GDPR ( EU REGELVERK) - NYE REGLER OM BEHANDLING AV PERSONOPPLYSNINGER - TRER I KRAFT I MAI 2018 (Norge)

I dag har vi regler om krav om behandling av personopplysninger i lov om personalopplysninger og forskriften om personalopplysninger. Personopplysninger er enhver form for informasjon om en identifisert eller identifiserbar fysisk person, eksempel fødsel og personnummer, lokaliseringsdata, online identifikator. Ansettelsesopplysninger og kundeopplysninger er eksempler på personopplysninger. EU har vedtatt nye regler som Norge er pliktig etterkomme. Reglene tre i kraft i Norge i løpet av mai 2018. Det nye regelverket fører til at de som behandler persondata får et større ansvar, den registrertes rettigheter blir utvidet, tydeligere krav til utforming av samtykket som er et av flere grunnlag for å behandle personopplysninger endres og datatilsynet vil få skjerpede sanksjonsmuligheter. Bedriftene og organisasjoner får en utvidet plikt til å vurdere konsekvensene når de behandler personopplysninger. Bedriften må ha oversikt over hva slags data som behandles, hva kan skje dersom data kommer på avveie og hvor stor sannsynlighet er det for at data kommer på avveie. Bedriften må selv vurdere risiko og ta ansvar for personvern, og følge opp dette. Behovet for økt fokus på informasjonssikkerhet og internkontroll er nødvendig. Her er noen av de viktigste endringene:
• Innsamlete data/opplysninger skal ikke kunne brukes til nye, uforenlige formål. Det må foreligge et tydelig spesifisert formål for behandling av personopplysninger. I de tilfeller hvor man ønsker å benytte data/opplysninger til nye formål må det foreligge hjemmel i lov eller innhentes nytt samtykke. I arbeidsforhold er hovedregelen at samtykke ikke er grunnlag for behandling av personopplysninger da samtykke ikke ansees som frivillig avgitt.

• Når personopplysninger behandles, plikter ansvarlig å informere de registrerte. Kravene til denne informasjonen blir strengere når forordningen trer i kraft.

• Bedriftene må sende avviksmelding til Datatilsynet om sikkerhetsbrudd innen 72 timer. Den registrerte skal også bli informert når det har skjedd sikkerhetsbrudd som kan ramme denne. Sikkerhetsbrudd kan være der noen har hacket seg inn og stjålet data. Det er en stadig økende trussel for mange bedrifter.

• Det blir obligatorisk for alle offentlige bedrifter å utnevne personvernombud. Det blir også pålagt private bedrifter som behandler sensitive data i stort omfang og bedrifter som har som kjernevirksomhet å behandle personopplysninger til å utnevne personvernombud.

Personvernombudet er bedriftens personvernekspert, og skal være direkte underlagt virksomhetens øverste leder. Personvernombudet kan være ansatt i bedriften eller være en profesjonell tredjepart. Etter dagens regler er det frivillig og ha personvernombud.

• Forordningen gjelder for større geografisk område. Alle som tilbyr varer i EU vil omfattes av reglene. Samtidig legges det opp til at det skal være et nærmere samarbeid mellom tilsynene i de europeiske land. Bedrifter som opererer i flere land i Europa kan velge å forholde seg ett lands datatilsyn.

• Datatilsynet vil som i dag ha mulighet til å sanksjonere brudd på personvernregelverket med bøter. Nivået på bøtene er vesentlig skjerpet. En bedrift kan bli bøtelagt med inntil 4 % av bedriftens årlige globale omsetning, begrenset oppad til 20 millioner Euro.

• Der en person har lagret sine personopplysninger hos ett selskap kan vedkommende kreve at personopplysningene flyttes fra et selskap til et annet selskap vedkommen velger (dataportabilitet). De registrerte har rettigheter. Disse reglene følger også av gjeldene regelverk.
• Rett til innsyn
• Rett til informasjon
• Rett til å kreve retting
• Rett til å kreve sletting.

Organisasjoner og selskaper må endre rutiner som følge av nye bestemmelsene og må se til at de følges. Det er krav om utforming av skriftlig dokumentasjon. Behandles personopplysninger av en underleverandør som f. eksempel leverer datalagringstjenester må det inngås en databehandleravtale som skal sikre underleverandøren oppfyller de samme plikter som virksomheten selv.