EUs nye personvernforordning
EU sin nye personvernforordning gir innbyggarar sterkare rettar og verksemdene nye plikter.
14. april 2016 vedtok EU-parlamentet ein ny personvernforordning, General Data Protection Regulation (GDPR) som vil vere gjeldande frå 25. mai 2018 i heile EU og erstatte EUs personverndirektiv frå 1995. Noreg og dei andre EØS/EFTA-landa vil ha same gjennomføringsfrist, med mindre anna blir fastsett ved innlemmelse i EØS-avtalen.
Ein forordning er ei EU-lov som i motsetning til eit direktiv, vil gjelde direkte i EUs medlemsstatar utan unntak.
I Noreg vil forordningen erstatte personopplysningslova og tilhøyrande forskrifter.
Kva kan du gjere medan du ventar på ny personvernforordning?
Den nye forordningen skal bidra til sterkare personvern og informasjonssikkerheit ved behandling av personopplysningar. Kvar verksemd som behandlar personopplysningar har ansvar for at dette til kvar tid skjer i samsvar med gjeldande regelverk.
Dersom verksemda di allereie følgjer gjeldande regelverk, er du godt rusta i forkant av den nye personvernforordningen. Dette gjeld òg det mykje omtalte bøtenivået.
For verksemder som ikkje følgjer dagens reglar, er det viktig at de oppfyller dagens krav.
Oppgåva med å auke medvitet rundt personvern og informasjonssikkerheit er heile ansvaret til organisasjonen. Det betyr at både leiinga og tilsette må ta personvern og informasjonssikkerheit på alvor.
Huskeliste:
• Skaff deg oversikt over all behandling av personopplysningar i verksemda di
• Sett deg inn i dagens regelverk, då vil du vere på god veg
• Jobb med å auke medvitet om personvern og informasjonssikkerheit i organisasjonen din
• Involvere leiinga i arbeidet med personvern og informasjonssikkerheit
Rettigheter ved behandling av helse- og personopplysninger etter GDPR
Rettslige grunnlag for behandling av helse- og personopplysninger i GDPR
Kva vil endrast?
Forordningen består av 99 artiklar og 173 fortalepunkter, og inneheld oppdaterte nye reglar som bygger på grunnprinsippa som er nedfelte i EUs personverndirektiv, og dessutan klargjøring av fleire rettar som er etablerte gjennom europeisk rettspraksis.
Borgarar skal ha meir kontroll over eigne opplysningar og enklare tilgang til dei. Personopplysningar må vernast - uansett kvar dei er sende frå, blir behandla eller blir lagra. Virkeområdet til reglane er dermed betrakteleg utvida, slik at reglane omfattar òg verksemder etablert utanfor EU som tilbyr varer eller tenester til EU-borgarar. Regelverket vil òg omfatte verksemder som er etablerte i tredjeland som overvaker åtferda til EU-borgarar.
Dei nye reglane omfattar mellom anna avgjerder om:
- Retten til å bli gløymt: ei styrkt sletteplikt
- Retten til å få informasjon om tryggingsbrot
- Retten til å overføre personopplysningar til annan tenestetilbydar (dataportabilitet)
- Retten til å få behandlinga avgrensa
- Retten til å motsetje seg ei behandling
- Retten til å motsetje seg profilering og automatiserte avgjerder
- Vilkår for samtykke og vilkår som gjeld samtykket til barn
- Strengere krav til internkontroll
- Innebygd personvern (privacy by designar and by default): personvern blir bygt inn i tenester og løysingar frå tidlegaste fase av utviklinga, personvernvennlige standardinnstillingar vil bli norma
- Gjennomføring av risiko- og konsekvensutgreiingar: databehandlingsansvarlige har større ansvar for å gjere sjølvstendige vurderingar av personvernkonsekvensar og identifisere risikoreduserende tiltak
Les mer om GDPR i presentasjonen "GDPR – Hva er det og hva er nytt?" (PDF)
Norsk høyring
Justis- og beredskapsdepartementet (JD) er i Noreg formelt ansvarleg for implementeringen av forordningen medan Kommunal- og moderniseringsdepartementet (KMD) er ansvarleg for delar av personvernlovgivninga (personopplysningsforskrifta).
Datatilsynet hjelper JD og KMD i arbeidet med å gjennomføre forordningen i norsk rett.
JD har foreslått å inkorporere forordningen i norsk lov gjennom ei tilvisningsavgjerd. Enkelte artiklar i forordningen gir rom for utfyllande avgjerder i norsk lovgivning. I denne samanheng vil JD gjennomgå særlovgivningen for å harmonisere han med forordningen. I høyringsnotatet er det gitt uttrykk for at forordningen i hovudsak vidarefører dei sentrale prinsippa og reglane i gjeldande norsk personvernlovgivning.
Det er framleis uklart om det vil komme sektorregelverk for helse- og omsorgssektoren
Høringsnotat om gjennomføringen av forordningen i norsk rett (PDF)
Direktoratet for e-helses høringsuttalelse - forslag til ny personopplysningslov (PDF)
Mer informasjon om implementeringen av ny personvernforordning i norsk rett (regjeringen.no)
Samarbeid på tvers av landegrenser
Virksomheter som er etablert i fleire land i Europa vil forhalde seg berre til éin nasjonal lovgivning og éi enkelt kontrollstyresmakt (one-stop-shop). Personvernstyresmaktene må samarbeide om å utveksle erfaringar og informasjon over landegrensene. Dette vil sikre at dei same reglar gjeld for alle bedrifter uansett kvar dei er etablerte.
Eit felles europeisk datatilsyn (European Data Protection Board - EDPB) skal følgje opp at reglane fungerer harmonisert. Praksisen til tilsynet vil ha stor tyding òg for Noreg.
Fullstendig forordningstekst (data.consilium.europa.eu) (PDF)
Kontakt
Maryke Silalahi Nuth: Maryke.Silalahi.Nuth@ehelse.no