Ny personopplysningslov

Ny lov om behandling av personopplysninger ble vedtatt 15. juni 2018 og trådte i kraft 20. juli 2018. Den nye loven gjennomfører EUs personvernforordning (GDPR) i Norge og gjør personvernforordningen til norsk lov. EU-direktiv 95/46, personverndirektivet, og personopplysningsloven fra 2000, er opphevet.

Hovedtrekk i den nye loven

Den nye personopplysningsloven inneholder bestemmelser som er nødvendige for å gjennomføre personvernforordningen i norsk rett, eller som supplerer forordningen på områder der forordningen overlater til landene å fastsette nasjonale regler. Innledningsvis inneholder personopplysningsloven regler om lovens og forordningens saklige og geografiske virkeområde, samt en bestemmelse om forholdet til ytrings- og informasjonsfrihet.

Dernest inneholder loven bestemmelser som presiserer adgangen til å gjennomføre enkelte behandlinger av personopplysninger. Bestemmelsene gjelder særlig adgangen til å behandle særlige kategorier av personopplysninger for forskning, arkivformål eller statistiske formål. Videre er det gitt en bestemmelse som fastsetter den norske aldersgrensen for barns samtykke til behandling av personopplysninger ved bruk av informasjonssamfunnstjenester, og en bestemmelse som tillater behandling av fødselsnummer og andre entydige identifikasjonsmidler på nærmere fastsatte vilkår. Det er også åpnet for å fastsette forskrifter om bruk av entydige identifikasjonsmidler, om overføring av personopplysninger til tredjestater, om forhåndsdrøfting og forhåndsgodkjenning og om gjennomføring av delegerte rettsaker og gjennomføringsrettsaker jf. personvernforordningen kapittel X.

Personopplysningsloven kapittel 4 inneholder enkelte unntak fra forordningens bestemmelser om innsynsrett og informasjonsplikt. Disse bestemmelsene er langt på vei videreføring av rettstilstanden etter personopplysningsloven 2000.

Videre inneholder loven en bestemmelse om taushetsplikt for personvernombud, bestemmelser som etablerer Datatilsynet og Personvernnemnda, bestemmelser om deres tilgang til opplysninger og om deres taushetsplikt. Forordningens bestemmelser om overtredelsesgebyr er gitt tilsvarende anvendelse ved brudd på forordningens bestemmelser om behandling av opplysninger om straffedommer og lovovertredelser (art. 10) og om den behandlingsansvarliges ansvar (art. 24). Loven inneholder også særnorske bestemmelser om tvangsmulkt, foreldelse og erstatning for ikke-økonomisk skade, samt en bestemmelse om bruk av uekte kameraovervåkingsutstyr.

Hovedtrekk i personvernforordningen 

Forordningen utvider personvernreglenes geografiske virkeområde (artikkel 3), sammenliknet med tidligere regler. Reglene gjelder fremdeles for behandlingsansvarlige som er etablert i EØS-området. I tillegg vil reglene gjelde for behandlingsansvarlige som er etablert utenfor EØS-området, dersom vedkommende behandler personopplysninger om EØS-borgere, og behandlingen består i å tilby varer eller tjenester til disse borgerne eller å overvåke deres atferd i EØS-området.

Viderefører hovedprinsippene

Forordningen kapittel II viderefører hovedprinsippene om behandling av personopplysninger slik vi kjenner dem fra direktiv 95/46 og tidligere norsk personvernlovgivning. Behandlingen må ha rettslig grunnlag i samtykke eller en nødvendighetsgrunn. Dersom behandlingen har rettslig grunnlag i en av nødvendighetsgrunnene i art. 6, forutsetter personvernforordningen også i en del tilfeller at det foreligger et supplerende rettsgrunnlag i nasjonal rett. Noen slike supplerende rettsgrunnlag finne i personopplysningsloven kapittel 3, mens andre finnes i sektorlovgivning. Behandlingen må dessuten tilfredsstille forordningens krav om blant annet lovlighet, formålsbegrensning, dataminimering og lagringsbegrensning (artikkel 5).

Samtykke

Forordningen regulerer også kravene til gyldig samtykke til behandling av personopplysninger (artikkel 7) tydeligere enn det som fremgikk av direktiv 95/46 og personopplysningsloven 2000. Blant annet må den behandlingsansvarlige kunne påvise at den registrerte har samtykket, forespørsel om samtykke til behandlingen må fremsettes adskilt fra andre erklæringer den registrerte skal avgi, og den registrerte kan når som helst trekke tilbake sitt samtykke. Forordningen artikkel 8 og personopplysningsloven § 5, inneholder regler om behandling av barns personopplysninger. I personopplysningsloven § 5 fremgår det at samtykke til å behandle opplysninger om barn under 13 år kun er gyldig dersom det er avgitt eller godkjent av barnets foresatte når formålet med behandlingen er å tilby informasjonssamfunnstjenester.

Rettigheter

Forordningen kapittel III inneholder regler om den registrertes rettigheter og utøvelse av disse rettighetene. Dette omfatter blant annet informasjonsrettigheter, herunder rett til innsyn, rett til å få rettet, slettet eller begrenset behandlingen av opplysninger, rett til å få overført opplysninger til alternative tjenestetilbydere (dataportabilitet), og rett til å protestere mot behandling av egne personopplysninger. I tillegg finnes en egen regel om bruk av personprofiler. Mange av bestemmelsene viderefører i stor grad tidligere rett. To bestemmelser er imidlertid nye. Dette er for det første retten til å kreve sletting («retten til å bli glemt») som reguleres i artikkel 17. Forordningen innebærer at den behandlingsansvarlige, dersom han har offentliggjort personopplysningene, må ta alle rimelige skritt for å informere databehandlere om den registrertes krav om sletting. For det andre fastsetter artikkel 20 en rett til dataportabilitet. Dataportabilitet innebærer at dersom behandlingen baserer seg på avtale eller samtykke, og personopplysningene finnes i et automatisert behandlingssystem, har den registrerte rett til å få overført opplysningene sine til alternative tjenestetilbydere.

Profilering

Artikkel 22 regulerer "Automatiserte individuelle avgjørelser, herunder profilering".  Profilering er definert som automatisert behandling for å vurdere personlige aspekter ved en enkeltpersons atferd, preferanser eller behov (artikkel 4. nr. 4). Profiler kan brukes for eksempel for å analysere eller forutse arbeidsprestasjoner, økonomisk situasjon, helse, interesser, pålitelighet eller oppførsel. Som hovedregel har enkeltpersoner rett til ikke å bli gjenstand for beslutninger som utelukkende er basert på bruk av personprofiler og som har rettsvirkninger for eller i betydelig grad påvirker vedkommende. Unntak gjelder for utarbeidelse av personprofiler i forbindelse med en avtale mellom den registrerte og den behandlingsansvarlige, eller dersom behandlingen er hjemlet i lov eller basert på samtykke. Personprofiler skal heller ikke benyttes til direkte markedsføring, med mindre tilstrekkelige sikkerhetstiltak er iverksatt, og skal som hovedregel ikke være basert på sensitive personopplysninger.

Personvernforordningen åpner for å gjøre nasjonale unntak fra reglene om den registrertes rettigheter dersom dette er nødvendig for å sikre visse nærmere angitte formål. Unntak er fastsatt i personopplysningsloven §§ 16 og 17.

Innebygd personvern

Forordningen kapittel IV inneholder generelle regler om den behandlingsansvarliges og databehandlerens ansvar og forpliktelser. Etter artikkel 25 plikter den behandlingsansvarlige å bruke løsninger med "innebygd personvern", ved å gjennomføre tekniske og organisatoriske tiltak som sikrer at forordningens krav etterleves. Den behandlingsansvarlige skal også iverksette tiltak som sørger for personvernvennlige standardinnstillinger.

Plikter for behandlingsansvarlig og databehandler

Meldeplikten for behandling av personopplysninger etter personopplysningsloven 2000 er opphevet og erstattet med andre plikter for den behandlingsansvarlige og databehandleren. Dette er blant annet plikt til å dokumentere behandling av personopplysninger, til å varsle tilsynsmyndigheten og/eller den registrerte ved eventuelle brudd på personopplysningssikkerheten, samt til å foreta vurdering av personvernkonsekvenser og eventuelt rådføre seg med tilsynsmyndigheten før risikofylt behandling.

I artikkel 30 pålegges behandlingsansvarlige og databehandlere en plikt til å protokollere blant annet behandlingens formål, kategorier av registrerte og kategorier av personopplysninger, eventuelle kategorier av mottakere av opplysningene, samt kategorier av overføringer av opplysninger til tredjeland. Forpliktelsen gjelder likevel ikke for virksomheter med mindre enn 250 ansatte som ikke har behandling av personopplysninger som sin hovedvirksomhet, eller for kategorier av behandling som ikke antas å innebære noen høy risiko. Behandlingsansvarlige og databehandlere plikter videre å sørge for tilstrekkelig informasjonssikkerhet (artikkel 32), noe som i stor grad innebærer en videreføring av tidligere regler.

Artikkel 33 og 34 oppstiller en plikt til å varsle henholdsvis tilsynsmyndigheten og den registrerte om brudd på personopplysningssikkerheten dersom det er sannsynlig at bruddet vil ha negativ betydning for den registrerte. Det gjelder unntak fra plikten til å varsle den registrerte, blant annet dersom det er iverksatt etterfølgende tiltak eller dersom varsel vil medføre en uforholdsmessig byrde. Varslingsplikten er ny i forhold til personverndirektivet fra 1995.

Vurdering av personvernkonsekvenser

Etter forordning artikkel 35 skal det gjennomføres en vurdering av personvernkonsekvenser (DPIA – Data Protection Impact Assessment) ved visse former for behandling som anses å innebære en særlig risiko. Dersom vurderingen av personvernkonsekvensene tilsier det, følger det av artikkel 36 at den behandlingsansvarlige eller databehandleren skal rådføre seg med Datatilsynet før behandlingen iverksettes. Er behandlingen etter Datatilsynets vurdering ikke i samsvar med forordningen, kan tilsynet gi den behandlingsansvarlige eller databehandleren skriftlige råd. Det kan også fastsettes regler om at bestemte typer behandlinger krever en forhåndsgodkjenning fra Datatilsynet. Personopplysningsloven § 14 gir hjemmel for å fastsette slike regler i forskrift, men dette er foreløpig ikke gjort i Norge.

Personvernombud

Personvernforordningen artikkel 37 til 43 inneholder bestemmelser om personvernombud, atferdsnormer og personvernsertifisering. Ordningen med personvernombud er gjort obligatorisk for mange behandlingsansvarlige, samtidig som ombudets plikter, oppgaver og stilling er inngående regulert i forordningen. Sertifiseringsmekanismene (artikkel 42 og 43), som ikke har noen parallell i tidligere rett, skal gi registrerte personer mulighet til raskt å vurdere beskyttelsesnivået hos en behandlingsansvarlig eller databehandler. Ordningen kan sammenliknes med svanemerking og nøkkelhullmerking som norske forbrukere allerede kjenner.

Overføring av personopplysninger

Forordningen kapittel V (artikkel 44 til 50) regulerer overføring av personopplysninger til tredjestater og internasjonale organisasjoner. Begrepet overføring er ikke definert i forordningen, men antas å omfatte alle tilfeller hvor den behandlingsansvarlige gir fra seg rådigheten over opplysningene til en ny behandlingsansvarlig eller en databehandler utenfor EØS-området, for eksempel ved bruk av en underleverandør. Etter EU-domstolens praksis omfattes ikke tilgjengeliggjøring av opplysninger ved å legge dem ut på en hjemmeside eller liknende.

Forordningen artikkel 45 til 47 oppstiller krav til rettslig grunnlag for overføring av personopplysninger til stater utenfor EØS-området. Innenfor EØS-området skal opplysninger kunne overføres fritt forutsatt at forordningens regler etterleves. I tilfeller der det ikke foreligger noe formelt rettslig grunnlag for overføring av personopplysninger til stater utenfor EØS-området, kan opplysninger bare overføres etter samtykke fra tilsynsmyndigheten, eller i samsvar med et av unntakene fra hovedregelen om overføringsgrunnlag.

Tilsynsmyndighet

Personvernforordningen kapittel VI og VII regulerer organisering av tilsynsmyndigheten og samarbeid mellom tilsynsmyndighetene i de ulike statene. Datatilsynet er tilsynsmyndighet i Norge, jf. personopplysningsloven § 20. Alle stater skal sikre at en eller flere offentlige instanser er ansvarlige for å føre tilsyn med etterlevelse av forordningens regler og for å bidra til en enhetlig anvendelse av reglene i EU. Tilsynsmyndigheten skal være uavhengig. I tillegg er det foreslått en rekke detaljerte regler om oppnevning av medlemmer til tilsynsmyndigheten og hvordan de skal opptre i sitt verv. I artikkel 57 fremgår hvilke oppgaver de nasjonale datatilsynsmyndighetene skal ha.

Utgangspunktet etter forordningen er at hver tilsynsmyndighet skal utøve den myndighet de er tillagt etter forordningen på medlemsstatens territorium. Forordningen legger dessuten til rette for at virksomheter som er etablert i flere EU-land kun skal forholde seg til én tilsynsmyndighet («one-stop-shop»). Der en databehandler eller behandlingsansvarlig er etablert i flere medlemsland, vil tilsynsmyndigheten i landet der databehandleren eller den behandlingsansvarlige har sitt hovedsete, ha kompetanse til å føre tilsyn med hele virksomheten. Det kan dermed oppstå situasjoner der det behandles personopplysninger i Norge, men der en utenlandsk tilsynsmyndighet har kompetanse til å føre tilsyn med behandlingen av personopplysningene. Formålet med ordningen er å redusere administrative byrder for selskaper som opererer i flere EU-land, ved at de kun må forholde seg til én tilsynsmyndighet.

I personvernforordningen kapittel VII del 2 gis det regler om den såkalte konsistensmekanismen («consistency mechanism»), som skal sikre at personvernreglene gis lik anvendelse i hele EU-/EØS-området. Mekanismen består i at enkelte spørsmål, som har betydning for flere medlemsland, skal oversendes Det europeisk personvernråd (opprettet etter regler i kapittel VII del 3) til uttalelse.

Klagemuligheter og sanksjoner

Forordningen kapittel VIII regulerer klagemuligheter og sanksjoner. Artikkel 77 nr. 1 gir en registrert person rett til å klage til tilsynsmyndigheten dersom vedkommende mener at opplysninger om han eller henne behandles i strid med forordningen. Dessuten skal både fysiske og juridiske personer ha tilgang til et effektivt rettsmiddel mot beslutninger fra tilsynsmyndigheten som gjelder vedkommende, artikkel 78.

Videre er det i artikkel 82 fastsatt at personer som har lidt skade som følge av behandling av personopplysninger i strid med forordningen skal ha rett til erstatning fra behandlingsansvarlige eller databehandleren. I tillegg til reglene om erstatning for de registrerte, er tilsynsmyndigheten også gitt hjemmel til å ilegge overtredelsesgebyr ved brudd på en rekke av forordningens regler.

Spesielt for norsk rett er at Datatilsynet også kan ilegge overtredelsesgebyr ved brudd på bestemmelsene i personvernforordningen artikkel 10 om behandling av opplysninger om straffedommer og lovovertredelser og artikkel 24 om den behandlingsansvarliges plikt til å iverksette tiltak for å etterleve regelverket. Et overtredelsesgebyr kan være både et alternativ og et supplement til andre tiltak. De fastsatte gebyrsatsene ligger langt over det som gjaldt etter personopplysningsloven 2000. Av personopplysningsloven § 29 følger dessuten at Datatilsynet kan ilegge tvangsmulkt ved manglende etterlevelse av pålegg. I tillegg til de administrative sanksjonene, fastslår forordningens fortalepunkt nr. 149 at medlemsstatene selv fastsetter regler om straff for overtredelse av personvernreglene. Det er ikke fastsatt slike særskilte regler i personopplysningsloven.

Se også: