Forberedelsene starter nå
I 2018 får Norge nye personvernregler. Da vil EUs forordning for personvern erstatte dagens personopplysningslov. De nye reglene gir flere og strengere plikter enn før, og brudd på pliktene kan få store økonomiske konsekvenser. Alle virksomheter som behandler personopplysninger om ansatte, kunder, brukere eller andre, må forberede seg på å følge de nye reglene.
To år høres kanskje ut som lang tid, men det er tidkrevende å forberede seg på et nytt regelverk. Virksomheten må sette seg inn i de nye reglene, sette av ressurser, legge en plan og utarbeide nye rutiner for hvordan personopplysninger behandles. Endring tar tid. Begynn allerede nå!
De nye reglene
I dag har vi lagt ut informasjon om hva de nye reglene gå ut på. For det første har vi lagt ut en tipunktsliste over de viktigste endringene. For det andre har vi lagt ut utfyllende veiledning om de ti punktene der vi går mer i dybden på hva de nye reglene sier.
Reglene skal styrke personvernet og sikre at personvernreglene håndheves likt i hele EU- og EØS-området. Dette innebærer nye plikter for virksomhetene. De nye reglene vil imidlertid også gjøre tilværelsen enklere for mange virksomheter. Samtidig får enkeltpersoner klarere rettigheter.
Mange virksomheter må opprette personvernombud, og databehandlere får flere nye plikter. Reglene for avvikshåndtering skjerpes. Alle nye tiltak må ha innebygget personvern og personvern som standardinnstilling. Noen ganger har virksomheten plikt til å utføre konsekvensanalyser og involvere Datatilsynet i forhåndsdrøftelser. Listen med plikter som endres eller skjerpes er lang.
En av fordelene med de nye reglene er at flernasjonale virksomheter som hovedregel bare behøver å forholde seg til datatilsynet i landet der de har hovedkontor. Dessuten kan overføring til utlandet skje på flere grunnlag enn tidligere. Forordningen inviterer også til utforming av sektorvise bransjenormer, som kan gjøre det lettere å følge reglene og gi noen fortrinn.
Reglene skal også gi enkeltpersoner større kontroll over egne personopplysninger. Enkeltpersoner får en sterkere rett til å motsette seg visse former for behandling, kreve at personopplysningene slettes («retten til å bli glemt») eller overføres til en annen tjenesteleverandør («dataportabilitet»). Dessuten stiller de nye reglene strenge krav til informasjonen som virksomheten har plikt til å gi, både når det gjelder form og innhold. Som virksomhet må dere legge til rette for at enkeltpersoners rettigheter respekteres og at dere kan svare på henvendelser innen én måned.
Er dere klare?