Personvernforordningen

Personvernforordningen (forordning 2016/679, på engelsk General Data Protection Regulation, forkortet GDPR) er en forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i Den europeiske union (EU). Opprettelsen av like regler for de næringsdrivende i EU, er også ment å tjene den økonomiske utviklingen i dette området. Forordningen omhandler også i noen grad behandling som skjer utenfor EU eller overføring av personopplysninger ut av EU.

EU-forordning
2016/679
Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning)
Bakgrunn
Utarbeidet		27. april 2016
Trådte i kraft		25. mai 2018
EØS-relevant tekst
EØS-komitevedtak		154/2018
Annen lovgivning
Erstatter		Direktiv 95/46/EF
Status: Gjeldende lovgivning

Logo for GDPR.

Forordningen trådte i kraft 25. mai 2018.^[1] Den avløste da personverndirektivet, og har direkte virkning i medlemslandene, og krever, i motsetning til direktiver, ikke egen eller særskilt nasjonal lovgivning. På dagen for ikrafttredelse ble en rekke nyhetsnettsteder i USA blokkert for europeiske brukere på grunn av de nye personvernreglene.^[2]

Personvernforordningen er også relevant i EØS-samarbeidet.^[3] I Norge trådte forordningen i kraft 20. juli 2018.^[4]

Oppsummering, begrunnelse

Bakgrunnen for forordningen er et ønske om å bedre enkeltpersoners mulighet for å kontrollere opplysninger registrert om dem selv. Videre mente EU at opprettelsen av like regler for alle medlemsland (europeisk integrasjon), ville tjene den økonomiske utviklingen i dette området.^[5]

Forordningen utvider virkeområdet for EUs personvernlovgivning ved at det også dekker alle utenlandske selskaper som behandler data om innbyggere i EU. Ved å skape et felles regelverk i EU blir det enklere for virksomheter å følge reglene. Det legges opp til et strengt vern, og brudd kan medføre strenge straffer på opptil 4% av en den samlede omsetningen til virksomheten.

Innhold

Forordningen viderefører personverndirektivet. Den inneholder følgende sentrale endringer:

Virkeområde

Forordningen gjelder dersom den behandlingsansvarlige, eller databehandleren (en virksomhet), eller den registrerte (individet) er i EU.

I motsetning til det tidligere direktiv gjelder altså forordningen også for virksomheter som er basert utenfor EU, dersom de behandler personopplysninger om EUs innbyggere.

Forordningen gjelder ikke for behandling av personopplysninger av hensyn til nasjonal sikkerhet eller i forbindelse med kriminalitetsbekjempelse.

Personopplysningsbegrepet dekker alle opplysninger knyttet til en person, enten det gjelder hans eller hennes private, profesjonelle eller offentlige liv. Det kan være alt fra et navn, et bilde, en e-post-adresse, bankdetaljer, innlegg på sosiale nettverk nettsteder, medisinsk informasjon, eller en IP-adresse til datamaskinen.^[6]

Norge

I Norge inviterte Justis- og beredskapsdepartementet i 2017 til en høringsrunde om hvordan de norske reglene burde se ut.^[7] Etter høringsrunden fremsatte departementet en proposisjon om hvordan den nye personopplysningsloven kunne innlemme EØS-komiteens forordning.^[8] Stortinget vedtok lovforslaget 22. mai 2018, og den nye personopplysningsloven trådte i kraft 20. juli 2018.^[9][4]

Felles regler og one-stop shop

Forordningen gir et felles regelsett for alle EU-medlemsland. Hver medlemsstat skal opprette en uavhengig tilsynsmyndighet som skal ta imot og behandle klager og ilegge administrative sanksjoner for brudd på forordningen, Tilsynsmyndighetene i hver medlemsstat skal samarbeide med de andre tilsynsmyndighetene, og gi gjensidig bistand.

For virksomheter som er etablert i flere medlemsstater vil den kunne forholde seg til en enkelt tilsynsmyndighet som den ledende tilsynsmyndigheten. Denne skal velges basert på plasseringen av virksomhetens «viktigste etablering» (dvs. stedet hvor den viktigste behandlingen foregår). Den ledende tilsynsmyndigheten vil fungere som en «one-stop-shop» for å føre tilsyn med all behandling aktiviteter for næringslivet i hele EU^[10][11] (GDPR artikkel 46–55).

Koordinering av tilsynsmyndigheter utføres av et europeisk personvernstyre (European Data Protection Board). Den instansen avløste «Artikkel 29 Working Party» (Artikkel 29-gruppen), som var hjemlet i personverndirektivet.

Samtykke

Gyldig samtykke må være eksplisitt for data som samles inn og formål data som er brukt (Artikkel 7; definert i Artikkel 4). Samtykke for barn under 13 år må være gitt av barnets foreldre eller depotmottaker, og etterprøvbar (Artikkel 8). Behandlingsansvarlige må være i stand til å bevise samtykket («opt in») og samtykket kan trekkes tilbake.^[12]

Personvernombud

Utdypende artikkel: Personvernombud

Dersom den behandlingsansvarlige er en offentlig myndighet (med visse unntak for domstolene m.v.) eller en virksomheter med over 250 ansatte, er det obligatorisk å oppnevne et personvernombud. Det samme gjelder databehandlere hvor kjerneoppgaven er behandling av personopplysninger. Andre virksomheter kan fritt velge om de vil oppnevne et personvernombud. Krav til utnevning av ombudets og rammer for oppgaveutførelsen fremgår av forordningens artikler 35–37. Artikkel 29-gruppen hadde fra før utarbeidet en veiledning til forordningens krav til personvernombud.^[13]

Sikkerhetsbrudd

Etter forordningen vil den behandlingsansvarlige være rettslig forpliktet til å varsle tilsynsmyndighetene uten ugrunnet opphold ved sikkerhetsbrudd, med mindre det er usannsynlig at bruddet medfører risiko for personers frihet og rettigheter.^[14] Som sikkerhetsbrudd regnes alle hendelser som har medført ulovlig behandling av personopplysninger.^[15] Enkeltpersoner har rett til å bli varslet, hvis sikkerhetsbruddet sannsynligvis medfører høy risiko for personen.^[16]

Sanksjoner

Følgende sanksjoner kan ilegges:

• en skriftlig advarsel i tilfeller av førstegangs og ikke-tilsiktede brudd
• krav om jevnlig tilsyn
• en bot på opptil 10 000 000 EUR eller, for foretak, opptil 2 % av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder (artikkel 83 nr. 4^[17])
• en bot opp til 20 000 000 EUR, eller, for foretak, opptil 4 % av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder (artikkel 83, avsnitt 5 og 6^[17])

Rett til sletting («retten til å bli glemt»)

Utdypende artikkel: Retten til å bli glemt

Artikkel 17 fastslår at den registrerte har rett til å be om at personopplysninger om ham slettes, hvis et av flere alternative grunnlag er til stede. Et av grunnlagene er at behandlingen ikke er lovlig, eksempelvis at artikkel 6 bokstav f ikke er oppfylt (de legitime interessene til den behandlingsansvarlige overstiger ikke den registrertes interesser og rettigheter).  (se også Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).

I forordningsutkastet fra EU-kommisjonen var denne retten beskrevet som en rett til å bli glemt, og dette uttrykket kan forklare formålet med bestemmelsen. Den vedtatte teksten omhandler imidlertid retten til sletting.

Dataportabilitet

Den registrerte er i forordningen gitt rett til å kunne overføre sine personopplysninger fra ett system til et annet uten å bli hindret fra å gjøre det av den behandlingsansvarlige. Det er også et krav om at opplysningene må gis den registrerte i et strukturert og vanlig brukt elektroniske format. Retten til dataportabilitet er hjemlet i artikkel 20 i forordningen. Artikkel 29 Working Party hadde fra før utarbeidet retningslinjer for denne rettigheten.^[18]

Diskusjoner

Forordningsforslaget gav opphav til mange diskusjoner. Blant temaene som ble diskutert var:

• Hvorvidt kravet om å ha et personvernombud vil være for administrativt tyngende
• Om forordningen gir tilstrekkelig vern for håndtering av ansattes opplysninger
• Om kravet til dataportabilitet mer er et funksjonelt krav for til skytjenester og sosiale nettverk, enn et personvernkrav
• Språklige og personellmessige utfordringer for de lokale personvernmyndigheter:
  • Ikke-europeiske selskaper kan komme til å foretrekke de britiske eller irske personvernmyndighetene på grunn av det engelske språket. Dette vil kreve omfattende ressurser i disse landene.
  • EU-borgere har ikke lenger bare har én personvernmyndighet å kontakte om sine bekymringer, men må forholde seg den myndigheten som den behandlingsansvarlige virksomheten har valgt. Kommunikasjonsproblemer på grunn av fremmedspråk må forventes.
• Om den nye forordningen vil være i strid med andre ikke-europeiske lover og regler og praksis (f.eks. overvåking fra stater). Virksomheter som er basert i slike land, bør ikke lenger betraktes som akseptable for behandling av personopplysninger om EU-personer.
• Den største utfordringen kan være gjennomføringen av personvernforordningen i praksis:
  • Gjennomføringen vil kreve store endringer i rutinene for selskaper som ikke hadde implementert et sammenlignbart nivå for personvern før forskriften trådte i kraft. Dette gjelder spesielt for ikke-europeiske selskaper som håndterer EU-personers opplysninger
  • Det er allerede mangel på personverneksperter og personvernkunnskap i dag. Nye krav som kan forverre situasjonen. Derfor vil utdanning i data- og personvern være en kritisk faktor for å lykkes med forordningen.
  • EU-kommisjonen og personvernmyndighetene må få tilstrekkelige ressurser og myndighet til å gjennomføre implementeringen og et felles beskyttelsesnivå må avtales med alle myndighetene, ettersom ulike fortolkninger vil kunne føre til ulikt personvernnivå i medlemslandene.