Gå til hovedinnhold

Ny EU-personvernforordning vedtatt

14. april 2016 kom endelig EU-parlamentet med vedtaket som gjorde at personvernforordningen endelig ble vedtatt. Se pressemeldingen fra EU-kommisjonen. Medlemslandene har nå 2 år på å erstatte dagens personverndirektiv, hvilket betyr at det nye regelverket ventes å tre i kraft i 2018. Det samme vil også gjelde for Norge når forordningen innlemmes i EØS-avtalen. (Norge er forpliktet til å gjennomføre forordninger i norsk rett som innlemmes i EØS-avtalens vedlegg, på samme måte som vi er forpliktet til å gjennomføre direktiver. En forordning får altså ikke direkte virkning i Norge.)


EU ser på personvernforordningen som en sentral del av tilretteleggingen for et digital marked på tvers av landegrenser. Samtidig er det meningen at forordningen fornyer regelverket for å kunne møte nye tjenester og løsninger slik som IoT, økende bruk av skytjenester og BI/Big Data. Det er forventet at forordningen vil medføre en større harmonisering av personvernreglene i EU/EØS. Innholdet av forordningen viderefører mange av de kjente prinsippene i dagens regelverk. Det er dermed ikke den store revolusjonen for norske virksomheter, men på noen områder kommer strengere regler og regulering av nye forhold:
  • Det geografiske virkeområdet utvides til å gjelde virksomheter som tilbyr varer og tjenester i EU/EØS
  • Det kommer et økt krav til dokumentasjon for behandling og risikovurdering av personopplysninger
  • Tydeligere krav til bruk av samtykke og informasjon om behandling
  • Strengere sanksjonsmuligheter hvoretter datatilsynene i EU/EØS gis rett til å ilegge overtredelsesgebyr basert på virksomheters globale omsetning
Men det gis også regler som gir brukere nye rettigheter:
  • Krav til innebygd personvern ("built in privacy") og sikkerhetstiltak i løsninger
  • Krav til dataportabilitet
  • Krav til å kunne som "bruker" bli glemt eller virkelig slettet
Hva betyr det i praksis for IT-virksomheter: litt overordnet betyr det at virksomheter i større grad må ta tak i sin behandling av all personopplysninger, og for noen så vil en måtte utnevne et personvernombud. Alle personvernbehandlinger må som før dokumenteres, virksomheten må ha oversikt over behandlingene og følges disse opp. Det kan være interne behandlinger og behandlinger på vegne av kunder. Dermed må det i større grad tas tak i databehandleravtaler (eller vilkår) og sørge for en reell overgang mellom databehandler og behandlingsansvarlig. God sporing av samtykkekrav vil være en forutsetning.


Risikoevaluering av informasjonssikkerheten (KIT-analysen) bør også få en mer sentral og synlig plass i den daglige informasjonsforvaltningen i virksomhetene. Avtaleparter må og bør derfor i stadig større grad være bevisst hvordan kostnadene til dette arbeidet skal fordeles og prises inn i avtaler. Dette gjelder også i offentlige anskaffelser. Samtidig bør kunder bli flinkere til å vurdere når det faktisk er behov for databehandleravtaler og hvor det er unødvendig. Til tider kan det virke som om kunder krever at leverandører inngår databehandleravtaler for å være på den sikre siden, og uten at det finner sted reell behandling av personopplysninger hos leverandøren (ved eksempelvis rene bistandsoppdrag i kundens lokaler og på kunden utstyr).


Et annet kontraktuelt aspekt som leverandører bør bite seg merke i, er muligheten for datatilsyn i Europa til ilegge overtredelsesgebyr basert på behandlingsansvarliges globale omsetning. Hvis en databehandler gjør en feil i en behandling som medfører et overtredelsesgebyr, og samtidig innestår for den økonomiske konsekvensen overfor sin kunde (gjennom en form for privacy indemnification), så kan et milliardkonsern fort påføre sine leverandører en svært betydelig risiko for tap. Det er mulig dette i praksis er teoretisk ettersom risikoen her vil primært måtte være i krysset mellom brudd på personvernet som er av alminnelig uaktsomhet (dvs ikke grovt uaktsom eller forsettlig) og ileggelse av overtredelsesgebyr, da erstatningsbegrensninger vil ha sin naturlige begrensning mot grov uaktsomhet og forsett.

Location: Western Europe

Kommentarer

Legg inn en kommentar

Populære innlegg fra denne bloggen

Juridisk avdeling og presentasjon av juridiske problemstillinger

En sentral bit av arbeidet i en juridisk avdeling er å bidra til å heve den juridiske kompetansen i en virksomhet og gi grunnlag for bedre og mer informerte beslutninger. Dette kan gjøres på mange måter, men som oftest skjer det i form av foredrag eller andre former for presentasjon av juridiske problemstillinger. Evnen til å kunne hjelpe virksomheten er på mange måter avhengig av evnen til å riktig kunne presentere juridiske problemstillinger. Nedenfor lufter jeg noen få tanker om viktigheten av god presentasjonsteknikk i rollen som internadvokat. Evnen til å presentere juridiske problemstillinger er ikke i prinsippet noe forskjellig for en ekstern advokat i motsetning til en internadvokat. Men for den interne advokaten så finnes en del praktiske problemstillinger som må løses i forhold til den spesielle rollen denne innehar. Eksempelvis har internadvokaten sjelden en intern kostnad, og dermed oftest mer tilgjengelig som ressurs enn en eksternadvokat. Dette kan bidra til at int...
Legg inn en kommentar
Read more »

Ny lov om offentlige anskaffelser på vei

Etter en lang prosess har endelig lovforslaget til en ny lov om offentlige anskaffelser kommet til Stortinget. Forslaget til ny lov kom fra Nærings- og fiskeridepartementet i Prop. 51 L (2015-2016) og fikk sin første behandling 2. juni 2016 i Næringskomiteen. Dette resulterte forrige uke i en innstilling ( Innst. 358 L (2015–2016)) som skal behandles første gang av Stortinget 9. juni 2016. Målet er at Stortinget vedtar ny lov før sommerferien. Spørsmålet er hvilke endringer dette medfører for aktørene i offentlige anskaffelser? Bakgrunnen for lovforslaget Bakgrunnen for lovforslaget er tredelt. For det første har EU vedtatt tre nye direktiver om offentlige   anskaffelser som skal gjennomføres i norsk rett. For det andre bygger forslaget på NOU 2014:4 Enklere regler – bedre anskaffelser, som inneholder forslag til endringer i den særnorske delen av anskaffelsesregelverket. For det tredje foreslår departementet endringer i håndhevelsesreglene. For EUs del så har formålet vær...
Legg inn en kommentar
Read more »

IT-Gruk 7/2022: Åpen kildekode – hva og hvorfor kan kildekode være en utfordring?

  Det ikke sjelden vi erfarer at ved kjøp eller salg av en IT-løsning så inneholder kildekoden til IT-løsningen en andel kode som er lisensiert som såkalt åpen kildekode. Andelen kan både være større eller mindre, men kildekoden representerer oftest den sentrale verdien av en IT-løsningen og den kjøperen ønsker tilgang til. Det overraskende er i mange tilfeller hvor lite struktur eller retningslinjer som ligger rundt et selskaps’ valg ved bruk av åpen kildekode. Her er en forenklet innføring og tanker om åpen kildekode: Programvare og kildekoden Bak en IT-løsning ligger et dataprogram eller applikasjon. Dette er et sett med definerte instruksjoner til en datamaskin som denne skal utføre. Kildekoden er det vi kaller en menneskelesbar kode som skrives på et programmeringsspråk og lagres gjerne i form av en tekstfil. For å kjøre kildekoden på en datamaskin må kildekoden gjøres om til en maskinkode. Det er her vi kjenner igjen bruken av tallene 1 og 0. Det finnes mange programmeringssp...
Legg inn en kommentar
Read more »