Mageli

 
 
 
 

Personvern (GDPR)

EU’s forordning om personvern, General Data Protection Regulation (GDPR) blir implementert i norsk rett tidligst fra 1. juli 2018. Dette innebærer at vi får nytt felles regelverk med hensyn til hvordan personopplysninger skal behandles i Norge og i EU. Regelverket innebærer et styrket personvern for enkeltpersoner (den Registrerte) og nye plikter for virksomheter som behandler personopplysninger (Behandlingsansvarlige).

I det følgende vil jeg gjennomgå noen av de plikter som påhviler Behandlingsansvarlige iht det nye regelverket. Databehandlers plikter vil i stor grad være avledet av Behandlingsansvarliges plikter og vil måtte spesifiseres i en databehandleravtale. Jeg vil i dette nyhetsbrevet ikke behandle de særlige spørsmål som må reguleres i en databehandleravtale.

Behandlingsansvarliges informasjonsplikt vedrørende hvordan de behandler personopplysninger, jf Forordningens art 12, 13 og 14

Behandlingsansvarlig har en plikt til å informere den registrerte om hvilke personopplysninger som er registrert om dem. De nye reglene stiller strengere krav til denne informasjonen med hensyn til at den skal være kortfattet, klar og tydelig. Når det gjelder opplysninger rettet mot barn skal informasjonen tilrettelegges for at barn kan forstå den.

Det skal bl.a gis informasjon om følgende.

  • Kontaktopplysninger til den behandlingsansvarlige
  • Eventuelt kontaktinformasjon til personvernombudet (dersom det er relevant)
  • Formålet med behandlingen av personopplysninger samt det rettslige grunnlaget for behandlingen (dette kan være lov, avtale osv)
  • Hvilke personopplysninger som behandles
  • Eventuelle mottakere eller kategorier av mottakere av personopplysninger

I tillegg skal den behandlingsansvarlige gi opplysninger om:

  • Det tidsrom personopplysninger vil bli lagret, eller dersom det ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet.
  • Retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensinger av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportabilitet
  • Dersom behandlingen er basert på samtykke skal den registrerte informeres om at han kan trekke samtykke tilbake når som helst
  • Retten til å klage til en tilsynsmyndighet
  • Om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale

 

Innebygd personvern inn i nye løsninger

Forordningens artikkel 25 sier at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare er personopplysninger som er nødvendig for hvert spesifikt formål med behandlingen, som behandles. Denne forpliktelse får betydning for omfanget av personopplysninger som samles inn, omfanget av behandlingen av opplysninger, hvor lenge de kan lagres og tilgjengeligheten av opplysningene. Dette tiltaket skal som standard sikre at personopplysninger ikke gjøres tilgjengelig for et ubegrenset antall personer uten den berørte personens medvirkning

Personvernombud

Iht det nye regelverket vil flere virksomheter få en plikt til å utnevne personvernombud. Dette gjelder Offentlige virksomheter (unntatt domstolene), virksomheter som har som kjernevirksomhet å systematisk overvåke personer i stort omfang og virksomheter som behandler sensitive personopplysninger i stort omfang.

Også andre virksomheter kan engasjere personvernombud

Personvernombudet skal informere og gi råd til den behandlingsansvarlige, databehandleren og de ansatte som behandler personopplysninger om de rettslige forpliktelsene de har i relasjon til GDPR.

Personvernombudet skal videre bidra til etterlevelse av forordningens regler, samarbeide med tilsynsmyndighetene.

Brudd på personopplysningssikkerheten

Iht forordningens art 33 skal brudd Datasikkerheten meldes til Datatilsynet. En avviksmelding skal sendes til Datatilsynet inn 72 timer.

Avviksmeldingen skal minimum inneholde:

  1. En beskrivelse av avviket, hva slags personer og personopplysninger som er berørt
  2. Et anslag på hvor mange personer og oppføringer av personopplysninger som er berørt av sikkerhetsbruddet.
  3. Kontaktinformasjon til personvernombudet eller annet kontaktpunkt i virksomheten
  4. En beskrivelse av hvilke konsekvenser avviket trolig vil ha.
  5. En beskrivelse av de tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene av det.

I tillegg inneholder forordningen regler for når de berørte skal varsles om brudd på datasikkerheten

 

Advokatfirmaet Mageli bistår en rekke offentlige og private virksomheter i forbindelse med rådgivning og utforming av databehandleravtaler og annen dokumentasjon for å sørge for at disse er compliant med det nye regelverket.