Ny personvernlovgivning

Nå har vi trådt inn i et nytt år, med nye muligheter og utfordringer. I den forbindelse tenkte jeg å skrive litt om den nye personvernforordningen som trer i kraft, og hva den medfører for deg. Skrevet med utgangspunkt i veilederen fra datatilsynet.no.

shutterstock_746456278.jpg

I mai 2018 vil EUs forordning for personvern bli norsk lov. Denne vil da erstatte dagens regelverk, og medfører nye plikter for virksomheter og nye rettigheter for personer man behandler opplysninger om.

Alle virksomheter må derfor sette seg inn i den nye lovgivningen og finne ut hvilke plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene, og informere om endringer til de ansatte.

Det er et krav, også etter dagens lov, å ha en oversikt over hvilke personopplysninger man behandler. Man skal beskrive hvor personopplysningene kommer fra, hvem det gjelder, hvor de ligger og rettslig grunnlag for behandling.

Nye krav

Alle databehandlere får nye plikter, som blant annet pålegger virksomheten å ha rutiner for innsamling og bruk av personopplysninger, og plikter dem å si ifra til oppdragsgiver dersom de får instrukser som er i strid med loven.

Det vil bli strenger krav til form og innhold til personvernerklæringen. Den skal være lett tilgjengelig, tydelig, kortfattet og forståelig.

Med det nye direktivet er det krav om at alle offentlige organer og myndigheter skal utpeke personvernombud. Blant private er dette et krav dersom hovedvirksomheten i stor skala inkluderer:

  • Systematisk monitorering av personopplysninger
  • Behandling av sensitive opplysninger

Det kreves at ombudet inkluderes i alle spørsmål som gjelder vern av personopplysninger, men det er likevel databehandler eller behandlingsansvarlig som er ansvarlig for at lovgivningen følges. Det oppfordres av Datatilsynet at alle virksomheter som i stor grad behandler personopplysninger utpeker et personvernombud, selv om de ikke er lovpålagt.

I den nye forordningen er det krav om at nye tiltak og systemer utformes med fokus på personvern, og at den mest personvernvennlige løsningen velges som standard.

Dersom man planlegger behandling av personopplysninger som kan utgjøre en risiko for personens rettigheter, har man plikt på å utrede personvernskonsekvenser. Der det vises at behandlingen gir høy risiko, skal Datatilsynet involveres i forhåndsdrøftelser. Datatilsynet plikter da å gi skriftlig veiledning.

Alle avvik som skyldes brudd på datasikkerhet skal dokumenteres, og det skal beskrives hvilke tiltak som er iverksatt. Dersom avviket medfører risiko for enkeltpersoners rettigheter eller personvern, skal det meldes til Datatilsynet innen 72 timer.

Enkeltpersoner får en tydeligere rett til å kreve sletting av egne personopplysninger. Alle henvendelser fra de registrerte skal besvares innen en måned. Dessuten kan man kreve å ta med seg opplysninger fra en leverandør til en annen.

Jeg vil anbefale alle virksomheter å gå gjennom sine rutiner for datasikkerhet og oppdatere dem etter punktene beskrevet over. Da har man et godt grunnlag for å etterleve kravene når den nye lovgivningen trer i kraft i mai.

Kilde: Datatilsynets nettsider, 08.01.2018 (https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/)

Legg gjerne igjen en kommentar! Kommentarfeltet er ikke ment som et supportforum. Ønsker du support, ta kontakt via de vanlige supportkanalene.

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

Kobler til %s