Justis- og beredskapsdepartementet Forslag til ny lov om behandling av personopplysninger Personvernkonferansen 8. desember 2017 Anne Sofie Hippe, fung. Lovrådgiver, Oversikt Kort om personvernforordningen Nærmere om utkastet til ny personopplysningslov Får vi et mer enhetlig regelverk? Nærmere analyse av enkelte bestemmelser i forordningen og ny personopplysningslov. Hvordan tolke og anvende reglene i forordningen? 2
Kort om personvernforordningen Et nytt EU-regelverk om behandling av personopplysninger. Bakgrunnen for forslaget følger bl.a. av fortalepunkt 7: «Denne utviklingen krever en sterk og mer sammenhengende ramme for vern av personopplysninger i Unionen støttet av en streng håndheving av reglene, ettersom det er viktig å skape den nødvendige tillit som vil gjøre at den digitale økonomien kan utvikle seg i det indre marked. Fysiske personer bør ha kontroll over egne personopplysninger. Rettssikkerheten og den praktiske sikkerheten for fysiske personer, markedsdeltakere og offentlige myndigheter bør styrkes.» 3 Kort om personvernforordningen Foreslått av Kommisjonen bl.a. på bakgrunn av et ønske om mer enhetlige regler om behandling av personopplysninger i EU. Gjelder både privat og offentlig sektor, men gir i offentlig sektor langt større adgang til nasjonal regulering. Viderefører i stor grad gjeldende rett, men inneholder også en del nye elementer. 4
Hvordan blir personvernforordningen en del av norsk rett? Må tas inn i EØS-avtalen for å binde Norge. EØS-avtalen artikkel 7: Art 7. Rettsakter som er omhandlet i eller inntatt i vedlegg til denne avtale eller i EØSkomiteens vedtak, skal være bindende for avtalepartene og skal være eller gjøres til del av deres interne rettsorden som følger: a) en rettsakt som tilsvarer en EØF-forordning skal som sådan gjøres til del av avtalepartenes interne rettsorden; b) en rettsakt som tilsvarer et EØF-direktiv skal overlate til avtalepartenes myndigheter å bestemme formen og midlene for gjennomføringen. 5 Forslaget til ny personopplysningslov - overordnet I Norge må forordningen gjennomføres ved lov, dette har regjeringen foreslått at kan gjøres i den nye personopplysningsloven. 1 Gjennomføring av personvernforordningen EØS-avtalen vedlegg [ ] (forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning)) gjelder som lov med de tilpasninger som følger av vedlegg [ ] til EØSavtalen og EØS-avtalen for øvrig. Det er forordningens regler som etter gjennomføringen vil erstatte store deler av dagens personopplysningslov. Forordningens regler vil suppleres av norske lovregler i personopplysningsloven og særlovgivningen. 6
Forslaget til ny personopplysningslov - overordnet I noen tilfeller pålegger forordningen regulering i nasjonal rett, det må for eksempel gis regler om opprettelse av tilsynsmyndigheten. I noen tilfeller åpner forordningen for nasjonale regler, for eksempel om unntak fra den registrertes rettigheter. 7 Status og videre prosess Høringsnotat med forslag til ny lov var på høring 6. juli 16. oktober. Fremgår i høringsnotatet at det tas sikte på at loven gjelder fra samme tidspunkt som i EU. Forordningen er foreløpig ikke tatt inn i EØS-avtalen. 8
Får vi et mer enhetlig regelverk? 9 Reglene om behandlingsgrunnlag etter artikkel 6 Artikkel 6 Behandlingens lovlighet 1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt: a) den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål, b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse, c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser, e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn. 10
Forholdet mellom artikkel 6 og nasjonal lovgivning Nasjonal lovgivning er nødvendig som et supplerende rettslig grunnlag for at det skal foreligge behandlingsgrunnlag etter artikkel 6 nr.1 bokstav c og e. I artikkel 6 nr. 3 åpnes det for at nasjonal lovgivning kan inneholde særlige bestemmelser for å tilpasse anvendelsen av reglene i forordningen. 11 Forholdet mellom artikkel 9 og nasjonal lovgivning Utgangspunktet etter artikkel 9 nr. 1 er behandling av særlige kategorier av opplysninger er forbudt. Artikkel 9 nr. 2 åpner likevel for behandling av slike opplysninger i en del tilfeller, blant annet der dette er fastsatt i nasjonal rett. Artikkel 9 nr. 2 bokstav f åpner for eksempel for behandling for helseformål dersom et særskilt behandlingsgrunnlag er fastsatt i nasjonal rett: h) Behandlingen er nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av unionsretten eller medlemsstatenes nasjonale rett eller i henhold til en avtale med helsepersonell og med forbehold for vilkårene og garantiene nevnt i nr. 3. 12
Barns samtykke etter artikkel 8 Forordningen artikkel 8 nr. 1 bestemmer at barn må være minst 16 år for at samtykke skal kunne utgjøre behandlingsgrunnlag ved tilbud av informasjonssamfunnstjenester direkte til et barn. Etter artikkel 8 nr. 1 kan medlemslandene ved lov likevel fastsette en lavere aldersgrense enn 16 år, forutsatt at den ikke er lavere enn 13 år. Begrepet informasjonssamfunnstjenester er definert i forordningen artikkel 4 nr. 25 som en tjeneste som definert i artikkel 1 nr. 1 bokstav b i europaparlaments- og rådsdirektiv (EU) 2015/1535. Se utkastet til ny personopplysningslov 8. 13 Barns samtykke artikkel 8 https://www.betterinternetforkids.eu/web/portal/practice/awareness/detail?articleid=2019355
Den registrertes rettigheter De enkelte rettighetene følger av artikkel 13 til 22. Artikkel 23 gir på nærmere vilkår adgang til å fastsette unntak fra rettighetene i nasjonal rett. Begrensningene etter artikkel 23 må overholde det vesentlige innholdet i de grunnleggende rettighetene og frihetene og være nødvendige og forholdsmessige tiltak i et demokratisk samfunn av hensyn til et av formålene i artikkel 23 nr. 1 bokstav a til j. Se for eksempel utkastet til ny personopplysningslov 13. Konsistensmekanismen og «one-stop-shop» (ettstedsmekanismen) Innføres en ordning der bedrifter som opererer i flere EUland bare behøver å forholde seg til én tilsynsmyndighet (ettstedsmekanismen), jf. artikkel 56. Formålet er å redusere administrative byrder for selskaper som opererer i flere EU-land, ved at de kan forholde seg til én tilsynsmyndighet. Opprettes et europeisk Personvernråd (EDPB).
Overtredelsesgebyr Artikkel 83 gir regler om overtredelsesgebyr Åpner for bøter opptil 20 000 000 euro eller 4 % av global omsetning Gir tilsynsmyndigheten adgang til å utøve skjønn, også med hensyn til botens størrelse. Hvordan tolke og anvende reglene i forordningen? Ta utgangspunkt i forordningsteksten Fortalen kan gi noe veiledning Praksis fra EU-domstolen og EFTA-domstolen Praksis fra EDPB (Personvernrådet) Praksis fra tilsynsmyndigheter og nasjonale domstoler Veiledning fra tilsynsmyndigheter og EDPB Departementet kan ikke, for eksempel i en lovproposisjon, bestemme hvordan forordningen skal tolkes der det er uklarheter. 18