Den 25.  Mai neste år trer den nye felleseuropeiske personvernloven i kraft. I og med at Norge er medlem av EØS og en del av Schengen-samarbeidet vil loven også gjelde i Norge.

Det nye regelverket vil bety nye plikter for alle virksomheter. Regelverket betyr også at man vektlegger ansvarlighet fremfor forhåndskontroll i fra Datatilsynet. Regelverket fører også med seg strengere krav til avviksbehandling, varsling av berørte parter samt et kontinuerlig arbeid med informasjonssikkerhet.

En del foretak vil også få krav på seg til å ha et eget personvernombud. Dette kravet vil gjelde alle private virksomheter som håndterer sensitive opplysninger samt alle offentlige virksomheter. Personvernombudet skal være uavhengig slik at det er godt posisjonert for å passe på at virksomheten følger de nye personvernreglene. Dette vil f.eks. bety at alle som håndterer helseopplysninger må ha personvernombud. Kravet vil også gjelde for aktører som overvåker personer og deres adferd i f.eks. ulike fordelsprogrammer.

Det er all grunn til å tro at det nye regelverket vil bety et stort behov for nye personvernombud i både offentlig og privat sektor. Dette kan for mange virksomheter bli ganske krevende selv om det ikke kreves noen formell sertifisering for å fungere som personvernombud. Det kreves imidlertid god kjennskap til det nye regelverket og her er det nok en del virksomheter som per i dag har mangelfull kjennskap til det kommende regelverket. For mange bør kursing og opplæring stå på agendaen i tiden fremover. Datatilsynet kjører kurs på dette feltet men denne kursvirksomheten vil opphøre når det nye regelverket trer i kraft.

Det nye regelverket vil også få betydning for de som utvikler eller bidrar til utvikling av programvare som inneholder personopplysninger. Her er det laget en prosess på 7 trinn som leder frem til programvare med det som kalles innebygd personvern. Datatilsynet har bl.a. publisert et diagram som viser de 7 trinnene med en mer detaljert beskrivelse. Dette er noe som Datatilsynet har utviklet i samarbeid med sikkerhetseksperter og programutviklere i privat og offentlig sektor.

De nye reglene har selvfølgelig også betydning for de som har fått sine opplysninger registrert. Utgangspunktet her er at de registrerte får styrket sine rettigheter. Når man ber om innsyn skal man få opplysninger om den aktuelle virksomheten behandler personopplysninger. Hvis virksomheten har slike opplysninger har den registrerte krav på å få tilgang til sine opplysninger. Vedkommende kan også kreve å få utlevert en kopi av disse opplysningene. Herunder følger en rekke punkter som forteller hva man har krav på å få ut av informasjon.

Datatilsynet har også utarbeidet en rekke veiledere som viser hva som har endret seg innenfor de ulike områdene som omfattes av personvernet:

Hva betyr de nye personvernreglene for din virksomhet?

Virksomhetens ansvar etter nytt regelverk

Programvareutvikling med innebygd personvern

Vurdering av personvernkonsekvenser etter nytt regelverk

Personvernombud etter nytt regelverk

Grunnleggende personvernprinsipper etter nytt regelverk

De registrertes rettigheter etter nytt regelverk

Datatilsynet har også kommet med noen anbefalinger i forhold til hva man bør gjøre nå for å forberede seg på det nye regelverket.

1. Skaff dere en oversikt over hvilke personopplysninger som behandles i virksomheten i dag. Alle virksomheter som samler inn eller bruker slike opplysninger skal ha en slik oversikt. Dette kravet gjelder også i dag.
2. Sørg for å oppfylle dagens lovkrav. Overgangen til et nytt regelverk vil bli enklere om dagens lovkrav innfris. Herunder kommer også gode rutiner for internkontroll som er godt kjent i organisasjonen.
3. Sett dere inn i det nye regelverket. Datatilsynet har publisert hele forordningsteksten samt en rekke veiledere.
4. Lag rutiner for å følge de nye reglene. Se på dagens rutiner for behandling av personopplysninger og oppdater de slik at de er i tråd med det nye regelverket. Sørg for å dokumentere de nye rutinene og lag en plan for implementering av evt. endringer. Har dere systemer som innfrir kravene til bl.a. innebygd personvern? Klarer dere å fange opp og besvare evt. henvendelser i fra borgere innen 1 måned?

Kilder: Datatilsynet.no og DN.no