Bakgrunnen for den nye personvernforordningen er et ønske om harmonisering og modernisering av dagens lovverk. Norges personopplysningslov slik den er i dag, er et resultat av EU-direktiv fra 1995 og er dermed ikke myntet på de enorme datamengdene vi behandler og gir fra oss i dagens samfunn.

Forordningen viderefører i stor grad dagens grunnprinsipper, hvilket vil si at selskaper som i dag arbeider i tråd med dagens lovverk er godt rustet. Mens selskaper som ikke har inngående kjennskap til personvernlovgivningen nå, bør ha et større fokus på dette frem mot 2018.

Nedenfor finner du de viktigste grunnene til å sette personvern på agendaen.

Strengere sanksjoner

Personvern er mer i vinden nå enn tidligere, og det skyldes bl.a. at EU har besluttet at det skal være strengere sanksjoner for brudd på personvernlovgivningen.

Per i dag har Datatilsynet mulighet til å ilegge overtredelsesgebyr med inntil 10 ganger grunnbeløpet (925 760,- NOK). Den nye forordningen åpner for at det skal kunne ilegges bøter opp til 20 millioner Euro eller 4 % av årlig omsetning.

I tillegg vil reglene om avviksrapportering skjerpes. Alle selskaper plikter å rapportere til Datatilsynet dersom det skjer sikkerhetsbrudd. Når den nye forordningen trer i kraft skal det rapporteres oftere og raskere enn man gjør i dag. Rapportene er offentlige, og omdømmekonsekvensene kan bli store. Det er derfor viktig å oppdatere rutiner for avvikshåndtering.

Krav til «innebygd personvern» i datasystemer

Forordningen vil inneholde helt nye regler om innebygd personvern. Disse krever at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte, og at personvern skal bygges inn i nye tekniske løsninger. Videre kreves det at den mest personvernvennlige innstillingen skal være standard i alle systemer. I dette ligger bl.a. at det skal legges til rette for tilgangsbegrensning, samt at det må gjøres enklere å rette, slette og endre personopplysninger.

Det tar som kjent tid å oppdatere systemer, og det anbefales derfor at arbeidet med oppgradering av tekniske systemer påbegynnes så snart som mulig.

Personvernombud

Mange selskaper har i dag en egen dedikert personvernressurs, et såkalt personvernombud. Per i dag er ordningen basert på frivillighet. Men når den nye forordningen trer i kraft vil det bli påbudt med personvernombud for alle offentlige virksomheter, virksomheter som bedriver systematisk overvåkning og virksomheter som behandler sensitive personopplysninger i stort omfang. Reglene fremstår ikke som helt klare i dag, men innen utgangen av 2016 vil EU legge frem retningslinjer som skal hjelpe til å definere omfanget slik at det vil bli lettere for virksomheter å vite om de vil bli berørt av disse nye reglene.

Ombudets oppgaver og rolle vil stort sett være de samme som i dag, men uavhengigheten til ombudet vil styrkes i den nye loven.

Utdanning og kursing av personvernombud er et av fokusområdene til Datatilsynet. Dersom det blir påbudt med personvernombud for ditt selskap anbefales det å starte arbeidet med å utpeke eller ansette et personvernombud.

Utarbeidelse og bruk av bransjenormer

Den nye lovgivningen og Datatilsynet legger opp til bruk av bransjenormer. En bransjenorm er en bransjes egne retningslinjer for bruk av personopplysninger og sikring av opplysninger.

Inkassobransjen har egen bransjenorm som ble utarbeidet og godkjent i 2008. Denne er nå moden for revisjon, for å tilfredsstille det nye lovverket. Virke Inkasso sitt lovutvalg er allerede godt i gang med dette arbeidet. Det anbefales at også andre bransjer går sammen og utarbeider felles bransjenorm.

Skrevet av: Eline Hvidsten

Eline er advokat i Advokatfirma Kontrakt AS. Hun har en Mastergrad i Rettsvitenskap fra Universitetet i Oslo, hvor hun blant annet har fordypet seg i personvern. Hun har bred erfaring innen flere rettsområder, og er en engasjert og anerkjent foredragsholder i bransjen.

HVA BØR DU TA TAK I ALLEREDE NÅ?

OPPDATER RUTINER FOR INTERNKONTROLL

START OPPGRADERING AV TEKNISKE SYSTEMER

UTNEVN ELLER ANSETT PERSONVERNOMBUD

UTARBEID BRANSJENORMER

TRER I KRAFT OM:

Dag(er)

:

Time(r)

:

Minutt(er)

:

Sekund(er)