GDPR – En kort innføring

Du har kanskje lagt merke til at mange av applikasjonene på mobiltelefonen din nå ønsker at du skal lese igjennom og godkjenne deres nye vilkår. Når både Facebook, Instagram, Snapchat, LinkedIn, eBay og Google omtrent samtidig oppdaterer sine brukervilkår kan dette virke som en tilfeldighet som er for god til å være sann, noe den også er. Tilfeldigheten heter GDPR.

Vi lever i et teknologisk samfunn som stadig blir mer digitalisert. Gjennom den nye teknologien har forståelsen av landegrenser blitt redefinert og til en viss grad utvisket. Personopplysninger blir delt gjennom ulike applikasjoner og på internettsider som aldri før. Omfanget av innsamlingen og utvekslingen av personopplysninger har således økt betraktelig. Det har derfor oppstått et nytt behov for beskyttelse. GDPR er et lovverk som har den teknologiske utviklingen i tankene og som tar sikte på å beskytte forbrukere mot de nye farene som kan oppstå i tråd med en slik utvikling.

GDPR er den engelske forkortelsen for EUs personvernforordning og står for General Data Protection Regulation. GDPR er en forordning som gir regler om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av personopplysninger.

GDPR vil gjennomføres i norsk rett ved inkorporasjon, som vil si at forordningen gjøres gjeldende som norsk rett gjennom en henvisningsbestemmelse i den nye personopplysningsloven (som trer i kraft når Stortinget har fattet lovvedtaket). Forordningen erstatter gjeldende personverndirektiv 95/46/EF, som er gjennomført i dagens personopplysningslov. Ikrafttredelsen av forordningen ble nylig utsatt på nytt, og det antas nå at ikrafttredelsen i Norge vil ligge rundt 1. juli i år.


Hvem og hva omfattes?

Enhver fysisk person innenfor EU/EØS er vernet av regelverket. Forordningen har anvendelse på helt eller delvis automatisert behandling av personopplysninger og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. De som har sine personopplysninger registrert hos virksomheter, blir i forordningen omtalt som de «registrerte».

En personopplysning blir av forordningen definert som enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person. Dette vil si opplysninger som direkte eller indirekte kan identifisere en fysisk person, for eksempel et navn, et identifikasjonsnummer, lokaliseringsopplysning, eller en online-identifikator, slik som en IP-adresse eller et bilde.


Hva er nytt?

Den viktigste endringen i regelverket er at bedrifter og virksomheter får et større ansvar for å ivareta innsamlede personopplysninger. Ifølge forordningen vil en bedrift være pliktig til å vurdere risiko og personvernkonsekvenser før den starter behandling av personopplysninger. Videre kan personopplysninger kun samles inn og anvendes så lenge man har et lovlig grunnlag eller samtykke fra dem opplysningene omhandler. Slik vil store bedrifter som Facebook være avhengig av at du som bruker går igjennom og godtar at de samler inn og sitter på opplysninger om deg, slik som fødselsdato, bilder, hvilke nettsider du besøker og lignende. Men ikke bare opplysninger om en bedrifts kunder vil være omfattet av reglene, også en bedrifts egne ansatte er vernet. Slik vil også mindre bedrifter bli berørt av regelverket, og de bør derfor gå igjennom sine interne rutiner for innsamling og oppbevaring av informasjon også av sine ansatte. Jobbsøknader, CVer og øvrig personalinformasjon er eksempler på dette.

De nye reglene vil også gjelde for et større geografisk område. GDPR utgjør således en utvidelse av regelverket, ved at også bedrifter som er lokalisert utenfor EU/EØS vil være omfattet av regelverket dersom bedriften behandler personopplysninger om EU/EØS-borgere. Derfor har de store bedriftene utenfor EU/EØS, slik som Facebook, Google og eBay, blitt tvunget til å oppdatere sine brukervilkår og interne retningslinjer vedrørende personopplysninger.

Det er også et strengere krav til klart språk og åpenhet vedrørende hvilke personopplysninger som blir samlet inn og til hva de brukes til. De registrerte skal forstå hvordan personopplysninger blir behandlet, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter han eller hun har og hvordan disse rettighetene kan tas i bruk. Ideen bak en slik informasjonsplikt er at den behandlingsansvarlige skal legge til rette for at de registrerte kan benytte sine øvrige rettigheter, herunder retten til innsyn, retting av feilinformasjon, sletting av informasjonen og muligheten for å trekke samtykke.


En kort innføring i de grunnleggende prinsippene

GDPR er bygget opp av noen grunnleggende personvernprinsipper. For å få en overordnet forståelse av det kommende regelverket, vil det være nødvendig å kjenne til disse prinsippene. Prinsippene er som følger:

«Lovlig, rettferdig og gjennomsiktig»
Behandlingen av personopplysninger må være lovlig. Det er et krav om rettslig grunnlag for den behandlingen en virksomhet ønsker å gjøre. Dette kan være ved hjemmel i lov eller samtykke fra den registrerte.

Videre skal behandlingen av personopplysninger gjøres i respekt for de registrertes interesser og rimelige forventninger. Det er et krav om at behandlingen skal være oversiktlig og forutsigbar for den registrerte, slik at hver enkelt skal ha en større oversikt over hvilke personopplysninger ulike bedrifter har samlet inn og hva de brukes til. I tillegg skal behandlingen av personopplysninger være gjennomsiktig. Mer transparente regler skal bidra til å skape tillit og sette den registrerte i stand til å bruke sine rettigheter og ivareta sine interesser.

«Formålsbegrensning»
Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det vil si at en ikke kan bruke samme opplysning til ulike formål uten at man kan identifisere og beskrive hvert av formålene. Personopplysninger kan heller ikke gjenbrukes til formål som er uforenlige med det opprinnelige.

«Dataminimering»
Mengden innsamlede personopplysninger skal begrenses til det som er nødvendig for å realisere innsamlingsformålet. Man kan således ikke samle inn opplysninger dersom de ikke er nødvendige for å oppnå formålet. Et spørsmål som kan være lurt å stille er om formålet med behandlingen med rimelighet kan oppfylles på en annen måte enn ved å behandle personopplysninger.

«Riktighet»
Personopplysninger som behandles skal være korrekte og opplysningene skal oppdateres dersom det er nødvendig. En behandlingsansvarlig må sørge for å straks slette eller rette personopplysninger som er uriktige med hensyn til de formål de behandles for.

«Lagringsbegrensning»
Personopplysninger skal lagres slik at de kan slettes eller anonymiseres når de ikke lenger er nødvendige for det formålet de ble innhentet for. Personopplysningene skal dermed ikke lagres lenger enn det som er nødvendig.

«Integritet og fortrolighet»
Personopplysninger skal behandles slik at opplysningenes integritet og fortrolighet beskyttes. Det er et krav til behandlingsansvarlige at de oppbevarer og behandler opplysningene slik at de er i tilstrekkelig sikkerhet. Slik vil personopplysninger bli beskyttet mot å havne i hendene til uvedkommende.

«Ansvarlighet»
Den behandlingsansvarlige har et ansvar for å opptre i samsvar med prinsippene for behandling av personopplysninger. Den behandlingsansvarlige må opptre proaktivt. Alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid må etableres. Virksomheter må kunne vise at den faktisk opptrer i samsvar med reglene, det er et dokumentasjonskrav.


Hva nå?

Selv om forordningens ikrafttredelse nå har blitt utsatt til juli 2018, så er regelverket en realitet som virksomheter bør forholde seg til. Forordningen gir videre fullmakter til de nasjonale datatilsynene til å ilegge sanksjoner. Overtredelsesgebyrer er også svært høye og kan bli opptil 20 000 000 euro eller fire prosent av en virksomhets årlige, globale omsetning. Det er således ingen grunn til å utsette arbeidet med å få virksomhetens rutiner til å samstemme med reglene som vil følger av GDPR. Det er viktig å kartlegge virksomheten sin slik at man kan iverksette riktige tiltak. Skaff en oversikt over hvilke personopplysninger deres virksomhet behandler, sørg for å oppfylle dagens lovkrav, sett dere inn i det nye regelverket og lag rutiner for å følge de nye reglene.

Advokatfirmaet Sverdrup DA bistår deg gjerne i spørsmål vedrørende GDPR eller i lignende problemstillinger!