EUs personvernforordning snart norsk lov – hva er status?

Publisert:

Hånd som holder opp strekmennesker
Illustrasjonsbilde: iStock

EUs personvernforordning trer i kraft i EU-statene 25. mai. Forslag til ny personopplysninglov som innlemmer personvernforordningen behandles nå i Stortinget.

Det legges opp til ekspressbehandling av forslaget for at loven skal kunne tre i kraft i Norge på samme tidspunkt som forordningen trer i kraft i EU. Det er imidlertid usikkert om det blir utsettelser med ikrafttredelsestidspunktet. Virke vil informere medlemmene straks ikrafttredelse av ny personopplysningslov er klart.

Ny personopplysningslov vil avløse den gjeldende personopplysningsloven. Forslaget innebærer for det første at selve EUs personvernforordning gjøres til norsk lov. For det andre forslås i loven noen bestemmelser som supplerer reglene i forordningen, blant annet bruk av fødselsnummer.

Lovforslaget viderefører i all hovedsak forslaget slik det var i høringen med noen endringer. Flere av endringene er i tråd med Virkes høringssvar, herunder unntak fra innsyn for interne dokumenter og at utvidet slettefrist på 3 måneder for kameraovervåkning også skal gjelde for bank og post i butikk. Vårt høringssvar kan leses her.

Forslag til ny personopplysningslov finner dere her.

Det nye regelverket skal sikre bedre kontroll med våre personopplysninger og regelverket vil være likt i hele Europa. Alle virksomheter som behandler personopplysninger berøres. Virksomhetene får et større ansvar og den registrerte får flere rettigheter. Dokumentasjon blir viktig fremover. Virksomhetene må dokumentere en oversikt over personopplysningene og hva som er grunnlaget for at virksomheten har personopplysningene (eks. samtykke eller avtale eller lov).

Videre må virksomhetene ha skriftlige internkontrollrutiner for behandling av personopplysninger, eksempelvis sletterutiner. Opplysninger som virksomheten ikke lenger har behov for/ har grunnlag for å beholde, skal slettes. Den registrerte har blant annet rett til å kreve innsyn, rett til å kreve sletting og rett til å få utlevert/overført sine personopplysninger. Virksomhetene må altså ha systemer for å ivareta den registrertes rettigheter.

Virke har utformet en anbefalt arbeidsprosess for å komme i samsvar med det nye regelverket som ligger på våre lukkede medlemssider, Virkes 7 steg. Dette er et hjelp til selvhjelpsverktøy som vi anbefaler våre medlemmer å bruke.