Personvern, GDPR og personopplysningsloven

    Personopplysningsloven vil fra 25. mai 2018 bli erstattet med en ny personopplysningslov. Dette som følge av Norges avtalerettslige forpliktelser i kraft av EØS-avtalen.

     

     

    Den nye personopplysningsloven vil medføre enkelte nokså store endringer:

    • Melde- og konsesjonsplikten vil bortfalle, og det vil i visse tilfeller innføres et krav til forhåndsdrøfting med tilsynsmyndigheten.
    • Det er foreslått at overtredelser av loven ikke skal kunne straffesanksjoneres slik som i dag, men at Datatilsynet skal kunne gi overtredelsesgebyr i den enkelte sak. Disse forutsettes å være "virkningsfulle, stå i forhold til overtredelsen og virke avskrekkende" slik det uttrykkes i Justis- og Beredskapsdepartementets Høringsnotat av 6. juli d.å.
    • Det foreslås at Datatilsynets mulighet til å gi tvangsmulkt videreføres.

    Andre endringer er nok i all hovedsak ikke så store, men de viktigste nyhetene er blant annet:

    • Det stilles sterkere krav til hva som utgjør samtykke.
    • Kravet til informasjon styrkes.
    • Krav til å rapportere ved datainntrengning.
    • Krav på konsekvensutredning i visse tilfeller.

    Dagens lov om personopplysninger inneholder blant annet retningslinjer for hvordan man skal arkivere personalarkiv, vilkår fjernsynsovervåkning, vilkår for innsyn i ansattes e-poster og internkontroll.

    Personalarkiv

    Elektronisk behandling av personopplysninger er meldepliktig (orientere Datatilsynet). Det er ikke meldeplikt for manuelle arkiv med mindre disse inneholder sensitive opplysninger.

    Meldeplikten vil som skrevet ovenfor falle bort ved innføringen av ny personopplysningslov.


    Konsesjonsplikt (Tillatelse fra Datatilsynet) gjelder fortsatt, inntil 25. mai 2018:
    • Hvis den elektroniske behandlingen også omfatter sensitive opplysninger oppstår konsesjonsplikt.
    • Unntak hvis den ansatte har samtykket i behandlingen, opplysningene kun er knyttet til arbeidsforholdet eller opplysningene benyttes kun som ledd i personaladministrasjon.
    • Unntak fra meldeplikten vil gjelde der de sensitive opplysningene er begrenset til å omfatte opplysninger om medlemskap i fagforeninger, nødvendige fraværsopplysninger eller opplysninger som er nødvendige for å tilrettelegge arbeidsforholdet ut i fra helseforhold.
    • Samtykke fra den enkelte ansatte vil kunne medføre unntak også fra meldeplikten selv om de sensitive opplysninger går lenger enn ovenfor.
    • Navn, antall fravær, pårørende, avtalemessige forhold med mer er personalopplys-ninger som kan behandles uten samtykke.
    Fjernsynsovervåking
    • Krever inntil 25. mai 2018 meldeplikt til Datatilsynet.
    • Krever et saklig behov; f.eks. sikkerheten for de ansatte.
    • Meldeplikten vil bortfall i og med innføringen av ny lov
    • Departementet innstiller foreløpig på å gi særlige regler for kameraovervåkning på arbeidsplasser hvor arbeidstakere ferdes jevnlig. I all hovedsak er forslaget en videreføring av dagens regler.
    Innsyn i ansattes e-post
    • Personopplysningsforskriftens kap 9 har regler om vilkår og fremgangsmåte.
    • Departementet foreslår å videreføre dagens regler, men med enkelte innholdsmessige endringer.
    Internkontroll

    Loven fordrer at den enkelte bedrift etablerer et IK-system som dokumenterer at man følger reglene.

     

    Se også:

    Avmeldingen er mottatt!

    Din e-post: