9

Største endring på 20 år Tøffere krav til personvern

Strengere krav, nye arbeidsoppgaver, mer omfattende regelverk, bedre dokumentasjon, nye rettigheter. Det er en lang liste over endringer i personvernlovgivningen når nåværende regelverk blir strammet inn og ny forordning settes ut i livet.

Av Sverre V. Bjørnholt

Den største endringen knyttet til personvern på 20 år, lyder det fra EU og Brüssel. Nå står Norge for tur.

Nye regler fra neste år
26. mai 2018 innføres den nye forordningen for personvern bygget på EUs regelverk. Den vil gi forbrukere og kunder nye rettigheter. Dessuten inneholde den nye, klarere og strengere krav til alle som behandler enhver form for personopplysninger.

Utviklingen av den digitale virkelighet skjer med stormskritt. Det stiller nye krav til utformingen av regelverket som blant annet skal sikre den enkeltes vern av personlig informasjon. Derfor innfører EU en ny forordning som fører til at alle virksomheter, uansett størrelse, må ta bestemte hensyn når det samles inn eller brukes personopplysninger om borgere innenfor EU- og EØS-området. Den største endringen på dette feltet på 20 år, hevder lovgiverne i EU.
– Vi har akkurat fått oversendt høringsutkastet fra departementet og vil i løpet av september utarbeide vårt høringssvar, sier Parat-leder Hans-Erik Skjæggerud.

Felles personvernregler i EU og EØS
Faggruppen for personvern i Parat har startet med å arbeide frem organisasjonens svar til departementet.
– Når det gjelder høringen til utkastet for nye personopplysningslov, gir denne et tydelig personvern for privatpersoner med større kontroll over egne personopplysninger. Videre sikrer det nye regelverket at personvernet håndheves likt innenfor hele EU- og EØS-området, sier advokatfullmektig i Parat Victoria Krefting Rynning.

Krefting Rynning og leder for juridisk avdeling i Parat, Anders Lindstrøm, sitter begge i Parats faggruppe for personvern.
– Den nye forordningen åpner blant annet for retten til å bli glemt. Dette i form av at den enkelte får en klarere rett til å kreve sletting av personopplysninger, sier Krefting Rynning.

Lindstrøm legger til at man etter den nye forordningen kan kreve å få med seg egne personopplysninger fra en tjenesteleverandør til en annen, såkalt dataportabilitet.
– Kravene til samtykke ved innhenting av personopplysninger vil også bli skjerpet, sier han.

Bøter på nærmere 200 millioner kroner
For virksomheter innføres det strengere krav til system- og internkontroll, og plikten til å vurdere konsekvensene av personopplysninger utvides. Det stiller krav til at informasjon om behandling av personopplysninger skal gis på en klar og tydelig måte. Med den nye personvernlovgivningen blir det også en plikt å bygge inn personvern i nye IT-løsninger.
– Statlige virksomheter og private virksomheter som har behandling av personvernopplysninger som kjerneområde, blir pålagt et eget personvernombud, sier Krefting Rynning.

Ifølge Datatilsynet er det i dag 320 personvernombud i 500 norske virksomheter. Det er ventet at det med den nye personvernforordningen vil antall ombud øke dramatisk. Leder av Datatilsynet, Bjørn Erik Thon, sier det i tiden fremover vil bli et stort opplæringsbehov for nye personvernombud. Det finnes ingen formelle kompetansekrav til denne rollen. Men ombudene må kjenne det nye regelverket, i tillegg til å ha en teknisk og juridisk forståelse.

Brudd på den nye forskriften kan ramme den enkelte virksomhet kjempehardt. Datatilsynet vil kunne ilegge svært høye bøter, opptil 20 millioner euro eller fire prosent av årlig omsetning.

Fagforeningsmedlemskap er sensitivt
Forordningen tar også med fra dagens regelverk vernet når det gjelder medlemskap i fagforening. Det anses som sensitiv personopplysning og er underlagt et særlig vern.
– For Parat som arbeidstakerorganisasjon er det naturligvis særlig viktig å sørge for å oppfylle lovens krav når det gjelder behandling av personopplysninger.

Parat innførte derfor tidlig et internkontrollsystem som er fullt i samsvar med kravene. Dette gjelder ved behandling av informasjon som gjelder både Parats medlemmer og ansatte, sier Lindstrøm.

Han sier Parats medlemmer og ansatte skal føle seg sikre på at personopplysninger ikke skal komme på avveie, at de lagres på en betryggende måte, og ikke misbrukes.
– Mange arbeidsgivere opplever det nok som ressurskrevende å etablerere internkontrollsystem for behandling av personopplysninger. Vår erfaring er at når systemet først er på plass, så letter det arbeidshverdagen. Dette skjer fordi det ikke er noen tvil om hvilke rutiner som skal følges, for eksempel når ansatte slutter eller medlemmer melder seg inn i organisasjonen, sier Parat-advokaten.

Parats faggruppe for personvern følger ifølge Lindstrøm nøye med på endringer av lover og forskrifter på personvernområdet.
– Vi vurderer også hva som skal med i tillitsvalgtopplæringen til Parat, sier advokatfullmektig Krefting Rynning.

To departement og ett tilsyn
General Data Protection Regulation, forkortet til GDPR, ble innført i EU-landene allerede i april 2016. Loven er først og fremst en lov som skal styrke forbrukernes rettigheter.

Forordningen pålegger personvernmyndighetene i de enkelte land å samarbeide og å utveksle erfaringer og informasjon over landegrensene. Samtidig vil landene i fellesskap etablere organer som vil håndtere konfliktene i de tilfellene ulike land har forskjellig forståelse av hvordan reglene skal tolkes.

I Norge ligger det formelle ansvaret for implementeringen av forordningen hos Justisdepartementet, mens Kommunal- og moderniseringsdepartementet har ansvar for deler av personvernlovgivningen, der Datatilsynet har sitt formelle ankerfeste.

Share Button