Regjeringen la den 23. mars 2018 frem forslag til ny personopplysningslov for behandling i Stortinget. Den nye loven skal implementere EUs personvernforordning (GDPR). Forslaget styrker personvernet og skjerper kravene til alle virksomheter som behandler personopplysninger.

Personvernforordningen er foreløpig ikke behandlet av EØS-komiteen eller innlemmet i EØS-avtalen. Dette er en forutsetning for at forordningen kan tre i kraft i Norge.

Regjeringen bekrefter at forslag til innlemmingsbeslutning er til behandling i EU, men at det er usikkert om loven vil settes i kraft 25 mai 2018. Dette avhenger av prosesser i EU. Regjeringen velger derimot å legge frem lovforslaget nå for å sikre rask ikrafttredelse etter behandling i EØS-komiteen.

Lovforslaget inkorporer GDPR og har enkelte spesialbestemmelser for Norge. Departementet foreslår noen endringer fra høringsnotatet. Av praktisk betydning inkluderer dette bl.a. at opplysninger som utelukkende finnes som tekst utarbeidet for intern saksforberedelse, og som ikke er utlevert til andre, unntas fra bestemmelsene om informasjon og innsyn, se lovforslaget § 16 første ledd bokstav e.

Videre er dagens bestemmelse om behandling av sensitive personopplysninger i arbeidsforhold gjeninnført. Etter lovforslagets § 6 kan særlige kategorier av personopplysninger behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.

Andre forslag er:

• Aldersgrensen settes til 13 år for bruk av informasjonssamfunnstjenester (Musical.ly, Facebook, Snapchat, Instagram osv.)
• «Personvernrådgiver» endres til «Personvernombud», og ombudet vil ha taushetsplikt
• Bruk av fødselsnummer vil bare være tillatt når det er saklig behov for sikker identifisering og metoden er nødvendig
• Departementet foreslår at uekte kameraovervåkingsutstyr skal være underlagt samme begrensninger som ekte kameraovervåkingsutstyr
• Det foreslås også en bestemmelse om behandling av personopplysninger om straffedommer og lovovertredelser. Etter GDPR art. 10 kan behandling av slike opplysninger bare utføres under kontroll av offentlige myndigheter, eller dersom behandlingen er tillatt i henhold til unionsretten eller nasjonal rett som sikrer egnet vern av de registrertes rettigheter og friheter. Departementet foreslår en bestemmelse som gir en generell adgang til å behandle slike opplysninger så lenge det skjer på samme vilkår som behandling av særlige kategorier av personopplysninger, se lovforslaget § 11 førte ledd første punktum. Bestemmelsen gjelder bare behandling utenfor offentlig myndighets kontroll.

I lovforslaget fremgår også nødvendige tilpasninger i annen lovgivning, for eksempel innenfor helselovgivningen, folketrygdloven og arbeidsmiljøloven.

Høringsnotatet inneholder egne bestemmelser angående innsyn i e-post til ansatte. Departementet støtter en videreføring av reglene som gjelder for innsyn i ansattes e-post i dag, og legger opp til at reglene vil bli inntatt i forskrift. Det foreslås også en forskriftshjemmel for å regulere kameraovervåkning i arbeidsforhold.

Hele lovforslaget kan leses her.