Mange norske virksomheter har lenge forberedt seg på innføringen av de nye reglene om personopplysninger som kommer gjennom EUs personvernforordning, GDPR. Nå er det klart hvordan forordningen skal gjennomføres og hvilke regler norske myndigheter foreslår, og vinduet for påvirkning er åpnet.

Den 6. juli 2017 sendte Justisdepartementet ut forslag til ny personopplysningslov, basert på EUs personvernforordning – General Data Protection Regulation forkortet GDPR.

Dette er en av de mest omfattende lovendringene i EU på personvernområdet de siste 20 årene. Regelverket er bedre tilpasset en stadig mer digital og internasjonal økonomi. Det introduserer nye konsepter og styrker eksisterende rettigheter og forpliktelser. Dette gjelder for eksempel «retten til å bli glemt», dataportabilitet, varsling til de registrerte ved avvik, økte krav til internkontroll og dokumentasjon for å nevne noe.

Alle virksomheter får nye krav og forpliktelser å forholde seg til.

Den nye loven vil erstatte nåværende personopplysningsloven fra 2000 og personopplysningsforskriften når den trer i kraft i 2018. GDPR vil gjelde direkte for alle EU-statene, men ikke for Norge som er tilknyttet EU gjennom EØS-avtalen. Derfor er en gjennomføringslov nødvendig for at GDPR skal få virkning i Norge.

Når et lovforslag sendes på høring, betyr det at departementet ber om innspill. De som ønsker å påvirke lovens innhold på områder hvor det er åpning for nasjonale tilpasninger, har nå frem til 16. oktober 2017 med å inngi høringssvar.

Haavind bistår virksomheter som ønsker å gi departementet innspill og som ellers trenger hjelp til å forberede virksomheten på nytt regelverk.

Hovedpunkter fra forslaget til ny personopplysningslov

GDPR vil i sin helhet gjelde som norsk rett

EU-forordningen gjennomføres via inkorporasjon som betyr at forordningen vil gjelde som norsk rett. Lovforslaget består i stor grad av en henvisning til forordningen.

De bestemmelsene som er foreslått i ny lov vil derfor enten være nasjonale tilpasninger av GDPR eller videreføring av allerede gjeldende nasjonale regler.

Hvem gjelder den nye loven for?

Den nye personopplysningsloven vil gjelde for både privat og offentlig virksomhet som behandler personopplysninger om fysiske (levende) personer. Reglene gjelder imidlertid ikke for behandling som gjøres av en privatperson i rent personlige eller familiemessige aktiviteter.

Justisdepartementet foreslår å videreføre dagens system med saks- og sektorspesifikke bestemmelser på noen områder, men ved motstrid vil forordningen gå foran. 

Justisdepartementet tar sikte på at loven trer i kraft 25. mai 2018 – samtidig som i EU

For at loven skal tre i kraft kreves det at GDPR blir innlemmet i EØS-avtalen og at Stortinget samtykker til dette. Høringsfristen er 16. oktober 2017. Deretter vil departementet fremme et lovforslag til Stortinget.

Vi vil følge med på prosessen og oppdatere på vår hjemmeside.

Norske særregler

Noen norske særregler er foreslått, blant annet:

• Begrensninger i bruk av fødselsnummer og andre entydige identifikasjonsmidler;
• Aldersgrense for barns bruk av informasjonssamfunnstjenester på 18 år. Dette vil for eksempel gjelde tjenester som Facebook og Snapchat
• Videreføring av strengt regelverk for bruk av kameraovervåkning.
• Regulering av såkalte «dummy-kameraer» eller «uekte kameraovervåkingsutstyr».
• Særregler om arbeidsgivers innsyn i e-postkasse, aktivitetslogger mv. videreføres.
• Melde- og konsesjonsplikten bortfaller og erstattes av rådføring med Datatilsynet. Det åpnes også for en begrenset mulighet for forhåndsgodkjenning, men dette må bestemmes i forskrift til personopplysningsloven. Her ber Justisdepartementet om innspill.

Hva betyr nytt regelverk for norske virksomheter?

For mange virksomheter vil behandling av personopplysninger være inngangen til kundeinnsikt og en betydelig ressurs. Med gode forberedelser kan norske virksomheter dra fordeler av et nytt regelverket som i stor grad er harmonisert i hele Europa.

Dette betyr at det blir enklere å drive virksomhet på tvers av landegrenser i EU og EØS.

GDPR og forslaget til ny norsk lov er ikke bare en oppdatering av gjeldende regler. Det vil for mange være nødvendig å gjøre endringer i systemer og prosesser som følge av nye forpliktelser og rettigheter for de registrerte. Dette arbeidet kan starte allerede nå, selv om det fortsatt er måneder igjen før ny lov trer i kraft.

Her er noen tips:

• Skaff deg oversikt over regelverket og hvilke forpliktelser som gjelder for virksomheten.
• Sørg for tilstrekkelig forankring og forståelse i ledelsen og berørte deler av organisasjonen.
• Lag en oversikt over hvilke personopplysninger virksomheten skal ha – her kan du lese mer om hva oversikten skal inneholde (fra Datatilsynet).
• Kartlegg systemer og prosesser.
• Kartlegg og ta kontakt med partnere og underleverandører. Sørg for å ha nødvendige avtaler på plass, og oppdater eksisterende om nødvendig. En underleverandør kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlingsansvarlige. Ansvar og risiko bør fremgå klart og tydelig for å unngå misforståelser og tvil om ansvar hvis uhellet er ute.
• Få oversikt over risikofaktorene ved å gjennomføre en risikokartlegging.
• Gjennomgå systemer, prosesser og behandlinger for å kartlegge hvilke endringer som er nødvendig som følge av nytt regelverk.
• Vurder personvernkonsekvenser av behandlingen. Vurderingen skal sikre at personvernet til de registrerte ivaretas.
• Sørg for å ha et oppdatert system for internkontroll og rutiner for behandling av avvik.
• Sjekk om du må ha en personvernrådgiver.
• Lag en plan for gjennomføringen.

Alle virksomheter må sørge for at systemer og prosesser ivaretar kravene til informasjonssikkerhet, den registrerte sitt personvern og andre krav i regelverket, for eksempel sletting av unødvendig eller gammel informasjon, retten til innsyn, retten til dataportabilitet osv.

En viktig endring fra dagens regler at forordningen i større grad legger opp til bruk av sertifiseringsordninger og adferdsnormer.

Overholdelse av slike normer kan brukes for å dokumentere at virksomheten oppfyller regelverket.

Datatilsynets veiledninger

Datatilsynet vil i det kommende året publisere veiledninger for de nye kravene i GDPR og hvordan man oppfyller dem.

De har nylig lagt ut tre veiledninger:

1. Informasjonssikkerhet etter nytt regelverk
2. Vurdering av personvernkonsekvenser
3. Personvernombud

Personvern for små virksomheter

Det nye personvernregelverket stiller store krav til den som behandler personopplysninger. Også små virksomheter vil være berørt av dette. Forordningen skiller i noen grad mellom store og små virksomheter. For eksempel vil virksomheter med færre enn 250 ansatte ikke være forpliktet til å føre en oversikt over behandlingsaktivitetene.

Dette unntaket gjelder imidlertid ikke hvis behandlingen trolig vil medføre en risiko for de registrertes rettigheter og friheter, behandlingen ikke skjer leilighetsvis eller behandlingen omfatter sensitive opplysninger.

#haavindtech