GDPR i et nøtteskall

Den 25. mai 2018, om knappe ni måneder, trer EUs nye personvernforordning, GDPR, i kraft. Mens de største advokatkontorene for lengst har satt seg inn i det nye regelverket, er mange små i villrede om hva endringene innebærer.

Published

Her får du en oversikt over de viktigste endringene, og hva som skal til for å etterfølge dem.

EUs forordning for personvern (General Data Protection Regulation, GDPR) blir snart norsk lov. Alle som har personkunder, ansatte eller andre personopplysninger, må forberede seg på de nye reglene.

For et advokatfirma betyr det at klientene kan trenge veiledning, men også at advokatfirmaet selv må tilpasse seg.

Dette blir nytt

GPDR består av 99 regler. Her er de viktigste:

  • Større geografisk område: Regelverket gjelder alle bedrifter som driver virksomhet i EU- og EØS-landene, men også bedrifter som holder til i andre land, men som retter seg mot eller håndterer personopplysninger om EU- og EØS-borgere.
  • Spesifisert formål: Personopplysninger skal bare behandles der det finnes et tydelig spesifisert formål. Skal de brukes til andre formål enn de var innhentet for, må det nye formålet være forenlig med det gamle. Hvis ikke, skal det innhentes samtykke, eller behandlingen må hjemles i lov.
  • Nye rettigheter: Nordmenn og EU-borgere får fire nye rettigheter:

    1. Retten til å få behandlingen av personlige opplysninger begrenset.

  1. Retten til dataportabilitet – det vil si retten til å kreve opplysninger overført fra én tjenesteleverandør til en annen.
  2. Retten til å motsette seg en behandling.
  3. Retten til å motsette seg profilering – det vil si analysering av personopplysninger for å avdekke adferd, preferanser, evner eller behov – og automatiserte avgjørelser.

Blant annet får alle rett til å motsette seg profilering fra offentlige myndigheter og fra markedsførere, og profiler skal normalt ikke utarbeides på bakgrunn av sensitive opplysninger.

  • Større ansvar for bedrifter: Virksomhetene får mer ansvar for å vurdere personvernkonsekvensene, og færre må søke konsesjon fra Datatilsynet.
  • Innebygd personvern: Personvern skal innarbeides i teknologien, og standardinnstillingene skal være personvernvennlige. På engelsk: «privacy by design» og «privacy by default».
  • Personvernombud: Flere bedrifter enn i dag får plikt til å opprette et eget personvernombud, bl.a. offentlige virksomheter, virksomheter som behandler sensitive personopplysninger i stor skala, og virksomheter som systematisk overvåker europeiske borgere i stor skala. Forordningen stiller også krav til innholdet i databehandleravtaler.
  • Språk og åpenhet: Informasjon om hvordan personopplysninger behandles skal gis på en klar og tydelig måte, og ikke gjemmes bort i en personvernerklæring. For dem som registreres, skal behandlingen fremstå som åpen og rimelig. Opplysningene om hva som registreres, skal gis klart, tydelig, i et lett forståelig språk, og være gratis.
  • Gebyrer: Datatilsynet kan gi gebyrer på opptil fire prosent av en virksomhets årlige, globale omsetning eller maks 20 millioner euro.

 Les også:

Datatilsynet: - Forordningens tekst er helt forferdelig

Les flere artikler om personvernforordningen og hva den betyr for advokater i Advokatbladet nr 8/9.