Av BJØRN OFSTAD Director i Deloitte Advokatfirma


 

I mai 2018 får vi en ny personvernlovgivning. Det nye regelverket stiller nye og strengere krav til bruken av personopplysninger fra europeiske borgere – uavhengig av om virksomheten som behandler personopplysningene er lokalisert i Norge, EU/ EØS – eller utenfor EU/EØS.

Bakgrunn
Nye overskrifter om personvern og personopplysninger dukker opp nesten daglig. Datatilsynet varsler tilsyn mot matvaregiganters apper, kommunene får gebyrer for feil håndtering av deres innbyggeres personopplysninger, helseforetak varsler at sensitive data er på avveie, Facebook vil ha tilgang til våre kontoopplysninger og automatiske strømmålere sporer når vi er hjemme og når vi har besøk.

Samtidig viser undersøkelse fra USA at Mac-brukere må betale mer for reiser kjøpt per internett enn PC-brukere da de legger til grunn at Mac-brukere har sterkere økonomi enn PC-brukere.

Den økte oppmerksomheten fører til at også «mannen i gata» er mer oppmerksom på hvordan virksomheter bruker våre persondata. Dagens personvernlovgivning ble implementert så sent som 2001 og har allerede «gått ut på dato» på grunn av den rivende utviklingen som muliggjør bruk av persondata.

Hva blir nytt?
Hva kan vi så vente oss fra den nye personvernlovgivningen, eller General Data Protection Regulation (GDPR)? Norge har lagt seg på en stram tilnærming hva angår implementering av dagens personverndirektiv. Møter man dagens krav fullt ut, vil ikke den nye personvernlovgivningen by på store overraskelser. Det er likevel så mange endringer i vente at de aller fleste norske virksomhetene må gå igjennom praksis og rutiner på nytt.

Først og fremst vil den nye loven gi økt ansvar til virksomheter som behandler personopplysninger. Det stilles flere og klarere krav til å dokumentere virksomhetens behandling av personopplysninger og, ikke minst, dokumentere etterlevelse av personvernprinsippene (accountability). Videre blir prinsippet «privacy by design» (innebygget personvern) knesatt i det nye regelverket. I dette ligger at behandlingsansvarlig, eller virksomheten, blir pålagt å implementere tekniske og organisatoriske tiltak designet for å møte personvernprinsipper. For å få til dette må virksomhetens tekniske innretninger programmeres slik at bare helt nødvendige data for hvert enkelt formål behandles.

Utvidede informasjonsrettigheter til den registrerte om hva personopplysningene blir brukt til, sammen med strengere krav til sletting, endrer måten virksomheter jobber på. Den nye forordningen stiller også strengere krav til hvordan man innhenter samtykke til behandling av personopplysninger, og samtykke fra foresatte i forbindelse med opplysninger om mindreårige.

De nye kravene forutsetter at man innfører nye rutiner for hele virksomheten. Behandling av personopplysninger krever dokumentasjon, og rutinene for innsamling og lagring må være på plass. Dette stiller krav til at hele virksomheten må begynne å tenke annerledes i sin behandling av personopplysninger.

I dag er personvernombud en frivillig ordning, men i fremtiden vil langt flere virksomheter måtte utnevne personvernombud. Eksempelvis vil dette gjelde alle offentlige virksomheter. Det samme gjelder selskaper som behandler en stor mengde opplysninger.

Hvordan forberede virksomheten på endringer?

God kontroll
Virksomhetens kunnskap om egen behandling av personopplysninger og dokumenterbar etterlevelse vektlegges i større grad i ny personvernlovgivning. Kunnskap om egen behandling, og dokumentert etterlevelse, er bare mulig med god kontroll over opplysningene. Derfor er det helt nødvendig for virksomheten å ha kontroll på de personopplysninger virksomheten behandler. Virksomheten må vite hvilke opplysninger som behandles, hvor de ligger, formålet med registreringen (behandlingen), juridisk behandlingsgrunnlag og hvem som har tilgang til opplysningene – for å nevne noen forhold.

Gap-analyse
Når virksomheten har oversikt over egen behandling av personopplysninger, må dagens rutiner og praksis avstemmes mot nye krav i personvernlovgivningen.

Prioriter
Mange av prinsippene i ny personvernlovgivning finner du igjen i dagens lovverk. Møter du dagens krav, har du et godt utgangspunkt. Implementeringskravene i ny personvernlovgivning går imidlertid lengre enn kravene i dagens lovgivning, og mai 2018 er ikke langt unna.

Etterlevelse av personvernregelverket er et konkurransefortrinn

Møter din virksomhet juridiske og tekniske krav i personvernlovgivningen, har dere en sikrere og mer gjennomtenkt behandling av personopplysninger. Da bygger dere også tillit hos deres kunder.

Etterlevelse av personvernregelverket skaper verdi, og reduserer risikoen for avvik og funn ved tilsyn. Dette vil bidra til å sikre virksomhetens omdømme.

Etterlevelse av personvernregelverket skal ikke være en byrde, men et konkurransefortrinn som skal bidra til å se muligheter!

Morgendagens vinnere sørger for godt personvern.