logoRevisjon og regnskap

Logg på for å laste ned PDF
Selskapsrett

Advokat

Jane Wesenberg

Partner EY Tax & Law

Advokatfullmektig

Ida Kristine Hjorteset

EY Tax & Law

De viktigste reglene i ny personvernforordning

Artikkelen tar for seg et utvalg av de viktigste reglene i den nye personvernforordningen. Den ser på hvilken betydning de nye reglene vil få for organisasjoner og identifiserer enkelte tiltak som bør iverksettes for å overholde kravene i forordningen.

Innføringen i norsk rett

EUs nye personvernforordning trer i kraft 25. mai 2018 og bringer med seg omfattende endringer i personvernlovgivningen slik vi kjenner den i dag.* Forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning). Den styrker eksisterende rettigheter og innfører nye rettigheter for individer hvis personopplysninger behandles («den registrerte»), og pålegger nye og omfattende forpliktelser for den som bestemmer formålet med behandlingen («behandlingsansvarlig») eller behandler personopplysninger på vegne av denne («databehandler»). Ansvaret for å oppfylle forordningens krav er tydelig plassert hos den behandlingsansvarlige, eventuelt også databehandleren, og dette ansvaret er gjort reelt gjennom trussel om potensielt betydelige administrative gebyrer ved overtredelse.

Forordningen vil erstatte og oppheve EUs gjeldende personverndirektiv.* Direktiv 95/46 EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. Den gjelder direkte i alle EUs medlemsstater fra ikrafttredelsen, og vil i stor grad harmonisere personvernregelverket innen EU. Forordningen gjelder ikke direkte i Norge, men må gjennomføres i norsk rett. Det er foreslått at dette skal skje ved inkorporasjon,* Justisdepartementet sendte utkast til ny personopplysningslov og forslag til gjennomføring av personvernforordningen i norsk rett på høring 6. juli 2017. dvs. at det vedtas en ny personopplysningslov med en bestemmelse som henviser til forordningen og stadfester at denne gjelder som lov. Forordningens regler vil da i hovedsak anvendes slik de står. Någjeldende regelverk blir opphevet.

Økt flyt av personopplysninger

Omfanget av utveksling av personopplysninger har økt betraktelig de siste årene, både mellom offentlige og private aktører, sammenslutninger og foretak som følge av digitaliseringen av kommunikasjon og tjenester. Globaliseringen og økt økonomisk og sosial integrasjon har ført til betydelig økt flyt av personopplysninger over landegrensene. Den teknologiske utviklingen gjør utveksling av personopplysninger enkel, rask og effektiv. Den gjør det også mulig for mottakerne å benytte seg av personopplysninger i et helt nytt omfang. Denne utviklingen bringer med seg behov for kontroll og store utfordringer ved å beskytte personopplysninger mot urettmessig bruk.

Styrker borgernes rettsvern

Forordningen har til formål å styrke borgernes grunnleggende rett til vern ved behandling av personopplysninger, og i avveiningen mot de økonomiske og praktiske interessene til de som behandler personopplysninger, har borgernes interesser fått gjennomslag. Forordningen erkjenner imidlertid at retten til personvern ikke er en absolutt rettighet, og den enkeltes interesse i å verne opplysninger om seg selv, er veid opp mot andre grunnleggende rettigheter.

Ikke alt i den nye forordningen er nytt. Forordningen bygger videre på de grunnleggende personvernprinsippene i personverndirektivet, og grunntrekkene er kjent. Alle virksomheter bør imidlertid forberede seg på de endringene som kommer ved å gjennomgå egen organisasjon, rutiner og teknologi og sette i gang de tiltakene som er nødvendige for at virksomhetens håndtering av personopplysninger blir i samsvar med de nye kravene innen 25. mai 2018. Tiden begynner å bli knapp.

Grunnleggende prinsipper – ansvar

De grunnleggende personvernprinsippene som vi kjenner til fra dagens personverndirektiv og personopplysningslov, er i stor grad uendret i forordningen.* Forordningen artikkel 5 nr. 1. Personopplysninger skal behandles på en lovlig, rettferdig og gjennomsiktig måte overfor den registrerte («lovlighet, rettferdighet og gjennomsiktighet»). Personopplysninger skal kun samles inn for spesifikke, uttrykkelig angitte og berettigede formål og skal ikke viderebehandles på en måte som er uforenlig med disse formålene («formålsbegrensning»). Personopplysninger må være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»). Personopplysninger må være korrekte og, om nødvendig, holdes oppdatert. Det skal treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige, under hensyn til de formålene de behandles for, slettes eller korrigeres uten opphold («riktighet»). Personopplysninger skal som hovedregel lagres i et format som gjør at det ikke er mulig å identifisere de registrerte for en lengre periode enn det som er nødvendig for formålene som personopplysningene behandles for («lagringsbegrensning»). Personopplysninger skal også behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysninger; egnede tekniske eller organisatoriske tiltak skal iverksettes for å verne personopplysninger mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade («integritet og fortrolighet»).

Mange behandler personopplysninger på grunnlag av samtykke fra den registrerte. Forordningen stiller strengere krav til samtykkeerklæring fra den registrerte enn etter dagens regler.

Rettigheter for registrerte – plikter for behandlingsansvarlige

De grunnleggende prinsippene er konkretiserte gjennom en rekke individuelle rettigheter for den registrerte, med tilhørende plikter for den behandlingsansvarlige, samt generelle forpliktelser som pålegger den behandlingsansvarlige å innføre tiltak for å redusere risikoen for brudd og påvise at behandlingen utføres i samsvar med forordningen (ansvarstiltak). Dessuten inneholder forordningen en uttrykkelig bestemmelse om ansvar: Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene for behandling av personopplysninger overholdes.* Forordningen artikkel 5 nr. 2. Sammen med de andre pliktbestemmelsene innebærer dette at den behandlingsansvarlige skal være i stand til når som helst å dokumentere at behandlingen av personopplysningene oppfyller kravene i forordningen, herunder at de tiltakene som er truffet for å fremme og sikre ivaretakelse av personvern, er gjennomført og hensiktsmessige.

Større og tydeligere ansvar

Prinsippet om ansvar og kravene til iverksettelse av tiltak for å fremme og sikre ivaretakelse av personvern, representerer en prinsipiell endring sammenlignet med dagens personvernlovgivning. Den behandlingsansvarlige – herunder de aller fleste virksomheter – får et langt større og tydeligere ansvar for personvernet enn tidligere. Forordningens bestemmelser krever at personvern løftes frem som et sentralt vurderingstema ved alle beslutninger som kan ha betydning for prosesser, systemer og verktøy for behandling av personopplysninger, og virksomheter skal til enhver tid kunne dokumentere at de overholder forordningens krav.

Skjerpede krav til samtykke

Prinsippet om samtykke

Samtykke fra den registrerte er fortsatt ett av flere grunnlag for å behandle personopplysninger.* Forordningen artikkel 6 nr. 1 a). Forordningen stiller imidlertid strengere krav til samtykkeerklæring fra den registrerte enn dagens regler. Dessuten er det inntatt særlige regler om samtykke fra barn ved innhenting av personopplysninger gjennom informasjonssamfunnstjenester.* Forordningen artikkel 8. Etter forordningen kan barn over 16 år gi samtykke til slik behandling, men medlemsstatene er gitt adgang til å fastsette en lavere aldersgrense, forutsatt at den ikke er lavere enn 13 år. Justisdepartementet foreslår i et høringsutkast til ny lov at aldersgrensen i Norge blir 13 år. Er barnet under 13 år, kreves det samtykke fra foreldrene for at behandlingen er lovlig.

Må kunne påvise samtykke

Når behandlingen av personopplysninger bygger på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte har gitt samtykke.* Forordningen artikkel 7 nr. 1. Samtykke er definert som «enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte, der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende».* Forordningen artikkel 4 nr. 11. Dette vil f.eks. kunne være i form av en skriftlig, herunder elektronisk, eller en muntlig erklæring. At samtykket skal være «frivillig», innebærer at den registrerte må ha en reell valgfrihet, og være i stand til å nekte å gi eller trekke tilbake et samtykke uten risiko for skade. At samtykket skal være «spesifikt», innebærer at det må være knyttet til en klart definert behandlingsaktivitet. Dersom det er flere formål med behandlingen, kreves samtykke til samtlige formål. Kravet om at samtykke må være utvetydig, er ikke nytt. Fortalen til forordningen viser til at samtykke vil kunne gis «ved å krysse av i en boks under et besøk på et nettsted, velge tekniske innstillinger (…) eller en annen erklæring eller handling som (…) tydelig viser at den registrerte godtar den foreslåtte behandlingen (...) Taushet, forhåndsavkryssede bokser eller inaktivitet bør derfor ikke utgjøre et samtykke.»

I enkelte tilfeller stilles det krav til at samtykket er «uttrykkelig». Dette gjelder ved behandling av sensitive personopplysninger og i enkelte tilfeller ved overføring av personopplysninger utenfor EU.

Hvis samtykke skal gis i en skriftlig erklæring som også gjelder andre forhold, må anmodningen om samtykke fremlegges i en forståelig og lett tilgjengelig form som er atskilt fra slike andre forhold og på et klart og enkelt språk.* Forordningen artikkel 7 nr. 2. I praksis innebærer dette at anmodninger om samtykke til behandlinger av personopplysninger i forbindelse med avtaler og kontrakter, må fremlegges atskilt fra selve avtalen eller kontrakten.

Retten til å trekke tilbake samtykke

Den som har gitt sitt samtykke, skal kunne trekke det tilbake når som helst.* Forordningen artikkel 7 nr. 3. Det skal dessuten være like enkelt å trekke samtykke tilbake som å gi det. Alle behandlingsansvarlige og databehandlere må derfor ha systemer og rutiner som muliggjør en slik tilbaketrekking. Den behandlingsansvarlige skal informere den registrerte om retten til å trekke tilbake samtykke på tidspunktet for innsamlingen.* Forordningen artikkel 13 nr. 2 c). Fra det tidspunktet den registrerte har trukket tilbake sitt samtykke, kan disse opplysningene ikke lenger benyttes.

Cookies

Bruk av cookies – eller informasjonskapsler – er et praktisk viktig eksempel der samtykke er nødvendig for at behandling av personopplysninger skal være lovlig. Når man samtykker til bruk av cookies, lagrer nettsiden handlingene eller preferansene til den registrerte over tid, samt opplysninger om hvor ofte nettsiden blir besøkt. De skjerpede kravene til samtykke innebærer at det ved samtykkeerklæringen til bruk av cookies også skal være mulig å nekte slikt samtykke og ha mulighet til å trekke tilbake samtykket til enhver tid. Utgangspunktet er at nektelse av å gi slikt samtykke ikke skal medføre at brukeren avskjæres fra å bruke siden eller tjenesten, selv om enkelte tjenester eller opplevelser på nettsiden ikke vil være tilgjengelige. Leverandører vil derfor måtte gjøre tilgjengelig parallelle systemer som kan brukes med og uten å akseptere cookies.

Virksomheter som benytter samtykke som grunnlag for å behandle personopplysninger, bør forsikre seg om at samtykke fortsatt vil være et lovlig grunnlag for behandlingen. De bør også sørge for at de nye kravene til samtykke er oppfylt, f.eks. at samtykke omfatter alle formål med behandlingen, at det er frivillig og at det ikke er basert på taushet, forhåndsavkryssede bokser eller inaktivitet. De må sørge for at det er mulig og lettvint å trekke samtykke tilbake, og informere om denne retten ved tidspunktet for innsamlingen. Det må sørges for at anmodning om samtykke fremlegges atskilt fra andre dokumenter.