Utdrag fra RSM Nyhetsbrev | 8 2017
 

Våren 2018 trer EUs nye personvernsforordning i kraft i EU og i Norge. Endringene som innføres innebærer nye plikter for selskaper i næringslivet som behandler personopplysninger, men vil også innebære visse forenklinger. For personer som får sine personopplysninger registrert, vil endringene innebære nye rettigheter.

«Alle» må vurdere konsekvenser

Teknologiske endringer har gjort det nødvendig med endrede personvernsregler. For stadig flere er innsamling, oppbevaring, analyse og annen behandling av personopplysninger en del av den daglige virksomheten. Implementeringen av EUs nye forordning om personvernsopplysninger, General Data Protection Regulation (GDPR) innebærer full harmonisering av personvernreglene i EU/EØS, og får virkning fra 25. mai 2018. Forordningens formål er å sørge for en god beskyttelse av personopplysninger samtidig som personopplysninger skal kunne utveksles fritt innenfor EØS-området.

Alle virksomheter som registrerer eller oppbevarer personopplysninger må vurdere om endringene som innføres vil ha konsekvenser i form av nye plikter eller rutiner. Det finnes nyttig informasjon om endringene på Regjeringens hjemmesider, eller på denne infosiden fra Datatilsynet. I denne artikkelen følger en oppsummering av de viktigste endringene ifølge disse kildene.

De viktigste konsekvensene

Virksomheter som behandler personvernopplysninger får utvidete plikter:

  • Virksomheter som behandler personopplysninger skal utarbeide informasjon om hvordan dette håndteres. De nye reglene stiller strengere krav til form og innhold for slik informasjon enn gjeldende regler.
     
  • Virksomheter vil få plikt til å utrede person­vern­konse­kvenser ved tiltak som utgjør en stor risiko for personvernet. Samtidig vil dagens konsesjons- og meldeplikt i hovedsak bortfalle.
     
  • De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte – såkalt innebygget personvern. Endringen innebærer at den mest personvernvennlige innstillingen skal være standard i alle systemer.
     
  • Virksomheter skal varsle om sikkerhets­brudd i et større omfang enn det som gjelder etter dagens regler.
     
  • Alle offentlige og mange private virksomheter vil få krav om å opprette et personvernombud – en intern ekspert på personvern som skal fungere som bindeledd mellom virksomheten, den registrerte og Datatilsynet. Ombudet kan være en ansatt, eller en ekstern tredjepart.
     

Personer med registrerte personopplysninger får nye rettigheter:

  • Personer vil få rett til på nærmere vilkår å få overført person­opplys­ninger om en selv til alternative tilbydere av en tjeneste (rett til dataporta­bilitet).
     
  • Den enkeltes rett til å kreve å få slettet registrerte opplysninger blir styrket.

 

Myndigheters tilsyn med overholdelse av personvernregler endres:

  • De nasjonale tilsynsmyndighetene (Datatilsynet i Norge) gis nye verktøy for å sanksjonere brudd på regelverket, herunder myndighet til å ilegge bøter på inntil 20 millioner euro, eller der det gjelder et selskap, inntil 4% av selskapets årlige omsetning på verdensbasis.
     
  • Virksomheter skal kun behøve å forholde seg til én tilsynsmyndighet innenfor EØS-området. Det er som hovedregel tilsynsmyndigheten i den EØS-staten virksomheten har hovedkontor som skal behandle klager mot virksomheten, selv om klagen er sendt til tilsynsmyndighet i en annen stat.
     
  • Det opprettes en sentral europeisk tilsynsmyndighet, European Data Protection Board (EDPB), som skal bestå av representanter fra nasjonale tilsynsmyndig­heter. Hovedoppgave vil være å utstede retningslinjer om anvendelsen personvernforordningen, gi uttalelser om forslag til nytt regelverk, samt informere om dommer og uttalelser som angår forordningen.

 

Bakgrunn: Ny personvernsforordning ble formelt vedtatt av EU den 27. april 2016. Forordningen gjelder i EU fra 25. mai 2018 og Norge vil via EØS-avtalen ha samme gjennomføringsfrist som EU-landene for endringene som følger av forordningen.

 

Les hele nyhetsbrevet her: RSM Nyhetsbrev 8 | 2017