Personvernforordningen – konsesjoner – bransjenormer

Artikel forfatter: Nils Henrik Heen
Position: Advokat
E-mail: nils.henrik.heen@finansnorge.no
Organization: Finans Norge
Utgave:
3, 2018
Sprog: Norsk
Kategori:

 

Personvernforordningen, eller GDPR, har allerede fått massiv oppmerksomhet i lengre tid. Forordningen skulle opprinnelig tre i kraft i Norge 25. mai 2018, samtidig som i EU. Grunnet konstitusjonelle forhold i Liechtenstein måtte vi imidlertid vente til 20. juli før forordningen ble gjennomført i Norge da den nye personopplysningsloven trådte i kraft.

Forordningen er av flere omtalt som en personvernrevolusjon og at den vil styrke personvernet til borgerne markant. Også innen finansnæringen har det nye regelverket fått mye oppmerksomhet og forårsaket store prosesser. På mange områder bygger imidlertid forordningen på de samme grunnleggende prinsippene som tidligere regelverk. Det er imidlertid flere endringer, en av de største endringene for forsikringsselskapene er at behandling av personopplysninger ikke lenger er konsesjonspliktig.

Frem til personvernforordningens ikrafttredelse var forsikringsselskapenes behandling av personopplysninger underlagt konsesjon fra Datatilsynet. Konsesjonsinstituttet for behandling av personopplysninger innen forsikring er nå et tilbakelagt kapittel.

Selv om konsesjonen ikke i seg selv utgjorde et behandlingsgrunnlag, inneholdt standardkonsesjonen for forsikring nyttige avklaringer for forsikringsnæringen, for eksempel at personopplysninger for å hindre svik kan oppbevares i inntil 10 år.

Finans Norge støttet avskaffelsen av konsesjonsinstituttet for behandling av personopplysninger. Både fordi fortsatt konsesjonsplikt ville være i strid med forutsetningene i forordningen og fordi fortsatt konsesjonsplikt ville medføre en betydelig konkurranseulempe mot andre virksomheter i et internasjonalt marked.

Behovet for avklaringer består imidlertid selv om konsesjonene nå er borte. For å bidra til å dekke dette behovet har Finans Norge utarbeidet bransjenormer, både for forsikringsvirksomhet og for bank og kredittforetak. Den overordnede målsetningen i arbeidet med å utarbeide bransjenormer har vært at normene, så langt som mulig ikke må begrense foretakene, men heller være et nyttig hjelpemiddel for foretakene. Normene skal skape forutsigbarhet i tolkningen av regelverket og en ensartet praksis for etterlevelse og på den måten forenkle foretakenes arbeid med å etterleve personvernregelverket innenfor virksomhetsområdet. Normene skal også sørge for at regelverket etterleves og dermed skaper et tillitsvekkende og godt personvern innen finansnæringen.

I normene har vi blant annet beskrevet de formål vi mener er relevante for forsikringsselskap med tilhørende behandlingsaktiviteter og behandlingsgrunnlag. Vi har også gått inn i problemstillinger vi mener ikke er endelig avklart, verken i forordningen eller den nasjonale lovprosessen, som vi mener kan medføre nyttige avklaringer for forsikringsnæringen. Ett særlig eksempel på nyttige avklaringer er hvordan forsikringsselskap kan behandle personopplysninger om fagforeningsmedlemskap i kollektive forsikringsavtaler med fagforeninger all den tid fagforeningsmedlemskap er en særskilt kategori av (tidligere «sensitiv») personopplysninger og krever et særlig behandlingsgrunnlag.

For at bransjenormene skal kunne brukes av foretakene til å demonstrere etterlevelse må de godkjennes av Datatilsynet. Finans Norges utkast til normer er oversendt til Datatilsynet som på sin side har signalisert at godkjenningsprosessen kan ta tid. Finans Norge har derfor valgt å publisere våre utkast til normer på våre medlemssider for å gi våre medlemmer den nødvendige veiledningen allerede på nåværende tidspunkt.

Vi mener at forsikringsnæringen har behandlet personopplysninger på en forsvarlig måte i en årrekke. Med bortfall av konsesjonene, fortsatt forsvarlig behandling av personopplysninger og bransjenormene håper og tror vi at forsikringsbransjen står godt rustet, også etter GDPR.