http://www.w3.org/1999/xhtml" xml:lang="">

Datatilsynet har, med god drahjelp fra både advokat-, it- og konsulentbransjen, vært flinke til å profilere og informere om forordningen. Perspektivene har variert fra å skremme med nye og enorme bøtesatser for overtredelser til å forsøke å inspirere markedet til å forstå at det ligger store muligheter for verdiskapning ved å være langt fremme med overholdelse av det nye regelverket. Uansett er det bra med fokus på dette viktige området i en tid hvor våre personopplysninger blir mer og mer verdifulle, samtidig som flere og flere temmelig ukritisk – og noen ganger uten å vite om det - gir dem fra seg.   



nn Rent lovteknisk har departementet valgt en metode der man i den nye loven henviser til forordningen og gjør den til norsk rett direkte. Som fremhevet flere steder ved tidligere omtale av GDPR, innføres dermed blant annet forordningens strengere krav til innhenting av samtykke og økte krav til personvernerklæringer i norsk rett. Videre innføres retten til å motsette seg behandling, profilering og automatiserte avgjørelser. Det samme gjelder retten til å kunne overføre sine personopplysninger fra en tjenesteleverandør til en annen (dataportabilitet). Tilfeller hvor det foreligger melde- eller konsesjonsplikt overfor Datatilsynet begrenses, men virksomhetene får større ansvar for internkontroll, rutiner og dokumentasjon. Man får også strengere krav til varsling ved sikkerhetsbrudd. «Privacy by Design» -innebygde personverninnstillinger- skal programmeres i alle nye løsninger. I tillegg vil en rekke offentlige og private virksomheter måtte utpeke en egen personvernrådgiver (også kjent som personvernombud).


Forordningen åpner for nasjonale regler på en rekke områder. Der det foreslås nasjonale regler, har departementet i hovedsak tatt sikte på å videreføre gjeldende norsk rett. Dette betyr for eksempel at de norske reguleringene vedrørende innsyn i ansattes epostkonto, elektroniske logger og liknende videreføres. Det samme gjør i hovedsak de strenge reguleringene knyttet til kameraovervåking med enkelte utvidelser. Departementet er imidlertid åpne for å oppheve dagens rettstilstand om at overtredelser av personopplysningsloven skal kunne medføre strafferettslige sanksjoner. Det vises her til det nye nivået på bøteregimet ved overtredelser og Datatilsynets adgang til administrative sanksjoner vil ha nødvendig avskrekkende effekt. Departementet foreslår videre at aldersgrensen for barns samtykke ved bruk av informasjonssamfunnstjenester (som blant annet omfatter bruk av sosiale medier) bør settes til 13 år.  



nn Vi mener det er liten grunn til panikk for pliktsubjektene når det gjelder innføring av nytt regelverk slik forslaget til departementet legger opp til. Det sentrale i tiden fremover er å få oversikt over hvilke personopplysninger virksomheten behandler og hvilke krav som stilles til behandlingen av den aktuelle type personopplysninger med henblikk på behandlingsgrunnlag, dokumentasjon, internkontroll og rutiner for oppfølging og sletting. I tillegg må man få kontroll på hvor dataene man er behandlingsansvarlig for fysisk befinner seg – og ikke minst hvor personer med tilgang til dataene sitter i verden. Husk at brukerstøtte og servicemedarbeidere med tilgang til dataene for mange tjenesteytere kan sitte utenfor EØS-området. Det er å anbefale å ha et proaktivt forhold overfor virksomhetens tjenesteleverandører og be om dokumentasjon på hvor dataene befinner seg og hvem som har tilgang. 



nn For de aller fleste vil det være relativt ukompliserte øvelser å gjøre den nødvendige kartlegging av virksomhetens personopplysninger, utforming av dokumenter, internkontrollsystemer og implementering av rutiner. Datatilsynet har blant annet mye god veiledning. Det tilbys også en rekke seminarer og kurs om disse temaene. Disse øvelsene vil også forenkles med lanseringen og videreutvikling av elektroniske verktøy som skal bidra til overholdelse av regelverket i tiden fremover. Både private og offentlige virksomheter er imidlertid vant til å forholde seg til omfattende og komplisert rettslig rammeverk som regulerer deres virksomhet. Personopplysningsloven har i så måte en misunnelsesverdig stor tilgang på veiledning og nettverk til hjelp for virksomheter som er opptatt av å overholde regelverket sammenliknet med annen lovgivning.   


Høringsfristen er 16. oktober. Vi forventer mange innspill på et område som skaper stort engasjement. Det blir særlig spennende å se hvilke innspill departementet får på behovet for unntak fra de registrertes rettigheter. Når det gjelder forståelsen av regelverket tror vi på en litt pragmatisk tilnærming fra tilsynsmyndigheter der personopplysningsreguleringer ikke legger urimelig strenge og upraktiske byrder på virksomhetene og tjenestetilbydere av informasjonsteknologi.