Nye personvernregler – GDPR – fra mai 2018, hva betyr det for deg og din virksomhet

torsdag, 22 mars 2018

 

Vi minner om EUs personvernforordning som trer i kraft den 25 mai, og blir norsk lov ved en ny personopplysningslov. I utgangspunktet skal den nye personopplysningsloven tre i kraft samtidig som GDPR, men det foreligger noe usikkerhet knyttet til datoen. Trolig blir den noe utsatt, men det er forutsatt at loven skal tre i kraft før eller i løpet av sommeren.

Den nye personopplysningsloven skal erstatte gjeldene regelverk. Reglene inneholder en rekke endringer fra dagens regelverk, som vil få stor betydning for norske virksomheter. Alle virksomheter som håndterer personvernopplysninger må tilpasse seg endringene, ved at de får nye plikter for behandling av personopplysninger. 

Hvorfor behov for nye regler 

Formålet med EUs nye personvernforordning er å styrke personvernet for både individer og virksomheter, og EUs intensjon er å endre måten private og offentlige virksomheter forholder seg til personvern.  Gjennom det nye regelverket får individer flere og klarere rettigheter, samtidig som virksomhetsansvaret og pliktene som følger med øker. 

Hvem omfattes? 

De fleste norske virksomheter – uansett størrelse – behandler personopplysninger elektronisk, og de fleste vil derfor bli underlagt de nye reglene for databehandling av personopplysninger. Personvernreglene vil derfor gjelde for alle virksomheter som i liten eller stor grad behandler personopplysninger. Pliktenes omfang, og kostnad, vil avhenge av en rekke forhold ved bedriften, og hvordan den behandler personopplysninger. Reglene vil også gjelde for norske virksomheter som behandler personopplysninger utenfor EU/EØS. 

Hva omfattes? 

Databehandling blir stadig mer omfattende, og det foregår en avansert digitalisering. All behandling som inneholder personopplysninger omfattes av de nye GDPR-reglene. Som personopplysninger anses enhver opplysning som enten direkte, eller indirekte kan kobles til en fysisk person. Det omfatter alt fra navn, kjønn, telefonnummer, brukeres unike ID osv., til ”særlige kategorier” (sensitive) personopplysninger som helseforhold, seksuelle forhold, medlemskap i fagforeninger og religiøs oppfatning. Dette gjelder både kunder og ansattes personlige informasjon. 

Krav til databehandlingen, og nye rutiner 

Ved innføringen av de nye personvernreglene blir det forutsatt at virksomheter innfører nye rutiner for hele virksomheten. Dette betyr for den enkelte virksomhet at det må bygges personvern inn i nye og gamle IKT systemer. 

Når dere behandler personopplysninger, er dere pliktig å informere den berettigede gjennom en personvernerklæring. Informasjon som skal gis til den registrerte omhandler blant annet hva personopplysningene blir brukt til, formålet med behandlingen av opplysningene, og at den registrerte har rett til innsyn, retting og sletting. Det blir også obligatorisk å vurdere konsekvenser for personvernet ved noen former for behandling. 

Reglene endrer måten virksomheter må jobbe på, og innebærer høyere krav til å dokumentere internkontroll for personopplysninger og datasikkerhet. Rutiner for innsamling og lagring av personopplysninger må derfor være på plass. Mange virksomheter må også opprette særskilt personvernombud/personvernrådgiver. Dette kan være en ansatt i virksomheten, eller en ekstern engasjert fagkyndig person. 

Som et praktisk eksempel kan vi nevne at det å sende lønnslipper via e-post uten kryptering, ikke er lovlig etter reglene. Dette er riktignok ikke tillatt etter dagens regelverk heller, men konsekvensene – herunder bøteleggingsnivået – for brudd på regelverket, blir nå betraktelig strammet inn. Det er derfor svært viktig å ha oversikt over hvilke typer personopplysninger som finnes i virksomheten, og hvordan disse behandles og videreformidles. 

Det er virksomhetens ledelse som har ansvar for å utforme og få på plass rutinene for å overholde de nye pliktene. Videre må alle ansatte ha kunnskap om, og følge de nye rutinene når reglene trer i kraft. Tiden frem til ikrafttredelse av GDPR begynner nå å bli knapp. 

Konsekvenser av brudd på reglene 

Ved brudd på de nye personvernreglene er myndighetene gitt adgang til å ilegge bøter opp til 20 millioner Euro eller opp til 4% av et konserns årlige, globale omsetning (”whichever is higher”). De nye reglene medfører derfor en betydelig endring sammenlignet med dagens rettstilstand, og vi anbefaler derfor alle våre samarbeidspartnere å tenke nøye gjennom sine interne personvernrutiner.