De nye kravene kommer etter at EU har vedtatt en ny forordning (GDPR – General Data Protection Regulation) om behandling av personopplysninger. I Norge blir EU-reglene gjort gjeldende i sin helhet.

Mer å følge opp

Selv om hovedprinsippene i dagens norske personopplysningslov blir videreført, er det en del endringer lederne i norske virksomheter må følge opp:

  • Den registrertes rettigheter er styrket på flere punkter.
  • Det innføres plikt til å ha personvernrådgiver for offentlige myndigheter og for visse private virksomheter.
  • Dagens melde- og konsesjonsplikt bortfaller, men erstattes av en plikt til konsekvensutredning.

Strengere krav og høyere gebyrer

Når man behandler personopplysninger, blir det strengere regler om å informere de registrerte. Informasjonen skal være lett tilgjengelig og i et forståelig språk. Den skal beskrive blant annet hvem som er behandlingsansvarlig, formålet, hvilke opplysninger som registreres, hvem opplysningene deles med og hvor lenge opplysningene lagres. Det skal også informeres om retten til innsyn, retting og sletting.

EU-forordningen åpner opp for noe nasjonal lovgivning innenfor visse områder. Dette gjelder blant annet noen temaer innenfor arbeidslivet. Eksempler er innsyn i ansattes e-post og kameraovervåking. På disse områdene er det i Norge foreslått å videreføre dagens regler.

Datatilsynet får dessuten mulighet til å ilegge vesentlig høyere overtredelsesgebyr enn tidligere, inntil 4 prosent av omsetningen eller 20 millioner Euro. Dette er gebyrnivåer som er noe uvant i norsk sammenheng, selv om Datatilsynet har signalisert at de ikke vil legge seg i øvre del når det gjelder gebyrnivåer. Samtidig er dette et felles europeisk regelverk, slik at det også kan bli en felles praktisering når det gjelder sanksjoneringsmidler.

Hva må man gjøre?

Det er grunn til å anta at det i mange virksomheter må gjøres et omfattende arbeid før de nye reglene iverksettes. I Spekters høringsuttalelse til lovutkastet har vi tatt opp dette og pekt på at de administrative konsekvensene er undervurdert fra departementets side. 

Datatilsynets hjemmesider er det listet fire hovedpunkter virksomhetene bør legge til grunn:

  1. Ha oversikt over hvilke personopplysninger dere behandler
  2. Sørg for å oppfylle dagens lovkrav
  3. Sett dere inn i det nye regelverket
  4. Lag rutiner for å følge de nye reglene

Spekter anbefaler at virksomhetene frem mot våren 2018 plasserer ansvar, og gjennomfører en kartlegging av bedriftens behandling av personopplysninger og risiko knyttet til dette. Sikkerhetstiltak, tilgangs- og sletterutiner bør så vurderes, før det utarbeides dokumentasjon og systemer for oppfølging.

Mange virksomheter må opprette personvernombud

Dagens personvernombudsordning er frivillig. Med den nye forordningen får mange virksomheter en plikt til å opprette personvernombud.

Følgende virksomheter utnevne personvernombud:

  • offentlige virksomheter
  • virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang
  • virksomheter som behandler sensitive personopplysninger i stort omfang

Personvern er et lederansvar som ikke kun kan overlates til IT-avdelingen. En del av Spekters medlemsbedrifter har allerede iverksatt arbeid for å forberede seg til de nye reglene. Et av rådene fra dem, er å ha like mye oppmerksomhet på rutiner og prosesser som på «det tekniske». GDPR er ikke et IT-prosjekt, men et organisatorisk prosjekt.

Råd og hjelp

Datatilsynet gir på sine hjemmesider mye informasjon om det nye regelverket og hva som bør gjøres. Fra Spekters side vil vi særlig kunne gi våre medlemmer råd om spørsmål som er HR-relatert. Vi bidrar også til at det etableres møteplasser for erfaringsutveksling mellom medlemsbedriftene. I høst har vi derfor holdt to seminarer med GDPR som tema