952 97 000 hjelp@ddv.no

Nye personvernregler i 2018

Nye personvernregler i 2018

I mai 2018 trer et nytt personvernregelverk i kraft, som gir flere og strengere plikter, og åpner for at Datatilsynet kan ilegge langt høyere overtredelsesgebyrer enn i dag. Den nye loven erstatter personverndirektivet av 1995 og personopplysningsloven av 2000 og personopplysningsforskriften. Personvernforordningen gir flere individuelle rettigheter for registrerte, flere krav til IT-systemer og leveranse av slike systemer, krav til databehandleravtale og behandling av personopplysninger for behandlingsansvarlig.

Første punkt i arbeidet er å skaffe seg oversikt over hovedpunktene i det nye regelverket. Datatilsynet har utarbeidet en liste med de ti viktigste endringene:

  1. Alle norske virksomheter får nye plikter
  2. Alle skal ha en forståelig personvernerklæring
  3. Alle skal vurdere risiko og personvernkonsekvenser
  4. Alle skal bygge personvern inn i nye løsninger
  5. Mange virksomheter må opprette personvernombud
  6. Reglene gjelder også virksomheter utenfor Europa
  7. Alle databehandlere får nye plikter
  8. Alle bør samarbeide i egne nettverk og følge bransjenormer
  9. Alle får nye krav til avvikshåndtering
  10. Alle må kunne oppfylle borgernes nye rettigheter

Alle kommuner bør snarest mulig utarbeide en oversikt over hvilke personopplysninger kommunen har og hva opplysningene brukes til (formålet med bruken). En slik oversikt er helt nødvendig for å gjennomføre risikovurderinger av de ulike behandlingene, og ivareta innbyggernes rettigheter.

Sanksjoner

I dagens regime (POL § 46):

  • Datatilsynet kan ilegge overtredelsesgebyr
  • Skjønnsmessige kriterier
  • Maksimalsats: 10G (ca. NOK 900.000)
  • Objektivt ansvar (uavhengig av skyld)

Etter de nye reglene:

  • Administrativt gebyr opp til EUR 10 mill. eller 2 % av global årlig omsetning
    • Som for manglende dokumentasjon, ikke varslet tilsynsmyndighetene og personer ved avvik/brudd eller ikke gjennomført konsekvensutredninger (PIA)
  • Alvorlige overtredelser EUR 20 mill. eller 4 % av global årlig omsetning
    • Som for brudd på grunnleggende prinsipper knyttet til datasikkerhet og kravene til samtykke
  • Pålegg om endringer

Det er ingen amnestiperiode. Virksomheter må være innenfor lovverket før loven og forordningen trer i kraft den 28. mai 2017.

Arbeid med dette i DDV

DDV har en egen informasjonssikkerhetsgruppe som består av ledergruppen i DDV, samt en representant for hver kommune i samarbeidet. Ut fra denne gruppa er det opprettet en arbeidsgruppe for GDPR/personvernforordningen med både ansatte fra DDV og representanter fra de største kommunene.

Det er mange mulige veier å gå for å finne den beste løsningen for DDV-kommunene. Det kan bli et personvernombud som er felles for alle kommuner, to eller flere kommuner kan gå sammen, det kan bli en for hver kommune, en kan kjøpe tjenesten eksternt, eller ansette en i DDV. Målet med arbeidet til arbeidsgruppen er å lage en anbefaling til DDV Styring/Eier om mulighet for samarbeid mellom kommunene vedrørende personvernforordningen og stillingen «Personvernombud».

Personvernombud

Virksomheter som får plikt til å utpeke personvernombud:

  • Offentlige myndigheter (offentlighetsloven § 2a)
  • Systematisk overvåkning av registrerte i stor skala
  • Behandling i stor skala av «special categories of data» (for eksempel helseopplysninger)

Personvernombudet skal være uavhengig av behandlingsansvarlig. Kravet om uavhengighet må ikke forstås slik at personvernombudet ikke kan være ansatt i virksomheten – men det er viktig for tilliten til ombudet at den ansatte kan utføre kontrollansvar uavhengig av arbeidsgiver. Det er heller ingenting i veien for at virksomheter kan bruke eksterne ressurser som personvernombud. Ombudet er en ressursperson både for kommune og innbygger, og skal tilrettelegge for etterlevelse av GDPR. En av oppgavene er å bistå Datatilsynet ved tilsyn, legge frem oversikt over alle behandlinger, og være den interne kontaktpersonen ved tilsynet.

Arbeidsoppgaver for et personvernombud vil omfatte følgende

  • Påse at behandlingsansvarlig har et tilfredsstillende system for internkontroll i kommunen, og sikre at virksomhetene oppfyller kravene til personvern i den daglig driften
  • Ivareta registrertes rettigheter
  • Påpeke brudd på regelverket overfor behandlingsansvarlig
  • Gi opplysninger til Datatilsynet og foreta undersøkelser i konkrete saker
  • Holde seg oppdatert på utviklingen innen personvern, og styrke den interne bevisstheten og kunnskapen
  • Gi råd og veiledning til behandlingsansvarlig om behandling av personopplysninger og reglene for dette:
    • Informere om hvilke personopplysninger som blir samlet inn og hvorfor
    • Holde oversikt over opplysningene som behandles
    • Gi innsyn til den opplysningene gjelder
    • Kontrollere tilgangen til opplysningene
    • Be om samtykke før opplysningene behandles
    • Beskytte informasjonen slik at den ikke kommer på avveie
    • Vurdere risiko for sikkerhetsbrudd og konsekvenser
    • Slette personopplysninger det ikke lenger er behov for

Vær oppmerksom på at oppnevnelsen av personvernombud ikke fritar ledelsen fra ansvar. Det er ledelsens plikt å påse at internkontrollsystemet fungerer.

Informasjonen er hentet fra Datatilsynet, DLA Piper og Deloitte.

DEFINISJONER

  • GDPR (General Data Protection Regulation) – den nye personvernforordningen
  • Behandlingsansvarlig: Rådmannen
  • Databehandler: En virksomhet som behandler personopplysninger på vegne av en annen virksomhet, den såkalt behandlingsansvarlige
  • Daglig ansvarlig: Den personen som har det daglige ansvaret for oppfylling av pliktene som den behandlingsansvarlige har
  • Personopplysninger: Opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er navn, personnummer eller andre personlige kjennetegn. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc. Det finnes også særskilte kategorier for personopplysninger – som er sensitive personopplysninger
  • Behandling av personopplysninger: Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter