Den nye forordningen – General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) – blir gjennomført i norsk lov fra 25. mai 2018 gjennom en ny personopplysningslov som bestemmer at forordningen gjelder som norsk lov. Regelverket vil gjelde for et større geografisk område enn i dag ved at behandlingsansvarlige (f.eks. nettbutikker) som er registrert utenfor EU, men som tilbyr varer og tjenester til EU-borgere, blir omfattet av det nye regelverket.
Norske borgere (og EU-borgere) får nye rettigheter. Du kan motsette deg profilering begått av offentlige myndigheter og profilering for direkte markedsføring. Du får også rett til å klage på automatiserte avgjørelser som tas på bakgrunn av den profil som er utarbeidet om deg. Profiler kan ikke utarbeides på bakgrunn av sensitive opplysninger med mindre du har samtykket eller slik profilering kan begrunnes med en særlig samfunnsinteresse som har hjemmel i lov.
Etter gjeldende lov skal personopplysninger kun behandles der det finnes et tydelig angitt formål, og de skal ikke kunne brukes til nye formål som er uforenlige med det opprinnelige formålet. Den som ønsker å behandle personopplysninger til andre formål enn de var innhentet for, må forsikre seg om at det nye formålet er forenlig med det gamle. De nye reglene innebærer at den behandlingsansvarlige kan få hjelp til å avgjøre hva som er forenlige formål ved hjelp av en «kompatibilitets-test» som er nærmere beskrevet i regelverket. Hvis konklusjonen på testen er at det nye formålet er uforenlig med det gamle, skal det innhentes samtykke.
Bedrifter får større ansvar for personvern. Dette innebærer bl.a. plikt for bedriften til selv å vurdere personvernkonsekvenser ved behandling av personopplysninger. Bedriftene får også plikt til å identifisere risikoreduserende tiltak. Bare i de tilfellene der risikoen ikke kan håndteres på en god nok måte internt, skal bedriften søke om forhåndsgodkjennelse hos Datatilsynet. Såkalt «innebygd personvern» og personvern som standardinnstilling i applikasjoner, vil bli lovpålagt.
Bruk av personvernombud blir mer langt mer sentralt enn tidligere, og flere virksomheter enn i dag vil få plikt å opprette ombud. Dette vil gjelde offentlige virksomheter, virksomheter som behandler sensitive personopplysninger i stor skala og virksomheter som systematisk overvåker europeiske borgere i stor skala. Databehandlere skal på lik linje med behandlingsansvarlige også oppnevne personvernombud.
De nye reglene innebærer at de registrerte får styrket sitt krav på åpenhet ved at informasjon om behandling av personopplysninger skal gis på en klar og tydelig måte, og ikke gjemmes bort i en personvernerklæring. Informasjonen skal være «åpen og rimelig» og gis på en «klar og tydelig måte» og i lett forståelig språk. Informasjonen skal gis uten krav om vederlag.
Dag Thorstensen
dt@forsberglaw.no
