Sikker

Forslag til ny personopplysningslov – hva bortfaller, hva endres og hva er nytt?

I går kom forslaget til ny personopplysningslov som skal erstatte dagens lov og personopplysningsforskriften. Lovforslaget er i stor grad gjennomføring av personvernforordningen (GDPR) til norsk rett, og i Norge vil ikke endringene fra dagens lovverk være store, men noen vesentlige endringer blir det. Her er en oversikt over de endringer som kan ha størst betydning dersom forslaget til ny lov besluttes som foreslått.

I april 2016 ble personvernforordningen vedtatt i EU, og i mai 2018 får forordningen virkning for hele EU- og EØS-området, også Norge. I Norge vil det komme en ny personopplysningslov som gjør forordningen til norsk lov, som det altså nå er kommet forslag til. Den nye loven medfører at dagens personopplysningslov fra 2000 og personopplysningsforskriften oppheves. Det tas sikte på å at den nye personvernloven skal gjelde fra 25. mai 2018, altså fra samme tidspunkt som personvernforordningen får virkning i EU/EØS.

Lovgivningsmåten som er benyttet ved den nye personopplysningsloven er noe annet enn det vi er vant til i Norge, ved at forordningen innføres i norsk rett ved at det gis en henvisning til personvernforordningen i § 1 i forslaget til ny lov. Så er det tatt inn enkelte unntak og utfylling av forordningen i resten av loven – som er ganske kort – bare 24 paragrafer. En slik implementeringsmåte vil trolig gi en del uklarhet om hva som gjelder i Norge og ikke gjøre det enkelt for borgerne å avklare hva som er gjeldende rett.

Det er ikke store muligheter for de enkelte land til å vedta lovbestemmelser som avviker fra personvernforordningen (noe som følger av personvernforordningen og av EØS-avtalen), men noe handlingsrom er det. Forslaget til ny personopplysningslov er derfor ikke bare en ren oversettelse av personvernforordningen, siden enkelte av de reglene som gjelder i dag i Norge, og som ikke er med i personvernforordningen, er søkt videreført i lovforslaget i den grad personvernforordningen åpner for det.

Det er imidlertid noen endringer fra dagens personvernregler i det nye lovforslaget, og her er en oversikt over de viktigste:

Slutt på meldeplikt og konsesjonsplikt. Melde- og konsesjonsplikten som gjelder etter dagens lov og forskrift bortfaller, og erstattes med at behandlingsansvarlige skal foreta vurderinger av personvernkonsekvenser, se nedenfor, og forhåndsdrøfting med Datatilsynet. Datatilsynets kontroll går dermed i stor grad over til å kun være etterkontroll, men Datatilsynet får en strengere veiledningsrolle i forkant av behandlingen tar til. For dagens konsesjoner blir vilkårene etter disse gjeldende inntil konsesjonene løper ut.

Sensitive personopplysningerSom hovedregel er behandling av sensitive personopplysninger ikke tillatt etter forordningen og da den nye personopplysningsloven, men det er en rekke unntak fra hovedregelen og Datatilsynet kan godkjenne behandling i spesielle tilfelle. Definisjonen av sensitive personopplysninger blir som etter dagens lov, men det kommer to nye kategorier personopplysninger inn under definisjonen: Genetiske og biometriske opplysninger som har det formål å entydig identifisere en fysisk person.

Samtykke. Det var mye omtalt at samtykkekravet ville bli strengere under forordningen, men kravet er ikke mye strengere enn det som gjelder etter dagens personopplysningslov. Det er imidlertid noen endringer i reguleringen om samtykke, bl.a. at den registrerte skal informeres om at samtykke kan trekkes tilbake, og at det skal være like enkelt å trekke tilbake samtykke som å gi det. Dette vil imidlertid ytterligere svekke samtykke som grunnlag for behandling, og behandlingsansvarlige bør finne andre behandlingsgrunnlag. Det kreves også at det skal være mulig å gi separat samtykke til de forskjellige behandlingsaktiviteter når dette er hensiktsmessig i det enkelte tilfelle, og krav om at samtykke skal dekker alle behandlingsaktiviteter som utføres for samme formål. Den registrerte må minimum ha kunnskap om den behandlingsansvarliges identitet og formålet med behandlingen av personopplysningene når samtykke gis. Brytes noen av nevnte krav, vil det kunne ha den virkning at gyldig samtykke ikke foreligger, og det er den behandlingsansvarliges plikt å kunne påvise at det foreligger gyldig samtykke.

Delt behandlingsansvar. Etter dagens personvernlovgivning er det ingen regler om delt behandlingsansvar, men dette vil nå reguleres i ny personopplysningslov uten at det trolig få så store praktiske konsekvenser.

Behandling som ikke krever identifikasjon. Dersom det behandles personopplysninger som ikke krever at den behandlingsansvarlige kan identifisere registrerte, så har ikke den behandlingsansvarlige plikt til å bevare, innhente eller behandle ytterligere opplysninger for å identifisere registrerte. Dette er en ny regel som følger av forordningen for å ikke pålegge plikter til å behandle personopplysninger som ikke er nødvendig.

De registrertes rettigheter. Forordningen, og dermed den nye personopplysningsloven, medfører en presisering og en utdypning av mange av de rettighetene de registrerte har i dag. En ny regel er at informasjon til de registrerte skal gis på en forståelig og lett tilgjengelig måte. Dette kan bety at omfattende og kompliserte personvernvilkår ikke er akseptable eller gyldige bl.a. som samtykke. Det blir mer omfattende krav til den informasjon som de registrerte skal få av behandlingsansvarlig, og det tas inn unntak fra å gi informasjon bl.a. dersom det er umulig eller uforholdsmessig vanskelig å gi informasjon.

Sletting. Med personvernforordningen kommer det mer omfattende plikter til å slette personopplysninger, som er omtalt som «retten til å bli glemt». I tillegg til dagens plikter for behandlingsansvarlige til å slette personopplysninger, blir det en plikt til å underrette andre behandlingsansvarlige som opplysninger er overført til om den registrertes ønske om å få sine opplysninger slettet, samt en plikt til å opplyse om mottakere av personopplysninger om retting, sletting og begrensning av personopplysninger. En plikt til å merke lagrede personopplysninger under visse forutsetninger med den hensikt å begrense behandlingen av opplysningene i fremtiden er også nytt.

Innsynsrett. Innsynsretten for «enhver» som gjelder etter personopplysningsloven § 18 (1) bortfaller, og det vil kun være den registrerte som har innsynsrett.

Flytting av personopplysningerEn ny rett for registrerte er rett til å be om å få flyttet personopplysninger fra én behandlingsansvarlig til en annen (omtalt som dataportabilitet). Dette er egentlig en konkurranserettslig bestemmelse, men er en ny forpliktelse mot dagens lovgivning.

Rett til å protestere mot behandlingRegistrerte får rett til å protestere mot behandling av personopplysninger foretatt på grunnlag av at behandlingen er i allmennhetens interesse, del av utøvelse av offentlig myndighet, basert på interesseavveining eller profilering basert på nevnte. Behandlingsansvarlige må da stanse med behandlingen om denne ikke kan påvise tvingende legitime grunner for behandlingen som veier tyngre enn den registrertes interesser.

Internkontroll. Personvernforordningen og forslag til ny personopplysningslov inneholder ikke de samme kravene til internkontroll som i dagens personopplysningslov § 14 og personopplysningsforskriften kapittel 3, og disse mer omfattende reglene erstattes av en mer generell regel om å gjennomføre «egnede tekniske og organisatoriske tiltak». Men med kravene til innebygd personvern mv., se nedenfor innføres det krav som har betydning for kontroll med behandlingen av personopplysninger.

Innebygd personvern. Det innføres en plikt om å gjennomføre egnede tekniske og organisatoriske tiltak både ved planlegging og ved gjennomføring for å sikre at personvernforordningen og personopplysningsloven overholdes. Slike tiltak kan være pseudonymisering (avidentifisering av opplysninger) og dataminimering (opplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles). I tilknytning til dette skal det gjennomføres tiltak som sikrer at det som standard bare behandles personopplysninger som er nødvendige for det enkelte spesifikke forhold («personvern som standardinnstilling»).

Bruk av databehandlerForordningen, og dermed forslag til ny personopplysningslov, har langt mer detaljerte regler om bruk av databehandler enn dagens lovverk. Det er spesielt krav som skal settes til behandlingsansvarliges valg av databehandler som tilkommer, ved at det kun kan benyttes databehandlere som gir tilstrekkelige garantier for at disse vil gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at behandlingen oppfyller kravene til regelverket. Det blir også mer omfattende krav til databehandleravtaler, ved at disse skal bl.a. inneholde hensikten med og varigheten av behandlingen, behandlingens formål og art, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter, sletting og tilbakelevering av opplysningene. Det blir også et krav at databehandler må ha samtykke fra behandlingsansvarlig dersom underdatabehandler skal benyttes.

Databehandler. Databehandlere får flere selvstendige plikter, og kan få overtredelsesgebyr direkte. Enkelte databehandlere må føre protokoll over behandling, se nedenfor, og må i enkelte tilfelle ha personvernrådgiver. Videre har databehandlere en varslingsplikt ved sikkerhetsbrudd og plikt til å samarbeide med Datatilsynet. Nytt i forordningen og lovforslaget er også at databehandleren kan holdes direkte erstatningsansvarlig av de som har lidt skade som følge av overtredelse av loven, og at den behandlingsansvarlige er solidarisk ansvarlig med databehandleren.

Varslingsplikt. I dagens regelverk er det ingen plikt til å varsle ved sikkerhetsbrudd eller bruk av personopplysninger i strid med fastlagte rutiner, men i forslaget til ny lov (og i forordningen) plikter den behandlingsansvarlige å varsle Datatilsynet innen 72 timer fra denne kjenner til sikkerhetsbrudd, og databehandleren skal varsle den behandlingsansvarlige «uten opphold». I tillegg skal den behandlingsansvarlige varsle den registrerte om hendelsen i visse tilfelle. Det er imidlertid visse unntak fra varslingsplikten i de foreslåtte reglene.

Vurdering av personvernkonsekvenser. I visse tilfeller skal det foretas vurdering av hvilke personvernkonsekvenser behandlingen vil ha (såkalte «Data Protection Impact Assesment» eller DPIA). Dette er en ny plikt i den nye personopplysningsloven som var inntatt i forordningen. Plikten inntrer dersom det er trolig at behandlingen, særlig ved bruk av ny teknologi vil medføre høy risiko for fysiske personers rettigheter og friheter. Det er både detaljerte krav til når slike vurderinger skal gjennomføres og til innholdet i vurderingen.

Forhåndsdrøfting med Datatilsynet. Medfører en vurdering av personvernkonsekvenser, se ovenfor, at behandlingen vil medføre høy risiko for fysiske personers rettigheter og friheter dersom det ikke treffes tiltak for å redusere risikoen, skal den behandlingsansvarlige rådføre seg med Datatilsynet før behandlingen tar til. Plikten til å rådføre seg med Datatilsynet er ny i forhold til dagens regelverk.

Adferdsnormer. Etter dagens personopplysningslov kan Datatilsynet bistå ved utarbeidelse av bransjevise adferdsnormer for behandling av personopplysninger. Etter forslaget til ny personopplysningslov (og forordningen), kan sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige og databehandlere (som bransjeforeninger) utarbeide eller endre bransjenormer, som kan fremlegges for uttalelse og godkjenning av Datatilsynet.

Sertifiseringsordninger. I dag er det ingen lovregulerte sertifiseringsordninger for behandling av personopplysninger, men etter forslag til ny lov og forordningen kan det etableres en ordning hvor personvernsertifisering kan gjøres av et akkreditert sertifiseringsorgan eller av Datatilsynet.

Protokollføring. Den behandlingsansvarlige og/eller databehandleren skal føre en protokoll (eller logg) over behandlingsaktiviteter som utføres under deres ansvar. Dette blir en ny plikt, selv om flere har gjort dette også etter dagens lov.

One-stop-shop for tilsynsmyndigheter. Behandlingsansvarlige med virksomhet i flere land skal kun behøve å forholde seg til én tilsynsmyndighet, f.eks. Datatilsynet i Norge, i EU/EØS.

Personvernrådgiver. Enkelte behandlingsansvarlige og databehandlere vil ha plikt til å ha en såkalt personvernrådgiver (som tidligere ble omtalt som personvernombud), mens det etter dagens lovverk er frivillig å ha dette. Det er også detaljerte regler om hva personvernrådgiveren skal involveres i, organisering av rådgiveren osv. i forslaget til ny lov.

Overføring til tredjeland. For overføring av personopplysninger til land utenfor EU/EØS som ikke tilfredsstiller kravene til behandling av personopplysninger blir reglene stort sett det samme, men det blir lovregulert bindende virksomhetsregler (som før kun gjaldt etter rådene fra Artikkel 29-gruppen). Det mest praktiske grunnlaget for overføring til tredjeland blir trolig fortsatt EUs standardbestemmelser (Model Clauses). Det blir en noe mer utvidet mulighet til å overføre sensitive personopplysninger enn etter dagens regelverk.

Ingen straff. Det foreslås i den nye loven at overtredelser av personvernloven ikke skal medføre straff, dvs. fengsel eller bøter, men det kan gis overtredelsesgebyrer som kan være omfattende, se nedenfor.

Tvangsmulkt. Selv om tvangsmulkt ikke er regulert i forordningen, foreslås det at Datatilsynet skal kunne ilegge tvangsmulkt i forslaget til ny personopplysningslov (dvs. som i dag).

Mulighet for større overtredelsesgebyr. Etter personopplysningsloven som gjelder i dag, er maksimale overtredelsesgebyr kr 925.760. Etter forslag til ny personopplysningslov skal det i enkelte overtredelser være et maksimalt gebyr på 10 mill. euro (ca. 95 mill. kroner) eller 2 % av den samlede globale årsomsetningen i foregående regnskapsår dersom dette er mer enn 10 mill. euro. Ved overtredelser av andre overtredelser nevnt i loven, skal gebyret være på hhv. 20 mill. euro eller 4 % av årsomsetning om denne er høyere. Det vil være en plikt for Datatilsynet å sikre at overtredelsesgebyret i den enkelte sak er virkningsfulle, står i forhold til overtredelsen og virker avskrekkende. Det er imidlertid mange momenter som kan ha betydning for gebyrets størrelse, og det er ikke noen føringer i lovforslaget på hvor store gebyrene vil bli i Norge. I lovforslaget foreslås det også at offentlig virksomheter vil kunne ilegges overtredelsesgebyr.

Aldersgrense for barn. Barn under 13 år skal ikke kunne få bruke såkalte informasjonssamfunnstjenester, som sosiale medier, dersom det ikke foreligger samtykke fra foreldrene. Forordningen åpner for at grensen skulle kunne være mellom 16 og 13 år, men i Norge ble 13 år valgt. Det kreves at den behandlingsansvarlige skal treffe rimelige tiltak for å kontrollere at samtykke er gitt eller godkjent av den som har foreldreansvar for barnet, idet det tas hensyn til tilgjengelig teknologi. Dette innebærer at f.eks. Facebook skal ha mekanismer på plass (innen rimelighetens grenser) for å kontrollere at det virkelig er den som har foreldreansvaret for barnet som samtykker.

Kameraovervåking. I dagens lovverk er det omfattende regulering av kameraovervåking, men det er ikke tilsvarende regulering i personvernforordningen. Reglene om kameraovervåking foreslås derfor ikke i ny personopplysningslov, og kameraovervåking vil derfor følge de generelle reglene i loven om behandling av personopplysninger. Det blir imidlertid egne regler om kameraovervåking på arbeidsplasser og bruk av uekte kameraovervåkingsutstyr.

Innsyn i epostkasse mv. De særnorske reglene om innsyn i arbeidstakeres epostkasse i personopplysningsforskriften kapittel 9 hadde ingen tilsvarende regulering i forordningen og var derfor forventet å bli opphevet, men reglene vil i hovedsak bli videreført i egne bestemmelser om arbeidsgivers innsyn i epostkasse med noen mindre justeringer. Hvor reglene vil bli plassert er ikke klart ennå, og derfor er de i forslaget skilt ut som separate regler.

* * * *

Merk at det er mindre endringer i flere av dagens regler også, som ikke er tatt med i oversikten ovenfor.

Høringsfristen er satt til 16. oktober 2017 og det er bedt om tilbakemelding på en rekke forhold i høringsnotatet, så det kan være at det blir noen justeringer i lovforslaget.

Les mer: