Nye personvernregler fra 2018 – er din virksomhet klar?

7 min read

I mai 2018 får Norge nye personvernregler. Dette er den største endringen i den europeiske personvernlovgivningen på over 20 år. 

 

 

 

Trude Talberg-Furulund, senior kommunikasjonsrådgiver i Datatilsynet

 

Alle som behandler personopplysninger om kunder, egne ansatte, brukere eller andre må følge de nye reglene. De nye reglene gir flere og strengere plikter enn før, men også nye muligheter til å bruke personvern som et konkurransefortrinn. I en tid der tjenester stadig blir mer tilpasset den enkelte eller personalisert, vil den enkeltes tillit til tjenester og leverandører bli stadig viktigere.

Mulighetene personopplysninger gir har også økt deres verdi. Samtidig blir det stadig vanskeligere for oss som enkeltpersoner å ha kontroll over hvem som vet hva om oss og hvorfor. Dette har gjort det nødvendig å sikre at virksomheter tar sine kunder eller brukere (de registrerte) på alvor. De nye reglene åpner opp for strengere straff for brudd på reglene enn i dag. Dette er et viktig politisk signal om verdien av personopplysninger og personvern.

En annen viktig endring er at dagens frivillige personvernombudsordning blir obligatorisk for mange virksomheter. Et personvernombud er en ressurs og rådgiver i personvernspørsmål. Hun eller han skal rapportere til øverste ledelse og involveres i alle saker som involverer behandling av personopplysninger. Denne endringen vil føre til en betydelig økning i antall ombud i Norge. Når forordningen trer i kraft er det ikke lenger nødvendig med Datatilsynets godkjennelse av personvernombud. I stedet opprettes det en registreringsordning der virksomheter selv registrerer sitt personvernombud.

Nødvendig oppdatering av regelverket

De fleste virksomheter i dag har kundebaser ut fra hvilke produkter eller tjenester de leverer, ikke hvor de holder til i verden. Og det er ofte en fordel å kunne lagre data i en annet land enn der virksomhetens hovedkontor er. Slik dagens regelverk fungerer, må alle som har kunder i flere enn ett land eller som lagrer data i et annet land enn der de holder til forholde seg til de ulike regelverkene i alle landene de har kunder eller lagrer data. Det gjelder både om de lagrer dataene i egne lokaler eller hos underleverandører.

I dag er personalisering, kjøp og salg av personopplysninger en egen industri. Mens teknologien åpner for stadig for nye muligheter for innsamling, deling, lagring, sammenstilling og videreforedling av personopplysninger, må virksomheter etterleve et regelverk basert på et EU-direktiv fra 1995, før vi visste hva internett var. En oppdatering av personvernregelverket er derfor helt nødvendig for å gjøre hverdagen lettere både for virksomheter og borgere.

 

EUs arbeid for et felles europeisk regelverk

Da EU startet arbeidet med et felles europeisk personvernregelverk i 2012, valgte de å lage det som en forordning. Det betyr at loven skal implementeres direkte, slik den står, i alle EU og EØS-land. Dette var for å sikre et felles europeisk personvernregelverk som skulle gjøre det lettere å utveksle personopplysninger over landegrenser. I tillegg skulle de nye reglene styrke tilliten til digitale tjenester og styrke den individuelle innbyggers rettigheter. Arbeidet har tatt tid, men i april 2016 vedtok EU sin personvernforordning; General Data Protection Regulation eller GDPR. Den er såkalt EØS-relevant, som betyr at den også skal innføres i Norge. Derfor må vi i Norge forberede oss på at vi får nye personvernregler i mai 2018.

Hvordan forberedes det nye regelverket i EU og Norge?

En av de store administrative utfordringene med denne lovendringen er at regelverket skal være likt i alle land i Europa. Om du spør datatilsynene i Spania, Norge eller Belgia om noe knyttet til regelverket, skal du få samme svar. Det krever mye, både av EU, datatilsynene, virksomhetene og i noen tilfeller også borgerne. For at dette skal komme på plass, jobbes det nå for fullt både i de norske departementene, EU og i de ulike datatilsynene for å utrede hva de nye reglene betyr i praksis.

Datatilsynet har en egen nettside med informasjon om de nye reglene. Vi jobber ellers så fort vi kan med å utrede reglene, og så snart noe er avklart vil vi formidle det på nett, i nyhetsbrevet vårt og i andre kanaler. Om du har noen spørsmål om det nye regelverket kan du kontakte oss på [email protected]

Hva bør dere gjøre nå?

Mye av det norske regelverket vil videreføres i personvernforordningen. Derfor er det, akkurat som i dag, aller viktigst at dere har en oversikt over hvilke personopplysninger dere har i virksomheten deres. Regelverket gjelder kun for personopplysninger, men husk at det også innebærer opplysninger om egne ansatte. De aller fleste må derfor følge personopplysningsreglene.

Når dere har oversikt over hvilke opplysninger dere har, bør dere sørge for at dere følger dagens lovkrav. Gode rutiner som følges og er kjent for de som jobber i virksomheten er et nøkkelord for dette. Deretter bør dere sette dere inn i det nye regelverket og hva det betyr for nettopp dere. Når det er gjort vil dere ha en oversikt over hvilke endringer dere må gjøre og hvilke rutiner dere må få på plass for å følge reglene fra mai 2018.

De 10 viktigste endringene fra i dag til mai 2018

Vi har laget en oversikt over de 10 viktigste endringene fra dagens lovverk til de nye reglene. For mer utfyllende informasjon om hvert av punktene kan du gå inn på https://www.datatilsynet.no/Regelverk/EUs-personvernforordning/hva-betyr/

  • Alle norske virksomheter får nye plikter:
    Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.
  • Alle skal ha en forståelig personvernerklæring: Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.
  • Alle skal vurdere risiko og personvernkonsekvenser: Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.
  • Alle skal bygge personvern inn i nye løsninger: De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.
  • Mange virksomheter må opprette personvernombud: Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.
  • Reglene gjelder også virksomheter utenfor Europa: Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter.
  • Alle databehandlere får nye plikter: Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.
  • Alle bør samarbeide i egne nettverk og følge bransjenormer: De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.
  • Alle får nye krav til avvikshåndtering: Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag.
  • Alle må kunne oppfylle borgernes nye rettigheter: Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.

 

 

 

 

About Trude Talberg-Furulund

Trude Talberg-Furulund jobber som senior kommunikasjonsrådgiver i Datatilsynet. Hun er Høgskolekandidat i Informasjon og samfunnskontakt og har en BA i Advertising og Marketing Communications. Trude har jobbet i Datatilsynet i 9 år. Hun jobber for tiden først og fremst med kommunikasjon av de nye personvernregelen (GDPR), men har tidligere jobbet med Datatilsynets kommunikasjon av temaer knyttet til informasjonssikkerhet, offentlig sektor og særlig kommuner, digitalisering, Identitetskontroll og ID-tyveri. Har du spørsmål om de nye reglene: [email protected] Følg oss på Twitter @Datatilsynet Nyhetsbrev: https://ext.mnm.as/s/2751/9366 Personvernbloggen: https://www.personvernbloggen.no/