihet og rettigheter.[8] Som sikkerhetsbrudd regnes alle hendelser som har medført ulovlig behandling av personopplysninger.[9] Enkeltpersoner har rett til å bli varslet, hvis sikkerhetsbruddet sannsynligvis medfører høy risiko for personen.[10]

Sanksjoner[rediger | rediger kilde]

Følgende sanksjoner kan ilegges:

  • en skriftlig advarsel i tilfeller av førstegangs og ikke-tilsiktede brudd
  • krav om jevnlig tilsyn
  • en bot på opptil 10 000 000 EUR eller, for foretak, opptil 2% av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder. (Artikkel 83 nr 4 [11]))
  • en bot opp til 20,000,000 EUR, eller, for foretak, opptil 4% av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder(Artikkel 83, Avsnitt 5 og 6[11])

Rett til sletting («retten til å bli glemt»)[rediger | rediger kilde]

Utdypende artikkel: Retten til å bli glemt

Artikkel 17 fastslår at den registrerte har rett til å be om at personopplysninger om ham slettes, hvis et av flere alternative grunnlag er til stede. Et av grunnlagene er at behandlingen ikke er lovlig, eksempelvis at artikkel 6 bokstav f ikke er oppfylt (de legitime interessene til den behandlingsansvarlige overstiger ikke den registrertes interesser og rettigheter).  (se også Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).

I forordningsutkastet fra EU-kommisjonen var denne retten beskrevet som en rett til å bli glemt, og dette uttrykket kan forklare formålet med bestemmelsen. Den vedtatte teksten omhandler imidlertid retten til sletting.

Dataportabilitet[rediger | rediger kilde]

Den registrerte er i forordningen gitt rett til å kunne overføre sine personopplysninger fra ett system til et annet , uten å bli hindret fra å gjøre det av den behandlingsansvarlige. Det er også et krav om at opplysningene må gis den registrerte i et strukturert og brukte elektroniske format. Retten til data portabilitet er hjemlet i Artikkel 18 i forordningen. Artikkel 29-gruppen har utarbeidet retningslinjer til denne rettigheten.[12]

Diskusjoner[rediger | rediger kilde]

Forordningsforslaget gav opphav til mange diskusjoner. Blant temaene som ble diskutert var:

  • Hvorvidt kravet om å ha et personvernombud vil være for administrativt tyngende
  • Om forordningen gir tilstrekkelig vern for håndtering av ansattes opplysninger
  • Om kravet til dataportabilitet mer er et funksjonelt krav for til skytjenester og sosiale nettverk, enn et personvernkrav
  • Språklige og personellmessige utfordringer for de lokale personvernmyndigheter:
    • Ikke-europeiske selskaper kan komme til å foretrekke de britiske eller irske personvernmyndighetene på grunn av det engelske språket. Dette vil kreve omfattende ressurser i disse landene.
    • EU-borgere har ikke lenger bare har én personvernmyndighet å kontakte om sine bekymringer, men må forholde seg den myndigheten som den behandlingsansvarlige virksomheten har valgt. Kommunikasjonsproblemer på grunn av fremmedspråk må forventes.
  • Om den nye forordningen vil være i strid med andre ikke-europeiske lover og regler og praksis (f.eks. overvåking fra stater). Virksomheter som er basert i slike land bør ikke lenger betraktes som akseptable for behandling av personopplysninger om EU-personer. Se EU-US_Privacy_Shield.
  • Den største utfordringen kan være gjennomføringen av personvernforordningen i praksis:
    • Gjennomføringen vil kreve store endringer i rutinene for selskaper som ikke hadde implementert et sammenlignbart nivå for personvern før forskriften trådte i kraft. Dette gjelder spesielt for ikke-europeiske selskaper som håndterer EU-personers opplysninger
    • Det er allerede mangel på personverneksperter og personvernkunnskap i dag. Nye krav som kan forverre situasjonen. Derfor vil utdanning i data- og personvern være en kritisk faktor for å lykkes med forordningen.
    • EU-kommisjonen og personvernmyndighetene må få tilstrekkelige ressurser og myndighet til å gjennomføre implementeringen og et felles beskyttelsesnivå må avtales med alle myndighetene, ettersom ulike fortolkninger vil kunne føre til ulikt personvernnivå i medlemslandene.

Referanser[rediger | rediger kilde]

Eksterne lenker[rediger | rediger kilde]