Strengere krav til behandling av personopplysninger

Nytt regelverk for virksomheters behandling av personopplysninger trer i kraft i mai 2018. Det nye regelverket fører til at de som behandler persondata får et større ansvar, den registrertes rettigheter blir utvidet og datatilsynet vil få skjerpede sanksjonsmuligheter.

Kontorplass

Hva betyr forordningen for norske arbeidsgivere?

Norge vil som EØS-medlem implementere EUs forordning for personvern. Det betyr at vår personopplysningslov fra 2000 vil bli byttet ut med et nytt regelverk som er i samsvar med den europeiske forordningen. Tanken er at det skal være lik håndheving av reglene i hele EU/ EØS. Forordningen er mer detaljert og krever et helt annet fokus fra bedriftene enn tidligere. Det nye regelverket pålegger bedriftene et større ansvar for personvern og fører til at bedriftens ansvar for personvern bør flyttes fra "datarommet til styrerommet". 

Hva er de viktigste endringen i det nye regelverket?

Bedriftene får en utvidet plikt til å vurdere konsekvensene når de behandler personopplysninger. Bedriften må ha oversikt over hva slags data som behandles, hva kan skje dersom data kommer på avveie og hvor stor sannsynlighet er det for at data kommer på avveie. Bedriften må selv vurdere risiko og ta ansvar for personvern, og følge opp dette. Behovet for økt fokus på informasjonssikkerhet og internkontroll er nødvendig. Her er noen av de viktigste endringene:

  • Innsamlete data/opplysninger skal ikke kunne brukes til nye, uforenlige formål. Det må foreligge et tydelig spesifisert formål for behandling av personopplysninger. I de tilfeller hvor man ønsker å benytte data/opplysninger til nye formål må det foreligge hjemmel i lov eller innhentes nytt samtykke. I arbeidsforhold er hovedregelen at samtykke ikke er grunnlag for behandling av personopplysninger da samtykke ikke ansees som frivillig avgitt.
  • Bedriftene må sende avviksmelding til Datatilsynet om sikkerhetsbrudd innen 72 timer. Den registrerte skal også bli informert når det har skjedd sikkerhetsbrudd som kan ramme denne. Sikkerhetsbrudd kan være der noen har hacket seg inn og stjålet data. Det er en stadig økende trussel for mange bedrifter.
  • Det blir obligatorisk for alle offentlige bedrifter å utnevne personvernombud. Det blir også pålagt private bedrifter som behandler sensitive data i stort omfang og bedrifter som har som kjernevirksomhet å behandle personopplysninger til å utnevne personvernombud. Personvernombudet er bedriftens personvernekspert, og skal være direkte underlagt virksomhetens øverste leder. Personvernombudet kan være ansatt i bedriften eller være en profesjonell tredjepart.
  • Forordningen gjelder for større geografisk område. Alle som tilbyr varer i EU vil omfattes av reglene. Samtidig legges det opp til at det skal være et nærmere samarbeid mellom tilsynene i de europeiske land. Bedrifter som opererer i flere land i Europa kan velge å forholde seg ett lands datatilsyn.
  • Datatilsynet vil som i dag ha mulighet til å sanksjonere brudd på personvernregelverket med bøter. Nivået på bøtene er vesentlig skjerpet. En bedrift kan bli bøtelagt med inntil 4 % av bedriftens årlige globale omsetning, begrenset oppad til 20 millioner Euro.
  • Der en person har lagret sine personopplysninger hos ett selskap kan han/hun kreve at personopplysningene flyttes fra et selskap til et annet selskap han/hun velger (dataportabilitet).