Personvernforordningen

EU-forordning
	2016/679
	Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning)
	Bakgrunn
Utarbeidet	27. april 2016
Trådte i kraft	25. mai 2018
	EØS-relevant tekst
EØS-komitevedtak	154/2018
	Annen lovgivning
Erstatter	Direktiv 95/46/EF
	Status: Gjeldende lovgivning

Personvernforordningen (forordning 2016/679, på engelsk General Data Protection Regulation, forkortet GDPR) er en forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i Den europeiske union (EU). Opprettelsen av like regler for de næringsdrivende i EU, er også ment å tjene den økonomiske utviklingen i dette området. Forordningen omhandler også i noen grad behandling som skjer utenfor EU eller overføring av personopplysninger ut av EU.

Forordningen trådte i kraft 25. mai 2018.^[1] Den avløste da personverndirektivet, og har direkte virkning i medlemslandene, og krever, i motsetning til direktiver, ikke egen eller særskilt nasjonal lovgivning. På dagen for ikrafttredelse ble en rekke nyhetsnettsteder i USA blokkert for europeiske brukere på grunn av de nye personvernreglene.^[2]

Personvernforordningen er også relevant i EØS-samarbeidet.^[3] I Norge trådte forordningen i kraft 20. juli 2018.^[4]

Oppsummering, begrunnelse rediger

Bakgrunnen for forordningen er et ønske om å bedre enkeltpersoners mulighet for å kontrollere opplysninger registrert om dem selv. Videre mente EU at opprettelsen av like regler for alle medlemsland (europeisk integrasjon), ville tjene den økonomiske utviklingen i dette området.^[5]

Forordningen utvider virkeområdet for EUs personvernlovgivning ved at det også dekker alle utenlandske selskaper som behandler data om innbyggere i EU. Ved å skape et felles regelverk i EU blir det enklere for virksomheter å følge reglene. Det legges opp til et strengt vern, og brudd kan medføre strenge straffer på opptil 4% av en den samlede omsetningen til virksomheten.

Innhold rediger

Forordningen viderefører personverndirektivet. Den inneholder følgende sentrale endringer:

Virkeområde rediger

Forordningen gjelder dersom den behandlingsansvarlige, eller databehandleren (en virksomhet), eller den registrerte (individet) er i EU.

I motsetning til det tidligere direktiv gjelder altså forordningen også for virksomheter som er basert utenfor EU, dersom de behandler personopplysninger om EUs innbyggere.

Forordningen gjelder ikke for behandling av personopplysninger av hensyn til nasjonal sikkerhet eller i forbindelse med kriminalitetsbekjempelse.

Personopplysningsbegrepet dekker alle opplysninger knyttet til en person, enten det gjelder hans eller hennes private, profesjonelle eller offentlige liv. Det kan være alt fra et navn, et bilde, en e-post-adresse, bankdetaljer, innlegg på sosiale nettverk nettsteder, medisinsk informasjon, eller en IP-adresse til datamaskinen.^[6]

Norge rediger

I Norge inviterte Justis- og beredskapsdepartementet i 2017 til en høringsrunde om hvordan de norske reglene burde se ut.^[7] Etter høringsrunden fremsatte departementet en proposisjon om hvordan den nye personopplysningsloven kunne innlemme EØS-komiteens forordning.^[8] Stortinget vedtok lovforslaget 22. mai 2018, og den nye personopplysningsloven trådte i kraft 20. juli 2018.^[9]^[4]

Felles regler og one-stop shop rediger

Forordningen gir et felles regelsett for alle EU-medlemsland. Hver medlemsstat skal opprette en uavhengig tilsynsmyndighet som skal ta imot og behandle klager og ilegge administrative sanksjoner for brudd på forordningen, Tilsynsmyndighetene i hver medlemsstat skal samarbeide med de andre tilsynsmyndighetene, og gi gjensidig bistand.

For virksomheter som er etablert i flere medlemsstater vil den kunne forholde seg til en enkelt tilsynsmyndighet som den ledende tilsynsmyndigheten. Denne skal velges basert på plasseringen av virksomhetens «viktigste etablering» (dvs. stedet hvor den viktigste behandlingen foregår). Den ledende tilsynsmyndigheten vil fungere som en «one-stop-shop» for å føre tilsyn med all behandling aktiviteter for næringslivet i hele EU^[10]^[11] (GDPR artikkel 46–55).

Koordinering av tilsynsmyndigheter utføres av et europeisk personvernstyre (European Data Protection Board). Den instansen avløste «Artikkel 29 Working Party» (Artikkel 29-gruppen), som var hjemlet i personverndirektivet.

Samtykke rediger

Gyldig samtykke må være eksplisitt for data som samles inn og formål data som er brukt (Artikkel 7; definert i Artikkel 4). Samtykke for barn under 13 år må være gitt av barnets foreldre eller depotmottaker, og etterprøvbar (Artikkel 8). Behandlingsansvarlige må være i stand til å bevise samtykket («opt in») og samtykket kan trekkes tilbake.^[12]

Personvernombud rediger

Utdypende artikkel: Personvernombud

Dersom den behandlingsansvarlige er en offentlig myndighet (med visse unntak for domstolene m.v.) eller en virksomheter med over 250 ansatte, er det obligatorisk å oppnevne et personvernombud. Det samme gjelder databehandlere hvor kjerneoppgaven er behandling av personopplysninger. Andre virksomheter kan fritt velge om de vil oppnevne et personvernombud. Krav til utnevning av ombudets og rammer for oppgaveutførelsen fremgår av forordningens artikler 35–37. Artikkel 29-gruppen hadde fra før utarbeidet en veiledning til forordningens krav til personvernombud.^[13]

Sikkerhetsbrudd rediger

Etter forordningen vil den behandlingsansvarlige være rettslig forpliktet til å varsle tilsynsmyndighetene uten ugrunnet opphold ved sikkerhetsbrudd, med mindre det er usannsynlig at bruddet medfører risiko for personers frihet og rettigheter.^[14] Som sikkerhetsbrudd regnes alle hendelser som har medført ulovlig behandling av personopplysninger.^[15] Enkeltpersoner har rett til å bli varslet, hvis sikkerhetsbruddet sannsynligvis medfører høy risiko for personen.^[16]

Sanksjoner rediger

Følgende sanksjoner kan ilegges:

en skriftlig advarsel i tilfeller av førstegangs og ikke-tilsiktede brudd
krav om jevnlig tilsyn
en bot på opptil 10 000 000 EUR eller, for foretak, opptil 2 % av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder (artikkel 83 nr. 4^[17])
en bot opp til 20 000 000 EUR, eller, for foretak, opptil 4 % av forrige regnskapsårs totale årlige omsetning på verdensbasis. Største beløp gjelder (artikkel 83, avsnitt 5 og 6^[17])

Rett til sletting («retten til å bli glemt») rediger

Utdypende artikkel: Retten til å bli glemt

Artikkel 17 fastslår at den registrerte har rett til å be om at personopplysninger om ham slettes, hvis et av flere alternative grunnlag er til stede. Et av grunnlagene er at behandlingen ikke er lovlig, eksempelvis at artikkel 6 bokstav f ikke er oppfylt (de legitime interessene til den behandlingsansvarlige overstiger ikke den registrertes interesser og rettigheter). (se også Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).

I forordningsutkastet fra EU-kommisjonen var denne retten beskrevet som en rett til å bli glemt, og dette uttrykket kan forklare formålet med bestemmelsen. Den vedtatte teksten omhandler imidlertid retten til sletting.

Dataportabilitet rediger

Den registrerte er i forordningen gitt rett til å kunne overføre sine personopplysninger fra ett system til et annet uten å bli hindret fra å gjøre det av den behandlingsansvarlige. Det er også et krav om at opplysningene må gis den registrerte i et strukturert og vanlig brukt elektroniske format. Retten til dataportabilitet er hjemlet i artikkel 20 i forordningen. Artikkel 29 Working Party hadde fra før utarbeidet retningslinjer for denne rettigheten.^[18]

Diskusjoner rediger

Forordningsforslaget gav opphav til mange diskusjoner. Blant temaene som ble diskutert var:

Hvorvidt kravet om å ha et personvernombud vil være for administrativt tyngende
Om forordningen gir tilstrekkelig vern for håndtering av ansattes opplysninger
Om kravet til dataportabilitet mer er et funksjonelt krav for til skytjenester og sosiale nettverk, enn et personvernkrav
Språklige og personellmessige utfordringer for de lokale personvernmyndigheter:
- Ikke-europeiske selskaper kan komme til å foretrekke de britiske eller irske personvernmyndighetene på grunn av det engelske språket. Dette vil kreve omfattende ressurser i disse landene.
- EU-borgere har ikke lenger bare har én personvernmyndighet å kontakte om sine bekymringer, men må forholde seg den myndigheten som den behandlingsansvarlige virksomheten har valgt. Kommunikasjonsproblemer på grunn av fremmedspråk må forventes.
Om den nye forordningen vil være i strid med andre ikke-europeiske lover og regler og praksis (f.eks. overvåking fra stater). Virksomheter som er basert i slike land, bør ikke lenger betraktes som akseptable for behandling av personopplysninger om EU-personer.
Den største utfordringen kan være gjennomføringen av personvernforordningen i praksis:
- Gjennomføringen vil kreve store endringer i rutinene for selskaper som ikke hadde implementert et sammenlignbart nivå for personvern før forskriften trådte i kraft. Dette gjelder spesielt for ikke-europeiske selskaper som håndterer EU-personers opplysninger
- Det er allerede mangel på personverneksperter og personvernkunnskap i dag. Nye krav som kan forverre situasjonen. Derfor vil utdanning i data- og personvern være en kritisk faktor for å lykkes med forordningen.
- EU-kommisjonen og personvernmyndighetene må få tilstrekkelige ressurser og myndighet til å gjennomføre implementeringen og et felles beskyttelsesnivå må avtales med alle myndighetene, ettersom ulike fortolkninger vil kunne føre til ulikt personvernnivå i medlemslandene.

Referanser rediger

^ «Art. 99 GDPR – Entry into force and application».
^ «US news sites unavailable in EU over GDPR». 25. mai 2018 – via www.bbc.co.uk.
^ «Personvernforordningen (GDPR)». Regjeringen.no (norsk). 27. august 2014. Besøkt 5. november 2022.
^ ^a ^b Justis- og beredskapsdepartementet (10. juli 2018). «Ny personopplysningslov 20. juli». Regjeringen.no (norsk). Besøkt 10. juli 2018.
^ «2018 reform of EU data protection rules | European Commission». 24. januar 2018. Arkivert fra originalen 24. januar 2018. Besøkt 27. mai 2018.
^ European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25. januar 2012.
^ «Høring om utkast til ny personopplysningslov – gjennomføring av personvernforordningen i norsk rett». Regjeringen.no (norsk). Justis- og beredskapsdepartementet. 6. juli 2017. Besøkt 29. desember 2018.
^ «Prop. 56 LS (2017–2018) : Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen». Regjeringen.no (norsk). Justis- og beredskapsdepartementet. 23. mars 2018. Besøkt 29. desember 2018.
^ Stortinget. «Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen». Besøkt 29. desember 2018.
^ The Proposed EU General Data Protection Regulation.
^ «Data protection» (engelsk). European Commission. Besøkt 5. november 2022.
^ Judy Schmitt United Technologies Corp. and Florian Stahl msg systems ag (11. oktober 2012). «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide» (PDF) – via IAPP.org.
^ ◦Guidelines on Data Protection Officers ('DPOs'), WP243 rev 01, april 2017
^ Artikkel 33 nr 1
^ Artikkel 3 nr 12
^ Artikkel 34 nr 1
^ ^a ^b «REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)». eur-lex.europa.eu. 4. mai 2016. Besøkt 5. november 2022.
^ Guidelines on the right to "data portability", WP 242 rev.01, april 2017

Litteratur rediger

Åste Marie Bergseng Skullerud, Cecilie Rønnevik, Jørgen Skorstad og Marius Engh Pellerud Personopplysningsloven og personvernforordningen (GDPR) Kommentarutgave Universitetsforlaget 2019 ISBN 9788215032160

Eksterne lenker rediger

Forordning (EU) 2016/679 av det Europeiske Parlamentet og Rådet 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri bevegelighet for slike opplysninger, og om oppheving av Direktiv 95/46/EF (General Data Protection Regulation)
Personopplysningsloven, Lovdata
Personvernforordningen (GDPR) organisert med punkter fra fortalen og relevante artikler
General Data Protection Regulation, endelig versjon datert 27. april 2016
Prosedyre 2012/0011/COD, EUR-Lex
2012/0011(COD) - beskyttelse av Personlige data: behandling og fri bevegelse av data (General Data Protection Regulation), EU-parlamentet

[1] «Art. 99 GDPR – Entry into force and application».

[2] «US news sites unavailable in EU over GDPR». 25. mai 2018 – via www.bbc.co.uk.

[3] «Personvernforordningen (GDPR)». Regjeringen.no (norsk). 27. august 2014. Besøkt 5. november 2022.

[:0-4] Justis- og beredskapsdepartementet (10. juli 2018). «Ny personopplysningslov 20. juli». Regjeringen.no (norsk). Besøkt 10. juli 2018.

[5] «2018 reform of EU data protection rules | European Commission». 24. januar 2018. Arkivert fra originalen 24. januar 2018. Besøkt 27. mai 2018.

[6] European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25. januar 2012.

[7] «Høring om utkast til ny personopplysningslov – gjennomføring av personvernforordningen i norsk rett». Regjeringen.no (norsk). Justis- og beredskapsdepartementet. 6. juli 2017. Besøkt 29. desember 2018.

[8] «Prop. 56 LS (2017–2018) : Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen». Regjeringen.no (norsk). Justis- og beredskapsdepartementet. 23. mars 2018. Besøkt 29. desember 2018.

[9] Stortinget. «Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen». Besøkt 29. desember 2018.

[10] The Proposed EU General Data Protection Regulation.

[11] «Data protection» (engelsk). European Commission. Besøkt 5. november 2022.

[12] Judy Schmitt United Technologies Corp. and Florian Stahl msg systems ag (11. oktober 2012). «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide» (PDF) – via IAPP.org.

[13] ◦Guidelines on Data Protection Officers ('DPOs'), WP243 rev 01, april 2017

[14] Artikkel 33 nr 1

[15] Artikkel 3 nr 12

[16] Artikkel 34 nr 1

[:1-17] «REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)». eur-lex.europa.eu. 4. mai 2016. Besøkt 5. november 2022.

[18] Guidelines on the right to "data portability", WP 242 rev.01, april 2017

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]