Personvernforordningen (GDPR)

Frem til 2018 hadde vi i hovedsak bare en personopplysningslov som regulerte hvordan personopplysninger skulle behandles i Norge. Denne loven bygget på EUs personverndirektiv fra 1995 og trådte i kraft 1.1.2001. Lovens formål var å beskytte den enkelte mot at personvernet skulle bli krenket gjennom behandling av personopplysninger. Loven skulle bidra til at personopplysninger ble brukt på en måte som ivaretar den enkeltes integritet.

Tekst: Advokat Bjørn Bråthen. Oppdatert av Linn Marie Rørvik.  

Den teknologiske utviklingen i de årene før EUs personvern-direktiv ble innført har vært stor. Dette krevde andre og strengere krav til personvernlovverket enn tidligere. Som følge av denne utviklingen har EU arbeidet med en forordning som skal skjerpe kravene til personvernet. Denne forordningen trådte i kraft i mai 2018.  

Enkelt forklart er reglene for personopplysninger ulike nasjonale regler og EUs personvernforordning «GDPR». Forordningen e et sett regler som gjelder for alle EU/EØS-land. Sammen med særlovgivning om personvern på enkelte områder, utgjør dette personvernregelverket.

Hva er en forordning?

Tidligere er vi godt kjent med alle direktivene som kommer fra EU. Det enkelte land kan fortolke direktivene og tilpasse teksten i sine nasjonale lover. En forordning derimot gjelder i forhold til forordningens tekst. Her er det ingen rom for nasjonale forandringer. Det vil derfor bli en direkte oversettelse av forordningsteksten som gjelder i det enkelte land. Dersom EU vedtar at man skal bruke en forordning, vil Norge som EØS-land ha liten eller ingen mulighet til å påvirke innholdet i reglene som innføres.

Hvilke endringer har de nye reglene medført for oss?

For det første gjelder reglene i et mye større geografisk område enn i dag. Et eksempel er hvis et selskap i et land utenfor EU/EØS, for eksempel i USA eller Kina, profilerer personer i et EU-land på bakgrunn av nettbruken sin, så vil det nye regelverket i prinsippet også gjelde for dette selskapet. Videre har man rett til å motsette seg profilering for direkte markedsføring. Man har også en rett til å til å motsette seg profilering i forhold til automatiserte avgjørelser. Enkeltpersoner vil også få de samme rettigheter som nevnt foran i forhold til offentlige myndigheter.  

Videre fastslår regelverket at profiler ikke skal kunne utarbeides på bakgrunn av sensitive opplysninger. Det forutsettes også at personopplysninger kun skal behandles i de tilfelle man har et spesifikt og tydelig formål. Forordningen gir også den enkelte private virksomhet eller offentlige organ et større ansvar for selv å vurdere konsekvenser for personvernet ved behandling av personopplysninger. Forordningen pålegger også virksomhetene å identifisere risikoreduserende tiltak. Videre forutsetter forordningen at informasjon om behandling av personopplysninger skal gis på en tydelig måte. Det er ikke tilstrekkelig kun å ha en personvernerklæring.

Fire nye rettigheter

Som en oppsummering kan nevnes at forordningen gir den enkelte fire nye rettigheter. For det første får vi rett til kreve at behandlingen av våre personopplysninger begrenses. For det andre gis vi rett til å ta med oss våre personopplysninger til en annen (dette kalles dataportabilitet). For det tredje gis vi rett til å motsette oss behandling av personopplysninger og for det fjerde gis vi rett til å motsette oss profilering og automatiserte avgjørelser.

Personvernombud

Flere virksomheter har etter forordningen trådte i kraft blitt pliktige til å ha et personvernombud. De virksomheter som etter forordningen vil plikte og opprette slike ombud er offentlige virksomheter, virksomheter som behandler sensitive personopplysninger i større skala og virksomheter som systematisk overvåker europeiske borgere i stor grad. Det vil også bli konkrete krav om at virksomheter med personvernombud skal legge til rette for at ombudene skal få tidsressurser og reelle muligheter til å gjøre en god jobb.

Relevant regelverk (lovdata.no)

Det sentrale regelverket er personopplysningsloven og personvernforordningen, men Datatilsynet forvalter også særlovgivning på justis- og helsesektoren.
 
Lover

Lov om behandling av personopplysninger (personopplysningsloven) med nasjonale tilpasninger og personvernforordningen 

Lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) med tilhørende forskrifter

Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) med tilhørende forskrifter

Lov om medisinsk og helsefaglig forskning (helseforskningsloven) med tilhørende forskrifter

Lov om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven)

Lov om Schengen informasjonssystem (SIS)

Forskrifter

Forskrift om behandling av personopplysninger

Overgangsregler om behandling av personopplysninger

Forskrift om kameraovervåking i virksomhet

Forskrift om arbeidsgivers innsyn i epostkasse og annet elektronisk lagret materiell

Forskrift om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsforskriften)

Forskrift om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterforskriften)

Forskrift om Schengen informasjonssystem (SIS-forskriften)

Avvik fra eller brudd i personvernreglene  
 
Dersom du opplever avvik eller brudd i personvernreglene kan du melde det inn på dette siden:  

https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/avvik/hva-er-et-brudd-pa-personopplysningssikkerheten/