1
2
3
Forordningen trer i kraft 25. mai 2018. Den avløser da personverndirektivet. Den får da direkte virkning i medlemslandene, og krever altså i motsetning til direktiver ikke nasjonal lovgivning. Direktivet er gjennomført i norsk rett ved personopplysningsloven. De nasjonale tilsynsmyndighetene (Datatilsynet i Norge) 4
5
Denne forordning overholder alle grunnleggende rettigheter og de friheter og prinsipper som er anerkjent i pakten, slik de er nedfelt i traktatene, særlig med hensyn til privatliv og familieliv, hjem og kommunikasjon, vern av personopplysninger, tanke, tros og religionsfrihet, ytrings og informasjonsfrihet, frihet til å drive næringsvirksomhet, retten til effektiv prøving og rettferdig rettergang samt kulturelt, religiøst og språklig mangfold. 6
7
Rett til å bli glemt: Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende: 8
Varsling: Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at det er lite trolig at nevnte brudd på personopplysningssikkerheten vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold. 9
Personvernombud: Det bør en person med dybdekunnskap om personvernlovgivning og praksis bistå den behandlingsansvarlige eller databehandleren for å føre tilsyn med den interne overholdelsen av denne forordning. 10
Sanksjoner: Datatilsynet i Norge gis nye verktøy for sanksjonere brudd på regelverket, herunder myndighet til å ilegge bøter på inntil 20 millioner euro, eller der det gjelder et selskap, inntil 4% av selskapets årlige omsetning på verdensbasis. 11
Protokoll: Hver behandlingsansvarlig og, dersom det er relevant, den behandlingsansvarliges representant skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. 12
Innsyn: Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene 13
Rett til å bli glemt: Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom et av de følgende forhold gjør seg gjeldende: Varsling: Så snart den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør vedkommende melde nevnte brudd til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre vedkommende i samsvar med ansvarlighetsprinsippet kan påvise at det er lite trolig at nevnte brudd på personopplysningssikkerheten vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen kan gis trinnvis uten videre ugrunnet opphold. Personvernombud: Det bør en person med dybdekunnskap om personvernlovgivning og praksis bistå den behandlingsansvarlige eller databehandleren for å føre tilsyn med den interne overholdelsen av denne forordning. Sanksjoner: Datatilsynet i Norge gis nye verktøy for sanksjonere brudd på regelverket, 14
herunder myndighet til å ilegge bøter på inntil 20 millioner euro, eller der det gjelder et selskap, inntil 4% av selskapets årlige omsetning på verdensbasis. Protokoll: Hver behandlingsansvarlig og, dersom det er relevant, den behandlingsansvarliges representant skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar. Innsyn: Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene 14
Innebygd personvern og personvern som standardinnstilling Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets og alvorlighetsgrad for fysiske Den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles En godkjent sertifiseringsmekanisme i henhold til artikkel 42 kan brukes som en faktor for å påvise at kravene fastsatt i nr. 1 og 2 i denne artikkel overholdes. Det nasjonale akkrediteringsorganet kan i i samsvar med EN ISO/IEC 17065/2012, og med tilleggskravene fastsatt av tilsynsmyndigheten akkreditere sertifiseringsorgan, art. 43. 15
Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinleselig format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette» Behandling er basert på samtykke Utføres automatisk skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen. 16
Lovlig, rettferdig og gjennomsiktig Uttrykkelig angitt og berettiget formål Adekvat, relevant og begrenset til formålet Korrekt (slettes, korrigeres uten opphold) Ikke identifiserbar enn nødvendig periode Tilstrekkelig sikkerhet 17
Når kan opplysningene behandles 1 samtykke 2 Behandling er nødvendig 18
Idet det tas hensyn til det tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet, alt etter hva som er relevant, 19
1. Den registrerte skal til enhver tid, av grunner knyttet til vedkommendes særlige situasjon, ha rett til å protestere mot behandling 2. Dersom personopplysninger behandles med henblikk på direkte markedsføring, skal den registrerte til enhver tid ha rett til å protestere mot behandling av personopplysninger som angår vedkommende 3. Dersom den registrerte gjør innsigelse mot behandling med henblikk på direkte markedsføring, skal personopplysningene ikke lenger behandles for slike formål. Senest på tidspunktet for den første kommunikasjonen med den registrerte skal vedkommende uttrykkelig gjøres oppmerksom på rettigheten nevnt i nr. 1 og 2, 20
21
22
23
24
25
26
27
28
29
30
31
32
33
34