Nye personvernregler – hva betyr det for din virksomhet?

I mai 2018 får vi nye personvernregler i Norge. EU-parlamentet har vedtatt ny personvernordning (GDPR) som skal erstatte dagens personlovgivning i EU og loven vil også gjelde for Norge gjennom EØS-avtalen. For norske virksomheter innebærer dette at dagens personopplysningslov fra år 2000 og personopplysningsforskriften vil bli erstattet av personvernforordningen.

Vi har i dag en streng personvernlovgiving og forordningen viderefører mange av prinsipper og reglene i gjeldende regelverk. Overholder virksomheten dagens lovkrav etter personopplysningsloven vil dermed ikke ikrafttredelsen av GDPR innebærer de store endringene. GDPR vil likevel medføre nye plikter for virksomhetene som de må forholde seg til:

• Alle skal ha en forståelig personvernerklæring. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. Virksomheter som behandler personopplysninger om barn må blant annet utforme informasjonen sin slik at barna kan forstå den.

• Alle skal vurderer risiko og personvernkonsekvenser. Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha.

• Alle skal ha innebygd personvern. De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvennlig måte. Den mest personvennlige innstillingen skal være standard i alle systemer.  

• Mange virksomheter må opprette personvernombud. Det blir obligatorisk for alle offentlige bedrifter å opprette personvernombud. Dette blir også pålagt private bedrifter som behandler sensitive data i stort omfang og bedrifter som har som kjernevirksomhet å behandle personopplysninger.

• Nye rettigheter for borgere som virksomhetene må overholde ved behandling av personopplysninger. Dette er retten til å få behandlingen begrenset, retten til dataportabilitet (flytte personopplysninger fra et selskap til et annet), rettigheter til å motsette seg profilering og automatiserte avgjørelser. 

Datatilsynet vil som i dag ha mulighet til å sanksjonere brudd på personvernregelverket med bøter. Nivået på bøtene er vesentlig skjerpet. En bedrift kan bli bøtelagt med inntil 4 % av bedriftens årlige globale omsetning, begrenset oppad til 20 millioner Euro.