Viktige endringer i personopplysningsloven

Artikkel

Viktige endringer i personopplysningsloven

Mer egenkontroll og høyere bøter blir en del av virkelighetsbildet når den nye personopplysningsloven trer i kraft.

Artikkelen på 15 sekunder: Det forventes at ny personopplysningslov blir formelt vedtatt og publisert i løpet av mars 2016, og at det enkelte land deretter har to år til å implementere loven. Den nye loven vil slik vi ser det kunne medføre mange endringer for norske kommuner, både på planlegging og rapportering, bruk av personvernombud, og for håndtering av personopplysninger. Virksomheter som oppdager brudd vil møte strengere rapporteringskrav, og potensielt betydelige bøter dersom man er ansvarlig. 

Dagens personvernlovgivning er bare 16 år gammel og som en tenåring å regne. Likevel har vi ny lov i vente. Det kan være flere grunner til dette, men dagens raske teknologiske utvikling er en betydelig premiss. I 2012 ble utkastet klart, og EU-parlamentet godkjente innstillingen til ny lov i mars 2014.

Siden juni 2015 har det pågått forhandlinger innad i EU om tolkninger og forståelse av innstillingen til ny personvernlovgivning. Forhandlingene er planlagt avsluttet i 2015 og 16. desember 2015 ble EU-institusjonene enige om innholdet i EUs nye lovverk for personvernlovgivning. Det er antatt at den enkelte EU-stat får en implementeringsperiode på 2 år.

Dagens personvernlovgivning bygger på et EU-direktiv. Det betyr at det er opp til det enkelte EU- og EØS-land å fortolke og implementere direktivet. Ny lovgivning blir ikke gitt i form av direktiver, men forordninger. Dette betyr at det nye regelverket skal implementeres direkte i landenes lovverk uten rom for egne fortolkninger. Med lik forståelse av regelverket i alle EU-stater vil det bli enklere å håndheve personvernregelverket og ivareta samme praksis i alle EU- og EØS-land. At ny personvernlovgivning kommer i form av en forordning, er nok noe av årsaken til at det tar så lang tid å få ferdigstilt lovteksten.

Slik vi ser det er det særlig to forhold som skiller seg ut i den nye personopplysningloven; 1) det blir mer egenkontroll på håndtering av personopplysninger i egen virksomhet og 2) bøtenivået for brudd på personopplysningsloven økes betraktelig.

Endringer i den nye personopplysningsloven vi mener det er verdt å merke seg:

1. Personvernombudets rolle styrkes

Ny lov vil øke betydningen av personvernombudene. Det er fortsatt usikkert hvordan rollen realiseres i den nye loven, men det er grunn til å anta at virksomheter med mer enn 250 ansatte, eller virksomheter med et visst antall behandlinger (5000 behandlinger er nevnt) i løpet av et år skal ha en personvernombud. Slik vi oppfatter det vil også offentlige virksomheter måtte trenge personvernombud etter det nye regelverket.

2. Større konsekvenser ved brudd

Større muligheter for lokale datatilsyn til å handle og sanksjonere mot behandlinger som ikke er i tråd med lovens rammer. Bøtenivået for brudd på personopplysningsloven er foreslått å øke til opp mot 4 prosent av konsernets årlige globale omsetning.

3. Egenkontroll og rapportering

Dagens norske versjon av personopplysningsloven legger vekt på god kontroll på egen behandling av personopplysninger, som blant annet gode intern-kontrollsystemer. Den nye loven vil i særlig grad se
på egenkontroll og dokumentasjon på at virksomhetene behandler personopplysninger i tråd med lovens rammer. Virksomhetene kan bli pålagt å dokumentere tekniske og organisatoriske sikkerhetstiltak.

4. Rett til å bli glemt

Ny lov vil presisere retten til å bli glemt. Opplysninger skal blant annet slettes etter forespørsel fra den registrerte.

5. Flytting av data mellom etater

Den nye loven vil gjøre det lettere for å den registrerte å kreve overføring av lagrede personopplysninger i en virksomhet til en annen virksomhet. Det skal med andre ord bli lettere "å ta med seg" data.

6. Innebygget personvern

Innebygd personvern er et nytt prinsipp som blir innført i ny lov. Det går ut på at personvernet skal bygges inn i nye teknologiske løsninger. Den teknologiske løsningen skal være "innstilt" på best mulig personvern. Eksempelvis skal man tenke på hvem som skal ha tilgang til personopplysningene og når opplysningene skal slettes. Personvernet skal ivaretas i "opplysningens levetid", fra den fødes til den dør.

7. Krav om risikoanalyser

Det vil bli stilt krav til å gjennomføre risikoanalyser og vurderinger før personopplysninger behandles.

8. Innrapportering av brudd innen 24 timer

Datatilsynet mottar i dag mistenkelig få meldinger om tap av personopplysninger, hacker-angrep brudd eller andre brudd på personopplysningsloven fra virksomheter. Næringslivets Sikkerhetsråd undres over dette, da deres undersøkelser viser at norske virksomheter daglig utsettes for hackerangrep og bryter personopplysningsloven. Ny personvernlovgivning vil stille strengere krav til å rapportere brudd på personopplysningsloven. Det er forslått at eventuelle hendelser skal rapporteres til Datatilsynet innen 24 timer, men tidsrammen er ennå ikke endelig besluttet.

Ny lov legger opp til flere endringer og skjerper kravene til egenkontroll og dokumentasjon hos virksomheten. Selv om det gis en implementeringsperiode på to år, går tiden fort, og vi anbefaler at de som behandler personopplysninger starter intern review så snart som mulig.

Skrevet av:
Bjørn Ofstad

Datatilsynet øker bruken av gebyrer for å sørge for at personopplysningsloven følges

Tilsyn i kommunal sektor

Datatilsynet øker bruken av gebyrer for å sørge for at personopplysningsloven følges.

Datatilsynet har to tilsynsperioder i løpet av året, hvor de i forkant velger ut en bransje de ønsker å se nærmere på. Datatilsynets meldingsdatabase benyttes ofte for å plukke ut tilsynsobjekter. Tidligere tilsyn, også i kommunal sektor, har avdekket følgende funn i norske virksomheter:

  • Manglende oversikt over hvilke personopplysninger som blir behandlet og lagret
  • Mangelfull kontroll med deling av personopplysninger med tredjeparter, som for eksempel skyleverandører
  • Lite kunnskap om innsyn og informasjon
  • Manglende eller for dårlige risikovurderinger
  • Mangelfulle databehandleravtaler

Kort oppsummert reagerte Datatilsynet sterkt på manglende internkontroll og informasjonssikkerhet i kommune-Norge. Overtredelsesgebyrer ble ilagt til de tre kontrollerte kommunene.

Direktør i Datatilsynet, Bjørn-Erik Thon, sier tilsynet bevisst har valgt å gradvis øke bruken av gebyr i kommunesektoren. Tidligere vedtak har ikke hatt den allmennpreventive effekten Datatilsynet har ønsket, derfor må de i økende grad bruke overtredelsesgebyrer for å sørge for at personopplysningsloven følges.

Denne artikkelen er en del av Kommunalt Innblikk - et magasin hvor vi ønsker vi å formidle ny kunnskap, nye synspunkter og oversikt over dagsaktuelle temaer som gjelder din kommune og ditt lederansvar.

 

Den 5. utgaven av magasinet, som denne saken er hentet fra, omhandler behandling og sikring av personopplysninger. Du finner resten av artiklene her.

Var denne siden nyttig?