GDPR og personvern - nye regler

Snart kommer det nye regler om personvern i Norge – den såkalte GDPR-forordningen. Har du oversikt over de viktigste endringene og hva det innebærer for din virksomhet?

Nye og strengere krav

GDPR vil medføre at det kommer nye og til dels strengere krav til behandling av personopplysninger. Virksomheter får nye forpliktelser, samtidig som privatpersoner (det som kalles registrerte) får nye rettigheter.

De nye kravene gjelder både for behandlingsansvarlige (den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes) og databehandlere (en virksomhet som behandlinger personopplysninger på vegne av behandlingsansvarlig).

De nye kravene medfører at alle virksomheter må gjennomgå sin nåværende dokumentasjon og sine rutiner for å vurdere hvorvidt disse oppfyller dagens krav, og kartlegge hva slags endringer som må gjøres før GDPR trår i kraft i Norge.

Den nye personvernforordningen GDPR trådte i kraft i EU den 25. mai, men fremdeles ikke i EFTA-landene. Forutsatt at det under neste møte i EØS-komiteen 31. mai blir vedtatt at GDPR skal innlemmes i EØS-avtalen, vil det måtte gå en måned før forordningen, og dermed den nye, norske personopplysningsloven, vil kunne tre i kraft. Årsaken er en regel om én måneds frist for å kreve folkeavstemninger i Liechtenstein. Så GDPR vil tidligst trå i kraft i Norge 1. juli i år.

Nedenfor følger en oversikt over noen av de viktigste endringene.

Les også: GDPR – 7 tiltak du bør gjøre nå

Strengere krav til informasjon

Informasjonsplikten til virksomheter som behandler personopplysninger blir strengere. De nye reglene gjelder både hva slags informasjon som må gis og hvordan slik informasjon skal gis.

Det må blant annet gis informasjon om den registrertes rett til innsyn, retting, sletting, i tillegg til det som kalles dataportabilitet, som er en ny rettighet for de registrerte. Informasjonen skal være kortfattet, klar og tydelig.

I tillegg til et klart og lett forståelig språk, må informasjonen også være lett tilgjengelig. Virksomheter kan ikke lenger gjemme bort viktig informasjon i en lang og uforståelig personvernerklæring på nett. «Gjennomsiktighet» er et av hovedprinsippene bak GDPR.

Mer om personvern? Last ned gratis guide – nå oppdatert med nye regler fra sommeren 2018: GDPR og personvern – en guide for virksomheter som behandler personopplysninger

Avvikshåndtering

Videre blir kravene til avvikshåndtering strengere.

I henhold til dagens krav er det bare når konfidensielle opplysninger har kommet på avveie at virksomheter er pliktige til å melde fra til Datatilsynet.

Etter de nye reglene skal som et utgangspunkt alle avvik som skyldes brudd på datasikkerheten meldes til Datatilsynet innen 72 timer. Det er kun dersom det er usannsynlig at avviket har medført en risiko for enkelterpersoners rettigheter eller personvern at virksomheter kan unnlate å melde fra til Datatilsynet.

Alle virksomheter må derfor oppdatere sine avviksrutiner.

Personvernombud

I henhold til dagens lovverk er ordningen med såkalte personvernombud frivillig.

Med de nye reglene blir imidlertid flere virksomheter forpliktet til å ha personvernombud. Dette gjelder blant annet dersom virksomheter behandler sensitive opplysninger i stort omfang.

Personvernombudet skal blant annet informere og gi råd til virksomheten og de ansatte i tillegg til å fungere som kontaktpunkt mellom Datatilsynet og virksomheten.

Vurdering av personvernkonsekvenser og forhåndsdrøftelser

Virksomheter vil videre pålegges å gjennomføre en vurdering av personvernkonsekvensene før behandling av personopplysninger kan igangsettes dersom det er høy risiko for at rettigheter til enkeltpersoner kan bli krenket, for eksempel at det er høy risiko for at personvernet til enkeltpersoner kan bli krenket.

Dersom denne såkalte konsekvensanalysen viser at det foreligger en høy risiko for krenkelse av personers rettigheter og denne risikoen ikke kan reduseres med interne tiltak, vil virksomheten være forpliktet til å gjennomføre forhåndsdrøftelser med Datatilsynet.

Innebygd personvern

Alle virksomheter plikter å bygge personvern inn i IT–systemer og andre løsninger hvor personopplysninger behandles. Personvern skal være standardinnstilling i nye systemer som utvikles.

Ved å ta hensyn til personvern i utviklingsfasen og ha personvern som standardinnstilling i de ferdige løsningene, vil personvernet kunne bli ivaretatt på en mer kostnadseffektiv måte i tillegg til at den enkeltes personvern blir bedre ivaretatt.  

Les også: Innsyn i ansattes e-post

Databehandlere får nye plikter

Databehandlere er virksomheter som behandler personopplysninger på vegne av den behandlingsansvarlige.

Databehandlere får nye plikter med GDPR. De må blant annet sørge for tilstrekkelig informasjonssikkerhet, umiddelbart varsle den behandlingsansvarlige om avvik og opprette personvern ombud på lik linje med den behandlingsansvarlige.

Dersom databehandlere videre mener at instrukser de får fra den behandlingsansvarlig er i strid med den nye forordningen, vil de være forpliktet til å si fra om dette til behandlingsansvarlig.

På grunn av de nye kravene som stilles til databehandlere, må alle virksomheter gjennomgå sine databehandleravtaler for å vurdere hvorvidt disse oppfyller de nye kravene.

Nye rettigheter for borgerne

De registrerte får flere nye rettigheter, i tillegg til at en del allerede gjeldende rettigheter blir gjort tydeligere.

Retten til å bli glemt blir gjort strengere, i tillegg til at den registrerte nå får en rett til såkalt dataportabilitet.

Dataportabilitet betyr at den registrere i visse tilfeller kan kreve å ta med seg personopplysningene sine fra en virksomhet til en annen. Virksomheter må der det er teknisk mulig bistå den registrerte med å overføre personopplysningene til den nye virksomheten.

Hva bør vi gjøre?

Din virksomhet bør nå kartlegge hva slags personopplysninger dere behandler og etter hvilke formål, samt hvilket grunnlag dere har for å behandle personopplysningene og hvilke underleverandører/databehandlere dere bruker.

Når du vet hvilke personopplysninger du behandler og hvorfor, er det neste steget i prosessen å vite hvor personopplysninger prosesseres (hvilke systemer) og hvor de oppbevares (databaser).

Basert på risiko- og eventuelt konsekvensanalyse må du implementere og beskrive din interne kontroll.

Etter en forsvarlig kartlegging må det etableres avtaleverk og rutiner, herunder Personvernerklæring for kunder, Databehandleravtale for underleverandører og interne rutiner for bl.a. håndtering av forespørsler fra registrerte, sletting, avvik, dataportabilitet mv.

Husk å slett opplysninger du ikke har grunnlag for å behandle – eventuelt hent inn nye samtykker mv.

Ønsker du å lære mer om personvern? Her kan du laste ned vår guide om personvern – oppdatert med nye regler i hht GDPR.

Bloggen ble først publisert 06.11.2017 – oppdatert 07.06.2018

Last ned gratis guide GDPR og personvern: En guide for virksomheter som behandler personopplysninger