Politisk enighet om nye regler om personvern

Etter lang tautrekking ble EU-institusjonene denne uken enige om hvordan EUs nye personvernregler skal se ut. Endelig tekst vil formelt bli vedtatt i begynnelsen av 2016. Norsk personvernlovgivning vil bli tilpasset den nye EU-forordningen.

iStock_000023209066Large

Noen av de viktigste endringene norske foretak må være forberedt på er som følger:

Økte rettigheter og beskyttelse for den registrerte

o   Rett til å motsette seg profilering, f. eks. til markedsføringsformål

o   Rett til dataportabilitet, dvs. en rett til å få overført egne data mellom tjenestetilbydere

o   Klarere regler om rett til sletting av personopplysninger («retten til å bli glemt»)

o   Skjerpede regler om tilgang til egne data og rett til informasjon om hvilken databehandling som skal foretas

Samtykke

o   Det vil blir stilt strengere krav til dokumentasjon av samtykke til behandling av personopplysninger

o   Der opplysninger skal benyttes til nye formål, vil det bli stilt skjerpede krav til innhenting av nye samtykker

o   Behandling av mindreåriges personopplysninger krever samtykke fra foreldrene. Den konkrete aldersgrense blir ikke harmonisert av EU og vil bli fastsatt av nasjonal rett.

Geografisk anvendelsesområde

o   Regelverket blir mer harmonisert over hele EU/EØS-området. Selskaper med virksomhet i flere land vil i større grad enn i dag få ett regelverk og en tilsynsmyndighet å forholde seg til

o   Amerikanske og andre selskaper basert utenfor EU, vil måtte forholde seg til det nye regelverket når de tilbyr sine tjenester til norske og andre europeiske forbrukere. Dette vil gi mer like konkurransevilkår for norske virksomheter.

Innebygd personvern

o   Det vil bli stilt skjerpede krav til at personvern er bygd inn i de tjenester som tilbys og at standardinnstillingene ivaretar personvernet

Skjerpede krav til bedrifters internkontroll

o   Det vil bli innført plikt til å vurdere personvernkonsekvenser ved behandling av personopplysninger

o   Flere virksomheter vil måtte opprette egne personvernombud

o   Mindre og mellomstore virksomheter vil, med mindre behandling av personopplysninger er deres kjernevirksomhet eller det er høy personvernrisiko knyttet til deres virksomhet, forholde seg til noe mindre strenge regler på dette området

Færre krav til konsesjon og meldinger til Datatilsynet

o   Dette vil føre til mindre administrasjon og færre kostnader

Skjerpede sanksjoner

o   Datatilsynet vil få anledning til å ilegge overtredelsesgebyrer på opptil 4 % av overtreders omsetning

Det nye regelverket vil tre i kraft i 2018.   Norske virksomhetet bør allerede nå vurdere om og hvordan det nye regelverket påvirker deres virksomhet og implementere nødvendige endringer slik at man oppfyller de nye kravene når regelverket trer i kraft. Den forholdsvis lange implementeringsfristen er nettopp gitt for at virksomheter som nå blir underlagt skjerpede regler, skal få tid til å tilpasse seg. Som nevnt, vil overtredelse av det nye regelverket være underlagt strengere sanksjoner.