Strengere krav til behandling av personopplysninger

Nytt regelverk for virksomheters behandling av personopplysninger trer i kraft 26. mai 2018. Regelverket gir et styrket vern for privatpersoner, og stiller større krav til bevissthet og rutiner hos virksomhetene.

Regelverket er den største endringen innen personvernlovgivningen på over 20 år. Det nye regelverket har som mål å være bedre tilpasset dagens digitale verden med en stadig raskere teknologisk utvikling.

BØTER SOM SVIR

Overtredelse av regelverket kan sanksjoneres med svært høye bøter, inntil 20 millioner euro eller fire prosent av konsernets omsetning, og sikrer således at virksomheter behandler personopplysninger i tråd med lovgivningen.

STYRKET VERN FOR PRIVATPERSONER

Regelverket styrker privatpersoners personvern, herunder gjennom retten til å bli glemt: Den enkelte får en tydeligere rett til å kreve sletting av egne personopplysninger. Rett til dataportabilitet innebærer at den enkelte kan ta med seg sine personopplysninger fra en leverandør til en annen i et vanlig brukt filformat. I tillegg nevnes at kravene til samtykke ved innhenting av opplysninger skjerpes. 

STRENGERE KRAV TIL VIRKSOMHETENE

Regelverket stiller økte krav til system- og internkontroll. Virksomhetene får en utvidet plikt til å vurdere konsekvensene av behandling av personopplysninger. Alle digitale løsninger skal ha innebygde personverninnstillinger, og det minst personverninngripende alternativet skal være standarden i alle systemer og løsninger. Private virksomheter som har behandling av personopplysninger som sitt kjerneområde, som for eksempel bank og forsikring, blir pålagt å ha et eget personvernombud.

HVA MÅ VIRKSOMHETENE GJØRE?

God internkontroll blir helt avgjørende for å overholde regelverket. Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke opplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Med et velfungerende internkontrollsystem er det lettere å få oversikt over hva som må endres.

Forordningen nødvendiggjør endringer i norsk lov og forskrift, og det foregår et hørings- og proposisjonsarbeid hos departementet. EUs ekspertgruppe for personvern (Artikkel 29-gruppen) utarbeider veiledere om de nye bestemmelsene fortløpende. Datatilsynet legger ut artikler og veiledere på sine nettsider etter hvert som de får utarbeidet dem. Finansforbundet følger dette arbeidet nøye.

IDA FLAATTEN er advokat i Finansforbundets sekretariat. (Foto: Ricardo.)