En del virksomheter er godt i gang med å forberede seg på de nye reglene som trer i kraft i mai 2018, men det er fortsatt mange som ennå ikke har tatt innover seg hvilke konsekvenser GDPR får for deres virksomhet. Justis- og beredskapsdepartementet offentliggjorde 6. juli 2017 høringsnotatet til gjennomføring av forordningen og utkast til ny personopplysningslov. Forslaget innebærer at personvernforordningen vil bli gjennomført ved en henvisningsbestemmelse i den nye personopplysningsloven, samtidig som at forordningen blir supplert med enkelte norske regler.

I dette nyhetsbrevet ser vi nærmere på noen av de viktigste endringene og hva virksomheter må foreta seg før de nye reglene trer i kraft 25. mai 2018.

Bakgrunnen for ny forordning

Personvernforordningen erstatter nåværende personverndirektiv fra 1995, som igjen er bakgrunnen for store deler av den nåværende personopplysningsloven og personopplysningsforskriften. Arbeidet med forordningen startet i 2012 og hadde som formål å gjøre "Europe fit for the digital age", herunder styrke borgernes fundamentale rettigheter, samt ta høyde for teknologiutviklingen, globaliseringen og den kommersielle verdien av personopplysninger.

Nærmere om høringsnotatet – hva er nytt?

Justis- og beredskapsdepartementet har fremhevet enkelte endringer sammenlignet med nåværende regler:

  • Det europeiske personvernregelverket skal i større grad harmoniseres,
  • Det skal opprettes et europeisk personvernråd som skal bidra til en ensartet anvendelse av forordningen,
  • Nåværende reguleringsstruktur blir vesentlig endret (forordningen blir gjort til norsk lov, i tillegg til at det blir gitt enkelte supplerende bestemmelser på områder hvor forordningen åpner for nasjonale unntak),
  • En styrking av rettighetene til de personopplysningene gjelder,
  • Melde- og konsesjonsplikten bortfaller og blir erstattet med en plikt til å vurdere hvilke personvernkonsekvenser ulike tiltak vil kunne få, og en plikt til å forhåndsdrøfte med Datatilsynet i enkelte tilfeller,
  • Behandlingsansvarlige med virksomheter i flere stater skal kun måtte forholde seg til én tilsynsmyndighet i EU/EØS,
  • Enkelte virksomheter får en plikt til å ha personvernrådgivere (tidligere omtalt som personvernombud),
  • Datatilsynet får muligheten til å ilegge vesentlige høyere overtredelsesgebyr enn det som følger av dagens lovgivning (opptil 20 millioner euro eller, om det er høyere, 4 % av et selskaps globale omsetning), og
  • Det foreslås at overtredelser av forordningen ikke skal sanksjoneres med straff.

Selv om Departementet ikke har fremhevet det særskilt, stiller forordningen også strengere krav til informasjonssikkerheten rundt behandling av personopplysninger, herunder med innføring av nye prinsipper om at personvern og anonymisering skal være utgangspunktet ("data privacy by default"), og at personvern skal implementeres i nye IT-løsninger ("data privacy by design").

I tillegg kan det nevnes at:

  • Definisjonen av personopplysninger utvides, ved at blant annet blodprøver, stedtjenester og "cookies" blir personopplysninger,
  • Det innføres egne regler om "pseudonymiserte" personopplysninger (personopplysninger som avidentifiseres, men hvor det beholdes en nøkkel som kan fungere som en identifikator), og
  • Forordningen får anvendelse for virksomheter som befinner seg utenfor EØS, men som tilbyr tjenester og produkter til borgere i EØS.

Hva bør være virksomhetens fokus fremover?

  • Få oversikt og kartlegg hvilke personopplysninger som behandles

Gå gjennom alle prosesser og se gjennom hvilken informasjon virksomheten oppbevarer. Klassifiser de ulike personopplysningene ("vanlige" personopplysninger, sensitive personopplysninger, pseudonymiserte personopplysninger og personopplysninger som kan anonymiseres) og vurder om virksomheten trenger å behandle disse opplysningene.

  • Sørg for å oppfylle reglene som fremgår av dagens personopplysningslov

Har virksomheten behandlingsgrunnlag for alle behandlingene? Er informasjonssikkerheten tilstrekkelig? Har virksomheten databehandleravtaler hvor dette er påkrevd?

  •  Få oversikt og sett dere inn i de nye reglene

Se gjennom og vurder hvordan de nye reglene påvirker virksomhetens aktiviteter. I større virksomheter vil det være naturlig å lage et prosjektteam med ansvar for å sette seg inn i de nye reglene, foreslå nødvendige endringer og gjennomføre de i praksis.

Selv om forslaget til ny personopplysningslov er på høring, er forordningen endelig vedtatt i EU og noe Norge er forpliktet til å gjennomføre i norsk rett. Forordningsformen innebærer at det i utgangspunktet ikke er adgang til å fravike EU-reglene og heller ikke til å gi supplerende regler, unntatt der forordningen åpner for nasjonale regler.

  • Lag rutiner og tilpass virksomheten til de nye reglene

Utarbeid rutiner, for eksempel for når virksomheten skal utføre vurderinger av personvernkonsekvenser og når det er nødvendig å forhåndsdrøfte behandlingen med Datatilsynet. Ta stilling til hvordan de nye reglene påvirker dagens virksomhet. Må selskapet for eksempel ansatte en personvernrådgiver? Er virksomhetens IT-sikkerhet god nok og foreligger det gode rutiner for håndtering av sikkerhetsbrudd?

Mer informasjon

Datatilsynets veiledere og annen nyttig informasjon finner du her.

Høringsnotatet mv. kan leses på regjeringens hjemmeside.

Det er også utarbeidet en uoffisiell oversettelse av forordningen som du kan lese her.