14. april 2016 kom endelig EU-parlamentet med vedtaket som gjorde at
personvernforordningen endelig ble vedtatt. Se
pressemeldingen fra EU-kommisjonen. Medlemslandene har nå 2 år på
å erstatte dagens personverndirektiv, hvilket betyr at det nye regelverket
ventes å tre i kraft i 2018. Det samme vil også gjelde for Norge når
forordningen innlemmes i EØS-avtalen. (Norge er forpliktet til å
gjennomføre forordninger i norsk rett som innlemmes i EØS-avtalens
vedlegg, på samme måte som vi er forpliktet til å gjennomføre direktiver. En
forordning får altså ikke direkte virkning i Norge.)
EU ser på personvernforordningen som en sentral del av
tilretteleggingen for et digital marked på tvers av landegrenser. Samtidig
er det meningen at forordningen fornyer regelverket for å kunne møte nye
tjenester og løsninger slik som IoT, økende bruk av skytjenester og BI/Big
Data. Det er forventet at forordningen vil medføre en større harmonisering av
personvernreglene i EU/EØS. Innholdet av forordningen viderefører mange av de
kjente prinsippene i dagens regelverk. Det er dermed ikke den store
revolusjonen for norske virksomheter, men på noen områder kommer strengere
regler og regulering av nye forhold:
- Det geografiske virkeområdet utvides til å gjelde virksomheter som tilbyr varer og tjenester i EU/EØS
- Det kommer et økt krav til dokumentasjon for behandling og risikovurdering av personopplysninger
- Tydeligere krav til bruk av samtykke og informasjon om behandling
- Strengere sanksjonsmuligheter hvoretter datatilsynene i EU/EØS gis rett til å ilegge overtredelsesgebyr basert på virksomheters globale omsetning
- Krav til innebygd personvern ("built in privacy") og sikkerhetstiltak i løsninger
- Krav til dataportabilitet
- Krav til å kunne som "bruker" bli glemt eller virkelig slettet
Risikoevaluering av informasjonssikkerheten (KIT-analysen) bør
også få en mer sentral og synlig plass i den daglige informasjonsforvaltningen
i virksomhetene. Avtaleparter må og bør derfor i stadig større grad være
bevisst hvordan kostnadene til dette arbeidet skal fordeles og prises inn i
avtaler. Dette gjelder også i offentlige anskaffelser. Samtidig
bør kunder bli flinkere til å vurdere når det faktisk er behov for
databehandleravtaler og hvor det er unødvendig. Til tider kan det
virke som om kunder krever at leverandører inngår
databehandleravtaler for å være på den sikre siden, og uten at det finner
sted reell behandling av personopplysninger hos leverandøren (ved
eksempelvis rene bistandsoppdrag i kundens lokaler og på kunden
utstyr).
Et annet kontraktuelt aspekt som leverandører bør bite seg merke
i, er muligheten for datatilsyn i Europa til ilegge
overtredelsesgebyr basert på behandlingsansvarliges globale omsetning.
Hvis en databehandler gjør en feil i en behandling som medfører et
overtredelsesgebyr, og samtidig innestår for den økonomiske konsekvensen
overfor sin kunde (gjennom en form for privacy indemnification), så kan et
milliardkonsern fort påføre sine leverandører en svært betydelig risiko
for tap. Det er mulig dette i praksis er teoretisk ettersom risikoen her vil
primært måtte være i krysset mellom brudd på personvernet som er av alminnelig
uaktsomhet (dvs ikke grovt uaktsom eller forsettlig) og ileggelse av
overtredelsesgebyr, da erstatningsbegrensninger vil ha sin naturlige
begrensning mot grov uaktsomhet og forsett.
Kommentarer
Legg inn en kommentar