Gå til hovedinnhold

Ny EU-personvernforordning vedtatt

14. april 2016 kom endelig EU-parlamentet med vedtaket som gjorde at personvernforordningen endelig ble vedtatt. Se pressemeldingen fra EU-kommisjonen. Medlemslandene har nå 2 år på å erstatte dagens personverndirektiv, hvilket betyr at det nye regelverket ventes å tre i kraft i 2018. Det samme vil også gjelde for Norge når forordningen innlemmes i EØS-avtalen. (Norge er forpliktet til å gjennomføre forordninger i norsk rett som innlemmes i EØS-avtalens vedlegg, på samme måte som vi er forpliktet til å gjennomføre direktiver. En forordning får altså ikke direkte virkning i Norge.)


EU ser på personvernforordningen som en sentral del av tilretteleggingen for et digital marked på tvers av landegrenser. Samtidig er det meningen at forordningen fornyer regelverket for å kunne møte nye tjenester og løsninger slik som IoT, økende bruk av skytjenester og BI/Big Data. Det er forventet at forordningen vil medføre en større harmonisering av personvernreglene i EU/EØS. Innholdet av forordningen viderefører mange av de kjente prinsippene i dagens regelverk. Det er dermed ikke den store revolusjonen for norske virksomheter, men på noen områder kommer strengere regler og regulering av nye forhold:
  • Det geografiske virkeområdet utvides til å gjelde virksomheter som tilbyr varer og tjenester i EU/EØS
  • Det kommer et økt krav til dokumentasjon for behandling og risikovurdering av personopplysninger
  • Tydeligere krav til bruk av samtykke og informasjon om behandling
  • Strengere sanksjonsmuligheter hvoretter datatilsynene i EU/EØS gis rett til å ilegge overtredelsesgebyr basert på virksomheters globale omsetning
Men det gis også regler som gir brukere nye rettigheter:
  • Krav til innebygd personvern ("built in privacy") og sikkerhetstiltak i løsninger
  • Krav til dataportabilitet
  • Krav til å kunne som "bruker" bli glemt eller virkelig slettet
Hva betyr det i praksis for IT-virksomheter: litt overordnet betyr det at virksomheter i større grad må ta tak i sin behandling av all personopplysninger, og for noen så vil en måtte utnevne et personvernombud. Alle personvernbehandlinger må som før dokumenteres, virksomheten må ha oversikt over behandlingene og følges disse opp. Det kan være interne behandlinger og behandlinger på vegne av kunder. Dermed må det i større grad tas tak i databehandleravtaler (eller vilkår) og sørge for en reell overgang mellom databehandler og behandlingsansvarlig. God sporing av samtykkekrav vil være en forutsetning.


Risikoevaluering av informasjonssikkerheten (KIT-analysen) bør også få en mer sentral og synlig plass i den daglige informasjonsforvaltningen i virksomhetene. Avtaleparter må og bør derfor i stadig større grad være bevisst hvordan kostnadene til dette arbeidet skal fordeles og prises inn i avtaler. Dette gjelder også i offentlige anskaffelser. Samtidig bør kunder bli flinkere til å vurdere når det faktisk er behov for databehandleravtaler og hvor det er unødvendig. Til tider kan det virke som om kunder krever at leverandører inngår databehandleravtaler for å være på den sikre siden, og uten at det finner sted reell behandling av personopplysninger hos leverandøren (ved eksempelvis rene bistandsoppdrag i kundens lokaler og på kunden utstyr).


Et annet kontraktuelt aspekt som leverandører bør bite seg merke i, er muligheten for datatilsyn i Europa til ilegge overtredelsesgebyr basert på behandlingsansvarliges globale omsetning. Hvis en databehandler gjør en feil i en behandling som medfører et overtredelsesgebyr, og samtidig innestår for den økonomiske konsekvensen overfor sin kunde (gjennom en form for privacy indemnification), så kan et milliardkonsern fort påføre sine leverandører en svært betydelig risiko for tap. Det er mulig dette i praksis er teoretisk ettersom risikoen her vil primært måtte være i krysset mellom brudd på personvernet som er av alminnelig uaktsomhet (dvs ikke grovt uaktsom eller forsettlig) og ileggelse av overtredelsesgebyr, da erstatningsbegrensninger vil ha sin naturlige begrensning mot grov uaktsomhet og forsett.

Location: Western Europe

Kommentarer

Legg inn en kommentar

Populære innlegg fra denne bloggen

Juridisk avdeling og presentasjon av juridiske problemstillinger

En sentral bit av arbeidet i en juridisk avdeling er å bidra til å heve den juridiske kompetansen i en virksomhet og gi grunnlag for bedre og mer informerte beslutninger. Dette kan gjøres på mange måter, men som oftest skjer det i form av foredrag eller andre former for presentasjon av juridiske problemstillinger. Evnen til å kunne hjelpe virksomheten er på mange måter avhengig av evnen til å riktig kunne presentere juridiske problemstillinger. Nedenfor lufter jeg noen få tanker om viktigheten av god presentasjonsteknikk i rollen som internadvokat. Evnen til å presentere juridiske problemstillinger er ikke i prinsippet noe forskjellig for en ekstern advokat i motsetning til en internadvokat. Men for den interne advokaten så finnes en del praktiske problemstillinger som må løses i forhold til den spesielle rollen denne innehar. Eksempelvis har internadvokaten sjelden en intern kostnad, og dermed oftest mer tilgjengelig som ressurs enn en eksternadvokat. Dette kan bidra til at int...
Legg inn en kommentar
Read more »

Ny lov om offentlige anskaffelser på vei

Etter en lang prosess har endelig lovforslaget til en ny lov om offentlige anskaffelser kommet til Stortinget. Forslaget til ny lov kom fra Nærings- og fiskeridepartementet i Prop. 51 L (2015-2016) og fikk sin første behandling 2. juni 2016 i Næringskomiteen. Dette resulterte forrige uke i en innstilling ( Innst. 358 L (2015–2016)) som skal behandles første gang av Stortinget 9. juni 2016. Målet er at Stortinget vedtar ny lov før sommerferien. Spørsmålet er hvilke endringer dette medfører for aktørene i offentlige anskaffelser? Bakgrunnen for lovforslaget Bakgrunnen for lovforslaget er tredelt. For det første har EU vedtatt tre nye direktiver om offentlige   anskaffelser som skal gjennomføres i norsk rett. For det andre bygger forslaget på NOU 2014:4 Enklere regler – bedre anskaffelser, som inneholder forslag til endringer i den særnorske delen av anskaffelsesregelverket. For det tredje foreslår departementet endringer i håndhevelsesreglene. For EUs del så har formålet vær...
Legg inn en kommentar
Read more »

Forenkling av aksjeloven for å øke verdiskapningen i samfunnet

To ekspertutvalg har siden januar sett på muligheten for å forenkle aksjelovene og stiftelsesloven for å forenkle og sikre økt verdiskaping. 21. oktober kom NOU 2016:22 fra aksjelovutvalget med et forslag til endringer til aksjeloven , som blant annet skal kunne gjøre det enklere å kjøpe og selge selskaper. Høringsfristen er satt til 5. april 2017. Aksjelovutvalget anslår at enkelte av forslagene kan gi samlede årlige besparelser for næringslivet på over en milliard kroner. Utredningen er derfor også viktig i regjeringens forenklingsarbeid. Et av de interessante delene av forslaget for forenkling er samtidig at loven gjøres mer teknologinøytral, men derigjennom gis det muligheter for større grad av elektroniske hjelpemidler og elektronisk dokumentasjon. Av de forslag som utvalget har kommet med kan nevnes: ·          Kravet til minste aksjekapital reduseres fra 30 000 kroner til 1 krone. For allmennaksjeselskaper opprettholdes krav...
Legg inn en kommentar
Read more »