Av prosessfullmektig advokat Gjermund Pekeberg og advokatfullmektig Maria Drougge Millidahl
Den 25. mai 2018 trer en ny lov om personopplysninger i kraft. Dette som følge av ny personvernforordning som skal sørge for lik regulering i hele EU/EØS.
Loven gjelder alle som behandler personopplysninger ved elektronisk behandling eller der slike opplysninger inngår eller skal inngå i et register. Med dagens teknologi gjelder dette i praksis for alle virksomheter.
Så hva er personopplysninger? Dette er opplysninger eller vurderinger som kan knyttes til en bestemt person. For eksempel navn, adresse, fødselsnummer eller en IP- adresse.
Personopplysninger kan også være sensitive. Eksempler på sensitive opplysninger er opplysninger om helse, etnisitet og politisk standpunkt.
All «behandling» omfattes av reglene. Dersom en bedrift på noen måte samler inn opplysninger av ovennevnte karakter, plikter den å følge personvernreglene. Lagrer bedriften opplysninger om kundene, driver e-postmarkedsføring eller bruker en leverandør til å lagre bedriftens persondata- ja, da behandles personopplysninger.
Regler om personvern skal bidra til å unngå krenkelser mot enkeltpersoner ved behandling av personopplysninger. I vårt internett-styrte samfunn utveksles informasjon på tvers av grenser og personopplysninger har blitt en viktig handelsvare. Som eksempler kan vi nevne Facebook, Instagram, Spotify og Youtube. Alle er plattformer for utveksling av personopplysninger.
Det er viktig å sette seg inn i den nye loven og følge disse reglene. Det er ikke lenger krav til konsesjon og meldeplikt etter den nye forordningen, da ansvaret flyttes over på virksomhetene selv. Med ansvar følger også sanksjoner dersom reglene ikke blir overhold, og virksomheter som ikke følger loven kan risikere bøter på opptil 4 % av den totale omsetningen i virksomheten.
For å forstå regelverket er det viktig å ha klart for seg innholdet av begrepene behandlingsansvarlig og databehandler.
Behandlingsansvarlig er vedkommende virksomhet eller person som bestemmer hva personopplysningene skal brukes til og hvilke elektroniske hjelpemidler som skal anvendes til å behandle opplysningene. Behandlingsansvarlig har ansvaret for at personopplysninger håndteres i tråd med reglene. Dersom dette ikke er tilfelle, kan den behandlingssansvarlige bli gjenstand for ulike sanksjoner.
Databehandler er virksomhet eller person som behandler opplysningene på vegne av den behandlingsansvarlige, for eksempel en softwaretilbyder, andre leverandører, en samarbeidspartner, konsulentselskaper eller lignende. Grunnlaget for en databehandlers behandling av personopplysninger vil være databehandleravtalen, som skal etableres i alle slike relasjoner.
Databehandleren får nå et selvstendig ansvar for at opplysningene håndteres i tråd med reglene og kan også bli gjenstand for ulike sanksjoner. For å forklare forskjellen på behandlingsansvarlig og databehandler, kan det tenkes en situasjon der en bedrift kjøper datalagringstjeneste hos et selskap som tilbyr dette, det kan være en leverandør av personalsystemer der dataserveren er plassert hos leverandøren. I dette eksempelet er datalagringsleverandøren databehandler, mens bestilleren av tjenesten er behandlingsansvarlig.
For å behandle personopplysninger må virksomheten ha et gyldig grunnlag, et såkalt behandlingsgrunnlag. Dette kan være lovhjemmel, samtykke eller annen nødvendighet som oppfyllelse av avtale, rettslig forpliktelse eller offentlig oppgave m.fl. Behandlingsgrunnlagene er uttømmende regulert i personvernforordningen og foreligger ikke et slikt grunnlag, vil behandlingen være ulovlig.
Ved bestilling av en vare, for eksempel et kjøkken, vil behandlingsgrunnlaget for å registrere kontaktopplysningene til kunden være avtalen, altså bestilling og ordrebekreftelse. Skal kontaktopplysningene brukes til andre formål, for eksempel i markedsføring, kreves det en egen samtykkeerklæring for denne bruken. Når samtykke er behandlingsgrunnlaget skal det gis opplysninger om formålet med behandlingen og retten til å trekke samtykke tilbake.
Det skal også kunne dokumenteres at den registrerte har gitt sitt samtykke. Dersom det er flere formål med behandlingen skal det kunne gis samtykke for de ulike deler, slik at samtykkeerklæringer som benyttes i dag ofte vil måtte deles opp for å kunne benyttes etter de nye reglene.
Så til det sentrale spørsmålet, hva blir annerledes med de nye reglene og hvordan påvirker dette virksomheten?
Reglene vil for det første omfatte et større geografisk området. Bedrifter som er registrert utenfor EU-/EØS-området, men som selger varer og tjenester til EU-/EØS-land vil omfattes av det nye regelverket. Det gjør de ikke i dag. Med nye regler kan ikke behandlingsansvarlig benytte seg av databehandler som ikke følger ny personvernforordning. Dette betyr at dersom virksomheten bruker en leverandør utenfor EU/EØS må benhandlingsansvarlig sørge for at leverandøren følger de nye reglene. Samtidig har databehandlere som tilbyr tjenester innenfor EU-/EØS-området selvstendig plikt til å overholde regelverket.
Personopplysningene skal kun brukes i tråd med et tydelig spesifisert formål. Dersom opplysningene skal brukes til andre formål, må man forsikre seg om at det nye formålet er i tråd med det gamle. I det nye regelverket får behandlingsansvarlig hjelp til å avgjøre hva som er forenlig formål ved en «kompatibilitets-test» i forordningsteksten. Dersom det nye formålet er uforenlig med det gamle, må det innhentes nytt samtykke eller behandlingen må hjemles i et annet behandlingsgrunnlag.
Det er et viktig prinsipp i forordningen at informasjon om behandling av personopplysninger skal gis på en klar og tydelig måte og med et lett forståelig språk. Informasjonen skal være lett tilgjengelig og ikke gjemmes bort i en erklæring som også inneholder andre ting.
Borgerne får flere nye rettigheter som går ut på å få behandlingen av sine personopplysninger begrenset. Man vil blant annet kunne kreve ikke å bli overvåket og sporet, noe som blir brukt i utstrakt grad i markedsføringsøyemed i dag. Videre får borgerne rett til å motsette seg behandling av opplysninger, samt en tydeligere rett til å kreve sletting av egne opplysninger dersom det ikke lenger er nødvendig at opplysningene tas vare på («rett til å bli glemt»).
Ved sletting eller begrensede opplysninger har den behandlingsansvarlige plikt til å videreformidle dette til alle som har mottatt opplysningene. Borgerne får også en rett til å motta opplysningene om seg selv i et leselig format samt rett til å overføre opplysningene til annen behandlingsansvarlig («dataportabilitet»).
For å ivareta de registrertes personvern, tillegges virksomhetene også flere plikter.
For det første pålegges en plikt for virksomheten til å ha et «innebygd personvern». Dette betyr at den tekniske løsningen hos bedriften skal utvikles slik at personvernet blir ivaretatt og at det nye regelverket overholdes. Det minst personverninngripende alternativet skal være standard i alle systemer. Det nye regelverket nevner konkret at man skal ha standardinnstilling for mengden personopplysninger som samles inn, omfanget av behandlingen, lagringstid og tilgjengelighet. Det stilles også krav om at det ikke skal være mulig å gjøre opplysningene tilgjengelig for et ubestemt antall personer uten at den registrerte medvirker.
Tidligere har «innebygd personvern» vært en anbefaling både fra EU og nasjonalt fra Datatilsynet, men det har ikke vært lovbestemt.
Mange virksomheter får også plikt til å opprette et personvernombud/-rådgiver, en ordning som er frivillig i dag. Dette vil gjelde offentlige virksomheter, virksomheter som regelmessig/systematisk overvåker personer i stort omfang og virksomheter som behandler sensitive personopplysninger i stort omfang. Det stilles krav til ombudets fagkunnskap og ombudet skal involveres i alle saker som handler om behandling av personopplysninger samt være kontaktpunkt for de registrerte. Alle registrerte skal kunne ta direkte kontakt vedrørende spørsmål knyttet til behandling av personopplysninger.
Nye regler vil også gi databehandlere plikt til å ha rutiner for innsamling og bruk av personopplysninger, varsle ansvarlig ved avvik og opprette personvernombud på lik linje med behandlingsansvarlig. Databehandlere vil ha plikt til å gi beskjed til behandlingsansvarlig dersom instruksjonene de får er i strid med forordningen. Alle pliktene kommer ved siden av databehandleravtalen som det også stilles nye krav til i den nye forordningen.
Et annet viktig punkt er at virksomheten får utvidet plikt til selv å vurdere personvernkonsekvenser ved behandling av personopplysninger. Dette er et resultat av at melde- og konsesjonsplikt ved behandling av sensitive opplysninger faller bort slik at virksomheten selv må ta ansvaret og vurdere risikoen før nye tiltak iverksettes.
I tilfeller der virksomheten utfører behandling som medfører stor risiko for personvernet, skal virksomheten utrede mulige personvernkonsekvenser. Dette vil blant annet være ved behandling av sensitive opplysninger i stort omfang, systematisk overvåkning i det offentlige rom, ved bruk av ny teknologi eller dersom behandlingen omfatter automatiserte avgjørelser (avgjørelser som foretas av dataprogrammer uten menneskelig innblanding). I forordningen stilles det krav til hva en konsekvensvurdering skal inneholde. Dersom konsekvensanalysen viser at behandlingen vil ha høy risiko og ikke kan reduseres ved virksomhetens interne tiltak, skal Datatilsynet involveres.
Når det gjelder avvikshåndtering, er dagens regler slik at bedriften skal melde ifra til Datatilsynet dersom konfidensielle opplysninger har kommet på avveie. Kravene skjerpes ved ny forordning ved at alle avvik som skyldes brudd på datasikkerheten skal meldes. Unntaket er dersom det er usannsynlig at avviket medfører risiko for personens rettigheter eller personvern. Avviksmeldingene skal leveres innen 72 timer.
Så hva bør bedriften gjøre for å kunne forberede seg best mulig i forhold til de nye reglene? Først og fremst bør man ta en grundig gjennomgang av hvilke opplysninger man behandler, hvor de kommer fra og hva som er behandlingsgrunnlaget. Samtidig bør man sette seg inn i de nye reglene og ta en gjennomgang av rutiner og systemer som benyttes. Er disse bra nok og vil de ivareta kravene i det nye regelverket?