[PiN-diskusjon] Fra Datatilsynet: Ny forordning for personvern gir flere rettigheter (fwd)

Thomas Gramstad thomas at ifi.uio.no
Ons 16. Des 2015 23:37:20 CET 

---------- Forwarded message ----------
Date: Wed, 16 Dec 2015 23:16:23 +0100
From: Arve Kirkevik <akirkevi at online.no>
To: EFN-listen <efn-listen at uib.no>
Subject: Fra Datatilsynet: Ny forordning for personvern gir flere rettigheter

http://www.datatilsynet.no/Nyheter/20151/Ny-forordning-for-personvern-gir-flere-rettigheter/

Ny forordning for personvern gir flere rettigheter

(Publisert: 16.12.2015)

EU-institusjonene kom sent i går kveld til enighet om hva innholdet i
EUs nye lovverk for personvern skal inneholde. Det nye regelverket vil
ha større rekkevidde enn det gamle.

Forordningen vil også gjelde for Norge.

Selv om teksten er endelig vedtatt etter forhandlingene, blir den
formelt vedtatt og publisert i løpet av mars 2016. Forordningen vil
tre i kraft to år etter denne datoen.

Datatilsynet i Norge jobber nå, også i samarbeid med
Justisdepartementet, med å identifisere de viktigste endringene i det
nye regelverket. Vi ser på hvordan vi best kan formidle
regelendringene til berørte, endre våre systemer og sørge for god
oppfølging av personvernombudene. Endringene er omfattende, og
Datatilsynet vil fremover bruke en betydelig andel av sine ressurser
for å lære opp ansatte i det nye regelverket.

Hvordan finne ut mer?

Etter hvert som vi får vite mer om hvordan forordningen og de norske
tilpasningene tar form, vil vi formidle dette på våre nettsider. De
ansatte i veiledningstjenesten vår vil også forsøke å svare deg så
godt de kan.

Det er bare å vende seg til ordet «forordning» med det samme. Her er
hovedpunktene i det nye regelverket:

Gjelder for større geografisk område

Behandlingsansvarlige som er registrert utenfor EU, men som tilbyr
varer og tjenester til EU-borgere, vil bli omfattet av det nye
regelverket. Det er de ikke i dag. Det gjelder for eksempel
nettbutikker som ikke er etablert i Europa, men som selger varer over
nett, og kanskje tilbyr frakt til europeiske land og betaling i norske
kroner. Regelverket vil også gjelde behandlingsansvarlige som er
etablert i tredjeland, men som overvåker adferden til EU-borgere
innenfor EU, for eksempel amerikanske selskaper som profilerer
EU-borgere på bakgrunn av nettbruken deres.

Opplysninger skal ikke brukes til nye, uforenlige formål

Personopplysninger skal kun behandles der det finnes et tydelig
spesifisert formål. Dersom man ønsker å behandle personopplysninger
til andre formål enn de var innhentet for, må man forsikre seg om at
det nye formålet er forenlig med det gamle. Det som er nytt med det
nye regelverket, er at behandlingsansvarlig får hjelp til å avgjøre
hva som er forenlige formål og ikke, ved en «kompatibilitets-test» i
forordningsteksten. Dersom konklusjonen er at det nye formålet er
uforenlig med det gamle, skal det innhentes samtykke, eller
behandlingen må hjemles i lov.

Nye rettigheter for borgere

Forordningen fører med seg fire nye rettigheter for EU-borgere ? og
nordmenn:

Rettigheten til å få behandlingen begrenset, retten til
dataportabilitet, retten til å motsette seg en behandling,
ogrettigheter til å motsette deg profilering og automatiserte
avgjørelser.

Du får rett til å motsette deg profilering begått av offentlige
myndigheter, og til å motsette deg profilering for direkte
markedsføring. Du får også rett til å klage på automatiserte
avgjørelser som tas på bakgrunn av en profil som er utarbeidet om deg.
Profiler skal ikke utarbeides på bakgrunn av sensitive opplysninger,
hvis ikke den registrerte har samtykket eller slik profilering kan
begrunnes med en særlig samfunnsinteresse som er hjemlet i lov.

Bedrifter får større ansvar for personvern

Virksomheter får utvidet sin plikt til å selv vurdere
personvernkonsekvenser ved behandling av personopplysninger. Denne
plikten utvides, og det ser ut til at færre vil trenge å søke
konsesjon fra sitt lands personvernmyndigheter, som Datatilsynet i
Norge. De får også plikt til å identifisere risikoreduserende tiltak.
Kun i de tilfellene der risikoen ikke kan håndteres på en
tilfredsstillende måte internt, skal de søke forhåndsgodkjenning fra
nasjonale myndigheter (Datatilsynet). Innebygd personvern og
personvern som standardinnstilling i applikasjoner blir lovpålagt.

Personvernombudet blir mer sentralt enn tidligere

Det vil høyst sannsynlig bli flere personvernombud, fordi flere
virksomheter enn i dag vil plikte å opprette ombud. Disse vil trenge
personvernombud:

     Offentlige virksomheter
     Virksomheter som behandler sensitive personopplysninger i stor
skala
     Virksomheter som systematisk overvåker europeiske borgere i stor
skala

Norge kan også pålegge andre å ha personvernombud gjennom
lovregulering. I store trekk blir oppgavene og forventningene til
personvernombud uendret. Det presiseres i forordningsteksten at det er
viktig at ombudene unngår interessekonflikt, og det kommer et
eksplisitt krav om at bedriften skal legge til rette for at
personvernombudene skal kunne få tid og rom til å gjøre en god jobb.

Databehandlere skal på lik linje med behandlingsansvarlige oppnevne
personvernombud. De skal sørge for informasjonssikkerhet og
dokumentere det, gjennomføre risikovurderinger. Innholdskravene til en
databehandleravtale er gitt i forordningen. Slik var det ikke
tidligere. Datatilsynet kan føre tilsyn og ilegge sanksjoner direkte
til databehandleren. Slik var det heller ikke tidligere.

Et klart språk og krav til åpenhet

Det er et viktig prinsipp i forordningen at informasjon om behandling
av personopplysninger skal gis på en klar og tydelig måte, og ikke
gjemmes bort i en personvernerklæring. Det kan se ut til at den
registrerte har fått styrket sitt krav på åpenhet. Det er et viktig
prinsipp at behandlingen skal for de registrerte fremstå som åpen og
rimelig. Opplysningene om hvilke registreringer som gjøres, skal gis
på en klar og tydelig måte, i lett forståelig språk. Informasjonen
skal gis uten vederlag. Behandlingsansvarlige får på sin side en plikt
til forsikre seg om at de henvender seg til rette vedkommende når de
gir for eksempel elektronisk informasjon om behandlingene.

Plikter å samarbeide internasjonalt

Nasjonale datatilsyn får en plikt til å samarbeide og utveksle
informasjon med hverandre. Samarbeidet skal inkludere utveksling av
informasjon i konkrete saker.

Datatilsynet skal opptre uavhengig i Norge, men samtidig være del av
et europeisk felleskap. I store europeiske saker skal
konsistensmekanismen anvendes: Datatilsynsmyndighetene i alle landene
som er berørt av saken, plikter å samarbeide. Et ledende tilsyn
oppnevnes, som skal stå for kontakten med behandlingsansvarlige,
registrerte og så videre. Blir ikke de nasjonale myndighetene enige,
må saken løftes til European Data Protection Board (EDPB), et nytt
EU-organ som er gitt myndighet til å gjøre bindende avgjørelser i
konkrete saker i tillegg til å avgi uttalelser om hvordan forordningen
skal tolkes.

De nasjonale datatilsynene får videre fullmakter til å ilegge
sanksjoner. Etter det nye regelverket kan Datatilsynet gi gebyrer på
opptil fire prosent av en virksomhets årlige, globale omsetning.

     Pressemelding fra EU-kommisjonen
http://europa.eu/rapid/press-release_IP-15-6321_en.htm

_______________________________________________
http://mailman.uib.no/listinfo/efn-listen
Melde deg av listen? Send mail til efn-listen-request at uib.no med "unsubscribe" som emne/subject

Mer informasjon om epostlisten pin-diskusjon.