Seks punkter om den nye personvernloven

- innholdet kan være utdatert

Den nye personopplysningsloven, som er vedtatt i Norge, trår trolig i kraft løpet av juli i år.

Personvernloven gjelder for behandling av personopplysninger. Personopplysninger er kort fortalt alle opplysninger som kan knyttes til en enkeltperson, både som privatperson og arbeidstaker, mens behandling er blant annet innhenting, lagring, utlevering og bruk.

Hovedmålene med den nye personvernlovgivningen er å:



Endringene i lovverket kommer som følge av EU-forordningen, GDPR. Realiteten er at Norge allerede har mye av forordningen i det gjeldende regelverket fra før. Endringene er derfor ikke så omfattende som man kan få inntrykk av, men noe er nytt.

Her er Datatilsynets beskrivelse:

1) Gjelder for større geografisk område



Behandlingsansvarlige som er registrert utenfor EU, men som tilbyr varer og tjenester til EU-borgere, vil bli omfattet av det nye regelverket. Det er de ikke i dag. Det gjelder for eksempel nettbutikker som ikke er etablert i Europa, men som selger varer over nett, og kanskje tilbyr frakt til europeiske land og betaling i norske kroner. Regelverket vil også gjelde behandlingsansvarlige som er etablert i tredjeland, men som overvåker adferden til EU-borgere innenfor EU, for eksempel amerikanske selskaper som profilerer EU-borgere på bakgrunn av nettbruken deres.

2) Opplysninger skal ikke brukes til nye, uforenlige formål



Personopplysninger skal kun behandles der det finnes et tydelig spesifisert formål. Dersom man ønsker å behandle personopplysninger til andre formål enn de var innhentet for, må man forsikre seg om at det nye formålet er forenlig med det gamle. Det som er nytt med det nye regelverket, er at behandlingsansvarlig får hjelp til å avgjøre hva som er forenlige formål og ikke, ved en «kompatibilitetstest» i forordningsteksten. Dersom konklusjonen er at det nye formålet er uforenlig med det gamle, skal det innhentes samtykke, eller behandlingen må hjemles i lov.

3)Nye rettigheter



Forordningen fører med seg fire nye rettigheter for EU-borgere – og nordmenn:

Rettigheten til å få behandlingen begrenset, retten til dataportabilitet, retten til å motsette seg en behandling, og rettigheter til å motsette seg profilering og automatiserte avgjørelser.

Du får rett til å motsette deg profilering begått av offentlige myndigheter, og til å motsette deg profilering for direkte markedsføring. Du får også rett til å klage på automatiserte avgjørelser som tas på bakgrunn av en profil som er utarbeidet om deg. Profiler skal ikke utarbeides på bakgrunn av sensitive opplysninger, hvis ikke den registrerte har samtykket eller slik profilering kan begrunnes med en særlig samfunnsinteresse som er hjemlet i lov.

4)Bedrifter får større ansvar for personvern



Virksomheter får utvidet sin plikt til selv å vurdere personvernkonsekvenser ved behandling av personopplysninger. Denne plikten utvides, og det ser ut til at færre vil trenge å søke konsesjon fra sitt lands personvernmyndigheter, som Datatilsynet i Norge. De får også plikt til å identifisere risikoreduserende tiltak. Kun i de tilfellene der risikoen ikke kan håndteres på en tilfredsstillende måte internt, skal de søke forhåndsgodkjenning fra nasjonale myndigheter (Datatilsynet). Innebygd personvern og personvern som standardinnstilling i applikasjoner blir lovpålagt.

5)Personvernombudet blir mer sentralt enn tidligere



Det vil høyst sannsynlig bli flere personvernombud, fordi flere virksomheter enn i dag vil plikte å opprette ombud. Disse vil trenge personvernombud:

  1. Offentlige virksomheter
  2. Virksomheter som behandler sensitive personopplysninger i stor skala
  3. Virksomheter som systematisk overvåker europeiske borgere i stor skala



Norge kan også pålegge andre å ha personvernombud gjennom lovregulering. I store trekk blir oppgavene og forventningene til personvernombud uendret. Det presiseres i forordningsteksten at det er viktig at ombudene unngår interessekonflikt, og det kommer et eksplisitt krav om at bedriften skal legge til rette for at personvernombudene skal kunne få tid og rom til å gjøre en god jobb.

Databehandlere skal på lik linje med behandlingsansvarlige oppnevne personvernombud. De skal sørge for informasjonssikkerhet og dokumentere det, gjennomføre risikovurderinger. Innholdskravene til en databehandleravtale er gitt i forordningen. Slik var det ikke tidligere.

6)Et klart språk og krav til åpenhet



Det er et viktig prinsipp i forordningen at informasjon om behandling av personopplysninger skal gis på en klar og tydelig måte, og ikke gjemmes bort i en personvernerklæring. Det kan se ut til at den registrerte har fått styrket sitt krav på åpenhet. Det er et viktig prinsipp at behandlingen for de registrerte skal fremstå som åpen og rimelig. Opplysningene om hvilke registreringer som gjøres, skal gis på en klar og tydelig måte, i lett forståelig språk. Informasjonen skal gis uten vederlag. Behandlingsansvarlige får på sin side en plikt til å forsikre seg om at de henvender seg til rette vedkommende når de gir for eksempel elektronisk informasjon om behandlingene.

I tillegg får nasjonale datatilsyn en plikt til å samarbeide og utveksle informasjon med hverandre.

Kilde: Datatilsynet