Dette er de nye personvernreglene fra mai 2018

Her er de viktigste endringene i de nye personvernreglene (GDPR).

Dette er de nye personvernreglene fra mai 2018

Her er de viktigste endringene i GDPR, som trer i kraft i mai 2018.

Suzanne Brattheim, rådgiver i Sticos

8. september 2017

GDPR trer i kraft den i mai 2018, og gir Datatilsynet muligheten til å gi opptil 20 millioner Euro i bot, eller enda mer for selskaper med stor global omsetning, til de som bryter loven.

Forordningen viderefører mange av prinsippene og reglene i det gjeldende regelverket, men innfører samtidig en del nye regler som innebærer endringer.

Sticos tilbyr flere kurs i løpet av året for bedrifter og regnskapsførere som skal ta i bruk reglene. Her får du en enkel oversikt over de største regelendringene:

Rett til dataportabilitet

I dag kan registrerte personer be om innsyn i hvilke personopplysninger en bedrift har som omhandler han eller henne. Etter regelendringen har nå registrerte enkeltpersoner i tillegg rett til å kreve at bedriften overfører alle personopplysninger om seg selv til alternative tilbydere av en tjeneste, så fremt dette er teknisk mulig. Bedriften skal i det minste gi et strukturert, maskinlesbart dokument som inneholder alle personopplysningene de har registrert på den aktuelle personen.

For eksempel dersom man har levert opplysninger om sine favoritt forfattere og sjangre hos en nettbutikk for bøker. Dette er gjort for å kunne få relevante tilbud. Personen ønsker senere å bruke en annen nettbutikk. Vedkommende har da krav på å få opplysningene utlevert i et strukturert, maskinlesbart dokument. Og om det er mulig, har personen krav på at det skal overføres til den nye butikken.

Alle må vurdere risiko og personvernkonsekvenser

Konsesjons- og meldeplikten bortfaller i all hovedsak og erstattes med regler om risikovurdering og dokumentasjonsplikt. Bedrifter må kartlegge absolutt alle personopplysninger de innehar. Deretter må de gjøre en risikovurdering. Risikovurdering vil si at virksomheten vurderer faren for at et sikkerhetsbrudd kan inntreffe, og mulige konsekvenser for de registrerte hvis det skjer. Dette kan handle om alt fra hacking av databaser til feilsendte e-poster. Les mer om hva din bedrift kan gjøre med dette allerede nå her.

Plikt til å ta hensyn til personvern i alle dine systemer

Når man utvikler et system eller en løsning, må man i hvert steg i prosessen ta hensyn til personvern. Personvern skal være innebygget. Personvern bør være standardinnstilling i programmene, og virksomheter må velge løsninger som gir det minst inngripende alternativet for personvernet. Et eksempel på dette er at systemene legges opp slik at man sikrer at de man bruker opplysninger aktivt har samtykket. I dag er det slik at man ofte aktivt må huke av dersom man ikke samtykker. Systemene er mer personvernvennlig dersom man må aktivt huke av for at man samtykker. Samtykkehandlingene blir tydeligere for de som avgir dette.

Retten til å bli glemt

En viktig endring som kommer er at alle har en såkalt rett til å bli glemt. Dette går ut på at enkeltpersoner kan kreve at virksomheter som har lagret og behandler opplysninger om den personen, skal slette disse opplysningene. Virksomheten som behandler personopplysninger har blant annet plikt til å slette opplysningene dersom:

  • De ikke lengre har behov for opplysningene for å oppnå de formålet de samlet inn opplysningene for
  • Den opplysningene gjelder har trukket tilbake sitt samtykke til at opplysningene behandles, og virksomheten ikke har annet lovlig grunnlag for å fortsette behandlingen
  • Personopplysningene er behandlet på ulovlig måte

 

Dersom virksomheten har offentliggjort opplysningene, må virksomheten iverksette tiltak for å opplyse andre virksomheter som bruker opplysningene om at vedkommende har bedt om at de slettes.

Det er likevel viktig på være klar over at sletting ikke er pålagt dersom videre bruk av personopplysningene er nødvendig for å bruke ytringsfriheten, å oppfylle en rettslig forpliktelse, for å sikre et rettslig krav, eller for å sikre visse viktige samfunnsinteresser.

Mange virksomheter må opprette personvernombud

I dag er ordningen med personvernombud en frivillig ordning. Personvernombud er en ressursperson i virksomheten som skal bistå virksomheten i personvernarbeidet, bidra til å sørge for at reglene om personvern blir overholdt.

Når de nye reglene trer i kraft vil mange virksomheter bli pålagt å ha et personvernombud. De som må ha personvernombud er:

  • Alle offentlige etater, men ikke domstolene.
  • Virksomheter der en viktig del av deres virksomhet går ut på systematisk og regelmessig overvåkning av personer i, og dette gjøres i stort omfang.
  • Virksomheter som i stor grad behandler sensitive personopplysninger.

 

Kilde: regjeringen.no

Visninger (10644)
Til toppen av artikkelen - Tilbake til nyhetsarkivet