Ny personopplysningslov før sommeren 2018
Justis- og beredskapsdepartementet la fredag 23. mars 2018 frem forslag til ny personopplysningslov som gjennomfører EUs personvernforordning (GDPR).
Ny personopplysningslov har totalt 34 paragrafer. Her presiseres lovens virkeområde. I tillegg gis det utfyllende regler om behandling av personopplysninger, bl.a. at barn kan gi samtykke fra fylte 13 år, vilkår for bruk av fødselsnummer mv. Videre gis det noen nasjonale unntak fra den registrertes rettigheter etter GDPR, personvernombuds taushetsplikt spesifiseres, mens andre bestemmelser angir tilsyn og klageregler, sanksjonsregler og overgangsregler.
I tillegg foreslås det en rekke endringer i andre lover for å tilpasse norsk rett til GDPR. Et eksempel er at det foreslås nye bestemmelse i arbeidsmiljøloven om innsyn i arbeidstakers epost mv. og om kameraovervåking på arbeidsplassen.
I EU-land blir GDPR automatisk del av deres gjeldende rett fra 25. mai. Norge må som EØS-medlem ta inn EUs forordninger som sådan i norsk lov, og departementet foreslår at ny personopplysningslov § 1 angir at GDPR skal gjelde som norsk lov.
Hva er nytt med GDPR?
Lovforslaget tar sikte på å videreføre gjeldende norsk rett så langt GDPR åpner for det. GDPR inneholder 99 artikler som er selve lovbestemmelsene. I tillegg inneholder GDPR 173 fortalepunkter som forklarer bakgrunn og formål med disse artiklene, og disse vil være til hjelp med å forstå hva GDPR innebærer.
Selv om GDPR er det mest omfattende og strengeste regelsettet som finnes i verden for å beskytte personvernet til fysiske personer, er GDPR i stor grad en videreføring og videreutvikling av dagens regler. Eksempeler på dette er prinsippene for behandling av personopplysninger som alle behandlingsansvarlige plikter å følge, hva som er rettsgrunnlag (lovlige behandlingsgrunnlag) og krav til overføring av personopplysninger til tredjeland. Mange av de registrertes rettigheter finnes også allerede i dag.
De viktigste nyhetene for norsk rett er dette:
Et eksempel er kravet til internkontroll. De behandlingsansvarlige må fortsatt dokumentere at de har kontroll på de behandlinger av personopplysninger de er ansvarlige for. Dokumentasjonen må oppdateres til å gjelde de krav GDPR stiller, f.eks. må den behandlingsansvarlige ivareta prinsippet om innebygd personvern til enhver tid, og allerede fra planlegging av hvilke IT-systemer som skal brukes av virksomheten.
Et annet eksempel er at rutiner må oppdateres. Et eksempel er at den behandlingsansvarlige etter GDPR må melde fra til Datatilsynet innen 72 timer etter å ha fått kjennskap til et brudd på personopplysningssikkerheten.
I tillegg må den behandlingsansvarlige dokumentere å ha tilstrekkelig sikkerhet for behandlingen av personopplysningene (informasjonssikkerhet) – både i egne systemer og hos de leverandører som slike personopplysninger behandles i. Det bør derfor utarbeides nye sjekklister som viser at slike risikovurderinger er foretatt, og hver virksomhet må også gjennomgå slik dokumentasjon årlig for å påse at kravene faktisk overholdes.
Selv om dette arbeidet vil ta tid og medføre interne kostnader for norsk virksomhet, er det positivt at GDPR vil styrke personvernet og datasikkerheten for oss som borgere. Selv mindre selskap har nå verktøy i GDPR som kan brukes til å stille krav til store globale leverandører. Selv en bruker av en app som behandler personopplysninger på grunnlag av et samtykke, kan nå kreve at samtykketeksten stpr klart og tydelig adskilt fra brukervilkårene og kreve flere rettigheter ved å kontakte den behandlingsansvarlige. Vi kommer til å se mer tydelige personvernerklæringer fra både norske og utenlandske leverandører fremover.
Mer informasjon
Bing Hodneland har et team på seks partnere og ni advokater/advokatfullmektiger som arbeider med ulike problemstillinger til personvern daglig; kvalitetssikre eller utarbeide internkontrolldokumentasjon, databehandleravtaler, personkonsekvensanalyser og andre risikovurderinger etter GDPR, bistå i konfliktløsning knyttet til ærekrenkelser og regler innen publisering av personopplysninger i sosiale medier, internett eller andre steder, bistand til vurderinger knyttet til personvern, informasjonssikkerhet, kommunikasjonsvern og ytringsfrihet – og balansen mellom dem.