GDPR – En kort innføring

Du har kanskje lagt merke til at mange av applikasjonene på mobiltelefonen din nå ønsker at du skal lese igjennom og godkjenne deres nye vilkår. Når både Facebook, Instagram, Snapchat, LinkedIn, eBay og Google omtrent samtidig oppdaterer sine brukervilkår kan dette virke som en tilfeldighet som er for god til å være sann, noe den også er. Tilfeldigheten heter GDPR.

Vi lever i et teknologisk samfunn som stadig blir mer digitalisert. Gjennom den nye teknologien har forståelsen av landegrenser blitt redefinert og til en viss grad utvisket. Personopplysninger blir delt gjennom ulike applikasjoner og på internettsider som aldri før. Omfanget av innsamlingen og utvekslingen av personopplysninger har således økt betraktelig. Det har derfor oppstått et nytt behov for beskyttelse. GDPR er et lovverk som har den teknologiske utviklingen i tankene og som tar sikte på å beskytte forbrukere mot de nye farene som kan oppstå i tråd med en slik utvikling.

GDPR er den engelske forkortelsen for EUs personvernforordning og står for General Data Protection Regulation. GDPR er en forordning som gir regler om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av personopplysninger.

GDPR vil gjennomføres i norsk rett ved inkorporasjon, som vil si at forordningen gjøres gjeldende som norsk rett gjennom en henvisningsbestemmelse i den nye personopplysningsloven (som trer i kraft når Stortinget har fattet lovvedtaket). Forordningen erstatter gjeldende personverndirektiv 95/46/EF, som er gjennomført i dagens personopplysningslov. Ikrafttredelsen av forordningen ble nylig utsatt på nytt, og det antas nå at ikrafttredelsen i Norge vil ligge rundt 1. juli i år.


Hvem og hva omfattes?

Enhver fysisk person innenfor EU/EØS er vernet av regelverket. Forordningen har anvendelse på helt eller delvis automatisert behandling av personopplysninger og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. De som har sine personopplysninger registrert hos virksomheter, blir i forordningen omtalt som de «registrerte».

En personopplysning blir av forordningen definert som enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person. Dette vil si opplysninger som direkte eller indirekte kan identifisere en fysisk person, for eksempel et navn, et identifikasjonsnummer, lokaliseringsopplysning, eller en online-identifikator, slik som en IP-adresse eller et bilde.


Hva er nytt?

Den viktigste endringen i regelverket er at bedrifter og virksomheter får et større ansvar for å ivareta innsamlede personopplysninger. Ifølge forordningen vil en bedrift være pliktig til å vurdere risiko og personvernkonsekvenser før den starter behandling av personopplysninger. Videre kan personopplysninger kun samles inn og anvendes så lenge man har et lovlig grunnlag eller samtykke fra dem opplysningene omhandler. Slik vil store bedrifter som Facebook være avhengig av at du som bruker går igjennom og godtar at de samler inn og sitter på opplysninger om deg, slik som fødselsdato, bilder, hvilke nettsider du besøker og lignende. Men ikke bare opplysninger om en bedrifts kunder vil være omfattet av reglene, også en bedrifts egne ansatte er vernet. Slik vil også mindre bedrifter bli berørt av regelverket, og de bør derfor gå igjennom sine interne rutiner for innsamling og oppbevaring av informasjon også av sine ansatte. Jobbsøknader, CVer og øvrig personalinformasjon er eksempler på dette.

De nye reglene vil også gjelde for et større geografisk område. GDPR utgjør således en utvidelse av regelverket, ved at også bedrifter som er lokalisert utenfor EU/EØS vil være omfattet av regelverket dersom bedriften behandler personopplysninger om EU/EØS-borgere. Derfor har de store bedriftene utenfor EU/EØS, slik som Facebook, Google og eBay, blitt tvunget til å oppdatere sine brukervilkår og interne retningslinjer vedrørende personopplysninger.

Det er også et strengere krav til klart språk og åpenhet vedrørende hvilke personopplysninger som blir samlet inn og til hva de brukes til. De registrerte skal forstå hvordan personopplysninger blir behandlet, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter han eller hun har og hvordan disse rettighetene kan tas i bruk. Ideen bak en slik informasjonsplikt er at den behandlingsansvarlige skal legge til rette for at de registrerte kan benytte sine øvrige rettigheter, herunder retten til innsyn, retting av feilinformasjon, sletting av informasjonen og muligheten for å trekke samtykke.


En kort innføring i de grunnleggende prinsippene

GDPR er bygget opp av noen grunnleggende personvernprinsipper. For å få en overordnet forståelse av det kommende regelverket, vil det være nødvendig å kjenne til disse prinsippene. Prinsippene er som følger:

«Lovlig, rettferdig og gjennomsiktig»
Behandlingen av personopplysninger må være lovlig. Det er et krav om rettslig grunnlag for den behandlingen en virksomhet ønsker å gjøre. Dette kan være ved hjemmel i lov eller samtykke fra den registrerte.

Videre skal behandlingen av personopplysninger gjøres i respekt for de registrertes interesser og rimelige forventninger. Det er et krav om at behandlingen skal være oversiktlig og forutsigbar for den registrerte, slik at hver enkelt skal ha en større oversikt over hvilke personopplysninger ulike bedrifter har samlet inn og hva de brukes til. I tillegg skal behandlingen av personopplysninger være gjennomsiktig. Mer transparente regler skal bidra til å skape tillit og sette den registrerte i stand til å bruke sine rettigheter og ivareta sine interesser.

«Formålsbegrensning»
Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det vil si at en ikke kan bruke samme opplysning til ulike formål uten at man kan identifisere og beskrive hvert av formålene. Personopplysninger kan heller ikke gjenbrukes til formål som er uforenlige med det opprinnelige.

«Dataminimering»
Mengden innsamlede personopplysninger skal begrenses til det som er nødvendig for å realisere innsamlingsformålet. Man kan således ikke samle inn opplysninger dersom de ikke er nødvendige for å oppnå formålet. Et spørsmål som kan være lurt å stille er om formålet med behandlingen med rimelighet kan oppfylles på en annen måte enn ved å behandle personopplysninger.

«Riktighet»
Personopplysninger som behandles skal være korrekte og opplysningene skal oppdateres dersom det er nødvendig. En behandlingsansvarlig må sørge for å straks slette eller rette personopplysninger som er uriktige med hensyn til de formål de behandles for.

«Lagringsbegrensning»
Personopplysninger skal lagres slik at de kan slettes eller anonymiseres når de ikke lenger er nødvendige for det formålet de ble innhentet for. Personopplysningene skal dermed ikke lagres lenger enn det som er nødvendig.

«Integritet og fortrolighet»
Personopplysninger skal behandles slik at opplysningenes integritet og fortrolighet beskyttes. Det er et krav til behandlingsansvarlige at de oppbevarer og behandler opplysningene slik at de er i tilstrekkelig sikkerhet. Slik vil personopplysninger bli beskyttet mot å havne i hendene til uvedkommende.

«Ansvarlighet»
Den behandlingsansvarlige har et ansvar for å opptre i samsvar med prinsippene for behandling av personopplysninger. Den behandlingsansvarlige må opptre proaktivt. Alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid må etableres. Virksomheter må kunne vise at den faktisk opptrer i samsvar med reglene, det er et dokumentasjonskrav.


Hva nå?

Selv om forordningens ikrafttredelse nå har blitt utsatt til juli 2018, så er regelverket en realitet som virksomheter bør forholde seg til. Forordningen gir videre fullmakter til de nasjonale datatilsynene til å ilegge sanksjoner. Overtredelsesgebyrer er også svært høye og kan bli opptil 20 000 000 euro eller fire prosent av en virksomhets årlige, globale omsetning. Det er således ingen grunn til å utsette arbeidet med å få virksomhetens rutiner til å samstemme med reglene som vil følger av GDPR. Det er viktig å kartlegge virksomheten sin slik at man kan iverksette riktige tiltak. Skaff en oversikt over hvilke personopplysninger deres virksomhet behandler, sørg for å oppfylle dagens lovkrav, sett dere inn i det nye regelverket og lag rutiner for å følge de nye reglene.

Advokatfirmaet Sverdrup DA bistår deg gjerne i spørsmål vedrørende GDPR eller i lignende problemstillinger!

Nedbemanning: Plikten til å vurdere om det finnes «annet passende arbeid»

Høyesterett avsa den 9. mai dom i en sak som gjaldt gyldigheten av en oppsigelse på grunn av nedbemanning. Nedbemanningen var gjort i et selskap som var delt i tre hovedavdelinger, hvor det var behov for nedbemanning i en avdeling, og oppbemanning i en annen.

I tilfeller av nedbemanning har arbeidsgiver en plikt til å vurdere om det finnes et annet passende arbeid i virksomheten å tilby arbeidstaker. Spørsmålet for Høyesterett var om vurderingen av «annet passende arbeid» kunne begrenses til den avdelingen hvor nedbemanningen fant sted, eller om arbeidsgiver måtte ta hele virksomheten i betraktning.

Høyesterett uttalte at den klare hovedregel er at arbeidsgiverens plikt til å vurdere om det finnes annet passende arbeid å tilby dem som ellers står i fare for å bli sagt opp, er knyttet til hele virksomheten. Selv om det i en nedbemanningsprosess aksepteres en snevrere utvalgskrets enn hele virksomheten når det gjelder hvem som skal sies opp, vil det som hovedregel ikke være grunnlag for å begrense plikten til å tilby annet passende arbeid på tilsvarende måte.

Dommen gir veiledning om arbeidsgivers plikter, og arbeidstakers tilhørende rettigheter, i tilfeller av oppsigelse grunnet virksomhetens forhold. Den er av særlig interesse for virksomheter med flere avdelinger som ønsker å nedbemanne. Dommen kan lese i sin helhet her. 

Ny advokatfullmektig i Sverdrup – ytterligere styrking av forsikringskompetansen

Hanna Norum Motzfeldt er ansatt som ny advokatfullmektig i Sverdrup.

Hanna kommer fra stillingen som advokatfullmektig i Finansklagenemnda. Hun har erfaring fra blant annet Statens Pensjonskasse, NAV Klageinstans og Helse- og omsorgsdepartementet. Hennes spisskompetanse innen forsikringsrett og tilstøtende områder vil bidra til å styrke Sverdrups kompetanse ytterligere.

Vi ønsker Hanna velkommen til oss!

Global Law App

Global Law is the legal know-how app launched by Trans-European Law Firms Alliance (TELFA), the international alliance of law firms across Europe, in 2014. The English-language app offers every international company the opportunity to gather global know-how on legal matters. The app provides companies with international operations with 24-hour mobile access to relevant information on the legislation and regulations in the markets in which they operate. In addition to the app, the initiators has also launched a completely rejuvenated platform: www.legalknowledgeportal.com.

The app is a logical extension of the platform and aims to make international law articles easier to find and read. The app selects information based on the user’s own personal preferences, and offers a choice of jurisdictions and relevant countries. The platform has been developed for use on desktop computers, tablets and smartphones.  The information is drawn from an ever-growing database of up-to-date articles on international legislation. Some 70 law firms in Europe, the United States and the BRIC countries, including the firms associated with USLAW lawyers network in the US, Canada and South America, all provide know-how on their own jurisdiction for the app. The number of associated law firms is still growing and firms are added in the near future.

In Norway, Advokatfirmaet Svedrup participates in the Global law app by contributing regular updates on legal developments in our jurisdiction.

The Global Law app is available for free download via the official Apple app store under the name ‘Global Law’ or via the website www.legalknowledgeportal.com.

download-global-law-app

 

Endringer i Aksjeloven pr 1. juli 2017

Fravalg av revisjon

Ved nyregistrering er det stiftelsesmøtet som avgjør om årsregnskapet skal revideres eller ikke, styret har ikke lenger en rolle i dette. Hvis årsregnskapet skal revideres, må stifterne velge revisor på stiftelsesmøtet.

Ved endringer er det generalforsamlingen som avgjør om årsregnskapet skal revideres eller ikke, styret har ikke lenger en rolle i dette. Generalforsamlingen beslutter både valg av revisor og fravalg.

Morselskap i konsern kan beslutte fravalg av revisjon, dersom visse kriterier er oppfylt.

Elektronisk deltakelse på generalforsamling

Aksjeeieres rett til å delta på generalforsamlingen ved hjelp av elektroniske hjelpemidler styrkes. Styret kan bare nekte aksjeeierne elektronisk deltakelse dersom det finnes en saklig grunn. Revisor gis også rett til å delta ved elektroniske hjelpemidler, med mindre styret krever at han deltar fysisk. Det er ikke krav om at noen må møtes fysisk selv om generalforsamlingen holdes etter alminnelige regler.

Forenklet generalforsamling

Før lovendringen kunne selskapet avholde forenklet generalforsamling etter § 5-7, dersom alle aksjeeierne samtykket til dette. Nå kan denne typen generalforsamling avholdes dersom ingen aksjeeiere motsetter seg det. Selskapet trenger ikke innhente eksplisitt, dokumenterbart samtykke. Det er tilstrekkelig at alle aksjeeierne spørres, og gis anledning til å motsette seg behandlingen. Det er opp til den enkelte å protestere dersom de er uenige.

Før lovendringen var det kun styrets leder som kunne signere protokollen. Nå kan generalforsamlingen velge en annen person til å signere protokollen.

Elektronisk signatur likestilles med fysisk underskrift

Det åpnes i loven for at protokoller, redegjørelser og andre dokumenter kan signeres med elektroniske signeringsløsninger.

Vedlegg fra revisor utgår ved kapitalnedsettelse

Ved gjennomføring av kapitalnedsettelse er det ikke lenger et krav om å legge ved erklæring fra revisor som bekrefter at forholdet til kreditorene ikke er til hinder for gjennomføring av nedsettelsen. Styrets bekreftelse skal fortsatt være vedlagt.

Ved kapitalnedsettelse som går til dekning av tap er det ikke lenger et krav å legge ved erklæring om dette fra revisor.

Endring i arbeidstidsregler

Stortinget har vedtatt et forslag om at det skal være mulig å jobbe mellom klokka 21 og 23. Mange kjenner på behovet for en fleksibel ettermiddag med barn og familie og ønsker i stedet å ta frem pc- en senere på kvelden.

Statsråd fastsatte 16. juni at endringene i arbeidsmiljølovens arbeidstidsregler trer i kraft 1. juli i år.

Endringer i arbeidstidsreglene om arbeid mellom klokken 21 og 23

  • Formålet med den nye bestemmelsen er å gi bedre muligheter til fleksible arbeidsdager, uten at arbeidstaker skal arbeide mer eller hvile mindre.
  • Det er kun arbeidstaker som kan ta initiativet til arbeidet. Arbeidstaker må selv ønske å arbeide mellom klokken 21.00 og 23.00. Det kreves en skriftlig avtale mellom arbeidsgiver og arbeidstaker. Samtidig må arbeidsgiver være enig i at noe av arbeidet utsettes til kvelden.
  • Arbeid som utføres etter klokken 21, må være innenfor daglig arbeidstid. Arbeid utover avtalt arbeidstid vil fortsatt være overtid. Reglene for hva som regnes som nattarbeid endres ikke.
  • Lovvedtaket er en oppfølging av Arbeidstidsutvalgets innstilling NOU 2016: 1, Regulering av arbeidstid – vern og fleksibilitet.

 

Styrket vern av varslere trer i kraft 1. juli

Nå får vi et bedre varslervern i norsk arbeidsliv. Det er viktig både for samfunnet, virksomhetene og ikke minst for varslerne selv.

Følgende konkrete endringer i varslingsreglene vil styrke vernet av varslerne:

Virksomheter med fem ansatte eller flere pålegges å utarbeide varslingsrutiner
Forskning viser tydelig at det varsles mer og at varslerne blir behandlet bedre i virksomheter som har rutiner for varsling. Det innføres en plikt for alle virksomheter med fem ansatte eller flere til å utarbeide rutiner for hvordan varsling og varslere skal ivaretas. Samtidig innføres visse minimumskrav til varslingsrutinenes innhold. 

Innleide arbeidstakere får utvidet varslervern
Varslervernet i arbeidsmiljøloven i dag gjelder for virksomhetens egne ansatte. Innleide arbeidstakere kan også få kjennskap til kritikkverdige forhold i virksomheten de er innleid til. Innleide arbeidstakere har ikke stillingsvern i innleievirksomheten og vil dermed kunne være i en særlig sårbar situasjon hvis de sier ifra om kritikkverdige forhold. De innleide får derfor nå samme rett til å varsle og samme vern mot gjengjeldelse som innleievirksomhetens egne ansatte. 

Myndighetene skal ha taushetsplikt om hvem som har varslet dem
Det er alltid lovlig å varsle tilsynsmyndigheter og andre offentlige myndigheter. I dagens regelverk kan det være uklart om varslerens identitet kan hemmeligholdes. Det innføres en utvidet taushetsplikt som vil gjøre det tryggere å varsle til offentlige myndigheter.

Rydder opp og samler varslingsreglene i et eget nytt kapittel 2A i arbeidsmiljøloven. 

 

Akersgata 1, 0158 Oslo
+47 22 42 27 00
+47 22 42 27 01

© 2018 Advokatfirmaet Sverdrup DA. All rights reserved.

Made with ❤ by Nextgen