.

Aktuelt

EUs nye personvernregler

Fra neste år risikerer virksomheter bøter på 160-200 millioner kroner eller mer dersom de roter med personvernet. Da trer EUs nye personvernregler i kraft. Heldigvis har vi Datatilsynet som kan guide oss.
  • Gunn Kvalsvik
  • Rawpixel.com/Stocksnap

I mai 2018 innføres EUs nye personvernforordning. De gjelder også i Norge, og det haster å sette seg inn i hva det betyr for bruk av skytjenester, det være seg intranett, sosiale nettverk eller HR-systemer.

 

Datasikkerhetsreguleringen (The General Data Protection Regulation – GDPR) skal samstemme regler for personvern for EU-borgere på tvers av unionen, og også i EØS-land. Det er en forordning, ikke et direktiv, og derfor trenger det ikke å godkjennes av det enkelte land. GDPR blir en del av det norske personvernregelverket samtidig med resten av EU, det vil si 25. mai 2018.

 

I følge Datatilsynet er dette den største endringen i personvernlovgivning i Europa på over 20 år. Senior kommunikasjonsrådgiver i Datatilsynet, Guro Skåltveit, har sendt Samfunnsviteren ti punkter som tilsynet mener utgjør essensen i forordningen:

 

Alle norske virksomheter får nye plikter
Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.

 

Alle skal ha en forståelig personvernerklæring
Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.

 

Alle skal vurdere risiko og personvernkonsekvenser
Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.

 

Alle skal bygge personvern inn i nye løsninger
De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.

 

Mange virksomheter må opprette personvernombud
Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.

 

Reglene gjelder også virksomheter utenfor Europa
Virksomheter som holder til utenfor Europa må også følge forordningen dersom de tilbyr varer eller tjenester til borgere i et EU­ eller EØS-­land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter.

 

Alle databehandlere får nye plikter
Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT­-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.

 

Alle bør samarbeide i egne nettverk og følge bransjenormer
De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.

 

Alle får nye krav til avvikshåndtering
Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag.

 

Alle må kunne oppfylle borgernes nye rettigheter
Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.

 

Se Datatilsynet.no for mer informasjon om forordningen.