Tilbake

Forslag til ny personopplysnings-lov sendt på høring

Aktuelt | 15.07.17

IT og datasikkerhet
Loven skal gjennomføre EUs personvernforordning, GDPR, i norsk rett og vil innebære flere endringer, herunder mer egenkontroll for den behandlingsansvarlige og vesentlig høyere overtredelsesgebyr.

EUs personvernforordning, GDPR, har vært på "alles" lepper i lang tid. Den 6. juli ble forslag til ny personopplysningslov sendt på høring. Loven skal gjennomføre EUs personvernforordning i norsk rett og vil etter planen tre i kraft i mai 2018 - på samme tidspunkt som forordningen begynner å gjelde i EU. Forordningen gjennomføres ved at det i den foreslåtte loven henvises til forordningen, hvilket innebærer at forordningens regler i all hovedsak vil måtte anvendes "as is". Det er imidlertid foreslått enkelte utfyllende bestemmelser og tilpasninger til forordningen, der forordningen åpner for nasjonale tilpasninger. Disse tar i all hovedsak sikte på å videreføre gjeldende rett.  

Den nye loven vil erstatte dagens personopplysningslov og forskrift, og innebærer flere endringer fra dagens regelverk. Formålet med forordningen, og loven, er blant annet å sikre et mer enhetlig regelverk i Europa og et regelverk som er bedre tilpasset dagens teknologiske hverdag.    

Nedenfor følger en kort gjennomgang av de viktigste endringene: 

Styrking av de registrertes rettigheter 

Forordningen er i stor grad en videreføring av dagens rettstilstand hva gjelder de registrertes rettigheter. Lovforslaget innebærer imidlertid at de registrertes rettigheter styrkes på visse punkter, herunder tydeligere krav om forståelig og lett tilgjengelig informasjon og kommunikasjon; «retten til å bli glemt» - en kombinasjon av den registrertes rett til sletting av personopplysninger og en plikt for behandlingsansvarlige til å underrette andre behandlingsansvarlige om at den registrerte har bedt om sletting-; rett til begrensning av behandling; en rett for den registrerte til å motta og å overføre registrerte opplysninger om seg selv til andre (dataportabilitet), og rett til å protestere mot såkalt profilering.  

Det blir også tydeligere krav til hvordan bedrifter henter inn samtykke til å samle inn personopplysninger, hvilket trolig vil innebære at en rekke virksomheter må endre eksisterende praksis.  

Melde- og konsesjonsplikten erstattes med utvidede plikter for den behandlingsansvarlige  

Videre innebærer lovforslaget at dagens system med forhåndskontroll og godkjenning gjennom melde- og konsesjonsplikt opphører, og erstattes med etterkontroll og en rekke utvidede plikter for den behandlingsansvarlige og databehandler. Eksempler på dette er skjerpet plikt til internkontroll, løpende risikovurderinger og konsekvensutredninger, og plikt for offentlige myndigheter og visse private aktører til å utpeke personvernrådgiver. Datatilsynet gis videre en  sterkere veiledningsrolle ved at den behandlingsansvarlige plikter å gjennomføre forhåndsdrøftinger med Datatilsynet når behandlingen medfører høy risiko for personvernet.  

Plikt til å utpeke personvernrådgivere 

Som nevnt ovenfor, innføres det også en plikt for alle offentlige myndigheter samt visse private aktører til å utpeke personrådgivere. Dette er en vesentlig utvidelse av dagens regelverk med personvernombud, og vil gjelde både behandlingsansvarlige og databehandlere.  

Forordningen oppstiller en rekke detaljerte regler om personvernrådgiverens oppgaver og regler som skal sikre dens uavhengige posisjon. Personrådgiveren må inneha spesifiserte faglige kvalifikasjoner og skal rapportere direkte til det høyeste ledelsesnivået hos den behandlingsansvarlige eller databehandleren.  

Den foreslåtte ordningen innebærer at en rekke norske selskaper som i dag ikke har personvernombud vil være pliktig til å oppnevne personvernrådgiver. 

Høyere overtredelsesgebyr  

I tillegg til mer egenkontroll åpner den nye personopplysningsloven for en vesentlig økning av overtredelsesgebyrenes størrelse. Mens dagens lov har en øvre grense på 10 G ved overtredelse av nærmere definerte regler, innebærer forordningen og lovforslaget at den øvre grensen økes til 20 millioner Euro, eller hvis det gjelder foretak, 4 % av den samlede globale årsomsetningen i forutgående regnskapsår hvis denne er høyere. 

På bakgrunn av gebyrenes størrelse, legger departementet til grunn at  dette vil ha tilstrekkelig avskrekkende effekt og foreslår at dagens straffebestemmelser oppheves.  

Innspill  

Høringsfristen er satt til 16. oktober 2017 og departementet ber om innspill på en rekke punkter der forordningen åpner for nasjonale  tilpasninger.  

Simonsen Vogt Wiig vil kunne bistå de som ønsker å inngi høringssvar, samt virksomheter som ønsker rådgivning for å sikre etterlevelse av det nye regelverket.  

Departementets høringsnotat er tilgjengelig her