Slik blir de nye personvernreglene

Den 14. april vedtok EU-parlamentet en ny personvernforordning. Regelverket er den største endringen innen personvernlovgivning på over 20 år. Forordningen vil tre i kraft i Norge i løpet av 2018. De nye reglene inneholder en rekke endringer med stor betydning for norske virksomheter. Selv om personvernforordningen medfører et strengere regime, er den samtidig godt nytt for norske virksomheter som konkurrerer globalt.

1. Hva blir nytt fra 2018?

EUs moderniserte personvernregler er et omfattende­ regelsett som skal gi borgerne økt kontroll og enklere­ tilgang til personopplysninger, samtidig som hverdagen­ skal gjøres enklere for virksomheter. Dette er en ­vanskelig balansegang. Virksomheters rammevilkår skal forbedres ved harmonisering av lovgivning­, tilrettelegging for grensekryssende transaksjoner og reduksjon av administrative kostnader. Mindre ­byrå­krati på enkelte områder motvirkes imidlertid av økte tilpasningskostnader på andre områder.

Her gjengis noen hovedpunkter fra den nye ­personvernforordningen:

Personvernrutiner vil få økt fokus og skal være ­­inn­ført­ i virksomheten. Selskaper skal gjennomføre ­selv­stendige­ vurderinger av personvernkonsekvenser,­ ­­for­hånds­drøftelser med Datatilsynet, jevnlige ­risiko­vurderinger og bruke prinsippene for innebygd ­personvern.

Personvernombud blir obligatorisk for alle ­offentlige virksomheter og for mange private virksomheter som regelmessig og systematisk behandler person­opplysninger i stort omfang.

Personvernerklæringer skal oppfylle nye krav, være på et forståelig språk og gi økt åpenhet. Samtykke skal skilles tydelig fra øvrige brukervilkår.

Sikkerhetsbrudd som går ut på at uvedkommende har fått tilgang til personopplysninger skal varsles til ­Datatilsynet innen 72 timer.

Konserner som opererer i flere land behøver bare å forholde seg til datatilsynsmyndighetene i ett land og vil i betydelig større grad enn i dag kunne stole på at reglene er like i hele EU/EØS-området.

Forbrukere får nye rettigheter, som at de skal kunne ta med seg data fra en virksomhet til en annen ­("data­portabilitet"), en styrking av retten til å bli glemt ("sletterett") og gis mulighet til å nekte profilering.

Sanksjoner kan ilegges i form av overtredelsesgebyr­ på opptil 20 millioner euro eller inntil 4 % av en ­virksomhets årlige, globale omsetning.

Nytt EU-organ ("European Data Protection Board") skal opprettes og skal avsi tolkningsuttalelser samt sørge for en enhetlig håndhevelse av det nye regelverket.

2. Hvem omfattes?

De fleste norske virksomheter behandler person­­­opp­lysninger elektronisk, for eksempel i egenskap av arbeids­giver (ansattedata), tjenesteleverandør  (kunde- og brukerdata), kommune (befolkningsdata)­ ­eller sykehus (pasientdata). De fleste norske ­virksomheter vil derfor bli underlagt den nye ­personvernforordningen. De nye personvernreglene vil også gjelde for norske virksomheter som behandler ­personopplysninger ­utenfor EU/EØS.

Samtidig vil den nye forordningen påvirke ikke-­europeiske selskaper som har kunder, brukere, ansatte eller kontorer innenfor EU/EØS. Dette skal gi globale tjenesteleverandører slik som Google, ­Amazon og ­Facebook samme rammevilkår som norske og ­europeiske ­selskaper. Reglene er også aktuelle for selskaper som benytter skytjenester eller på annen måte overfører data til ­utlandet. Norske leverandører av skytjenester vil derfor bli mer konkurranse­dyktige siden deres globale ­konkurrenter underlegges tilsvarende regler.

3. Personvernrutiner

De nye reglene innebærer høyere krav til å ­dokumentere virksomhetens internkontroll for person­opplysninger og datasikkerhet. Selskaper skal blant annet ha rutiner for å imøtekomme henvendelser om innsyn i  person­opplysninger, rutiner for sletting slik at data blir fjernet for godt og rutiner for hva som skal gjøres hvis data kommer på avveie. Databehandleravtaler skal oppfylle visse minimumskrav for å sikre ­forsvarlig ­prosessering av personopplysninger ved tjeneste­utsetting.

Økte plikter knyttet til å etablere og revidere ­virksom­heters ­internkontrollsystem medfører en risiko for ­virksomheter som ikke har gode nok personvern­rutiner. Selskaper som ikke er forberedt risikerer ­overtredelsesgebyr.

Samtidig fører de nye reglene til noen forenklinger, slik som bortfall av meldeplikt. Dette er positivt for mange norske virksomheter. Den nye personvernforordningen vil også kunne føre til at konsesjonsplikten helt eller delvis forsvinner. På enkelte områder åpner imidlertid forordningen for nasjonale tilpasninger. Det gjenstår derfor å se om dagens konsesjonsplikt for spesifikke sektorer (bank og finans, forsikring, kredittopplysning, ekom, bomstasjoner) vil bortfalle i sin helhet.

4. Personvernombud

De nye reglene stadfester en plikt til å utnevne ­personvernombud for alle virksomheter hvis kjerne­aktivitet involverer i) systematisk overvåkning av ­enkeltpersoner i stor skala, eller ii) behandling av ­sensitive person­opplysninger i stor skala.

Personvernombudet skal besitte ekspertkompetanse­ ­innen personvern og skal samarbeide tett med ­virksomhetens ledelse og ansatte for å ivareta data­subjekters interesser og føre tilsyn med ­virksomhetens behandling­ av personopplysninger. Personvern­ombudet skal ­rapportere til øverste leder og ha et særlig stillingsvern. Ombudet skal også være ­virksomhetens kontakt­person for kunder, publikum og ­tilsyns­myndigheter i ­forbindelse med personvern­relaterte henvendelser.

Større virksomheter og selskaper som utfører mer komplekse databehandlingsoperasjoner bør vurdere hvorvidt ombudsrollen skal settes ut. Virksomheter bør derfor være tidlig ute med å planlegge hvordan de best kan rekruttere, utvikle og utdanne personvernombud. En ryddig og god fremgangsmåte på dette punkt vil dessuten være omdømmebyggende idet det signaliserer ovenfor publikum, kunder og ansatte at virksomheten tar personvern på alvor.

5. Samtykke

De nye reglene får konsekvenser for norske selskaper som baserer seg på innhenting av samtykker, hvilket i praksis betyr det aller meste av online-virksomhet. Når en kunde samtykker til en bestemt behandling av personopplysninger (for eksempel til å motta markedsføring på e-post) ved å akseptere brukervilkår­ eller ­personvernerklæring, så skal den delen av vilkårene som gjelder samtykke til behandling av person­opplysninger skilles tydelig fra øvrig tekst. Ved brudd på dette kravet er samtykket ikke bindende. Mange norske virksomheter bør derfor oppdatere sine ­samtykkemekanismer før den nye personvern­forordningen trer i kraft.

Selskapers gjennomgang av samtykkemekanismer bør også sikre at samtykket er avgitt frivillig, uttrykkelig og informert. Forhåndsavkryssede "samtykkebokser" eller annet passivt samtykke vil ikke oppfylle de nye reglene.

6. Konserner og dataeksport

Som følge av de nye reglene vil det trolig også bli høyere myndighetsfokus på konserninterne overføringer av personopplysninger, spesielt for overføringer fra Norge til selskaper utenfor EU/EØS. Norske virksomheter bør derfor gjennomgå sine rutiner for å sikre lovlige data­overføringer på tvers av landegrenser. Det vil i den sammenheng være avgjørende å kunne dokumentere at selskapet har ut­arbeidet databehandleravtaler og sårbarhetsanalyser.

Den mest kostnadseffektive måten for et multi­nasjonalt konsern å sikre samsvar med de nye reglene på, er å lage bindende konsernregler ("BCR") for overføring av personopplysninger. Dette er spesielt praktisk der et konsern opererer i flere EØS-land og ønsker å overføre personopplysninger fra ett eller flere av disse EØS-landene til konsernselskaper i ett eller flere land utenfor EØS.

7. Sanksjoner

Den nye personvernforordningen gir myndighetene adgang til å ilegge bøter opp til 20 millioner euro eller opp til 4 % av et konserns årlige, globale omsetning. Datatilsynet har etter gjeldende rett ikke gitt høyere bøter enn 600,000 kroner for engangsovertredelser av personvernreglene. Det nye regimet innebærer derfor en betydelig endring i risikoeksponering og gir norske virksomheter god grunn til å tenke nøye gjennom sine interne personvernrutiner. Det gjenstår å se hvordan det nye sanksjonsregimet vil bli praktisert, eksempelvis om myndighetene vil være tilbakeholdne med bøter (slik som i dag) og om det legges opp til et markert skille mellom milde og grove overtredelser.

8. Hva nå?

Justis- og beredskapsdepartementet, Kommunal- og moderniseringsdepartementet og Datatilsynet er i gang med et større arbeid som skal sikre en smidig overgang fra det eksisterende lovverket til nye regler i 2018.

Et skjerpet regime vil kreve endringer for norske ­virksomheter som ikke har gode nok personvern­rutiner. Det er derfor hensiktsmessig å starte en ­gjennomgang av interne prosedyrer, avtaler, dokumenter, nettsider og overføringer av personopplysninger. Tiltak bør settes inn der nødvendige rutiner mangler.

Kompetanseområder

Advokater

Jeppe Songe-Møller
Kaare M. Risung
Eva Jarbekk

Publisert

04. mai 2016