Forslag om gjennomføring av EUs personvernforordning (GDPR) på høring

Den 6. juli 2017 sendte Justis- og beredskapsdepartementet forslag til ny personopplysningslov på høring. Lovforslaget omhandler innføringen av EUs personvernforordning, som skal gjelde fra 25. mai 2018.

 

Bakgrunn

Innføringen av EUs personvernforordning («General Data Protection Regulation» eller «GDPR») vil tre i kraft den 25. mai 2018. GDPR innebærer den største personvernrettslige endringen i Europa på 20 år. Innføringen vil nødvendiggjøre endringer av hvordan virksomheter og offentlige myndigheter behandler personopplysninger.

Les den uoffisielle oversettelsen av GDPR

Departementet har foreslått at GDPR innføres ved inkorporasjon, dvs. en henvisningsbestemmelse fra den nye personopplysningsloven til GDPR. Videre har departementet foreslått enkelte bestemmelser som skal utfylle GDPRs regler. Det er verdt å nevne at departementet foreslår å unnta selskap med mindre enn 250 ansatte fra deler av regelverket. Forslaget medfører forenklinger for det alt vesentlige av norsk næringsliv generelt, men i enda større grad for teknologibedrifter. Sistnevnte kjennetegnes av effektive organisasjoner, og det er gjerne disse som presser rammene for personopplysninger.

Departementet har foreslått at lovforslaget skal tre i kraft samtidig med GDPR, den 25. mai 2018.

Lovforslagets hovedtrekk

Den nye personopplysningsloven vil omrokere den någjeldende regelstrukturen ved at GDPRs regler erstatter reglene i någjeldende personopplysningslov av 14. april 2000 nr. 31. Den någjeldende personopplysningsloven og personopplysningsforskriften vil oppheves ved gjennomføringen av lovforslaget.

Blant de viktigste endringene fra någjeldende rett er:

Definisjonen av personopplysninger

Begrepet personopplysninger vil bli utvidet til å inkludere identifikasjonsnummer, geolokasjon, samt identifikatorer på internett. Det er dermed tenkelig at informasjonskapsler og IP-adresser vil falle inn under begrepet. Dette medfører at gjeldende rett om behandling av fødselsnummer og «andre entydige identifikasjonsmidler» blir videreført. Videre vil definisjonen av sensitive personopplysninger bli utvidet til å gjelde genetiske og biometriske data.

Dataportabilitet

Den registrerte vil fortsatt ha rett til å motta personopplysninger om seg selv, men vil nå også kunne kreve å få overført personopplysninger fra en tilbyder til en annen (såkalt «dataportabilitet»).

Databehandlere får nye plikter

Databehandlere får en rekke lovfestede plikter etter GDPR, som i vareriende omfang utvider gjeldende praksis. Blant annet skal databehandlere med over 250 ansatte opprettholde register over personopplysningsbehandling og gjøre registeret tilgjengelig for Datatilsynet ved påkrav.

Melde- og konsesjonsplikten bortfaller

Den någjeldende plikten til å melde om eller søke konsesjon ved behandling av personopplysninger bortfaller. I stedet vil behandlingsansvarlige være pålagt å vurdere personvernkonsekvenser og behovet for forhåndsdrøftelser med Datatilsynet.

Vurdering av personvernkonsekvenser  

Gjeldende regelverk i personopplysningsforskriften § 2-4 pålegger den behandlingsansvarlige en plikt til å foreta en risikovurdering. Denne vurderingen er imidlertid begrenset til behandlingens informasjonssikkerhet. GDPR vil medføre en plikt til å vurdere hvilke personvernkonsekvenser som kan være aktuelle ved behandling av personopplysninger.

Innebygget personvern

GDPR artikkel 24 oppstiller et krav om innebygd personvern, også kalt «privacy by default» eller «data protection by design and by default». Bak begrepene skjuler det seg et krav om at det ved utarbeidelse og utforming av nettsider, mobilapplikasjoner mv. som er tiltenkt behandling av personopplysninger, skal den behandlingsansvarlige påse at de standardinnstilling bare behandler personopplysninger som er nødvendige for det spesifikke formålet med behandlingen.

Beskyttelse av mindreårige

GDPR pålegger behandlingsansvarlige å innhente samtykke fra foreldre dersom de skal behandle personopplysninger om barn under 16 år. Bakgrunnen for regelen er en tanke om at barn fortjener større beskyttelse, idet de kan være mindre bevisste rundt risikoen, konsekvenser, og rettigheter ved behandling av personopplysninger. GDPR gir medlemstater adgang til å sette aldersgrensen til 13 år, noe departementet foreslår innført i Norge.

Personvernombud

Alle offentlige myndigheter samt enkelte private behandlingsansvarlige blir pålagt å ha et personvernombud. Et personvernombud vil for mange virksomheter være svært gunstig. Med et personvernombud som dedikert kompetanseressurs vil virksomheter kunne forebygge og håndtere personvernrettslige problemsstillinger og heve virksomhetens omdømme hva gjelder dets behandling av personvern.

Varsling

Etter gjeldende rett i personopplysningsforskriften § 2-6 tredje ledd skal Datatilsynet varsles ved sikkerhetsbrudd dersom sikkerhetsbruddet har medført «uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig». GDPR gir i artikkel 33 og 34 utfyllende regler om varsling til tilsynsmyndigheten. Blant annet vil behandlingsansvarlige etter de nye reglene måtte varsle Datatilsynsmyndigheten «uten ugrunnet opphold» og senest 72 timer etter å ha fått kjennskap til sikkerhetsbruddet. Den behandlingsansvarlige vil under nærmere omstendigheter også kunne bli pålagt en plikt til å varsle den registrerte ved brudd på informasjonssikkerheten.

Bøter

GDPR åpner for at Datatilsynet kan ilegge overtredelsesgebyr opp til 20 MEUR eller 4 prosent av global brutto omsetning. Dette er vesentlig høyere enn dagens nivå på maksimalt 10 g (936 340 kroner).

Bortfall av straffesanksjoner

Etter gjeldende personopplysningslov § 48 kan enkeltpersoner straffes ved forsettlige eller grovt uaktsomme overtredelser av enkelte av lovens bestemmelser. Departementet foreslår at straffebestemmelsen i personopplysningsloven skal oppheves og at overtredelser av GDPR ikke skal straffesanksjoners.

Utfyllende regler

I tillegg til de regler som følger av GDPR har departementet foreslått en rekke særregler som skal utfylle forordningen, blant annet:

Aldersgrense ved bruk av informasjonssamfunnstjenester

Departementet har foreslått en særregel om aldersgrense på 18 år ved bruk av informasjonssamfunnstjenester, eksempelvis Facebook og Snapchat.

Arbeidsgivers innsyn i epostkasse, aktivitetslogger mv.

Departementet har foreslått å videreføre de særnorske reglene om arbeidsgivers innsyn i arbeidstakers e-postkasse, aktivitetslogger mv. i personopplysningsloven kapittel 9. I tillegg til at forslaget om nye regler om arbeidsgivers innsyn inneholder enkelte presiseringer, er de også fremsatt på et eget dokument da departementet vurderer reglenes fremtidige plassering.

Kameraovervåking

De personvernrettslige sidene av kameraovervåking reguleres av personopplysningsloven kapittel VII og personopplysningsforskriften kapittel 8. Verken gjeldende personverndirektiv eller GDPR har egne regler om kameraovervåking. Departementet ber om innspill til nærmere regler om kameraovervåking, herunder om det bør fastsettes forbud mot kameraovervåking i undervisningstiden på skoler og barnehager. Departementet foreslår regler om kameraovervåking av arbeidsplass, samt å videreføre reglene om bruk av såkalte «dummy-kameraer» eller uekte kameraovervåkingsutstyr. Slik bruk skal være betinget av at det foreligger et behandlingsgrunnlag etter GDPR artikkel 6 nr. 1.

Kredittopplysningsvirksomhet

Etter personopplysningsloven gis det adgang til å fastsette nærmere regler om behandling av personopplysninger i kredittopplysningsvirksomhet, jf. reglene i personopplysningsforskriften kapittel 4. GDPR har ingen regler om kredittopplysningsvirksomheter. Departementet har uttalt at GDPR nødvendiggjør en nærmere regulering av kredittopplysningsvirksomheters behandling av personopplysninger, og varsler at de vil komme tilbake til spørsmålet om hvordan slik virksomhet bør reguleres.

Administrativ inndragning av utbytte eller gjenstand

GDPR har ingen regler om inndragning av utbytte eller gjenstand ved brudd på personvernlovgivningen, men åpner for at medlemsstatene kan gi tilsynsmyndigheten utvidet kompetanse på dette området.

Departementet har foreslått at Datatilsynet bør gis adgang til administrativ inndragning av gjenstand brukt ved overtredelse av personvernreglene. Videre har de bedt om innspill til hvorvidt inndragning også skal gjelde utbytte av fra slik overtredelse.

Tvangsmulkt  

Departementet foreslår å videreføre Datatilsynets adgang til å ilegge tvangsmulkt. En slik sanksjon følger ikke av GDPR.

Hva nå?

Departementet har bedt om innspill til høringen med frist den 16. oktober 2017. Høringen gir anledning til å påvirke gjennomføringen av GDPR og Brækhus skal inngi høringssvar. Vi er også klare til å bistå virksomheter som ønsker å inngi høringssvar.

Les mer informasjon om lovforslaget.

Vi anbefaler virksomheter å sette seg godt inn i de eksisterende veilederne fra Datatilsynet om overholdelse av de nye personvernreglene.

Se mer informasjon om veilederne fra Datatilsynet.

Brækhus – sammen løser vi utfordringer og skaper muligheter

Brækhus har advokater med inngående og allsidig kompetanse innenfor personvernrett. Vi bistår med rådgivning innen hele spektret av personvern, fra innsamling av personopplysninger, gjennom lagring og kategorisering, til lovlig utveksling, herunder verdsettelse og kommersialisering, transaksjoner, regulatoriske problemstillinger og compliance, samt tvisteløsning.

Våre advokater er bevisste på at personopplysninger utgjør et risikomoment for virksomheter. Dels foreligger den alminnelige juridiske risikoen i at feil håndtering av personopplysninger kan medføre overtredelse av lovpålagte krav. Det er også en kommersiell risiko forbundet med slik håndtering, idet virksomheter vil kunne risikere tap av anseelse og rykte. Stadig flere virksomheter blir oppmerksomme på ansvaret og risikoen slike opplysninger innebærer. Vi har erfaring med å utarbeide compliance og internkontroller for personvern, herunder risk workshops.

Vi vet at personopplysninger også utgjør en mulighet. Med den teknologiske utvikling vi står overfor i dagens samfunn kan personopplysninger utgjøre en betydelig aktiva for den innovative virksomhet som står rustet til å benytte regelverket for Big Data, skytjenester og pseudonymiserte opplysninger.

Fremtidens regelverk har betydning for dagens virksomhet, og vi står klare til å bistå med omstilling og forberedelse for de implikasjoner GDPR vil innebære når den trer i kraft.

Brækhus er anbefalt innen området personvern av blant annet Legal 500.