General Data Protection Regulation (GDPR)

EU’s forordning om personvern, General Data Protection Regulation (GDPR) blir implementert i norsk rett tidligst fra 1. juli 2018.

gdpr
Dette innebærer at vi får nytt felles regelverk med hensyn til hvordan personopplysninger skal behandles i Norge og i EU.

Regelverket innebærer et styrket personvern for enkeltpersoner (den Registrerte) og nye plikter for virksomheter som behandler personopplysninger (Behandlingsansvarlige).

I det følgende vil jeg gjennomgå noen av de plikter som påhviler Behandlingsansvarlige iht det nye regelverket. Databehandlers plikter vil i stor grad være avledet av Behandlingsansvarliges plikter og vil måtte spesifiseres i en databehandleravtale. Jeg vil i dette nyhetsbrevet ikke behandle de særlige spørsmål som må reguleres i en databehandleravtale.
 

Behandlingsansvarliges informasjonsplikt vedrørende hvordan de behandler personopplysninger, jf Forordningens art 12, 13 og 14

Behandlingsansvarlig har en plikt til å informere den registrerte om hvilke personopplysninger som er registrert om dem. De nye reglene stiller strengere krav til denne informasjonen med hensyn til at den skal være kortfattet, klar og tydelig. Når det gjelder opplysninger rettet mot barn skal informasjonen tilrettelegges for at barn kan forstå den.

Det skal bl.a gis informasjon om følgende.
  • Kontaktopplysninger til den behandlingsansvarlige
  • Eventuelt kontaktinformasjon til personvernombudet (dersom det er relevant)
  • Formålet med behandlingen av personopplysninger samt det rettslige grunnlaget for behandlingen (dette kan være lov, avtale osv)
  • Hvilke personopplysninger som behandles
  • Eventuelle mottakere eller kategorier av mottakere av personopplysninger

I tillegg skal den behandlingsansvarlige gi opplysninger om:
  • Det tidsrom personopplysninger vil bli lagret, eller dersom det ikke er mulig, kriteriene som brukes for å fastsette dette tidsrommet.
  • Retten til å anmode den behandlingsansvarlige om innsyn i og retting eller sletting av personopplysninger eller begrensinger av behandlingen som gjelder den registrerte, eller til å protestere mot behandlingen samt retten til dataportobilitet
  • Dersom behandlingen er basert på samtykke skal den registrerte informeres om at han kan trekke samtykke tilbake når som helst
  • Retten til å klage til en tilsynsmyndighet
  • Om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale 

Innebygd personvern inn i nye løsninger

Forordningens artikkel 25 sier at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare er personopplysninger som er nødvendig for hvert spesifikt formål med behandlingen, som behandles. Denne forpliktelse får betydning for omfanget av personopplysninger som samles inn, omfanget av behandlingen av opplysninger, hvor lenge de kan lagres og tilgjengeligheten av opplysningene. Dette tiltaket skal som standard sikre at personopplysninger ikke gjøres tilgjengelig for et ubegrenset antall personer uten den berørte personens medvirkning
 

Personvernombud

Iht det nye regelverket vil flere virksomheter få en plikt til å utnevne personvernombud. Dette gjelder Offentlige virksomheter (unntatt domstolene), virksomheter som har som kjernevirksomhet å systematisk overvåke personer i stort omfang og virksomheter som behandler sensitive personopplysninger i stort omfang.
Også andre virksomheter kan engasjere personvernombud.

Personvernombudet skal informere og gi råd til den behandlingsansvarlige, databehandleren og de ansatte som behandler personopplysninger om de rettslige forpliktelsene de har i relasjon til GDPR.

Personvernombudet skal videre bidra til etterlevelse av forordningens regler, samarbeide med tilsynsmyndighetene.
 

Brudd på personopplysningssikkerheten

Iht forordningens art 33 skal brudd Datasikkerheten meldes til Datatilsynet. En avviksmelding skal sendes til Datatilsynet inn 72 timer.

Avviksmeldingen skal minimum inneholde:
  • En beskrivelse av avviket, hva slags personer og personopplysninger som er berørt
  • Et anslag på hvor mange personer og oppføringer av personopplysninger som er berørt av sikkerhetsbruddet.
  • Kontaktinformasjon til personvernombudet eller annet kontaktpunkt i virksomheten
  • En beskrivelse av hvilke konsekvenser avviket trolig vil ha.
  • En beskrivelse av de tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene av det.
I tillegg inneholder forordningen regler for når de berørte skal varsles om brudd på datasikkerheten

 
Advokatfirmaet Mageli bistår en rekke offentlige og private virksomheter i forbindelse med rådgivning og utforming av databehandleravtaler og annen dokumentasjon for å sørge for at disse er compliant med det nye regelverket.

Relaterte artikler

_S7C1718

Høyesterett lar brygge fra 70-tallet stå

Høyesterett lar brygge fra 70-tallet stå
06.12.2024
Høyesterett konkluderte med at det «ikke var meldeplikt for brygga på det tidspunktet brygga ble oppført».
readmore
Selskapsrett

Tiltak før årsskiftet som kan redusere skattepliktig inntekt og formuesskatt for 2024

Tiltak før årsskiftet som kan redusere skattepliktig inntekt og formuesskatt for 2024
02.12.2024
For å optimalisere skatteposisjonene din før 2025 er det flere grep du kan vurdere. Blant annet kan aksjonærer justere verdsettelsestidspunkt for aksjer, realisere fradragsberettigede tap eller overføre formue for å redusere formuesskatt. Det finnes også muligheter knyttet til investeringer i gunstige spareordninger, oppstartsbedrifter og eiendom. Med riktig planlegging kan du sikre betydelige skattemessige fordeler. Advokat Stian Brumoen tilbyr bistand for å navigere disse tiltakene.
readmore
IMG_2339

Hva skal vi med sparebankene?

Hva skal vi med sparebankene?
25.11.2024
Advokat i Mageli, Marianne Olssøn, har vært medlem av utvalget som denne uka overleverte sin utredning til finansministeren: NOU 2024: 22 Norske sparebanker – tradisjon og tilpasning.
readmore