Gå til hovedinnhold

Ny EU-personvernforordning vedtatt

14. april 2016 kom endelig EU-parlamentet med vedtaket som gjorde at personvernforordningen endelig ble vedtatt. Se pressemeldingen fra EU-kommisjonen. Medlemslandene har nå 2 år på å erstatte dagens personverndirektiv, hvilket betyr at det nye regelverket ventes å tre i kraft i 2018. Det samme vil også gjelde for Norge når forordningen innlemmes i EØS-avtalen. (Norge er forpliktet til å gjennomføre forordninger i norsk rett som innlemmes i EØS-avtalens vedlegg, på samme måte som vi er forpliktet til å gjennomføre direktiver. En forordning får altså ikke direkte virkning i Norge.)


EU ser på personvernforordningen som en sentral del av tilretteleggingen for et digital marked på tvers av landegrenser. Samtidig er det meningen at forordningen fornyer regelverket for å kunne møte nye tjenester og løsninger slik som IoT, økende bruk av skytjenester og BI/Big Data. Det er forventet at forordningen vil medføre en større harmonisering av personvernreglene i EU/EØS. Innholdet av forordningen viderefører mange av de kjente prinsippene i dagens regelverk. Det er dermed ikke den store revolusjonen for norske virksomheter, men på noen områder kommer strengere regler og regulering av nye forhold:
  • Det geografiske virkeområdet utvides til å gjelde virksomheter som tilbyr varer og tjenester i EU/EØS
  • Det kommer et økt krav til dokumentasjon for behandling og risikovurdering av personopplysninger
  • Tydeligere krav til bruk av samtykke og informasjon om behandling
  • Strengere sanksjonsmuligheter hvoretter datatilsynene i EU/EØS gis rett til å ilegge overtredelsesgebyr basert på virksomheters globale omsetning
Men det gis også regler som gir brukere nye rettigheter:
  • Krav til innebygd personvern ("built in privacy") og sikkerhetstiltak i løsninger
  • Krav til dataportabilitet
  • Krav til å kunne som "bruker" bli glemt eller virkelig slettet
Hva betyr det i praksis for IT-virksomheter: litt overordnet betyr det at virksomheter i større grad må ta tak i sin behandling av all personopplysninger, og for noen så vil en måtte utnevne et personvernombud. Alle personvernbehandlinger må som før dokumenteres, virksomheten må ha oversikt over behandlingene og følges disse opp. Det kan være interne behandlinger og behandlinger på vegne av kunder. Dermed må det i større grad tas tak i databehandleravtaler (eller vilkår) og sørge for en reell overgang mellom databehandler og behandlingsansvarlig. God sporing av samtykkekrav vil være en forutsetning.


Risikoevaluering av informasjonssikkerheten (KIT-analysen) bør også få en mer sentral og synlig plass i den daglige informasjonsforvaltningen i virksomhetene. Avtaleparter må og bør derfor i stadig større grad være bevisst hvordan kostnadene til dette arbeidet skal fordeles og prises inn i avtaler. Dette gjelder også i offentlige anskaffelser. Samtidig bør kunder bli flinkere til å vurdere når det faktisk er behov for databehandleravtaler og hvor det er unødvendig. Til tider kan det virke som om kunder krever at leverandører inngår databehandleravtaler for å være på den sikre siden, og uten at det finner sted reell behandling av personopplysninger hos leverandøren (ved eksempelvis rene bistandsoppdrag i kundens lokaler og på kunden utstyr).


Et annet kontraktuelt aspekt som leverandører bør bite seg merke i, er muligheten for datatilsyn i Europa til ilegge overtredelsesgebyr basert på behandlingsansvarliges globale omsetning. Hvis en databehandler gjør en feil i en behandling som medfører et overtredelsesgebyr, og samtidig innestår for den økonomiske konsekvensen overfor sin kunde (gjennom en form for privacy indemnification), så kan et milliardkonsern fort påføre sine leverandører en svært betydelig risiko for tap. Det er mulig dette i praksis er teoretisk ettersom risikoen her vil primært måtte være i krysset mellom brudd på personvernet som er av alminnelig uaktsomhet (dvs ikke grovt uaktsom eller forsettlig) og ileggelse av overtredelsesgebyr, da erstatningsbegrensninger vil ha sin naturlige begrensning mot grov uaktsomhet og forsett.

Location: Western Europe

Kommentarer

Legg inn en kommentar

Populære innlegg fra denne bloggen

Juridisk avdeling og presentasjon av juridiske problemstillinger

En sentral bit av arbeidet i en juridisk avdeling er å bidra til å heve den juridiske kompetansen i en virksomhet og gi grunnlag for bedre og mer informerte beslutninger. Dette kan gjøres på mange måter, men som oftest skjer det i form av foredrag eller andre former for presentasjon av juridiske problemstillinger. Evnen til å kunne hjelpe virksomheten er på mange måter avhengig av evnen til å riktig kunne presentere juridiske problemstillinger. Nedenfor lufter jeg noen få tanker om viktigheten av god presentasjonsteknikk i rollen som internadvokat. Evnen til å presentere juridiske problemstillinger er ikke i prinsippet noe forskjellig for en ekstern advokat i motsetning til en internadvokat. Men for den interne advokaten så finnes en del praktiske problemstillinger som må løses i forhold til den spesielle rollen denne innehar. Eksempelvis har internadvokaten sjelden en intern kostnad, og dermed oftest mer tilgjengelig som ressurs enn en eksternadvokat. Dette kan bidra til at int
Legg inn en kommentar
Read more »

Ny lov om offentlige anskaffelser på vei

Etter en lang prosess har endelig lovforslaget til en ny lov om offentlige anskaffelser kommet til Stortinget. Forslaget til ny lov kom fra Nærings- og fiskeridepartementet i Prop. 51 L (2015-2016) og fikk sin første behandling 2. juni 2016 i Næringskomiteen. Dette resulterte forrige uke i en innstilling ( Innst. 358 L (2015–2016)) som skal behandles første gang av Stortinget 9. juni 2016. Målet er at Stortinget vedtar ny lov før sommerferien. Spørsmålet er hvilke endringer dette medfører for aktørene i offentlige anskaffelser? Bakgrunnen for lovforslaget Bakgrunnen for lovforslaget er tredelt. For det første har EU vedtatt tre nye direktiver om offentlige   anskaffelser som skal gjennomføres i norsk rett. For det andre bygger forslaget på NOU 2014:4 Enklere regler – bedre anskaffelser, som inneholder forslag til endringer i den særnorske delen av anskaffelsesregelverket. For det tredje foreslår departementet endringer i håndhevelsesreglene. For EUs del så har formålet vært EU
Legg inn en kommentar
Read more »

Kompetanse i IT-avtaler – hva er det vi avtaler og hva er viktig?

I virksomheter som tilbyr IT-rådgivnings- og/eller konsulenttjenester kan nettopp erfaring og kompetanse hos de tilbudte ressurser være avgjørende for kvaliteten på resultatet. I offentlige anskaffelser er spørsmål hvordan dette kan og skal vurderes. Tilbudte personers kompetanse og erfaring vil oftest være sentralt i slike tilfeller for å kunne identifisere det økonomisk mest fordelaktige tilbudet for kunden etter anskaffelsesforskriftens § 13-2. Jeg vil kort se litt på reglene i anskaffelsesregelverket omkring vurdering av kompetanse – og deretter litt på kontraktsreguleringen av kompetansekravet - før jeg avslutter med noen kommentarer omkring kompetansebygging. Vurderingen av kompetanse kan finne sted enten som følge av et kvalifikasjonskrav, altså minimumskrav til tjenesteyter etter forskriftens § 8-4 (hvoretter pris ofte blir helt avgjørende) eller som et tildelingskriterium etter forskriftens § 13-2, dvs en evaluering av kompetansen til tilbyderne for å finne den eller de
Legg inn en kommentar
Read more »