I denne artikkelen gis det en oppsummering på hva som blir annerledes som følge av den nye personvernforordningen.

• Regelverket gjelder utenfor EU/EØS

Reglene vil gjelde alle som tilbyr varer og tjenester innad i EU/EØS. Dersom en aktør i et land utenfor EU/EØS kun samler opplysninger om atferden til borgere innad i EU/EØS, vil vedkommende også i dette tilfellet måtte rette seg etter den nye forordningen.

• Opplysninger skal ikke brukes til andre formål enn det de er innhentet for

Avgjørelsen av om det dreier seg om samme formål ved ny bruk av opplysninger vil etter de nye reglene bero på en «kompatibilitets test» som fremgår av den nye forordningen. Dersom formålet med den nye bruken ikke er forenelig med det gamle formålet, må det innhentes nytt samtykke for anvendelse av opplysningene.

• Utvidelse av borgernes rettigheter i møte med dem som behandler dataopplysninger

Privatpersoner har fått fire nye rettigheter i møte med dem som behandler dataopplysninger deres. For det første vil hver enkelt kunne motsette seg behandling av personopplysninger. Det er også mulig til å be om begrenset behandling av personopplysninger. Videre kan borgerne motsette seg profilering av deres atferd på nett. Retten til dataportabilitet er ny av forordningen. Med dataportabilitet siktes ifølge datatilsynet til muligheten til å flytte data mellom forskjellige systemer og tjenester. Hver enkelt vil også få muligheten til å klage på automatiserte avgjørelser som tas basert individuelt utarbeidete profiler.

• Utvidet ansvar for bedrifter som behandler personvernopplysninger

Med det utvidede ansvaret følger en plikt til å finne frem til risikoreduserende tiltak i virksomheten, samt sørge for et innebygget personvern, slik at nye løsninger og systemer alltid ivaretar de nye kravene til personvern.

• Opprettelse av personvernombud i private og offentlige virksomheter

Det er ifølge datatilsynet tre sammenhenger hvor det vil være behov for personvernombud
etter den nye forordningen:

1. I offentlige virksomheter
2. I virksomheter som behandler sensitive opplysninger i stor skala
3. I Virksomheter som systematisk overvåker europeiske borgere i stor skala

Ombudene skal gis tid og rom til å gjøre en god jobb.
Databehandlere skal også ha et personvernombud i sin virksomhet, denne vil ha ansvar for informasjonssikkerheten som betyr at vedkommende skal sørge for en sikker anvendelse av personopplysninger.

• Krav til klart språk og åpenhet rundt behandling av personopplysninger

Det er klart at muligheten for til å ivareta en sikker behandling av personopplysninger beror på et klart språk og åpenhet rundt behandling av personopplysningene. Særlig må dette antas å gjelde når det kommer til privatpersoners mulighet til å ivareta egne interesser omkring deres personopplysninger. Datatilsynet skriver på sine sider at opplysningene om hvilke registreringer som gjøres skal gis på en klar og tydelig måte, i lett forståelig språk. Ingen skal måtte betale for slik informasjon. Behandlingsansvarlige plikter også å forsikre seg om at det er riktig vedkommende som mottar informasjon fra dem.

• Datatilsynet blir en del av et internasjonalt fellesskap

Dersom det er flere datatilsynsmyndigheter som er berørt i en sak vil disse etter de nye reglene plikte å samarbeide. Det er også opprettet et nytt organ innad i EU for å behandle saker hvor de nasjonale myndighetene ikke blir enig. Dette organet heter European Data Protection Board (EDPB) og kan treffe bindende avgjørelser i de konkrete sakene, samt komme med uttalelser om hvordan forordningen skal tolkes.

• Datatilsynet gis utvidet myndighet

Det norske datatilsynet får myndighet til å ilegge sanksjoner. Det fremgår av forordningen at datatilsynet kan gi gebyrer på opptil fire prosent av en virksomhets årlige globale omsetning. Det kan altså dreie seg om svært store gebyrsummer.

22.09.2017

Av Ronja Sommer, juridisk utreder