Hva er GDPR og angår den meg? Vår jurist og partner Camilla L. B. Moen har gjort noen betraktninger i dette sammendraget. For en fullstending versjon og eventuell gjennomgang kan Camilla kontaktes på e-post: clm@uniconsult.no.
2. Side •
Hva er GDPR og angår den meg?
• 25.5.18 trer EU sin personvernforordning i kraft, også kalt GDPR (General Data Protection
Regulation)
– I Norge foreslås det at en ny personopplysningslov gjennomfører forordningen, og at
någjeldende personopplysningslov med forskrift oppheves
• Kjernen i ny forordning er:
– hver enkeltperson bestemmer over egne personopplysninger
– krav til behandlingsgrunnlag
– nye rettigheter for enkeltpersoner, eks. sletting og dataportabilitet
– større ansvar for personvern for offentlige/næringslivet
– krav til klart språk og krav til åpenhet
– flere må opprette personvernombud
• De nye reglene gjelder både for det offentlige og for næringslivet (sektorovergripende)
• Ja, nytt regelverk angår alle!
– Alle virksomheter og alle enkeltpersoner
9. oktober 20172
3. Side •
Personvernforordningen treffer deg!
• Enten virksomheten behandler personopplysninger i stort
eller lite omfang, er det nødvendig med et bevisst forhold til
de regler som gjelder på området
– Arbeidet med internkontroll er et viktig ledd i dette
• Internkontroll er å etablere rutiner og tiltak, og organisere
virksomheten på en slik måte at plikter etter
personopplysningsregelverket oppfylles
• Det må foreligge interkontrolldokumentasjon
9. oktober 2017 Jfr. Personvernhåndboken (Tønseth, Stubø, Olsen og Ljostad)3
4. Side •
Gjennomføre en kartlegging
Virksomheten må ha en oversikt over de
personopplysninger som samles inn eller
bruker, og vite hvordan disse behandles. Det
anbefales å gjennomføre en kartlegging med
blant annet disse avklaringene:
• Hvilke personopplysninger har
virksomhetene samlet inn?
– Hvor kommer de fra?
• Hvilke personopplysninger bruker
virksomheten?
– Hva er det rettslige grunnlaget for
bruken/behandlingen?
(Behandlingsgrunnlag)
• Hva bruker virksomheten
personopplysningene til?
– Hva er formålet?
• Hvor er personopplysningene registrert og
lagret?
– Papir?
– Elektronisk?
• Hvem har tilgang til personopplysningene?
• Hvordan utveksles personopplysningene?
• Hvilke rutiner er allerede på plass?
9. oktober 2017 Jfr. Personvernhåndboken (Tønseth, Stubø, Olsen og Ljostad)4
5. Side •
Etter gjennomført kartlegging
• Utarbeide plan for gjennomføring av tiltak
• Utarbeide rutiner og dokumentasjon internkontroll
• Følge opp løpende personvern i virksomheten
9. oktober 20175
6. Side •
Hva er godt personvern?
• For å sikre godt personvern må både personopplysningslovens bestemmelser og
prinsippene for godt personvern ligge til grunn for det virksomheten gjør
• Følgende regnes som de viktigste personvernprinsippene:
– samtykke eller annet rettslig grunnlag
– formålsbestemthet
– relevans og minimalitet
– fullstendighet og kvalitet
– informasjon og innsyn
• For å unngå at det samles inn unødvendige personopplysninger, særlig i automatiserte
systemer, må virksomheten allerede i designfasen være bevisst på å ta personvernhensyn
– det vil si at kun de opplysningene som er nødvendig ut fra formålet med den enkelte
behandling samles inn
– virksomheten må også sørge for å ha gode rutiner for sletting av personopplysninger den ikke
lenger trenger
9. oktober 2017 Jfr. Datatilsynet6
7. Side •
Personopplysningsloven
• I dag reguleres personvernretten i EU-retten gjennom et
direktiv
– Direktiv er overordnede reguleringsinstrumenter som angir
prinsipper og mål for et gitt felt og gir dermed medlemsstatene
rom til å innføre særtilpasninger
• Personopplysningsloven er basert på personverndirektivet
– Direktivet er et minstedirektiv og det er adgang til å innføre
strengere krav – denne adgangen har Norge brukt
– Personopplysningsloven er derfor på enkelte felter strengere
enn minimumskravene i direktivet
9. oktober 2017 Jfr. Lovdata7
8. Side •
Personvernforordningen
• I april 2016 vedtok EU en ny forordning om behandling av
personopplysninger
• Forordningen erstatter og opphever EUs gjeldende personverndirektiv
95/46
• Forordninger har i EU direkte virkning, og er derfor betraktelig mer
detaljerte og omfattende
– Dette innebærer at de ulike medlemslandenes handlingsrom reduseres,
men samtidig sikrer man at rettsområdet blir mer harmonisert på tvers av
landegrensene
– Den nye forordningen innebærer også innstramming på feltet, med både
mer detaljerte og strengere regler for enkelte former for behandling
9. oktober 2017 Jfr. høring om forslag til ny personopplysningslov sendt ut av Justis- og beredskapsdepartementet .8
Jfr. høring om forslag til ny personopplysningslov sendt ut av Justis- og beredskapsdepartementet
9. Side •
Forslag til ny personopplysningslov
• Justis- og beredskapsdepartementet har sendt ut på høring
forslag til ny personopplysningslov, som gjennomfører EUs
personvernforordning i norsk rett
• Departementet foreslår at forordningen gjennomføres i norsk
rett ved inkorporasjon, det vil si at forordningen gjøres
gjeldende som norsk rett gjennom en henvisnings-
bestemmelse i den nye personopplysningsloven
• Videre foreslår departementet lovbestemmelser som utfyller
bestemmelsene i forordningen
9. oktober 2017 Jfr. høring om forslag til ny personopplysningslov sendt ut av Justis- og beredskapsdepartementet .9
10. Side •
Forslag til ny personopplysningslov
• Departementet foreslår at det gis en ny
personopplysningslov som gjennomfører forordningen, og at
den någjeldende personopplysningsloven med forskrift
oppheves
• Frist for høring er 16.10.17
• Departementet tar sikte på at den nye
personopplysningsloven skal tre i kraft i Norge 25. mai 2018,
det vil si samme tidspunktet som forordningen begynner å
gjelde i EU
9. oktober 2017 Jfr. høring om forslag til ny personopplysningslov sendt ut av Justis- og beredskapsdepartementet .10
11. Kilder
Personopplysningsloven
Personopplysningsforskriften
Artikel 4, EF generel forordning om databeskyttelse,
"Definitioner"
Datatilsynets hjemmesider
Dataforeningens hjemmesider
Høring om utkast til ny personopplysningslov på
Regjeringens hjemmesider
Personvernhåndboken av Tønseth, Stubø, Olsen og
Ljostad (Gyldendal 2016)
12. KONTAKT Camilla Louise B. Moen
Partner
T: 90852102
clm@uniconsult.no
Dronning Mauds gate 3
PB 1835 Vika
NO-0123 Oslo
www.uniconsult.no