Reglene vil innebære omfattende endringer i blant annet den norske personopplysningsloven, som må tilpasses de nye EU-reglene i kraft av vårt EØS-medlemskap. Dette vil utgjøre den største endringen i europeisk personvernlovgivning i nyere tid, og den klare tendensen er skjerping av reglene.

I lys av den hurtige teknologiske utviklingen og den kraftige veksten i innsamling av personopplysninger tar de nye reglene tar sikte på å forsterke vernet, slik at den enkelte kan ha kontroll over hvordan ens personopplysninger benyttes og utnyttes.

Pliktig med personvernombud

En av de viktigste nyskapningene er plikten til å opprette et eget personvernombud. Hittil har dette vært en frivillig ordning i Norge, men med de nye reglene blir dette en plikt for alle offentlige virksomheter (unntatt domstolene), private virksomheter som overvåker personer i stort omfang og private virksomheter som behandler sensitive opplysninger i stort omfang.

Under de nye reglenes svært brede definisjon av personopplysninger og behandling sier det seg selv at denne plikten også vil treffe en stor andel av norske virksomheter.

Hva er et personvernombud?

Ifølge Datatilsynets definisjon er et personvernombud «En ressursperson som styrker virksomhetens kunnskap og kompetanse om personvern.»

De viktigste oppgavene for personvernombudet vil være å utforme og bidra til etterlevelse av virksomhetens personvernpolitikk og gjeldende lovverk, å informere og rådgi virksomheten i spørsmål om personopplysninger, for eksempel hvilke personvernkonsekvenser bestemte former for innsamling, behandling eller lagring kan ha, og å fungere som kontaktpunkt både for de som får sine personopplysninger registrert av virksomheten og mellom Datatilsynet og virksomheten.

Personvernombudet skal være uavhengig i sin stilling og rapportere til virksomhetens øverste leder. Vedkommende kan enten være ansatt i virksomheten, så lenge det ikke medfører en interessekonflikt, eller en profesjonell tredjepart, for eksempel en advokat med ekspertise innen personopplysningsrett.

Vil gjelde de fleste virksomheter

Selv for de virksomhetene som ikke overvåker personer eller behandler sensitive opplysninger i stort omfang vil de nye reglene får stor betydning.

Alle virksomheter som behandler personopplysninger, det være seg navn, fødselsnummer, bilder, adresse og så videre, plikter å informere personene som registreres.

Denne plikten skjerpes med de nye reglene, også for virksomheter som ikke har personopplysningsbehandling som sin kjernevirksomhet.

Informasjonen som gis de registrerte skal være kortfattet, lett forståelig og lett tilgjengelig. Den skal alltid inneholde visse bestemte opplysninger, som kontaktinfo, hva som er innsamlet, innsamlingens formål, det rettslige grunnlaget for innsamlingen osv.

Dersom personopplysningene skal benyttes til nye formål oppstår også en plikt til å informere den registrerte om dette.

Personvern i IT-løsninger

For nyoppstartede virksomheter, så vel som for eksisterende virksomheter som enten vil eller må oppdatere sine IT-systemer, blir det en plikt å integrere sikkerhetstiltak for personopplysninger i de nye løsningene.

Det nye lovverket knytter seg i stor grad til elektroniske verktøy. Det vil derfor være både effektiviserende og kostnadsbesparende å integrere personvernløsninger i slikt som datamaskiner, smarttelefoner, programvare og nettlesere.

Automatisk kryptering er kanskje det viktigste eksempelet på hvordan sikkerhet for behandling og overføring av personopplysninger kan, og etter hvert må, integreres i verktøyene en bruker daglig.

Brukerne forventer sikkerhet

Som følge av både sterk økning i innsamling av personopplysninger og økt kunnskap blant befolkningen om dette, stiller brukerne, for eksempel pasienter, stønadsmottakere eller forbrukerkjøpere, stadig høyere krav til sikkerhet når de gir fra seg personopplysninger.

Eksempelvis vil de fleste føle seg tryggere på å oppgi personopplysninger på en offentlig eller privat nettside dersom en nettopp har logget inn med BankID, eller å foreta kjøp på nett dersom en sendes videre til sin banks nettside når det siste passordet for å bekrefte betalingen skal tastes inn.

For virksomhetene betyr dette at integrerte og automatiserte personvernløsninger er et konkurransefortrinn. Dette gir et ekstra insentiv til å ta fatt på omstillingen før heller enn senere.

Retten til å bli glemt

Personer som får sine personopplysninger registrert får også en styrket rett til å bli glemt. De nye reglene skjerper vilkårene for å sitte med personopplysninger over tid.

Dersom en person henvender seg til en virksomhet med krav om at ens personopplysninger slettes, er virksomheten forpliktet til å etterleve dette innen kort tid blant annet dersom formålet med innsamlingen ikke lenger gjør seg gjeldende, dersom et påkrevd samtykke trekkes eller dersom innsamlingen skjedde uten lovlig grunnlag.

Brudd på de kommende reglene er ilagt sterkt forhøyede bøter på inntil 4 prosent av virksomhetens årlige omsetning. Både i lys av dette og viktigheten av å ivareta personvernet for den enkelte, er det ingen grunn for virksomheter til å vente med å ta fatt på en omstilling som skal være ferdig om ett år.

Dersom en ikke allerede har et oppnevnt personvernombud, bør det vurderes å oppsøke ekspertise som kan bistå i prosessen.