Personvernforordningen

Frem til nå har vi i Norge hatt en egen personopplysningslov. Denne loven bygget på EUs personverndirektiv fra 1995 og trådte i kraft 1.1.2001. Lovens formål var å beskytte den enkelte mot at personvernet skulle bli krenket gjennom behandling av personopplysninger. Loven skulle således bidra til at personopplysninger ble brukt på en måte som ivaretar den enkeltes integritet.

Tekst: Advokat Bjørn Bråthen

Den teknologiske utviklingen i de årene som har gått siden EUs personvern-direktiv ble innført har vært stor. Dette krever andre og strengere krav til personvernlovverket enn tidligere. Som følge av denne utviklingen har EU de senere årene arbeidet med en forordning som skal skjerpe kravene til personvernet. Denne forordningen skal tre i kraft mai i år.

Hva er en forordning?

Tidligere er vi godt kjent med alle direktivene som kommer fra EU. Det enkelte land kan fortolke direktivene og tilpasse teksten i sine nasjonale lover. En forordning derimot gjelder i forhold til forordningens tekst. Her er det ingen rom for nasjonale forandringer. Det vil derfor bli en direkte oversettelse av forordningsteksten som gjelder i det enkelte land. Dersom EU vedtar at man skal bruke en forordning, vil Norge som EØS-land således ha liten eller ingen mulighet til å påvirke innholdet i reglene som innføres.

Hvilke endringer vil de nye reglene medføre for oss?

For det første vil reglene gjelde i et mye større geografisk område enn i dag. Et eksempel er hvis et selskap i et land utenfor EU/EØS, for eksempel i USA eller Kina, profilerer personer i et EU-land på bakgrunn av nettbruken sin, så vil det nye regelverket i prinsippet også gjelde for dette selskapet. Videre får man rett til å motsette seg profilering for direkte markedsføring. Man får også en rett til å til å motsette seg profilering i forhold til automatiserte avgjørelser. Enkeltpersoner vil også få de samme rettigheter som nevnt foran i forhold til offentlige myndigheter. Videre fastslår regelverket at profiler ikke skal kunne utarbeides på bakgrunn av sensitive opplysninger. Det forutsettes også at personopplysninger kun skal behandles i de tilfelle man har et spesifikt og tydelig formål. Den nye forordningen gir også den enkelte private virksomhet eller offentlige organ et større ansvar for selv å vurdere konsekvenser for personvernet ved behandling av personopplysninger. Forordningen pålegger også virksomhetene å identifisere risikoreduserende tiltak. Videre forutsetter forordningen at informasjon om behandling av personopplysninger skal gis på en tydelig måte. Det er ikke tilstrekkelig kun å ha en personvernerklæring.

Fire nye rettigheter

Som en oppsummering kan nevnes at forordningen gir den enkelte fire nye rettigheter. For det første får vi rett til kreve at behandlingen av våre personopplysninger begrenses. For det andre gis vi rett til å ta med oss våre personopplysninger til en annen (dette kalles dataportabilitet). For det tredje gis vi rett til å motsette oss behandling av personopplysninger og for det fjerde gis vi rett til å motsette oss profilering og automatiserte avgjørelser.

Personvernombud

Flere virksomheter enn i dag bli pliktige til å ha et personvernombud. De virksomheter som etter forordningen vil plikte å opprette slike ombud er offentlige virksomheter, virksomheter som behandler sensitive personopplysninger i større skala og virksomheter som systematisk overvåker europeiske borgere i stor grad. Det vil også bli konkrete krav om at virksomheter med personvernombud skal legge til rette for at ombudene skal få tidsressurser og reelle muligheter til å gjøre en god jobb.
Det gjenstår nå bare å se hvordan den nye forordningen vil fungere i praksis.

Følg med på Akademikerforbundets hjemmeside for å se hva vi gjør vedrørende personvernforordningen.