Hjem
Forskergruppe for informasjons- og innovasjonsrett
Artikkel

Personvern og GDPR

Personvern er et rettsområde som har fått mye oppmerksomhet de siste årene på grunn av den teknologiske utviklingen. Digitaliseringen, bruken av internett og kommunikasjonsplattformer har endret på muligheter til og risikoer av behandling av personopplysninger. Har vi egentlig kontroll over egne personopplysninger og hvilke lover som gjelder når de blir innsamlet, registrert, organisert, strukturert, overført og lagret?

Personvern og GDPR
Foto/ill.:
TheDigitalArtist

Hovedinnhold

Reglene om personvern finnes i både nasjonale og internasjonale regelverk og de aller fleste kom på plass etter andre verdenskrig. Når det gjelder internasjonale rettskilder, må man nevne FNs verdenserklæring om menneskerettighetene av 1948 artikkel 12, FN-konvensjonen om sivile og politiske rettigheter av 1966 artikkel 17, FN-konvensjonen om barns rettigheter av 1989 artikkel 16, den europeiske menneskerettskonvensjonen av 1950 (EMK) artikkel 8, EUs charter om grunnleggende rettigheter av 2000 artikler 7 og 8, og Europarådets persondatakonvensjon av 1981

I norsk rett er det særlig Høyesterettsdom fra 1952 om «To mistenkelige personer» som må nevnes. Der viste Høyesterett til det ulovfestede personlighetsvern. I 1978 fikk Norge egen lov om personregister som etablerte Datatilsynet

Det er likevel EU som oppnådde mest innenfor personlovgivning. I 1990 la EU-kommisjonen et forslag til direktiv som skulle sikre vern av personopplysninger. Direktiv 95/46/EF – personverndirektivet - ble vedtatt i 1995. Den ble gjennomført i den norske personopplysningsloven av 2000. I 2016 vedtok EU GDPR (EU) 2016/679, dvs. forordning om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. Forordningen opphevet personverndirektivet og trådte i kraft i 2018. Norge fikk dermed en ny personopplysningslov i 2018.  

GDPR er utvilsomt en ny globalstandard for vern av «personopplysninger» som defineres som «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»)». «En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet» (se GDPR artikkel 4(1)).

Begrepet «personopplysning» rekker derfor langt. Det samme gjelder «behandling» som defineres som «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring» (se GDPR artikkel 4(2)).

GDPRs sitt geografiske virkeområde dekker ikke bare behandling av personopplysninger som utføres i EØS, men også når personopplysningene tilhører en fysisk person som befinner seg i EØS, men som får tilbud av varer eller tjenester fra virksomheter som befinner seg uten for EØS. Dette gjelder også situasjonen når slike virksomheter monitorerer adferd til de nevnte fysiske personene (se GDPR artikkel 3).

Spørsmål om personvern har fått en stor betydning for både det offentlige og det private. Aktørene i begge sektorer kan regnes som de behandlingsansvarlige. Risiko for overtredelsesgebyr på opptil 10 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 2% av den samlede globale årsomsetningen i forutgående regnskapsår, har ført til mer oppmerksomhet rundt personvern (se GDPT artikkel 83). I tillegg til overtredelsesgebyr risikerer man tap av omdømme og kundeflukt.

Personvernrettslige spørsmål berører også andre rettsområdet som arbeidsrett eller konkurranserett. Kontrolltiltak som kameraovervåkning eller innsyn i ansattes e-post reguleres av både arbeidsmiljøloven og personopplysningsloven. Digitale giganter som Facebook undersøkes for mulig misbruk av konkurranseregler i forbindelse med deres behandling av personopplysninger til sine brukere. Kunnskap om brukernes adferd, handlevaner, helse og interesser har en enorm verdi.

Førsteamanuensis Malgorzata Cyndecka er kursansvarlig på det nyopprettete emne JUS294 Privacy and Data protection – GDPR, mens førsteamanuensis Knut Martin Tande og førsteamanuensis Torger Kielland er lærere. Cyndecka veileder også masterstudenter som ønsker å skrive om personvernrelaterte problemstillinger

Malgorzata Cyndecka er også ekspert på personvern og GDPR under pandemien i det nyopprettete Pandemisenteret, Norges første COVID-19-senteret som samler eksperter fra ulike områder.