LES PÅ NETT  |  CLP.NO

STRENGERE PERSONVERNREGLER FRA MAI 2018

I mai 2018 innføres ny personvernlovgivning i alle EU- og EØS-land. Dette er den største endringen av personvernlovgivningen i Europa på over 20 år. Hva blir de største endringene fra dagens regelverk? Nedenfor gis en kort oversikt.

Stephan Brodschöll | Oddbjørn Aarestrup Aasnes

Krav til forståelig personvernerklæring: Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det stilles strengere krav til informasjonens form og innhold. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.
 
Krav til risikovurdering: Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten utrede de eventuelle personvernkonsekvensene det kan ha. Hvis utredningen viser at risikoen er stor og virksomheten selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.
 
Innebygd personvern i tekniske løsninger: De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte ("innebygd personvern"). Den mest personvern-vennlige innstillingen skal være standard i alle systemer. Datatilsynet har en egen veileder for innebygd personvern.
 
Krav til personvernombud for mange virksomheter: Følgende skal opprette personvernombud: 1) Offentlige virksomheter, 2) virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang (f.eks. sosiale medieselskap og retail kjeder med lojalitetsprogram), og 3) virksomheter som behandler sensitive personopplysninger i stort omfang. Ombudet kan være en ansatt eller en tredjepart (f.eks. advokat).
 
Reglene gjelder også virksomheter utenfor Europa: Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. De som er etablert i flere land i Europa skal bare trenge å forholde seg til personvernmyndighetene i det landet der virksomheten har sin hoved-etablering. Det vil likevel fortsatt være mulig å klage til lokale datatilsyn.
 
Nye og strengere plikter for databehandlere: Databehandlere (DB) er virksomheter (typisk IT-leverandører) som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten, dvs. behandlingsansvarlig (BA). DB må bl.a. ha rutiner for innsamling og bruk av personopplysninger, de skal varsle BA hvis de får instrukser som er i strid med loven, og BA skal godkjenne DBs underleverandører. DB kan nå etter loven bli holdt økonomisk (solidarisk) ansvarlig med BA.
 
Bransjenormer: De nye reglene oppfordrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.
 
Nye krav til avvikshåndtering: Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag.
 
Rett til å bli slettet og dataportabilitet: Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Registrerte vil kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat ("dataportabilitet"), samt motsette seg analysering av personopplysninger for å avdekke adferd, preferanser, evner eller behov ("profilering").
 
Krav til egenkontroll. Melde- og konsesjonsplikt bortfaller: Meldeplikten bortfaller, og det blir ikke lenger like mange bedrifter som trenger konsesjon.
 
Strengere sanksjoner: Overtredelsesgebyr for brudd på regelverket kan utgjøre opptil 20 millioner euro eller inntil 4 % av en ­virksomhets årlige, globale omsetning.
 
Oppfordrer til sertifiseringsordning
Forordningen oppfordrer til å etablere frivillige sertifiseringsordninger for bedrifter. En sertifisering vil fungere som bevis for compliance/etterlevelse.

Hva bør dere gjøre fremover?

  • Skaff oversikt over dagens situasjon
    • Hvilke personopplysninger behandler dere?
    • Hva er grunnlaget for behandlingen?
    • Etterlever dere dagens regelverk?
  • Sett dere inn i det nye regelverket
  • Lag rutiner for din bedrift

Work Shop/ Intern seminar

Vi ønsker å gi til våre klienter og samarbeidspartner muligheten til å få en oversikt over personvernreglene i uformelle og uforpliktende work shops. Her vil vi gjennomgå en del temaer som er særlig relevante, slik som for eksempel:

  • Enkelte grunnbegreper, slik som behandlingsansvarlig og databehandler mv.
  • Grunnlag for behandling av personopplysninger, for eksempel i forbindelse med nettbruk
  • Håndheving fra Datatilsynet

Er du interessert i å høre mer om dette? Kontakt en av våre advokater nevnt ovenfor, eller de advokater du vanligvis arbeider med i CLP.   

Kunnskap. Ingenting annet.

Fordi det er forskjell på mennesker, er det forskjell på advokater – og advokatfirmaer. CLP ble etablert i 2007 som et effektivt og eksklusivt alternativ til de største advokatfirmaene. Et alternativ der engasjementet er personlig og prosessene preget av svært høy kvalitet.
 
CLPs advokater har erfaring fra ulike bransjer og rettsområder. Mange har erfaring fra annet arbeid enn advokatvirksomhet, og flere har høyere økonomisk utdannelse. Vi er overbevist om at dette gjør CLP bedre rustet til å bistå våre oppdragsgivere i en stadig mer kompleks hverdag, både rettslig og forretningsmessig.
 
CLP rangerer høyt i flere nasjonale og internasjonale kåringer, og vi har en rekke ledende norske og internasjonale selskaper blant våre oppdragsgivere.
 
Solid bransjekunnskap sørger for effektive prosesser. Våre klienter bruker CLP både som juridisk rådgiver og som kommersiell sparringpartner. Det er lønnsomt å samarbeide med CLP.

ADVOKATFIRMAET CLP DA
clp.no | MELD DEG AV