Hva er personvern?

Hvem omfattes?

Dagens regler og bakgrunnen for dem

Begreper du bør kjenne

Hva var endringene?

Datatilsynet oppsummerte i en artikkel i Aftenposten om GDPR at det er mange likhetstrekk mellom EU-direktivet fra 1995, som den tidligere norske loven bygget på, og GDPR. Men det kom noen sentrale endringer. Den aller største endringen er at Datatilsynet har mulighet til å samarbeide med andre land og gi potensielt enorme bøter. Se nærmere om bøter i avsnittet "Bøter" nedenfor.

Følgende er noen av de viktigste endringene. Se også informasjon om hva lovendringen innebar på Regjeringens side.

Informasjonsplikt

Personer har rett til å få vite hva andre vet om dem. Det ble mer åpenhet rundt bruk av personopplysninger.

Virksomheter som behandler personopplysninger plikter å informere de registrerte brukerne. Kravene til denne informasjonen er blitt strengere i den nye loven. Informasjonen skal være kortfattet, klar og tydelig, lett forståelig og lett tilgjengelig. Dette gjelder særlig informasjon rettet mot mindreårige.

Ber noen om samtykke til behandling av dine opplysninger, skal det skje på en klar og tydelig måte. Det er altså blitt tydeligere hva personer sier "ja" til. Du skal slippe å forholde deg til lange og kompliserte dokumenter som gjaldt tidligere. Det kan fortsatt være snakk om mye informasjon, men det skal deles opp. 17 sider ren tekst er ikke lenger bra nok.

Eksempel på hvordan virksomheten skal formulere seg når de kommuniserer bakgrunnen for at de samler inn informasjon kan for eksempel være at "vi samler informasjon for å sende deg tilbud og informasjon om arrangementer". Formuleringer som "vi samler informasjon for å gi deg en bedre brukeropplevelse" kan være for lite konkret.

Unntak fra informasjonsplikten:

  • Dersom den registrerte allerede er kjent med at virksomheten har informasjonen. Dette gjelder for eksempel i et arbeidsforhold hvor den ansatte kjenner til at arbeidsgiver har informasjon om fødselsdato, kontonummer o.l. nødvendige opplysninger.
  • Opplysninger som er innhentet fra andre og
    • hvor varsling er umulig eller krever en uforholdsmessig stor innsats
    • det er lovpålagt at innsamling og utlevering av opplysningene skal skje
    • det er konfidensielle opplysninger i henhold til en lovpålagt taushetsplikt som er innhentet fra andre

Begrenset bruk

Bruk av personopplysninger skal begrunnes og begrenses. Det vil ikke være lovlig å samle inn eller lagre personopplysninger som ikke er nødvendige. Når behovet har falt bort, skal personopplysninger slettes.

Risikovurdering

Vurdering av personvernkonsekvenser er obligatorisk. Konsesjons- og meldeplikten som gjaldt før falt bort. Virksomheter må gjøre en risikovurdering, som vil si vurdere faren for at et sikkerhetsbrudd kan intreffe. Hvis utredningen viser at risikoen er stor og virksomheten selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser ifølge rådgiver hos Datatilsynet.

Systemer

Alle leverandører av løsninger og systemer skal bygge personvern inn i nye løsninger. Dette kalles "innebygd personvern".

Systemene må tilfredsstille kravene i dagens regler og bør ha løsninger som gir minst mulig inngrep i personvernet. Dette påvirkes av omfanget av data som lagres, lagringstiden og tilgjengligheten.

Systemene bør ha personvern som standardinnstilling. Eksempelvis bør det legges opp til at personer bør gi aktivt samtykke ved avhuking for at det samtykkes i at opplysninger lagres og behandles. Taushet, forhåndsavkryssede bokser eller inaktivitet bør derfor ikke utgjøre et samtykke. På denne måten blir den som avgir samtykket mer bevisst på at dette gjøres.

I tillegg bør systemene kunne oppfylle kravene til innsyn og informasjonsplikt.

Personvernombud

Flere virksomheter enn tidligere vil plikte å opprette personvernombud. De viktigste endringene fra tidligere er at personvernombud er fremhevet og lovregulert, kravene er skjerpet og det har gått fra å være frivillig til å være obligatorisk.:

  • Offentlige virksomheter (gjelder ikke domstolene)
  • Virksomheter som behandler sensitive personopplysninger i stor skala (for eksempel helseforetak)
  • Virksomheter som systematisk overvåker europeiske borgere i stor skala (for eksempel sikkerhetsselskap som driver med kameraovervåkning)

Plikt for databehandlere

Dagens regler medfører plikter for alle databehandlere. Får databehandlere instrukser som er i strid med loven skal de si ifra til oppdragsgiver, og kan bli holdt økonomisk ansvarlig sammen med oppdragsgiver.

Avvikshåndtering

Dagens regler setter krav til avvikshåndtering, som vil si brudd på konfidensialitet, integritet og tilgjengelighet.

Det stilles krav til:

  • når det skal varsles
  • innhold i varselet
  • hvem det skal varsles til

De berørte skal varsles så raskt som mulig. Kort sagt skal det varsles raskere og oftere enn etter tidligere regler.

Behandlingsansvarlige skal varsle om alle brudd som skyldes brudd på datasikkerhet innen 72 timer fra avviket ble kjent til Datatilsynet. Dette kan idag gjøres på Datatilsynets sider, eller via Altinn hvor det skal finnes et skjema for avviksvarslingen. I tillegg skal de som er berørt av dette varsles dersom det er sannsynlig at avviket medfører høy risiko for personvernet.

Databehandlere skal varsle sine behandlingsansvarlig om egne avvik så snart som mulig og dersom de mener at instruksen fra behandlingsansvarlig er i strid med personvernreglene. Det kan opprettes en databehandleravtale hvor det kan vurderes om databehandler også skal melde fra til Datatilsynet.

Retten til å slettes

Retten til å slettes, eller "retten til å bli glemt", er en persons rettighet.

Enkeltperson kan kreve at de som har lagret og behandler opplysninger om dem skal slette disse. Har virksomheten offentliggjort opplysningene har den en plikt til å informere tredjeparter som har benyttet disse om at personen ønsker dem slettet. I den forbindelse bør virksomheten treffe rimelige tiltak, idet det tas hensyn til tilgjengelig teknologi og de midler den behandlingsansvarlige har til rådighet, herunder tekniske tiltak, for å underrette de behandlingsansvarlige som behandler personopplysningene, om den registrertes anmodning.

På samme måte kan enkeltpersoner kreve at opplysninger ikke brukes til markedsføring og annonser.

De som har lagret og behandler personopplysninger har plikt til å slette opplysninger i følgende tilfeller:

  • Samtykke er trukket tilbake fra den opplysningene gjelder, og virksomheten har ikke annet lovlig grunnlag for å fortsette behandlingen.
  • Det er ikke lenger behov for opplysningene for bruk til det formålet de ble samlet inn for. For eksempel gjelder dette personopplysninger om ansatte som har sluttet eller personer som har søkt på en stilling i virksomheten men ikke fått den.
  • Personopplysningene er behandlet på ulovlig måte.
  • Loven krever sletting.
  • Opplysningen er hentet inn i forbindelse med barns bruk av internett. Retten til å bli glemt er særlig relevant når den registrerte har gitt sitt samtykke som barn og ikke har fullstendig kjennskap til risikoene forbundet med behandlingen, og senere ønsker å fjerne slike personopplysninger, særlig på internett. Den registrerte bør kunne utøve denne retten selv om vedkommende ikke lenger er et barn.

Et enkelt eksempel er om et medlem i en idrettsklubb melder seg ut. Opplysninger klubben har samlet inn for å kunne sende invitasjoner og medlemsblad, som navn og adresse, skal da slettes.

Merk at sletting allikevel ikke er pålagt dersom det er nødvendig for å utøve retten til ytrings- og informasjonsfrihet, for å oppfylle en rettslig forpliktelse, utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, av allmenne folkehelsehensyn, for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning, for statistiske formål eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Dataportabilitet

Dataportabilitet en annen rettighet, som innebærer at personer/den registrerte kan kreve å ta med seg personopplysninger fra en leverandør til en annen i et vanlig brukt filformat, så frem det er teknisk mulig. Rettigheten utløses kun når den registrerte ber om det. Rettigheten gjelder også når den registrerte vil flytte opplysningene til en konkurrerende virksomhet.

For eksempel kan kunder som har registrert informasjon om preferanser i en nettbutikk for å få relevante tilbud og informasjon, kreve å få opplysningene utlevert i et strukturert, maskinlesbart dokument. Dersom mulig kan kunden også kreve å få det overført til en ny nettbutikk. Tidligere regelverk krevde bare at personer hadde innsyn i hvilke personopplysninger som virksomheter hadde om dem.

Tilsynsmyndigheter

Det er innført en såkalt «one-stop-shop»-ordning som innebærer at virksomheten kun skal behøve å forholde seg til én tilsynsmyndighet innenfor EØS-området. Det er som hovedregel tilsynsmyndigheten i den EØS-staten virksomheten har hovedkontor som skal behandle klager mot virksomheten, selv om klagen er sendt til tilsynsmyndighet i en annen stat. Den kompetente tilsynsmyndigheten har plikt til å samarbeide med andre berørte nasjonale tilsynsmyndigheter.

Det er opprettet en sentral europeisk tilsynsmyndighet, European Data Protection Board (EDPB), som skal bestå av representanter fra nasjonale tilsynsmyndigheter. Tilsynsmyndighetens hovedoppgave er å utstede retningslinjer om anvendelsen av personvernforordningen og underliggende regelverk, gi uttalelser til Kommisjonen om forslag til nytt regelverk, samt informere om dommer og uttalelser som angår forordningen. EDPB har også kompetanse til å avgjøre tvister mellom nasjonale tilsynsmyndigheter med bindende virkning og skal gi uttalelser om visse typer nasjonalt regelverk.

Øvrige kilder

Flere av de tidligere reglene i Personopplysningsloven ble videreført, men reglelendringene innebar på mange områder en innstramming i forhold til tidligere lovverk.

Datatilsynets nettsider om "Lover og regler" gir informasjon om personopplysningsloven med forordning, derunder hva som var nytt da den ble innført i juli 2018. Videre informasjon om blant annet følgende:

  • Avgjørelser fra Datatilsynet
  • Virksomhetens plikter
  • En kort gjennomgang av personvernprinsippene
  • Rettsavgjørelser
  • Unntak fra personopplysningsloven ved journalistiske, akademiske, kunstneriske og litterære formål
  • Den registrertes rettigheter

Her finner du ytterligere informasjon:

Personvernregler for revisor og for regnskapsfører

Hva bør du gjøre?

Kartlegging av personopplysninger

Bøter

Personvernerklæring o.l