Forslag om gjennomføring av EUs personvernforordning (GDPR) på høring

Den 6. juli 2017 sendte Justis- og beredskapsdepartementet forslag til ny personopplysningslov på høring. Lovforslaget omhandler gjennomføringen av EUs personvernforordning, som trer i kraft den 25. mai 2018.

Bakgrunn

Forslag om gjennomføring av EUs personvernforordning («General Data Protection Regulation» eller «GDPR») er nå sendt på høring. GDPR innebærer den største personvernrettslige endringen i Europa på 20 år. Gjennomføringen vil nødvendiggjøre betydelige endringer av hvordan virksomheter og offentlige myndigheter behandler personopplysninger.

Les den uoffisielle oversettelsen av GDPR

Departementet har foreslått at GDPR gjennomføres ved inkorporasjon, dvs. en henvisningsbestemmelse fra den nye personopplysningsloven til GDPR. Videre har departementet foreslått enkelte bestemmelser som skal utfylle GDPRs regler.

Departementet har foreslått at lovforslaget skal tre i kraft samtidig med GDPR, den 25. mai 2018.

Lovforslagets hovedtrekk

Den nye personopplysningsloven vil omrokere den någjeldende regelstrukturen ved at GDPRs regler erstatter reglene i någjeldende personopplysningslov av 14. april 2000 nr. 31. Den någjeldende personopplysningsloven og personopplysningsforskriften vil oppheves ved gjennomføringen av lovforslaget.

Blant de viktigste endringene fra någjeldende rett er:

Definisjonen av personopplysninger

Begrepet personopplysninger vil bli utvidet til å inkludere identifikasjonsnummer, geolokasjon, samt identifikatorer på internett. Det er dermed tenkelig at informasjonskapsler og IP-adresser vil kunne anses for å falle inn under begrepet. Gjeldende rett om behandling av fødselsnummer og «andre entydige identifikasjonsmidler» blir dermed videreført. Videre vil definisjonen av sensitive personopplysninger bli utvidet til å omfattede genetiske og biometriske data.

Dataportabilitet

Den registrerte vil fortsatt ha rett til å motta personopplysninger om seg selv, men vil nå også kunne kreve å få overført personopplysninger fra en tilbyder til en annen (såkalt «dataportabilitet»).

Databehandlere får nye plikter

Databehandlere får en rekke lovfestede plikter etter GDPR som i vareriende omfang utvider gjeldende praksis. Blant annet skal databehandlere med over 250 ansatte opprettholde et register over personopplysningsbehandling og gjøre registeret tilgjengelig for Datatilsynet ved påkrav.

Melde- og konsesjonsplikten bortfaller

Den någjeldende plikten til å melde om eller søke konsesjon ved behandling av personopplysninger bortfaller. I stedet vil behandlingsansvarlige være pålagt å vurdere personvernkonsekvenser og behovet for forhåndsdrøftelser med Datatilsynet.

Vurdering av personvernkonsekvenser

Gjeldende regelverk i personopplysningsforskriften § 2-4 pålegger den behandlingsansvarlige en plikt til å foreta en risikovurdering. Denne vurderingen er imidlertid begrenset til behandlingens informasjonssikkerhet. GDPR vil medføre en plikt til å vurdere hvilke personvernkonsekvenser som kan være aktuelle ved behandling av personopplysninger.

Innebygget personvern

GDPR artikkel 24 oppstiller et krav om innebygd personvern, også kalt «privacy by default» eller «data protection by design and by default». Bak begrepene skjuler det seg et krav ved utarbeidelse og utforming av nettsider, mobilapplikasjoner mv. som er tiltenkt behandling av personopplysninger. Det teknologiske hjelpemiddelet som benyttes ved behandling av personopplysninger skal som standardinnstilling bare behandle personopplysninger som er nødvendige for det spesifikke formålet med behandlingen.

Beskyttelse av mindreårige

GDPR pålegger behandlingsansvarlige å innhente samtykke fra foreldre dersom de skal behandle personopplysninger om barn under 16 år. Bakgrunnen for regelen er en tanke om at barn fortjener større beskyttelse, idet de kan være mindre bevisste rundt risikoen, konsekvenser, og rettigheter ved behandling av personopplysninger. GDPR gir medlemstater adgang til å sette aldersgrensen til 13 år, noe departementet foreslår da denne aldersgrensen anses for å ivareta hensynet til barnets selvbestemmelsesrett.

Personvernombud

Alle offentlige myndigheter samt enkelte private behandlingsansvarlige blir pålagt å ha et personvernombud. Et personvernombud vil for mange virksomheter være svært gunstig. Med et personvernombud som dedikert kompetanseressurs vil virksomheter kunne forebygge og håndtere personvernrettslige problemsstillinger og heve virksomhetens omdømme hva gjelder dets behandling av personvern.

Varsling

Etter gjeldende rett i personopplysningsforskriften § 2-6 tredje ledd skal Datatilsynet varsles ved sikkerhetsbrudd dersom sikkerhetsbruddet har medført «uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig». GDPR gir i artikkel 33 og 34 utfyllende regler om varsling til den aktuelle tilsynsmyndigheten. Blant annet vil behandlingsansvarlige etter de nye reglene måtte varsle Datatilsynet «uten ugrunnet opphold» og senest 72 timer etter å ha fått kjennskap til sikkerhetsbruddet. Den behandlingsansvarlige vil under nærmere omstendigheter også kunne bli pålagt en plikt til å varsle den registrerte ved brudd på informasjonssikkerheten.

Bøter

GDPR åpner for at Datatilsynet kan ilegge overtredelsesgebyr opp til 20 millioner euro eller 4 prosent av global brutto omsetning. Dette er vesentlig høyere enn dagens nivå på maksimalt 10 g (936 340 kroner). Departementet har bedt om innspill til hvorvidt det bør innføres en foreldelsesfrist for adgangen til å ilegge overtredelsesgebyr.

Bortfall av straffesanksjoner

Etter gjeldende personopplysningslov § 48 kan enkeltpersoner straffes ved forsettlige eller grovt uaktsomme overtredelser av enkelte av lovens bestemmelser. Departementet foreslår at straffebestemmelsen i personopplysningsloven skal oppheves og at overtredelser av GDPR ikke skal straffesanksjoners.

Utfyllende regler

I tillegg til de regler som følger av GDPR har departementet foreslått en rekke særregler som skal utfylle forordningen, blant annet:

Arbeidsgivers innsyn i epostkasse, aktivitetslogger mv.

Departementet har foreslått å videreføre de særnorske reglene i personopplysningsloven kapittel 9 om arbeidsgivers innsyn i arbeidstakers e-postkasse, aktivitetslogger mv. I tillegg til at forslaget om nye regler om arbeidsgivers innsyn inneholder enkelte presiseringer, er de også fremsatt på et eget dokument da departementet vurderer reglenes fremtidige plassering.

Kameraovervåking

De personvernrettslige sidene av kameraovervåking reguleres av personopplysningsloven kapittel VII og personopplysningsforskriften kapittel 8. Verken gjeldende personverndirektiv eller GDPR har egne regler om kameraovervåking. Departementet ber om innspill til nærmere regler om kameraovervåking, herunder om det bør fastsettes forbud mot kameraovervåking i undervisningstiden på skoler og barnehager. Departementet foreslår regler om kameraovervåking av arbeidsplass, samt å videreføre reglene om bruk av såkalte «dummy-kameraer» eller uekte kameraovervåkingsutstyr. Slik bruk skal være betinget av at det foreligger et behandlingsgrunnlag etter GDPR artikkel 6 nr. 1.

Kredittopplysningsvirksomhet

Etter personopplysningsloven gis det adgang til å fastsette nærmere regler om behandling av personopplysninger i kredittopplysningsvirksomhet, jf. reglene i personopplysningsforskriften kapittel 4. GDPR har ingen regler om kredittopplysningsvirksomheter. Departementet har uttalt at GDPR nødvendiggjør en nærmere regulering av kredittopplysningsvirksomheters behandling av personopplysninger, og varsler at de vil komme tilbake til spørsmålet om hvordan slik virksomhet bør reguleres.

Administrativ inndragning av utbytte eller gjenstand

GDPR har ingen regler om inndragning av utbytte eller gjenstand ved brudd på personvernlovgivningen, men åpner for at medlemsstatene kan gi deres tilsynsmyndighet utvidet kompetanse på dette området.

Departementet har foreslått at Datatilsynet bør gis adgang til administrativ inndragning av gjenstand brukt ved overtredelse av personvernreglene. Videre har de bedt om innspill til hvorvidt inndragning også skal gjelde utbytte av fra slik overtredelse.

Tvangsmulkt

Departementet foreslår å videreføre Datatilsynets adgang til å ilegge tvangsmulkt. En slik sanksjon følger ikke av GDPR.

Hva nå?

Departementet har bedt om innspill til høringen med frist den 16. oktober 2017. Høringen gir anledning til å påvirke gjennomføringen av GDPR og Brækhus skal inngi høringssvar. Vi er også klare til å bistå virksomheter som ønsker å inngi høringssvar.

Les mer informasjon om lovforslaget.

Vi anbefaler virksomheter å sette seg godt inn i de eksisterende veilederne fra Datatilsynet om overholdelse av de nye personvernreglene.

Se mer informasjon om veilederne fra Datatilsynet.

Brækhus – sammen løser vi utfordringer og skaper muligheter

Brækhus har advokater med inngående og allsidig kompetanse innenfor personvernrett. Vi bistår med rådgivning innen hele spektret av personvern, fra innsamling av personopplysninger, gjennom lagring og kategorisering, til lovlig utveksling, herunder verdsettelse og kommersialisering, transaksjoner, regulatoriske problemstillinger og compliance, samt tvisteløsning.

Våre advokater er bevisste på at personopplysninger utgjør et risikomoment for virksomheter. Dels foreligger den alminnelige juridiske risikoen i at feil håndtering av personopplysninger kan medføre overtredelse av lovpålagte krav. Det er også en kommersiell risiko forbundet med slik håndtering, idet virksomheter vil kunne risikere tap av anseelse og rykte. Stadig flere virksomheter blir oppmerksomme på ansvaret og risikoen slike opplysninger innebærer. Vi har erfaring med å utarbeide compliance og internkontroller for personvern, herunder risk workshops.

Vi vet at personopplysninger også utgjør en mulighet. Med den teknologiske utvikling vi står overfor i dagens samfunn kan personopplysninger utgjøre en betydelig aktiva for den innovative virksomhet som står rustet til å benytte regelverket for Big Data, skytjenester og pseudonymiserte opplysninger.

Fremtidens regelverk har betydning for dagens virksomhet, og vi står klare til å bistå med omstilling og forberedelse for de implikasjoner GDPR vil innebære når den trer i kraft.

Brækhus er anbefalt innen området personvern av blant annet Legal 500.