Juridiske betraktninger knyttet til den nye personvernforordningen Advokat/partner Gerd Aaland Fagerli
Tema for dagen o Noen utvalgte emner: Status lovarbeidet i Norge Hva ligger i kravet til internkontroll? Personvern i arbeidsforhold: særlig om e-poster og kameraovervåking Hva kan en bedrift bruke personopplysninger til? Når er det krav til personrådgiver? 2
Det nye regelverket o EU forordningen om behandling av personopplysninger (The EU General Data Protection Regulation) («GDPR») Vedtatt 27. april 2016 o I Norge: ny personopplysningslov som «inkorporerer» forordningen Den nye loven har vært på høring Høringsfrist var: 16. oktober 2017 o Sett hen til noen av høringssvarene i dette foredraget o Ikrafttredelse av ny lov og forordning 25. mai 2018 3
Konsekvenser for næringslivet - høringssvar o Høringsinstansen Regelrådet o «Regjeringen ønsker at bedriftene skal bruke mest mulig av tiden sin på å skape verdier. Derfor oppretter vi nå et nytt og uavhengig regelråd», sitat næringsminister Monica Mæland fra 2015. o Frittstående og uavhengig forvaltningsorgan 4
Konsekvenser for næringslivet - høringssvar o Regelrådets uttalelse: Rød: Forslaget er ikke tilstrekkelig utredet Ingen konkret beskrivelse av hvilke konsekvenser forslagene har hverken på kostnadssiden eller nyttesiden Eksempler på plikter som vil gi økte kostnader og som ikke er utredet: Opplæring i bedriftene Revidere interne rutiner og systemer Økt rapportering Risikovurderinger og avvikshåndtering Økt servicegrad ved portering, sletting og innsyn Ingen forsøk på å tallfeste kostnadene Forslaget berører alle aktører i næringslivet som behandler personopplysninger Det er tilnærmet alle Mangler vurderinger knyttet til små virksomheter Brudd på utredningsinstruksen 5
Krav til Internkontroll dagens lovgivning Personopplysningsloven 14 og forskriften kapittel 3: o Detaljerte krav til innhold, blant annet: Dokumentere kjennskap til regelverket Inneholde rutiner for foretakets behandling av personopplysninger Hvordan innhentes samtykke fra den registrerte? (hvis ikke annen hjemmel) Behandles personopplysningene i tråd med formålet? Hvordan sikres kvaliteten på opplysningene? Hvordan oppfylles anmodninger om innsyn og informasjon? Sørge for tiltak for å holde rutinene oppdaterte Sørge for tiltak for å sikre etterlevelse av rutinene Dokumentasjon tilgjengelig for den det måtte angå, dvs. særlig Datatilsynet og Personvernnemnda 6
Krav til internkontroll høringsnotatet fra Justisdep. o Art. 24 i forordningen: Plikt til å gjennomføre tekniske og organisatoriske tiltak Sikre og påvise at behandlingen utføres i samsvar med forordningens regler o Art. 25 Plikt til å sørge for innebygd personvern Personvern som standardinnstilling 7
Krav til internkontroll høringsnotatet fra Justisdepartementet o Art. 30 Plikt til å føre protokoll over behandlingsaktiviteter Ny forpliktelse etter norsk rett Plikten gjelder bedrifter med mer enn 250 ansatte, men også bedrifter med færre ansatte som behandler visse typer personopplysninger o Forskjell på protokoll i art. 30 og en logg? Antakeligvis ja Detaljert krav i art. 30 nr. 1 om hva protokollen skal inneholde 8
Krav til internkontroll høringsnotatet fra Justisdepartementet o Departementet: Forordningen åpner ikke for generelle regler om internkontroll i nasjonal rett Ingen lov- eller forskriftsbestemmelser som konkretiserer kravene til internkontroll tiltak som i dag o Egen vurdering: Vil innebære at vurderingen om kravene til internkontroll er oppfylt blir mer skjønnsmessig og mindre forutsigbare o Få høringssvar som omhandler temaet 9
Personvern i arbeidsforhold o Svært mange av høringsinstansene opptatt av dette 10
Innsyn i e-post og private filer innledning o Dagens regelverk: Arbeidsgiver har adgang til å foreta innsyn i arbeidstakers e-post og filer, men strenge krav og prosedyrer må følges. o Det finnes ikke tilsvarende bestemmelser i EUforordningen o Departementet har foreslått en videreføring av dagens regler, med visse innholdsmessige endringer. Mener art. 88 åpner opp for det 11
Innsyn i e-post mv. virkeområde Reglene omfatter: E-postkasse som arbeidsgiver har stilt til arbeidstakers disposisjon Andre kommunikasjonsplattformer Arbeidstakers personlige filer og materiale i virksomhetens datanettverk eller annet elektronisk utstyr som arbeidsgiver har stilt til disposisjon eks. Ipad Aktivitetslogger i virksomhetens datanettverk Unntak hvis ikke innsynet er rettet mot en eller flere bestemte ansatte 12
Innsyn i e-post mv virkeområde o Høringssvar - Flere: o Kapitteloverskrift «arbeidsgiver innsyn i e-postkasser mv» for snever: Virkeområdet er vidt Nye kommunikasjons- og samhandlingsverktøy som benyttes Kapitteloverskriften bør være teknologinøytral 13
Sletting av e-postkonto når arbeidsforholdet avsluttes o Hovedregel: Arbeidstakers e-post mv. skal avsluttes når arbeidsforholdet opphører, jf. någjeldende personopplysningsforskriften 9-4. Personopplysninger skal ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Departementet foreslår en klargjøring av regelen: E-postkassen mv. skal avsluttes straks arbeidsforholdet opphører. Innholdet i e-postkassen skal slettes «innen rimelig tid» 14
Sletting av e-postkonto når arbeidsforholdet avsluttes o Høringssvar fra Advokatforeningen: «Rimelig tid» = 6 måneders frist etter fratreden antydet som en grense Uheldig med en absolutt sletteplikt etter 6 mnd. Selv for bedrifter som har gode interne rutiner for håndtering og arkivering av virksomhetskritisk dokumentasjon, vil konsekvensene kunne være ødeleggende dersom den ansatte som slutter ikke har fulgt rutinene Tilsvarende innspill fra flere arbeidsgiverorganisasjoner o NHO: Ønsker regelene snudd på hodet- innsyn i de ansattes e-post i utgangspunktet lovlig Den teknologiske utviklingen har gjort at mer eller mindre alle har en privat e-post kasse ved siden av sin jobb e-post Mye av saksbehandlingen i dag foregår per e-post 15
Ansattes e-post mv o Datatilsynets høringssvar: Ønsker ikke at reglene også skal gjelde aktivitetslogg Vil ha egne separate regler for dette Støtter departementets forslag til presisering av reglene om sletting av e-post mv. ved arbeidsforholdets opphør o Fagforbundet: Departementet mener at forordningens art. 88 ikke gir hjemmel til å beholde de særlige reglene om innsyn i tillitsvalgte e-poster Fagforbundet er sterkt kritisk til det 16
Kameraovervåkning i arbeidslivet vilkår for bruk o Vilkår for lovlig bruk av kameraovervåkning o «dersom det ut fra virksomheten er behov for å forebygge at farlige situasjoner oppstår og ivareta hensynet til ansattes eller andres sikkerhet eller det for øvrig er et særskilt behov for overvåkningen», jf. nåværende personopplysningsloven 38. o Varsel om kameraovervåkning o Det skal ved skilting eller på annen måte gjøres oppmerksom på at stedet overvåkes, og at overvåkningen eventuelt inkluderer lydopptak. Det skal også informeres om hvem som er behandlingsansvarlig. o Reglene foreslått videreført i den nye lovgivningen o Art. 88 åpner for å gi nasjonale regler for personopplysninger i arbeidslivet o Reglene gjelder «på arbeidsplass» 17
Kameraovervåkning i arbeidslivet vilkår for bruk o Høringssvarene: o Datatilsynet: Må avklares hva som ligger i begrepet «arbeidsplass» Lukkede områder som et kontor eller også offentlige tilgjengelige områder som butikklokaler? Ønsker en egen bestemmelse om at kameraet ikke fanger opp andre områder enn det som er strengt nødvendig for å oppnå formålet med overvåkingen Jf. minimeringsprinsippet. Skilt om kameraovervåking er ikke nok bør gi strengere regler om varsling av kameraovervåking 18
Kameraovervåkning i arbeidslivet vilkår for bruk o Advokatforeningen: Uklart hva som ligger i begrepet «arbeidsplass» Reglene om kameraovervåking bør ikke gjelde der overvåkingen ikke er rettet mot de ansatte, men gjennomføres av helt andre årsaker. o NHO: Ikke klart hva som skal forstås med begrepet «arbeidsplass» De fleste steder vil være noens arbeidsplass 19
Oppsummering ansatte o Mye av eksisterende regelverk vil bli videreført o Men en del problemstillinger som enda er uavklart når det gjelder personopplysninger og ansatte o Dette fordi forordningen tillater nasjonale reguleringer for ansatte o Vil anbefale alle arbeidsgivere å følge med på hva som blir vedtatt av Stortinget til våren o Bør ha klar sine interne rutiner per 25. mai 2018 for å sikre etterlevelsen 20
Hva kan en bedrift bruke personopplysningene til? o Prinsippet om «formålsbegrensning» - ett av de grunnleggende prinsipper Hovedregel: kan ikke senere brukes til et annet uforenlig formål Eks. samlet inn opplysninger for å kunne levere en vare, ikke senere selge informasjonen til andre som ønsker å bruke opplysningen i markedsføringssammenheng Unntak: samtykke i forkant Strenge krav til innholdet i et samtykke, jf. forordningen art. 6 nasjonal lovgivning Departementet: Gjeldende rett videreføres i stor grad Bred og skjønnsmessig vurdering av om et formål er uforenlig med det opprinnelige formålet 21
Hva kan en bedrift bruke personopplysningene til? o Prinsippet om dataminimering Personopplysninger må brukes med måte må være nødvendig og relevant for formålet o Proporsjonalitetsprinsipp Mengde opplysninger må stå i forhold til det som er nødvendig for å angi formålet med behandlingen o Videreføring av gjeldende rett? o Ytterst kort omtale i høringsnotatet 22
Når er det krav til personrådgiver? Hva er en personvernrådgiver? o Person som er utpekt av behandlingsansvarlig og databehandler. o Som hovedregel ansatt i virksomheten o Hvem må ha personvernrådgiver? o Offentlige virksomheter o Virksomheter som behandler sensitive personopplysninger i stor skala. o f eks private helseinstitusjoner o Virksomheter som regelmessig og systematisk monitorerer registrerte i stor skala o f eks dagligvarebransjen. 23
Personvernrådgiver forts. o Oppgaver o Informere, gi råd og anbefalinger for å sikre regeletterlevelse o Kontrollere overholdelse o Foreslå ansvarsfordeling i virksomheten og drive holdningsskapende arbeid o Samarbeide med tilsynsmyndighetene o Ordningen med personvernrådgiver utvides vesentlig ved forordningen 24
Takk for oss! Gerd Aaland Fagerli Advokat / partner 454 84 405 gaf@harris.no Børje L. Hoff Advokat/partner/dgl. leder 994 25 925 bhl@harris.no 25