Nyhetsbrev - Forslag til ny personopplysningslov

Den 6. juli 2017 sendte Justis- og beredskapsdepartementet forslag til ny personopplysningslov på høring. Departementet har fremhevet flere punkter hvor det særlig bes om innspill. Høringsfrist er 16. oktober 2017. Forslaget innlemmer EUs personvernforordning i norsk rett gjennom referanse og vil medføre en rekke endringer av stor betydning for norske selskaper. Viktige elementer er sterkere reaksjoner på brudd, behov for personvernvurderinger fra start til slutt i IT-prosjekter og bortfall av konsesjonsplikt. Rutiner, vurderinger og atferdsnormer må utarbeides eller revideres for å sikre individers styrkede rettigheter, blant annet rett til dataportabilitet og rett til å protestere mot såkalt profilering. Mange virksomheter må utpeke personvernrådgiver.

Utskriftevennlig versjon

1. Høringsinnspill

Lovforslaget innebærer en fornyet regelstruktur med omfattende endringer og flere nye konsepter og begreper. Departementet ber om særlig innspill på flere områder. Vi vil fremheve følgende hovedpunkter:

1.1 Individers rettigheter

Departementet ber om innspill på behovet for unntak fra individers rett til korrigering og sletting av opplysninger, begrensning av behandling, dataportabilitet, retten til å protestere og retten til ikke å være gjenstand for automatiserte individuelle avgjørelser.

1.2 Biometri

Departementet ber om innspill på om vilkårene for bruk av biometriske identifikasjonsmidler bør fastsettes i nasjonale særregler, eller om de alminnelige reglene for behandling av sensitive opplysninger i EUs personvernforordning bør gjelde.

1.3 Barns samtykke

Departementet ber om innspill på om aldersgrensen for barns samtykke ved bruk av informasjons-samfunnstjenester bør settes til 13 år.

1.4 Prosessuelle forhold

Departementet ber om innspill på om Datatilsynet bør kunne ilegge gebyr for visse typer overtredelser, om det bør innføres en foreldelsesfrist for adgangen til å ilegge gebyr, om Datatilsynet bør få adgang til administrativ inndragning og om overtredelse av loven fortsatt bør være straffesanksjonert.

Frist for å sende inn høringssvar er 16. oktober 2017.

2. Implementering

EUs personvernforordning ("forordningen") vil bli gjennomført i norsk rett ved inkorporasjon, det vil si at forordningen gjøres gjeldende uten omskrivinger gjennom en henvisningsbestemmelse i den nye personopplysningsloven. Videre foreslås det norske lovbestemmelser som utfyller reglene i forordningen på de punkter der forordningen åpner for dette. Departementet har ved slik skjønnsutøvelse i hovedsak tatt sikte på å videreføre gjeldende rett.

Forordningen gjelder direkte i alle EUs medlemsstater fra 25. mai 2018. Departementet tar sikte på at den nye personopplysningsloven skal tre i kraft i Norge på samme dato. Ikrafttredelse forutsetter at forordningen formelt er innlemmet i EØS-avtalen, og at Stortinget har samtykket til innlemmelsen.

3. Virkeområde

Forordningens artikkel 4 nr. 1 gjør det klart at begrepet «personopplysninger» omfatter opplysninger om fysiske personer. I dette ligger at opplysninger om juridiske personer faller utenfor forordningens anvendelsesområde. Dette er i samsvar med gjeldende norsk rett, og departementet foreslår ingen endring på dette punkt.

Forordningens artikkel 3 nr. 2 fastslår at forordningen på visse vilkår får anvendelse på behandling av personopplysninger om ansatte, kunder eller brukere som befinner seg i EU, og som utføres av selskaper som ikke er etablert i EU. Dette er en betydelig utvidelse sammenlignet med dagens regler. Datatilsynet har påpekt at det kan stilles spørsmål ved om det er mulig å håndheve de nye personvernreglene utenfor Europas grenser. Departementet antar at utvidelsen av geografisk virkeområde reiser faktiske og rettslige spørsmål som i første rekke må avklares gjennom praksis.

4. Samtykke

Samtykke er i artikkel 4 nr. 11 definert som «enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende».

Kravet til spesifikt samtykke innebærer at det må gis samtykke til alle behandlingsaktiviteter som utføres for samme formål, og at det må gis samtykke til alle formålene dersom behandlingen har flere formål, jf. fortalepunkt 32. Samtykket til behandling av personopplysninger skal videre skilles fra andre forhold, jf. artikkel 7 nr. 2. Kravet til informert samtykke betyr at en anmodning om samtykke skal være i en forståelig og lett tilgjengelig form og formulert på et klart og enkelt språk, jf. forordningens artikkel 7 nr. 2.

Forordningen viderefører med dette i det vesentlige gjeldende rett, men kravene er utdypet og presisert. Lovforslaget vil få konsekvenser for norske selskaper som baserer seg på innhenting av samtykker, hvilket i praksis betyr alle virksomheter som benytter digitale kanaler. Mange norske virksomheter bør derfor oppdatere sine samtykkemekanismer før den nye personopplysningsloven trer i kraft.

5. Personvernrutiner

Forordningens artikkel 24 innebærer krav til å dokumentere virksomhetens internkontroll for personopplysninger og datasikkerhet. Selskaper skal blant annet ha rutiner for å imøtekomme henvendelser om innsyn i personopplysninger, rutiner for sletting slik at data blir varig fjernet og rutiner for hva som skal gjøres dersom data kommer på avveie. I tillegg skal man ha foretatt risikovurderinger. Databehandleravtaler skal oppfylle visse minimumskrav for å sikre forsvarlig prosessering av personopplysninger ved tjenesteutsetting. Dette innebærer en videreføring av gjeldende rett.

Forordningens artikkel 24 må imidlertid ses i sammenheng med andre regler som pålegger selskaper å treffe egnede tekniske og organisatoriske tiltak, blant annet reglene om innebygd personvern og personvern som standardinnstilling, jf. forordningens artikkel 25. Dette utgjør nye konsepter sammenlignet med dagens regime.

Innebygd personvern følger av artikkel 25 nr. 1, og innebærer at selskaper skal gjennomføre egnede tekniske og organisatoriske tiltak «både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen». Personverntiltak skal altså bygges inn helt fra begynnelsen av et prosjekt slik at personvernet blir en integrert del. Departementet nevner pseudonymisering og dataminimering som eksempler på tiltak.

Sett i lys av plikten til vurdering av personvernkonsekvenser (se under), innebærer lovforslaget samlet sett en innskjerping av krav til å dokumentere virksomhetens internkontroll.

6. Vurdering av personvernkonsekvenser

Forordningens artikkel 35 nr. 1 bestemmer at selskaper på nærmere vilkår har plikt til å foreta en vurdering av personvernkonsekvenser før behandlingen begynner. Plikten inntrer når det er «trolig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter».

Nåværende personopplysningslov har ingen bestemmelser som pålegger selskaper en plikt til vurdering av personvernkonsekvenser før et nytt tiltak iverksettes. Riktignok pålegger personopplysningsforskriften § 2-4 selskaper å foreta en risikovurdering for å kartlegge sannsynligheten for og konsekvensene av eventuelle sikkerhetsbrudd, men denne plikten er begrenset til informasjonssikkerhetsområdet.

Kravene til innholdet i vurderingen av personvernkonsekvenser følger av forordningens artikkel 35 nr. 7 bokstav a til d.

7. Varsling

Forordningens artikkel 33 nr. 1 bestemmer at selskaper skal melde brudd på personopplysningssikkerheten til Datatilsynet uten ugrunnet opphold etter å ha fått kjennskap til det, eller innen 72 timer når dette er mulig.

Brudd på personopplysningssikkerheten er i forordningens artikkel 4 nr. 12 definert som «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».

Varslingsplikten gjelder ikke dersom det er «lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter». Bestemmelsen innebærer en viss utvidelse av plikten til å varsle om brudd på sikkerheten sammenlignet med dagens personopplysningsforskrift § 2-6 tredje ledd.  Forordningen stiller også mer utfyllende krav til meldingens innhold, jf. artikkel 33 nr. 3 bokstav a til d.

Videre innebærer forordningen at databehandlere vil få en selvstendig plikt ved brudd på personopplysningssikkerheten til å varsle behandlingsansvarlig uten opphold, jf. artikkel 33 nr. 2. Dette innebærer en innskjerping sammenlignet med dagens personvernregler.

Forordningens artikkel 34 fastsetter også en plikt til å varsle ansatte, kunder eller brukere om brudd på personopplysningssikkerheten. En slik regel finnes ikke i gjeldende personopplysningslov. Varslingsplikten inntrer når det er «sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter», jf. artikkel 34 nr. 1. Terskelen er dermed høyere enn for varsling til Datatilsynet.

8. Atferdsnormer

Forordningens artikkel 40 legger opp til at det skal utarbeides atferdsnormer som skal bidra til riktig anvendelse av forordningen. Departementet anser dette som en god måte å sikre etterlevelse på, særlig i enkelte bransjer og for mindre virksomheter.

Forordningens artikkel 40 nr. 5 innebærer at atferdsnormer skal godkjennes av Datatilsynet, og atferdsnormene skal inneholde mekanismer som gjør det mulig å utføre tilsyn med at normene overholdes av selskaper som har sluttet seg til dem. Tiltakene som kontrollorganet kan treffe må fastsettes i atferdsnormene. Datatilsynet vil ikke kunne vedta pålegg eller sanksjoner direkte for brudd på atferdsnormer. Det følger imidlertid av flere bestemmelser i forordningen at overholdelse av atferdsnormer kan brukes som faktor for påvise at forordningen overholdes. Videre følger det av forordningens artikkel 83 nr. 2 at det skal tas hensyn til overholdelse av godkjente atferdsnormer ved Datatilsynets avgjørelse av om det skal ilegges overtredelsesgebyr og gebyrets størrelse.

Dagens personopplysningslov har også regler om bransjenormer, men brudd på normene vil ikke i seg selv kunne føre til myndighetsreaksjoner.

9. Personvernrådgiver

Forordningens regler om personvernrådgivere innebærer en betydelig utvidelse av ordningen sammenlignet med gjeldende norske bestemmelser om personvernombud.

Forordningens artikkel 37 nr. 1 pålegger den behandlingsansvarlige og databehandleren en plikt til å utpeke personvernrådgiver når i) behandlingen utføres av en offentlig myndighet eller et offentlig organ, ii) når virksomheten består av behandlingsaktiviteter som på grunn av sin art, omfang eller formål krever regelmessig eller systematisk monitorering av registrerte i stor skala, eller iii) den behandlingsansvarliges hovedvirksomhet består i behandling i stor skala av sensitive opplysninger eller opplysninger om straffedommer og lovovertredelser.

Videre inneholder forordningen detaljerte regler om faglige kvalifikasjoner, stilling, taushetsplikt og oppgaver for personvernrådgivere. Mange norske selskaper som i dag ikke har personvernombud vil omfattes av plikten til å utpeke personvernrådgiver.

10. Melde- og konsesjonsplikt

Forordningen avskaffer ordningen med meldeplikt etter dagens personopplysningslov. Forordningen legger heller ikke opp til at behandlinger skal forhåndsgodkjennes av myndighetene gjennom konsesjon. Tilsyn skal som hovedregel foregå som etterkontroll. Datatilsynet gis også en sterkere veiledningsrolle, blant annet gjennom plikten til å foreta forhåndsdrøftinger. Videre skal Datatilsynet godkjenne atferdsnormer som nevnt over. Samtidig skjerpes pliktene som påhviler selskapene for å sikre at behandlingen er i samsvar med forordningen, f.eks. plikt til internkontroll, utarbeide risikovurderinger, utredning av personvernkonsekvenser og plikt for visse virksomheter til å ha personvernrådgiver.

Forordningen åpner her for nasjonale tilpasninger. Departementet foreslår at både melde- og konsesjonsplikten ikke videreføres. Dette innebærer at dagens standardkonsesjoner for blant annet bank, finans og forsikring som utgangspunkt bortfaller. Departementet nevner imidlertid at det hefter noe usikkerhet til hvordan virkemidlene i forordningen vil virke i praksis, og det foreslås derfor å innføre en forskriftshjemmel som kan benyttes til å gjeninnføre konsesjonsplikt dersom det skulle vise seg at dette skulle være nødvendig for å sikre et tilstrekkelig personvern. Departementet uttaler at dette er ment som en sikkerhetsventil som bare bør benyttes for spesifikke behandlingssituasjoner. Det legges opp til en overgangsperiode på to år for virksomheter som er underlagt konsesjon.

Kredittopplysningsvirksomhet vil etter departementets syn også under forordningen ha et behov for en mer detaljert regulering. En slik regulering kan tas inn i lov, forskrift eller atferdsnormer. Departementet uttaler at myndigheten vil komme tilbake til hvordan kredittopplysningsvirksomhet bør reguleres.

11. Individers rettigheter

Forordningens kapittel III innebærer at ansatte, kunder og brukere får enkelte nye rettigheter, som at de skal kunne ta med seg data fra en virksomhet til en annen (dataportabilitet) og gis mulighet til å nekte såkalt profilering. I stor grad vil bestemmelsene i forordningens kapittel III imidlertid bety en videreføring av dagens rettstilstand.

Departementet foreslår ingen konkrete unntak i nasjonal rett når det gjelder individers rett til korrigering, sletting, begrensning av behandling, dataportabilitet, rett til å protestere og rett til ikke å være gjenstand for automatiserte individuelle avgjørelser, men det bes om særlige innspill på dette punktet i høringen.

12. Tilsyn

Forordningen legger opp til et utvidet europeisk samarbeid og fastsetter til dels detaljerte regler for hvordan dette samarbeidet skal foregå. Selv om forordningen legger opp til at hver stats tilsynsmyndighet skal utøve den myndighet de er tillagt etter forordningen på eget territorium, innføres det samtidig en ordning der konserner som er etablert i flere EU-land bare behøver å forholde seg til én tilsynsmyndighet (ettstedsmekanismen), jf. forordningens artikkel 56. Denne mekanismen gjelder også for selskaper som bare er etablert i ett EU-land, men som utøver grenseoverskridende behandling av personopplysninger.

Hvis en databehandler eller behandlingsansvarlig er etablert i flere medlemsland, eller utøver grensegrenseoverskridende behandling av personopplysninger, er hovedregelen at tilsynsmyndigheten i det landet der databehandleren eller behandlingsansvarlige har sin hovedvirksomhet har kompetanse til å føre tilsyn med virksomheten (ledende tilsynsmyndighet).

For å bidra til en ensartet anvendelse av forordningen er det opprettet en konsistensmekanisme hvor Det europeiske personvernråd (EDPB) er gitt en sentral rolle, jf. artikkel 64 til 67. Datatilsynet blir blant annet pålagt å forelegge visse typer tiltak slik som personvernkonsekvensutredninger og godkjenning av bindende konsernregler for EDPB. Videre skal EDPB kunne fatte avgjørelser dersom en ledende tilsynsmyndighet ikke følger en innsigelse fra en annen berørt nasjonal tilsynsmyndighet. Det fastsettes også saksbehandlingsregler og hasteprosedyrer.

13. Sanksjoner

Forordningens bestemmelser om overtredelsesgebyr betyr at maksimumsbeløpet heves betydelig. Mens dagens personopplysninglov har en øvre grense på 936,340 kroner (10 G), fastsetter forordningen en øvre grense på 20 millioner euro, eller 4 % av den samlede globale årsomsetningen i forutgående regnskapsår hvis denne er høyere.

Videre åpner forordningens artikkel 58 nr. 6 for at Datatilsynet kan få rett til å ilegge administrative reaksjoner slik som inndragning av utbytte eller gjenstand. Departementet mener gode grunner taler for at Datatilsynet gis slik myndighet og viser blant annet til at dette vil gi Datatilsynet et mer helhetlig reaksjonsregime og gjøre behovet for straffesanksjonering mindre. Det bes om særlige innspill på dette punktet i høringen.

Forretningsområder

Primærkontakter

Kaare M. Risung
Jeppe Songe-Møller
Anne-Marit Wang
Trine Ottervik

Publisert

7. juli 2017