Nye personvernregler i EU (GDPR)

27. april 2016 ble Europaparlaments- og rådsforordning (EU) 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF vedtatt. Forordningen, som tar til å gjelde i EU-landene 18. mai 2018, erstatter gjeldende personverndirektiv 95/46/EF, som er gjennomført i den norske personopplysningsloven.

Gjennomføringen av gjeldende direktiv er gjort på ulik måte i ulike EU-/EØS-land. Dette har ført til ulike vilkår for behandling av personopplysninger, noe som igjen kan gi ulike konkurransevilkår. Noe av hensikten med forordningen er derfor å legge til rette for en bedre harmonisering av reglene på tvers av landegrensene i EU-/EØS-området.

Hovedtrekk i forordningen

Etter forordningen utvides personvernreglenes geografiske virkeområde (artikkel 3) sammenliknet med gjeldende direktiv. Reglene gjelder for behandlingsansvarlige som er etablert i EØS-området (tilsvarer gjeldende direktiv). I tillegg vil reglene gjelde for behandlingsansvarlige som er etablert utenfor EØS-området, dersom vedkommende behandler personopplysninger om EØS-borgere, og behandlingen består i å tilby varer eller tjenester til disse borgerne eller å overvåke deres atferd i EØS-området.

Forordningen kapittel II viderefører hovedprinsippene om behandling av personopplysninger i gjeldende direktiv. Behandlingen må ha rettslig grunnlag i samtykke, lov eller nødvendighet, og må dessuten tilfredsstille krav om blant annet lovlighet, formålsbestemthet og forholdsmessighet. Forordningen har også en ny bestemmelse som presiserer kravene til gyldig samtykke (artikkel 7). Blant annet må den behandlingsansvarlige kunne bevise at den registrerte har samtykket, forespørsel om samtykke må fremsettes separat, og den registrerte kan når som helst trekke tilbake sitt samtykke. Forordningen artikkel 8 inneholder en egen regel om behandling av barns personopplysninger. Her fremgår det at samtykke til å behandle opplysninger om barn under 13 år kun er gyldig dersom det er avgitt eller godkjent av barnets foresatte når formålet med behandlingen er å tilby informasjonssamfunnstjenester.

Forordningen kapittel III inneholder regler om den registrertes rettigheter og utøvelse av disse rettighetene. Dette omfatter blant annet informasjonsrettigheter, rett til å få rettet, slettet eller sperret opplysninger, rett til å få overført opplysninger til alternative tjenestetilbydere (dataportabilitet), og rett til å protestere mot behandling av egne personopplysninger. I tillegg finnes en egen regel om bruk av personprofiler. Mange av bestemmelsene viderefører i stor grad gjeldende rett. To bestemmelser er imidlertid nye, og er mye omtalt. Dette gjelder først og fremst retten til å kreve sletting («retten til å bli glemt») som reguleres i artikkel 17. Forordningen innebærer at den behandlingsansvarlige, dersom han har offentliggjort personopplysningene, må ta alle rimelige skritt for å informere databehandlere om den registertes krav om sletting. I artikkel 20 fastsettes en rett til dataportabilitet. Dette innebærer at dersom behandlingen baserer seg på avtale eller samtykke, og personopplysningene finnes i et automatisert behandlingssystem, skal den registrerte ha rett til å få overført sine opplysninger til alternative tjenestetilbydere.

Artikkel 22 regulerer bruken av såkalte personprofiler, som er definert som automatisk databehandling for å gjøre antakelser om en enkeltpersons atferd, preferanser eller behov. Profiler kan brukes for eksempel for å analysere eller forutse arbeidsprestasjoner, økonomisk situasjon, helse, interesser, pålitelighet eller oppførsel. Som hovedregel har enkeltpersoner rett til ikke å bli gjenstand for beslutninger som utelukkende er basert på bruk av personprofiler og som har rettsvirkninger eller negativ virkning for vedkommende. Unntak gjelder for utarbeidelse av personprofiler i forbindelse med en avtale mellom den registrerte og den behandlingsansvarlige, eller dersom behandlingen er hjemlet i lov eller basert på samtykke. Personprofiler skal heller ikke benyttes til direkte markedsføring, med mindre tilstrekkelige sikkerhetstiltak er iverksatt, og skal som hovedregel ikke være basert på sensitive personopplysninger.

Det åpnes for å gjøre nasjonale unntak fra reglene om den registrertes rettigheter dersom dette er nødvendig for å sikre visse nærmere angitte formål, blant annet nasjonal sikkerhet, eller forsvar, forebygging og etterforskning av straffbare forhold.

Kapittel IV inneholder generelle regler om den behandlingsansvarliges og databehandlerens ansvar og forpliktelser. Etter forordningen artikkel 25 plikter den behandlingsansvarlige å arbeide for såkalt innebygget personvern, ved å iverksette tekniske og organisatoriske tiltak som sikrer at forordningens krav etterleves. Behandlingsansvarlige skal også iverksette tiltak som sørger for personvernvennlige standardinnstillinger.

Den gjeldende meldeplikten for behandling av personopplysninger er foreslått fjernet og erstattet med en del andre plikter for den behandlingsansvarlig og databehandleren. Dette gjelder blant annet plikt til å dokumentere behandling av personopplysninger, til å varsle tilsynsmyndigheten og/eller den registrerte ved eventuelle databrudd, samt til å foreta risikoevaluering og eventuelt konsultere tilsynsmyndigheten før risikofylt behandling. I artikkel 30 pålegges behandlingsansvarlige og databehandlere en dokumentasjonsplikt blant annet om behandlingens formål, om de registrerte og deres opplysninger, om eventuelle mottakere av opplysningene, samt kategorier av overføringer av opplysninger til tredjeland. Forpliktelsen gjelder likevel ikke for virksomheter med mindre enn 250 ansatte som ikke har behandling av personopplysninger som sin hovedvirksomhet, eller for kategorier av behandling som ikke antas å innebære noen høy risiko. Behandlingsansvarlige og databehandlere plikter videre å sørge for tilstrekkelig informasjonssikkerhet (artikkel 32), noe som i stor grad innebærer en videreføring av gjeldende rett.

Artikkel 33 og 34 oppstiller en plikt til å varsle henholdsvis tilsynsmyndigheten og den registrerte om personvernbrudd dersom det er sannsynlig at personvernbruddet vil ha negativ betydning for den registrerte. Det gjelder visse unntak fra plikten til å varsle den registrerte blant annet dersom det er iverksatt etterfølgende tiltak eller dersom varsel vil medføre en uforholdsmessig byrde. Varslingsplikten er ny i forhold til gjeldende personverndirektiv.

Etter forordning artikkel 35 skal det gjennomføres en utredning av personvernkonsekvenser ved visse former for behandling som anses å innebære en særlig risiko. Dersom konsekvensutredningen tilsier det, skal den behandlingsansvarlige eller databehandleren etter artikkel 36 konsultere tilsynsmyndigheten før behandling iverksettes. Er behandlingen etter tilsynsmyndighetens syn ikke i samsvar med forordningen, kan tilsynsmyndigheten gi den behandlingsansvarlige eller databehandleren en anbefaling. Det kan også fastsettes regler om at en type behandlinger krever en forhåndsgodkjenning fra tilsynsmyndigheten.

I artikkel 37 til 43 foreslås nye bestemmelser om personvernrådgiver, bransjenormer og sertifiseringsordninger. Ordningen med personvernrådgiver er gjort obligatorisk for mange behandlingsansvarlige, samtidig som den rådgivernes plikter, oppgaver og stilling er inngående regulert i forordningen. Sertifiseringsordningen (artikkel 42 og 43), som ikke har noen parallell i gjeldende rett, skal gi registrerte personer mulighet til raskt å vurdere beskyttelsesnivået hos en behandlingsansvarlig eller databehandler. Ordningen kan sammenliknes med svanemerking og nøkkelhullsmerking som norske forbrukere allerede kjenner.

Forordningen kapittel V (artikkel 44 til 50) gjelder overføring av personopplysninger til tredjestater og internasjonale organisasjoner. Begrepet overføring er ikke nærmere definert i forordningen, men omfatter alle tilfeller hvor den behandlingsansvarlige gir fra seg rådigheten over opplysningene til en ny behandlingsansvarlig eller en databehandler utenfor EØS-området, for eksempel ved overlevering til en underleverandør. Etter EU-domstolens praksis omfattes ikke tilgjengeliggjøring av opplysninger ved å legge dem ut på en hjemmeside eller liknende. Forordningen artikkel 45 til 47 oppstiller krav til rettslig grunnlag for overføring av personopplysninger til stater utenfor EØS-området. Innenfor EØS-området skal opplysninger, som i dag, kunne overføres fritt forutsatt at forordningens regler etterleves. I tilfeller der det ikke foreligger noe formelt rettslig grunnlag for overføring av personopplysninger til stater utenfor EØS-området, kan opplysninger bare overføres etter samtykke fra tilsynsmyndigheten, eller i samsvar med et av unntakene fra hovedregelen om overføringsgrunnlag.

I kapittel VI og VII reguleres organisering av tilsynsmyndigheten og samarbeid mellom tilsynsmyndighetene i de ulike statene. Alle stater skal sikre at en eller flere offentlige instanser er ansvarlige for å føre tilsyn med etterlevelse av forordningens regler og for å bidra til en enhetlig anvendelse av reglene i EU. Tilsynsmyndigheten skal være uavhengig. I tillegg er det foreslått en rekke detaljerte regler om oppnevning av medlemmer til tilsynsmyndigheten og hvordan de skal opptre i sitt verv. I artikkel 57 fremgår hvilke oppgaver de nasjonale datatilsynsmyndighetene skal ha.

Utgangspunktet etter forordningen er at hver tilsynsmyndighet skal utøve den myndighet de er tillagt etter forordningen på medlemsstatens territorium. Det nye med forordningen er at det innføres et system der virksomheter som er etablert i flere EU-land kun skal forholde seg til én tilsynsmyndighet («one-stop-shop»). Der en databehandler eller behandlingsansvarlig er etablert i flere medlemsland, vil tilsynsmyndigheten i landet der databehandleren eller behandlingsansvarlige har sitt hovedsete, ha kompetanse til å føre tilsyn med virksomheten. Det kan dermed oppstå situasjoner der det behandles personopplysninger i Norge, men der en utenlandsk tilsynsmyndighet har kompetanse til å føre tilsyn med behandlingen av personopplysningene. Formålet med ordningen er å redusere administrative byrder for selskaper som opererer i flere EU-land, ved at de kun må forholde seg til én tilsynsmyndighet.

I kapittel VII del 2 gis det regler om den såkalte konsistensmekanismen («consistency mechanism»), som skal etableres for å sikre at personvernreglene gis lik anvendelse i hele EU-/EØS-området. Mekanismen består i at enkelte spørsmål, som har betydning for flere medlemsland, skal oversendes det europeisk personvernrådet (som opprettes etter regler i kapittel VII del 3) til uttalelse.

Kapittel VIII regulerer klagemuligheter og sanksjoner. Artikkel 77 nr. 1 gir en registrert person rett til å klage til tilsynsmyndigheten dersom vedkommende mener at opplysninger om han eller henne behandles i strid med forordningen. Dessuten skal både fysiske og juridiske personer ha tilgang til et effektivt rettsmiddel mot beslutninger fra tilsynsmyndigheten som gjelder vedkommende, artikkel 78. Videre er det i artikkel 82 fastsatt at personer som har lidt skade som følge av behandling av personopplysninger i strid med forordningen skal ha rett til erstatning fra behandlingsansvarlige eller databehandleren. I tillegg til reglene om erstatning for de registrerte, foreslås også å gi tilsynsmyndigheten hjemmel til å ilegge overtredelsesgebyr ved visse brudd på forordningen. Et slikt gebyr kan være både et alternativ og et supplement til andre tiltak. De foreslåtte gebyrsatsene ligger langt over det som er gjeldende rett etter personopplysningsloven § 46. I tillegg til de administrative sanksjonene, fastslår forordningens fortalepunkt nr. 149 at medlemsstatene selv fastsetter regler om straff for overtredelse av personvernreglene.

Veien videre

Justisdepartementet arbeider for tiden med en høring med tanke på å implementere forordningen i norsk rett innen 18. mai 2018.

Rettsakten er pr i dag ikke implementert i EØS-avtalen.