Resurs og GDPR
Information om GDPR til deg som er Resurs samarbeidspartner
Den 25. mai 2018 trer nye regler om beskyttelse ved behandling av personopplysninger i kraft – EU-forordningen om personvern (2016/679) (”Personvernforordningen”), på engelsk kalt General Data Protection Regulation (GDPR). Forordningen gjelder som lov innen EU og EØS og har til formål å forbedre beskyttelsen for enkeltpersoner ved behandling av personopplysninger. Personvernforordningen og en ny norsk personopplysningslov vil erstatte dagens personopplysningslov.
Personvernforordningen kommer til å påvirke alle bransjer, bedrifter og organisasjoner som håndterer personopplysninger. Det er derfor viktig at den som behandler personopplysninger innfører rutiner for hvordan behandlingen skal foregå.
Når gjelder personvernforordningen?
Personvernforordningen gjelder for behandling av personopplysninger som helt eler delvis skjer automatisk, men også for annen behandling av personopplysninger når disse inngår i eller vil inngå i et register. Dette betyr at all behandling av personopplysninger i utgangspunktet vil være omfattet av forordningen.
Hvem plikter å følge personvernforordningen?
Personvernforordningen gjelder for behandling av personopplysninger som har en viss tilknytning til EU/EØS. Den gjelder dermed når den som behandler personopplysninger har et forretningssted innenfor EU/EØS og behandler personopplysninger i sammenheng med virksomheten som drives der. Hvor i EU/EØS selve behandlingen utføres har derfor ingen betydning for om personvernforordningen kommer til anvendelse. Under visse forutsetninger gjelder til og med personvernforordningen selv om foretaket er etablert utenfor EU/EØS. Personvernforordningen gjelder for eksempel selv om behandlingsansvarlig eller en databehandler, som ikke er etablert i EU/EØS, tilbyr varer og tjenester til personer som befinner seg i EU/EØS, eller når den behandlingsansvarlige eller databehandleren overvåker menneskers adferd innenfor EU. Det sistnevnt gjelder for eksempel hvis man sporer enkeltpersoners adferd på internett for å skape kundeprofiler eller lignende.
Krav i forbindelse med personvernforordnignen
Mange av kravene i personvernforordningen finnes allerede i den någjeldende personopplysningsloven. Til en viss grad er personvernforordningen kun en oppdatering og skjerpelse av personopplysningsloven. En viktig del av den økte beskyttelsen for enkeltpersoner hvis personopplysninger behandles, de såkalte registrerte, er at det stilles høyere krav til den som behandler personopplysninger, dvs. alle foretak, organisasjoner og myndigheter som behandler personopplysninger. En nyhet er for eksempel at det i personvernforordningen understrekes særskilt at den som behandler personopplysninger har ansvar for og skal kunne vise at man følger bestemmelsene i personvernforordningen (såkalt ansvarlighet). Dette innebærer kort sagt at den som behandler personopplysninger skal kunne vise at de grunnleggende prinsippene som angis i personvernforordningen følges og ellers følger de krav som oppstilles i personvernforordningen. De grunnleggende prinsippene i personvernforordningen tilsvarer de grunnleggende kravene i personopplysningsloven. Du kan lese om disse prinsippene i personvernforordningen kapittel II – Prinsipper.
Sammenlignet med personopplysningsloven, er de registrertes rettigheter blitt utvidet, forsterket og spesifisert i personvernforordningen. Generelt kan man si at ansvaret for å informere de registrerte i ulike henseender, og kravene til hvilken informasjon som skal gis til de registrerte, utvides gjennom personvernforordningen. Kort sagt innebærer det at de registrerte skal få informasjon om når og hvordan deres personopplysninger behandles, og at de skal ha kontroll over sine egne opplysninger. Registrerte har på samme måte som tidligere rett til å få informasjon om hvilke personopplysninger som berører den registrerte og som behandles (registerutskrift). Forespørsler om slik informasjon kan ikke bare gjøres skriftlig med vanlig brev, men også på annen måte, for eksempel elektronisk. En nyhet er at den som har oppgitt sine personopplysninger i visse tilfeller har rett til å få ut og forlange at personopplysningene overføres til en annen personopplysningsansvarlig når dette er teknisk mulig (dataportabilitet).
I forordningen finnes det også krav om innebygd personvern («privacy by design») og personvern som standardinnstilling («privacy by default), noe som kort sagt betyr at man skal ta hensyn til personvernreglene allerede når man utformer IT-systemer og -rutiner, samt at den som behandler personopplysninger skal passe på at personopplysninger ikke behandles unødvendig gjennom riktige standardinnstillinger.
Personopplysningsansvarlig og personopplysningsrådgiver
Den som behandler personopplysninger på oppdrag fra ett eller flere foretak, skal anses som databehandler, mens den som bestemmer for hvilke formål personopplysningene skal behandles og hvordan behandlingen skal foregå, anses å være behandlingsansvarlig. I personvernforordningen reguleres det som gjelder databehandleren fortrinnsvis i artiklene 28–31 og i andre bestemmelser relatert til disse. Når den behandlingsansvarlige anvender en databehandler, skal det i henhold til personvernforordningen foreligge en skriftlig avtale. I avtalen med databehandleren skal det bestemmes at databehandleren kun får behandle personopplysninger i henhold til dokumenterte instrukser fra den behandlingsansvarlige. En nyhet i forordningen er at noen av de pliktene som tidligere har vært gjeldende for den behandlingsansvarlige, nå også gjelder databehandleren, for eksempel kravet om å føre register over behandlinger, sørge for et forsvarlig sikkerhetsnivå og, i visse tilfeller, utnevne en personvernrådgiver. Også databehandleren kan bli gjenstand for tilsyn eller administrative bøter og bli holdt erstatningsansvarlig. Det er derfor viktig at en databehandler er klar over reglene i personvernforordningen.
Den som behandler personopplysninger må sørge for å ha et forsvarlig sikkerhetsnivå for opplysningene, både teknisk og organisatorisk. En databehandler må, for eksempel, gi tilstrekkelige garantier, spesielt når det gjelder faglig kompetanse, pålitelighet og ressurser, om å gjennomføre egnede tekniske og organisatoriske tiltak på en slik måte at behandlingen innfrir kravene i personvernforordningen og sikrer at de registrertes rettigheter opprettholdes. Dette omfatter, når det er hensiktsmessig, å bruke pseudonymisering og kryptering av personopplysninger, ha evne til å fortløpende sikre konfidensialitet, integritet, tilgjengelighet og motstandskraft hos behandlingssystemene og -tjenestene, ha evnen til å gjenopprette tilgjengelighet og tilgang til personopplysninger innen rimelig tid ved en hendelse, og regelmessig å teste, undersøke og vurdere effektiviteten til de tekniske og organisatoriske tiltakene som skal sørge for at behandlingen gjøres på en trygg måte.
Videre må databehandleren sikre at hver fysiske person som utfører arbeid under tilsyn av databehandleren, og som får tilgang til personopplysninger, kun behandler disse i samsvar med instrukser fra den behandlingsansvarlige, med mindre EU-retten eller nasjonal rett krever at han eller hun gjør dette. I dette inngår også å sikre at autoriserte personer som skal behandle personopplysninger har lovet å behandle disse konfidensielt, eller omfattes av en passende, lovbestemt taushetsplikt.
I pliktene til en databehandler inngår blant annet også, med tanke på behandlingens art og i den grad det er mulig, å hjelpe den behandlingsansvarlige med egnede tekniske og organisatoriske tiltak, slik at den behandlingsansvarlige kan oppfylle sin plikt til å svare på en forespørsel fra den registrerte når denne vil utøve sine rettigheter i henhold til personvernforordningen. Videre skal databehandleren muliggjøre og bidra til granskninger og inspeksjoner som gjennomføres av den behandlingsansvarlige eller en revisor som utnevnes av den behandlingsansvarlige.
Sensitive personopplysninger
Visse personopplysninger er av natur spesielt sensitive og har derfor sterkere beskyttelse i personvernforordningen. Til slike personopplysninger regnes for eksempel opplysninger som avslører rasemessig eller etnisk opprinnelse, politiske oppfatninger og helseopplysninger. I personvernforordningen kalles slike personopplysninger for særlige kategorier av personopplysninger. Begrepet sensitive personopplysninger brukes også ofte i dagligtale. Utgangspunktet er at det er forbudt å behandle sensitive personopplysninger, men det finnes imidlertid flere unntak fra forbudet.
Andre databehandlere (inklusive konsulenter)
Databehandleren kan ikke engasjere en annen databehandler uten særlig eller generell skriftlig forhåndstillatelse fra den behandlingsansvarlige. I tilfeller der databehandleren engasjerer en annen databehandler for å utføre en spesifikk behandling på den behandlingsansvarliges vegne, skal denne databehandleren ha samme plikter med hensyn til personvern som dem som er bestemt i avtalen mellom den behandlingsansvarlige og databehandleren. Hvis nevnte andre databehandler ikke overholder sine personvernplikter, skal den opprinnelige databehandleren stå fullt ansvarlig for utførelsen av den andre databehandlerens plikter.
Spesielt om overføring til tredjelan
Personvernforordningen innebærer at alle EU-medlemslandene (inklusive EØS-landene Norge, Island og Liechtenstein) skal ha likeverdig beskyttelse av personopplysninger og personlig integritet. Personopplysninger kan derfor overføres fritt uten begrensninger innenfor dette området. Ettersom det ikke finnes noen generelle regler som gir tilsvarende garantier utenfor EU og EØS, har man vurdert at overføring til land utenfor EU og EØS (såkalt tredjelandsoverføring) kun skal skje på spesielle vilkår. For slike overføringer gjelder derfor særskilte regler, som står i personvernforordningen artikkel 44–50. En databehandler kan kun anvende tredjelandsoverføring etter skriftlig instruks fra den behandlingsansvarlige med mindre behandlingen er påkrevet i henhold til EU-retten eller i henhold til et EU/EØS-lands nasjonale rett, som databehandleren omfattes av.
Protokoll over behandlingsaktiviteter
Både den behandlingsansvarlige og databehandleren plikter i henhold til personvernforordningen å føre protokoll over sine behandlinger av personopplysninger. Det som skal stå i en slik protokoll fremgår uttrykkelig av personvernforordningen artikkel 30.
Konsekvensvurdering og forhåndsdrøftinger
I blant kan den som behandler personopplysninger, dvs. både den behandlingsansvarlige og databehandleren, ha plikt til å foreta en vurdering av personvernkonsekvenser. Artikkel 35 i personvernforordningen angir når dette kreves. Dette kan for eksempel være tilfellet når man evaluerer eller gir poeng til mennesker, slik som kredittbyråer eller en bedrift som profilerer Internett-brukere gjør, hvis man behandler personopplysninger i stort omfang, hvis man kombinerer personopplysninger fra to eller flere behandlinger på en måte som den registrerte ikke forventer, for eksempel når man samkjører registre, eller hvis man behandler personopplysninger på en måte som hindrer de registrerte fra å få tilgang til en tjeneste eller fra å inngå en avtale, for eksempel når en bank sjekker sine kunder mot en database med kredittopplysninger for å avgjøre om de skal tilbys lån. Målet er å minimere risiko ved slike behandlinger av personopplysninger som innebærer høy risiko. Hvis man uansett vurderer at det finnes høy risiko for personopplysningsbehandlingen, skal man rådføre seg med Datatilsynet før man kan påbegynne behandlingen. Se personvernforordningen artikkel 36 om forhåndsdrøftinger.
Krav til rapportering ved hacking og andre personopplysningshendelser
Hvis det inntreffer noe som fører til fare for at personopplysninger havner i urette hender, må det rapporteres om det til Datatilsynet. Et brudd på personopplysningssikkerheten («personal data breach») skal som hovedregel meldes til Datatilsynet av den behandlingsansvarlige senest 72 timer etter at man blir oppmerksom på hendelsen. En databehandler som blir oppmerksom på et brudd på personopplysningssikkerheten, skal underrette den behandlingsansvarlige uten unødig opphold etter at man er blitt oppmerksom på hendelsen
Personvernrådgiver
Alle som behandler personopplysninger og som omfattes av personvernforordningen, dvs. også databehandlere, må foreta en egen vurdering av om de behøver en personvernrådgiver. Se særlig artikkel 37–39 i personvernforordningen og de tilhørende bestemmelsene. Det kan forekomme at en databehandler behøver en personvernrådgiver selv om oppdragsgiveren ikke behøver det. Det kan for eksempel være tilfellet hvis databehandleren har mange lignende kunder og behandler store mengder personopplysninger fra mange ulike kunder.
Atferdsnormer og sertifiseringsmekanismer
De som behandler personopplysninger kommer til å kunne følge atferdsnormer for å vise at man følger bestemmelsene i personvernforordningen. Atferdsnormer er retningslinjer for hvordan en viss virksomhet, bransje eller samfunnssektor skal behandle personopplysninger i samsvar med personvernforordningen og kan etableres av, for eksempel, en bransjeorganisasjon. Atferdsnormer skal godkjennes av og registreres av Datatilsynet.
Sanksjoner
Personvernforordningen inneholder bestemmelser om administrative bøter, som har til formål å sikre at reglene i personvernforordningen følges. Bøtene kan være så store som EUR 20 000 000 eller, hvis det gjelder en bedrift, opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, avhengig av hvilket beløp som er høyest. I tillegg har hvert EU/EØS-land mulighet til å vedta andre sanksjoner for overtredelse av personvernforordningen.
Resurs arbeid med personvernforordningen – i grove trekk
Resurs arbeider for tiden med å gå gjennom virksomheten for å være sikker på at vi oppfyller de krav som stilles i personvernforordningen. I dette arbeidet inngår det blant annet at banken kommer til å komplettere informasjonen om behandling av personopplysninger som allerede finnes i eller i forbindelse med søknader, avtaler og vilkår for bankens tjenester. Banken går også gjennom sine avtaler med databehandlere for å være sikker på at disse oppfyller kravene i personvernforordningen, og har utnevnt en personvernrådgiver som skal sikre at banken følger personvernforordningen.
Du finner mer informasjon, spesielt i kapittel IV om Behandlingsansvarlig og databehandler i personvernforordningen og Datatilsynets informasjon om personvernforordningen https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/.
Hvis du har spørsmål, må du gjerne kontakte oss, GDPR@resurs.se.