Personvern og cybersikkerhet

Føyen har i en årrekke vært sentral i personvernmiljøet i Norge. Etter innføringen av EUs personvernforordning (GDPR) i 2018, har behovet og omfanget av vår personvernrådgivning nådd nye høyder. Vi bistår med å bygge robuste internkontrollsystemer og å gjennomføre risikovurderinger. Vi bistår i dialog med Datatilsynet, og foretar vurderinger i forhold til overføring av personopplysninger til land utenfor EU/EØS, vurderinger i forbindelse med bruk av ny teknologi og krisehåndtering (brudd på personopplysningssikkerheten), samt i utarbeidelse av DPIA, BCR og PBCR. Føyen er også en sentral rådgiver for aktører i ulike bransjer som gjennomgår digitalisering.

Vi har erfaring med personvernspørsmål innen alt fra teknologi, media, helse, offentlig sektor, varehandel, transport, industri og kraft osv. Bredden og dybden i vår rådgivning gjør at vi raskt kan sette oss inn i de stadig nye problemstillingene som oppstår innen personvern, og å bruke vår erfaring til å løse nye utfordringer. Dette gjør at våre kunder får effektiv rådgivning, uansett hvor komplisert saken er i utgangspunktet.

Enhver virksomhet som behandler personopplysninger må ha et internkontrollsystem som dokumenterer behandlingen av personopplysninger og at behandlingen er i samsvar med GDPR. I den forbindelse bistår vi med kartleggingen av behandlingen i virksomheten og etablering av de rutiner som er nødvendig. I forlengelsen av dette bistår vi også med etablering av sletterutiner. Vi har et godt gjennomarbeidet malverk som vi benytter i forbindelse med bistanden.

Samtykke som grunnlag for behandlingen av personopplysninger står svært sentralt i GDPR. Føyen bistår med hensyn til å vurdere hva som må til for at det foreligger et tilstrekkelig samtykke, evt. om det foreligger andre behandlingsgrunnlag, f.eks. berettiget interesse. I mange sektorer finnes det også egne lovhjemler for behandling. Advokater i Føyen har bred erfaring med å vurdere slike særskilte grunnlag, og har også utredet behov for og fremmet forslag om slike lovhjemler.

For å ivareta personvernet på en god måte, er det nødvendig at de registrerte får den informasjon de har krav på iht. GDPR. Føyen har bred erfaring med utforming av personvernerklæringer og andre måter å gi informasjon på. Like viktig er det at ansatte i virksomheter er bevisst på hvilke plikter man har når man behandler personopplysninger. Føyen bistår derfor ofte i utforming av personvernpolicyer og med opplæring av ansatte.

I forbindelse med all behandling av personopplysninger må det foretas risikovurderinger. I enkelte tilfeller kreves også gjennomføring av en vurdering av personvernkonsekvenser (DPIA) etter artikkel 35 i GDPR.

Både behandlingsansvarlig og databehandler er pliktig til å inngå en databehandleravtale dersom databehandler skal behandle data på vegne av en behandlingsansvarlig. Databehandleravtalen må tilfredsstille kravene i artikkel 28 i GDPR og reiser ofte i tillegg ansvarsspørsmål og krav om godtgjørelse. Databehandleravtale skal ikke inngås dersom det i realiteten er snakk om utveksling av personopplysninger mellom to selvstendige behandlingsansvarlige eller hvor det foreligger et felles behandlingsansvar. Det er derfor viktig at man er bevisst på de forskjellige roller man har i behandlingen av personopplysninger.

Virksomhetene er pliktig til å ha oversikt med hensyn til i hvilken utstrekning man overfører personopplysninger til tredjeland utenfor EU/EØS. Det er også en overføring dersom noen utenfor EU/EØS har tilgang til personopplysningene, selv om personopplysningene lagres innenfor EU/EØS. Utgangspunktet er at all overføring er forbudt såfremt det ikke foreligger et særskilt og tilstrekkelig grunnlag. Vurderingen av dette foretas som regel i form av en Transfer Impact Assessment (TIA). Dette er typisk relevant ved inngåelse av avtaler med internasjonale skytjenesteleverandører, eller avtaler der skytjenester på et eller annet nivå er en del av verdikjeden, samt ved mer tradisjonell outsourcing. I slike situasjoner er det avgjørende at man kjenner de ulike leveransemodellene, og hva man må gjøre for å overholde personvernregelverket i den enkelte situasjonen.

Mange virksomheter er pliktige til å ha et personvernombud i henhold til GDPR. Det stilles krav til når slikt personvernombud skal utpekes, hvilken rolle personvernombudet skal ha i virksomheten og hvilke oppgaver personvernombudet skal ha. Advokater i Føyen har erfaring med og påtar seg oppgaven med å være personvernombud, og vi kan støtte internt ansatte personvernombud i deres rolle.

Datatilsynene kan ilegge gebyrer for overtredelse av GDPR. Størrelsen på gebyrene har vært svært høye mot større virksomheter, men vi ser at gebyrene mot vanlige norske virksomheter også er på vei oppover. Ved riktig angrepsvinkel er det er imidlertid store muligheter for å argumentere mot at det ikke foreligger et brudd overhode, og i alle fall store muligheter for å få redusert gebyret. Det er heller ikke sjeldent at tilsynene reduserer størrelsen på gebyret etter innspill som kommer etter at det er varslet om et mulig gebyr.

BCR og PBCR er interne forpliktende regler, avtaler og instrukser i et konsern som gjør at personopplysninger kan overføres mellom selskapene i konsernet selv om det innebærer at personopplysninger overføres til tredjeland utenfor EU/EØS. BCR gjelder der hvor selskapene er behandlingsansvarlige, mens PBCR gjelder der hvor selskapene er databehandler. Datatilsynet må godkjenne BCR og PBCR. Dette kan være en langdryg prosess som også involverer de andre datatilsynene innenfor EU/EØS, men prosessen sikrer et godkjentstempel fra datatilsynene. Hvis disse følges etter godkjennelsen reduseres sjansen for innsyn og gebyrer fra tilsynene.

Brudd på personopplysningssikkerheten er i GDPR definert som «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet må håndteres korrekt i virksomheten.» Slike brudd må håndteres korrekt i virksomheten og i samsvar med GDPR. Det må etableres en protokoll hvor behandlingen dokumenteres. Det må vurderes hvorvidt det er behov for å sende melding til Datatilsynet og evt. til den registrerte som omfattes av bruddet. Cybersikkerhet er helt sentralt i forbindelse med å vurdere hvilke krav til sikkerhet som må stilles ved behandlingen av personopplysninger, og ikke minst i forbindelse med konkrete innbrudd i systemer og hvorledes slike hendelser må håndteres.

Bruk av cookies er et spesifikt område med stor praktisk betydning. I dag er regelverket fordelt på to tilsynsmyndigheter, noe som fører til uklarheter og misforståelser hos de som etablerer internettsider. Vi vet imidlertid hvorledes man må innrette seg.

Advokater i Føyen holder jevnlig seminarer og innlegg om forskjellige temaer innenfor personvern. Vi har etablert et eget forum for Personvernombud og andre med ansvar for personvern innenfor en virksomhet. Dette avholdes fire ganger i året hvor aktuelle temaer tas opp og diskuteres. Vi holder også spesifikke foredrag for virksomheter som ønsker redegjørelse om spesifikke temaer eller kursing.