Ny personvernlovgivning
Nå har vi trådt inn i et nytt år, med nye muligheter og utfordringer. I den forbindelse tenkte jeg å skrive litt om den nye personvernforordningen som trer i kraft, og hva den medfører for deg. Skrevet med utgangspunkt i veilederen fra datatilsynet.no.
I mai 2018 vil EUs forordning for personvern bli norsk lov. Denne vil da erstatte dagens regelverk, og medfører nye plikter for virksomheter og nye rettigheter for personer man behandler opplysninger om.
Alle virksomheter må derfor sette seg inn i den nye lovgivningen og finne ut hvilke plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene, og informere om endringer til de ansatte.
Det er et krav, også etter dagens lov, å ha en oversikt over hvilke personopplysninger man behandler. Man skal beskrive hvor personopplysningene kommer fra, hvem det gjelder, hvor de ligger og rettslig grunnlag for behandling.
Nye krav
Alle databehandlere får nye plikter, som blant annet pålegger virksomheten å ha rutiner for innsamling og bruk av personopplysninger, og plikter dem å si ifra til oppdragsgiver dersom de får instrukser som er i strid med loven.
Det vil bli strenger krav til form og innhold til personvernerklæringen. Den skal være lett tilgjengelig, tydelig, kortfattet og forståelig.
Med det nye direktivet er det krav om at alle offentlige organer og myndigheter skal utpeke personvernombud. Blant private er dette et krav dersom hovedvirksomheten i stor skala inkluderer:
- Systematisk monitorering av personopplysninger
- Behandling av sensitive opplysninger
Det kreves at ombudet inkluderes i alle spørsmål som gjelder vern av personopplysninger, men det er likevel databehandler eller behandlingsansvarlig som er ansvarlig for at lovgivningen følges. Det oppfordres av Datatilsynet at alle virksomheter som i stor grad behandler personopplysninger utpeker et personvernombud, selv om de ikke er lovpålagt.
I den nye forordningen er det krav om at nye tiltak og systemer utformes med fokus på personvern, og at den mest personvernvennlige løsningen velges som standard.
Dersom man planlegger behandling av personopplysninger som kan utgjøre en risiko for personens rettigheter, har man plikt på å utrede personvernskonsekvenser. Der det vises at behandlingen gir høy risiko, skal Datatilsynet involveres i forhåndsdrøftelser. Datatilsynet plikter da å gi skriftlig veiledning.
Alle avvik som skyldes brudd på datasikkerhet skal dokumenteres, og det skal beskrives hvilke tiltak som er iverksatt. Dersom avviket medfører risiko for enkeltpersoners rettigheter eller personvern, skal det meldes til Datatilsynet innen 72 timer.
Enkeltpersoner får en tydeligere rett til å kreve sletting av egne personopplysninger. Alle henvendelser fra de registrerte skal besvares innen en måned. Dessuten kan man kreve å ta med seg opplysninger fra en leverandør til en annen.
Jeg vil anbefale alle virksomheter å gå gjennom sine rutiner for datasikkerhet og oppdatere dem etter punktene beskrevet over. Da har man et godt grunnlag for å etterleve kravene når den nye lovgivningen trer i kraft i mai.
EG Landax - Et komplett system for kvalitetsledelse og internkontroll
EG Landax er et nettbasert styringssystem for administrasjon, ledelse og kontroll. Du får alle verktøy du trenger for å utøve kvalitetsledelse samlet i én programvare.
Kontakt oss
Ønsker du mer informasjon om våre produkter og tjenester? Ta kontakt med vår salgsavdeling for å diskutere din bedrifts behov og hvordan vi kan bistå deg.
Ring oss på +47 473 95 120 for å få svar på eventuelle spørsmål du måtte ha.
Senior Sales Executive
Lydia T. Vedvik
Tlf: +47 473 95 120
Email: lytov@eg.no