Rett før påske la Justis- og beredskapsdepartementet (departementet) frem forslag til ny personopplysningslov, i Ot. prp. 56 LS, (2017-2018). Bakgrunnen for lovforslaget er vedtakelsen av ny personvernforordning (GDPR) i 2016, som trer i kraft 25.mai i år. Dette medfører at det norske regelverket må oppdateres og tilpasses personvernforordningen.
Betydningen for norsk rett
Sammen med proposisjonen fremlegges en oversatt versjon av personvernforordningen. I henhold til ny personopplysningslov § 1 skal denne gjelde som norsk rett. Dette betyr at det ikke lages en egen lov som paragraf for paragraf «kopierer» personvernforordningen. I tillegg til inkorporering av EUs regelverk, regulerer og presiserer den nye loven nasjonale forhold, noe forordningen åpner for.
En forordning får direkte og umiddelbar virkning i alle EU-land. Dette understreker EUs ønske om klarere regulering og bedre samordning av personvernregler i EU-landene, sammenliknet med hva tidligere regelverk resulterte i.
For Norges del blir personvernforordningen først gjeldende rett når ny personopplysningslov trer i kraft og forordningen innlemmes i EØS-avtalen. Målet er at en ny personopplysningslov trer i kraft 25. mai 2018. Dagens regelverk vil inntil videre fortsatt gjelde dersom personopplysningsloven blir forsinket og ikke trer i kraft 25. mai. En slik overgangsordning gir etter departementets syn nødvendig sikkerhet for de registrertes personvern, samt sikre flyt av personopplysninger innenfor EØS-området.
Vil påvirke andre lover
Forslag til ny personopplysningslov vil på samme måte som dagens regelverk virke både innenfor og utenfor de områder som EØS-avtalen regulerer. Loven vil derfor i stor grad påvirke andre lover. Om dette skriver departementet:
I sum vil det ofte være nødvendig å forholde seg både til forordningens tekst, til de generelle supplerende bestemmelsene i personopplysningsloven og til eventuelle særreguleringer i spesiallovgivningen, og å se disse bestemmelsene i sammenheng.
Antakelig vil en rekke juridiske spørsmål måtte avklares også etter lovens ikrafttreden. Departementet legger opp til en løpende prosess med avklaringer og tilpasninger av for eksempel offentleglova og arbeidsmiljøloven.
Nye endringer
Grunnprinsippene i den nye personvernforordningen er i betydelig grad en videreføring og –utvikling av gjeldende rett. Mange er nok kjent med hva de nye endringene er og vi nevner noen hovedpunkter:
- De registrertes rettigheter styrkes, blant annet med retten til å bli slettet og mulighet for å få data overført til annen databehandler.
- Dagens melde- og konsesjonsplikt bortfaller, men blir erstattet av krav om dokumentasjon og eventuell forhåndsdrøfting med personvernmyndighet for behandling av visse opplysninger.
- Offentlige myndigheter og visse private behandlingsansvarlige blir pålagt å ha eget personvernombud.
- Datatilsynet kan ilegge vesentlig høyere overtredelsesgebyrer enn tidligere.
- Det innføres en mer effektiv tilsynsordning på europeisk nivå. Som hovedregel skal behandlingsansvarlige kunne forholde seg til én tilsynsmyndighet. Også personer som mener seg krenket skal kunne forhold seg til én tilsynsmyndighet, og ikke selv måtte forfølge eventuell krenkelse i andre land enn der man er bosatt.
- I henhold til forslag i proposisjonen settes laveste alder for samtykke fra barn for behandling av deres personopplysninger til 13 år, noe som er i tråd med forslag som er fremmet i Sverige og Danmark. Dette betyr i praksis at det settes en nedre aldersgrense for deltakelse i blant annet sosiale medier til 13 år.
- I arbeidsforhold videreføres dagens regler om kameraovervåkning og e-postinnsyn så langt forordningen tillater det som nye forskrifter til arbeidsmiljølovens kapittel 9.
Det blir lagt opp til en dynamisk prosess både for personopplysningslovens regelverk og personvernforordningen. Departementet legger opp til en «etterkontroll» av de norske reguleringene når loven har virket noen år. EU-kommisjonen skal senest 25. mai 2020, og deretter hvert fjerde år, legge frem en rapport med vurdering og gjennomgåelse av forordningen. Kommisjonen skal også kunne foreslå nødvendige endringer i personvernforordningen. Personvernforordningen kan dermed være et instrument som enklere kan tilpasses teknologiske- og samfunnsmessige endringer, forutsatt at endringsviljen hos EUs medlemmer er tilstede.
Ta i bruk vår 10-punkts sjekkliste for å komme i gang med innføringen av GDPR i din virksomhet