3/2018: Ny personvernforordning (GDPR)

Personvernforordningen (forkortet GDPR) er en forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i (EU). Forordningen vil etter planen tre i kraft i Norge i juli 2018. I dette rundskrivet vil vi omtale de viktigste reglene som er relevant for KAs medlemmer. I et vedlegg til rundskrivet gir vi en mer utdypende omtale av noen utvalgte temaer.

Se også vedlegg til rundskrivet

1.    Innledning
Formålet med EUs forordning om generelt personvern nr 2016/679 heretter kalt forordningen er det samme som formålet i den foregående personopplysningslovgivningen, i personopplysningsloven av 2000 og EUs direktiv fra 1995: «å gi fysiske personer beskyttelse og vern i forbindelse med behandling av personopplysninger.» 

Bakgrunnen for et nytt regelverk, er bl.a. at personopplysningsregelverket måtte oppdateres for å ivareta den enkeltes personvern i møte med den nye teknologiske virkeligheten. 

Forordningens formål, grunnprinsipper og de bestemmelsene i forordningen er i betydelig grad en videreføring av det foregående personopplysningsregelverket. Forordningen gir noen nye rettigheter, blant annet en rett til å overføre personopplysninger fra en tjenestetilbyder til en annen, såkalt dataportabilitet. For behandlingsansvarlige bortfaller melde- og konsesjonsplikten og erstattes med nye plikter til dokumentasjon og konsekvensvurderinger samt forhåndsdrøftinger med tilsynsmyndigheten. Virksomhetene får krav på seg til å utøve utstrakt egenkontroll og de får rapporteringsplikt ved avvik. 

Man kan oppsummere endringene i følgende setning: Virksomhetene må jobbe forebyggende og får et større ansvar for aktiv forvaltning og oppfølging av personinformasjon. 

Nytt er det også at brudd på forordningens bestemmelser kan få vesentlige økonomiske konsekvenser. Det maksimale overtredelsesgebyret etter personopplysningsloven av 2000 var 10 ganger folketrygdens grunnbeløp, altså 968 830 i 2018. Etter forordningen er det maksimale overtredelsesgebyret opp mot 20 millioner euro, altså nærmere 200 ganger størrelsen på maksbeløpet i den forgående personopplysningsloven.

 

2.    Viktige begreper
Forordningen omfatter den behandlingsansvarliges og databehandlers ansvar og plikter ved behandling av personopplysninger om den registrerte. 
Disse fem viktige begrepene er definert i forordningens artikkel 4 og er viktig å ha klart for seg ved arbeid med personopplysningssikkerhet.
Personopplysninger er definert i forordningens artikkel 4.1 som: «Enhver opplysning om en identifisert eller identifiserbar fysisk person.»

Begrepet personopplysninger omfatter således alt som omhandler en person, herunder navn, fødselsdato, adresse og personnummer.

Behandlingsansvarlig er det organ som beslutter seg for å samle inn eller er lovpålagt å samle inn, personopplysninger og beslutter formål for innsamling og hvorledes innsamlings skal skje. Et fellesråd vil eksempelvis være behandlingsansvarlig for innsamling av personopplysninger i forbindelse med feste av grav. Et annet eksempel på en behandlingsansvarlig er en organisasjon med et medlemsregister. 

En databehandler er den som behandler personopplysninger på vegne av en behandlingsansvarlig. Databehandler har et selvstendig ansvar for å ivareta informasjonssikkerheten og skal bare behandle personopplysninger i tråd med det som er avtalt med den behandlingsansvarlige. Dette reguleres i en databehandleravtale. Ulike leverandører av IT-fagsystemer som håndterer virksomhetens personinformasjon er eksempler på databehandlere.

Behandling av personopplysninger er enhver handling som gjøres med personopplysninger, f.eks. innsamling, registrering, organisering, lagring, tilpasning, endring eller gjenfinning.

Den registrerte er den personen som det samles inn personopplysninger om.

 

3.    Personvernsprinsipper
Reglene i forordningen og den nye personopplysningsloven må tolkes i samspill med personvernsprinsippene. Når man forsøker å fastslå en regels rekkevidde må det spørres om prinsippene oppfylles. Grunnprinsippene er:

  • Lovlig, rettferdig og åpen behandling av personopplysninger.
  • Formålsbegrenset behandling, som betyr at enhver behandling av personopplysninger skal være definert av et plausibelt formål, og dette må defineres slik at ikke personopplysninger kan brukes til andre formå enn de er innhentet for.
  • Dataminimering, som betyr at det ikke skal innhentes, lagres eller oppbevares flere personopplysninger enn det som er nødvendig i forhold til fastsatt formål.
  • Rutiner for lagring og sletting
  • Integritet; Korrekte, oppdaterte og fullstendige personopplysninger. 
  • Konfidensialitet; individet skal sikres mot at personopplysninger kommer på avveie.
  • Tilgjengelighet; informasjon man har krav på å ha tilgang til, skal være tilgjengelig. 
  • Ansvarlighet hos den som behandler personopplysninger.

 

4.    Huskeliste:
KA har satt opp en liste over det som medlemmene må ha på plass i forbindelse med personopplysningsregelverket. Det meste av dette er bestemmelser som også hadde anvendelse før forordningen og den nye personopplysningslovgivningens ikrafttreden. Vi har skrevet nærmere om hvert enkelt av huskelistens punkt, under dokumentet som heter: «Bestemmelser i regelverket om personopplysninger som er viktige for KAs medlemmer» som følger som vedlegg til rundskrivet. Det er foretatt henvisninger i huskelisten til nevnte dokument.

  1. Skaff oversikt over hvilke opplysninger dere behandler, hvor opplysningene er lagret, hvem som har tilgang og lag en oversikt over dette (se kapittel 3.2)
  2. Lag personvernerklæring (se her kapittel 3.1 om utforming og mal
  3. Er konfidensialitet og datatsikkerhet sikret (se kapittel 3.4):
    •    Tilgangsstyring
    •    Kryptering ved behov
    •    Sikkerhetskopiering 
  4. Lag protokoll over lovlig behandlingsgrunnlag og behandlingsaktiviteter (se kapittel 3.3 for nærmere informasjon og mal)
  5. Lag rutiner for håndtering av avvik, (se her kapittel 6)
    -    Husk 72 timers frist for melding til datatilsynet ved oppdagelse av avvik
  6. Ved krav fra registrerte (se nærmere i kapittel 7)
    -    Husk svarfrist på maks en måned
    -    Husk klar tale
    -    Sett deg tilstrekkelig inn i de registrertes rettigheter
    -    Husk arkivlovgivningen ved slettekrav
    -    Husk at avdøde selv ikke har «personvern» i gravferdssaker
  7. Husk alltid på å håndtere personopplysninger i samsvar med personopplysningsprinsippene (se her punkt 3 ovenfor i rundskrivet)

 

Marit H. Hougsnæs
adm.dir.       

Øystein Dahle
direktør

Del i sosiale medier:
Relaterte artikler
Relaterte lenker
Relaterte dokumenter
Powered by Cornerstone