Personvernforordningen er en forordning som har som formål å sørge for en god beskyttelse av personopplysninger, samtidig som personopplysninger skal kunne utveksles fritt innenfor EU-/EØS-området.

Faktaboks

Også kjent som

General Data Protection Regulation (GDPR)

Forordng (EU) 2016/679

Personvernforordningen ble vedtatt av Europaparlamentet og Rådet i EU 27. april 2016. Den trådte i kraft i EU og i alle EUs medlemsland 25. mai 2018, og i Norge 20. juli 2018.

Personvernforordningen og Norge

Forordningen ble innlemmet i EØS-avtalen ved vedtak i EØS-komiteen 6. juli 2018. Det er vedtatt en ny personopplysningslov, lov av 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven), som gjør forordningen til norsk rett.

Loven trådte i kraft 20. juli 2018. Dermed fikk forordningen lovs kraft i Norge. Samtidig ble den eldre personopplysningsloven av 2000 opphevet.

Forordningens navn

Forordningens fulle tittel er Forordning 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF. Forordningen heter på engelsk The General Data Protection Regulation, og er derfor kjent under forkortelsen GDPR.

Forholdet til EUs personverndirektiv

I EU har forordningen erstattet EUs personverndirektiv av 1995 (direktiv 95/46/EF). I forhold til direktivet av 1995 innebærer forordningen strengere regler, noe som gir et sterkere personvern for den enkelte.

Mens personverndirektivet av 1995 kunne gjøres til gjenstand for tolkninger i de enkelte landene, gjelder forordningen i sin opprinnelige tekst i medlemslandene. Dermed innebærer forordningen full harmonisering av personvernreglene i de ulike medlemslandene i EU.

Innholdet i forordningen

Forordningens formål, som er slått fast i artikkel 1, er å sikre vern av fysiske personers (enkeltmenneskers) grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger. Det følger også av artikkel 1 at man ønsker mest mulig fri utveksling av personopplysninger mellom landene. Personvernet skal derfor ikke føre til begrensninger i utvekslingen av slike opplysninger.

Forordningen innebærer at de personene man behandler personopplysninger om, har krav på å få vite akkurat hvilke opplysninger som blir lagret om vedkommende. Alle virksomheter som håndterer personlig informasjon, plikter å informere de registrerte. Denne plikten påhviler blant annet arbeidsgivere, banker, offentlige myndigheter, sosiale medier som for eksempel Facebook, virksomheter som driver netthandel med mer.

Det er et krav i forordningen at den informasjonen som gis skal være kortfattet, klar og tydelig, lett forståelig og lett tilgjengelig. Det skal informeres blant annet om hvilke personopplysninger som behandles, formålet med behandlingen av personopplysningene og hvor lenge personopplysningene skal oppbevares. Man har også krav på å få vite hvor opplysningene lagres, og man skal få vite hvem som har tilgang til informasjonen og hvordan den brukes. Man kan også kreve at informasjon om en selv blir slettet.

Tilsynsmyndighet

Det er opprettet en sentral europeisk tilsynsmyndighet, European Data Protection Board (EDPB, på norsk kalt Personvernrådet), som har som sin viktigste oppgave å overvåke og sikre en ensartet anvendelse av forordningen. EBPB skal også avgi uttalelser til EU-kommisjonen om forslag til nytt regelverk, og gi råd til Kommisjonen i alle spørsmål som er knyttet til vern av personopplysninger i EU. Rådet kan også med bindende virkning avgjøre tvister mellom nasjonale tilsynsmyndigheter.

Det skal også være nasjonale tilsynsorganer. I Norge er det Datatilsynet som har denne rollen.

Les mer i Store norske leksikon

Kommentarer

Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.

Du må være logget inn for å kommentere.

eller registrer deg