Personvernrett

taushetsplikt-og-personvernEt av spesialområdene til Advokatfirma Eilertsen er personvernrettslige problemstillinger, herunder hvordan virksomheter lovlig kan og skal behandle opplysninger i kundedatabaser og personregistre . Eilertsen har blant annet skrevet boken «Taushetsplikt og personvern i bank og forsikring». Han har bistått en rekke bedrifter og offentlige etater med ulike utredninger, konsesjonssøknader og implementering av rutiner. Eilertsen var engasjert av Utdannings- og forskningsdepartementet da de innførte www.skoleporten.no, og skrev i den forbindelse blant annet en betenkning om lærernes personvern. Senere har han bistått Utdanningsdirektoratet i flere personvernrettslige spørsmål knyttet til blant annet utdanning, skole og opplæring. Eilertsen har også lang erfaring fra kontakt med Datatilsynet. Han har bistått de fleste større finanskonsern med ulike oppgaver og vurderinger i tilknytning til personopplysningsloven, herunder også med konsesjonssøknader.

Den nye og oppdaterte Personopplysningsloven trådte i kraft fra 20.7.2018, som opprinnelig bygger på EUs personverndirektiv, senere erstattet av EUs personvernforordning – GDPR (2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF). GDPR-forordningen er innført ordrett i Norge gjennom en henvisning fra Personopplysningsloven. Loven med tilhørende forskrifter stiller store krav til de behandlingsansvarlige. De skal blant annet etablere en tilfredsstillende sikkerhetsorganisasjon og oppfylle en rekke lovsatte krav til hjemmelsgrunnlag og internkontrollrutiner. Loven gjelder for enhver virksomhet som behandler personopplysninger, det vil si opplysninger om privatpersoner. All behandling av personopplysninger krever uttrykkelig hjemmel for å være tillatt. Behandling av sensitive personopplysninger krever et kvalifisert hjemmelsgrunnlag og ytterligere sikkerhetstiltak. I tillegg til de opplysningene man normalt betrakter som sensitive, regnes også opplysninger om medlemskap i fagforeninger som en sensitiv opplysning.

Personopplysningsloven krever at det inngås skriftlige avtaler med særskilt innholdskrav med alle databehandlere, det vil si med personer og organisasjoner utenfor egen organisasjon som behandler personopplysninger på vegne av den behandlingsansvarlige. For behandlingsansvarlige må meldeplikten til Datatilsynet oppfylles for en rekke behandlinger. Foretak som behandler sensitive personopplysninger kan også ha konsesjonsplikt. Behandling av fødselsnummer er kun tillatt under visse forutsetninger. Personer som får opplysninger om seg selv behandlet av en behandlingsansvarlig, har en ganske omfattende innsynsrett i opplysningene og i måten opplysningene behandles. Forsendelse av personopplysninger pr e-post eller pr telefaks er kun tillatt på bestemte vilkår. Lovfestet taushetsplikt kan komme i tillegg til personvernrettslige rammer, noe som i så fall bør håndteres parallelt.

Den praktiske utfordringen for virksomhetene er ofte ikke å gjøre arbeidet og rutinene knyttet til personopplysningsloven for omfattende eller tungvinte. Det er ofte hensiktsmessig å kombinere nødvendige personvernrutiner med de internkontrolltiltak som øvrig lovgivning stiller til virksomheten.

En rekke virksomheter har behov for å få avklart hvordan man lovlig kan utnytte personopplysningene man har i sitt kunderegister både til mersalg/ kryssalg, i kombinasjon med andre kunderegistre (kobling av kunderegistre/ -opplysninger) og gjennom kombinering av teknologi. Et typisk eksempel på det siste er mulighetene og begrensningene knyttet til å bruk av opplysninger innsamlet på SMS eller via egne hjemmesider i annen virksomhet, til markedsføring, i tilknytning til utlodning/lotterivirksomhet (lotteriloven) eller i forbindelse med interaktive tjenester. Andre relevante problemstillinger er hvor lenge kan og skal virksomheter lagre opplysninger, og hvem kan opplysningene utleveres til. I hvilken grad opplysningene kan utleveres til utenlandske morselskaper/ datterselskaper er også et praktisk viktig spørsmål som kan trenge rettslig avklaring.

Advokatfirma Eilertsen bistår privatpersoner, bedrifter og offentlige forvaltning med alle spørsmål i tilknytning til personvern. Eilertsen bistår bedrifter og offentlig forvaltning med rådgivning, vurdering, rutine- og avtaleutforming, implementering, opplæring og alle andre nødvendige oppgaver for å få rammeverket rundt personopplysningsloven på plass. Bistanden vil også kunne omfatte klienter med slikt behov i tilknytning til tilsynsbesøk og ved klagesaker for Personvernnemnda. Advokatfirma Eilertsen opptrer også som personvernombud for de virksomheter som har behov for det.