Nye EU-regler innen personvern:

Medfører store endringer for selskaper

  • Share

Selskaper er nå nødt til å omstille seg og sette personvern på agendaen. På sikt kan reglene få stor betydning for hvordan et selskap organiserer sin virksomhet.

15. desember kom institusjonene i EU til enighet om ordlyden i den nye personvernforordningen som ble foreslått i 2012. Det innebærer at forordningen antagelig vil tre i kraft i mars 2018 – en forordning som vil medføre store endringer for mange selskaper.

Mer av ansvaret flyttes fra Datatilsynet og over på bedriftene, ettersom tilsynet får en mer passiv rolle.

I forlengelsen av dette vil flere virksomheter enn tidligere nå være forpliktet til å ha personvernombud – men oppgavene til personvernombudet forblir stort sett de samme som de er i dag.

Plikten til å oppnevne personvernombud gjelder både databehandlere så vel som behandlingsansvarlige. Nytt er at kravene til databehandleravtalers innhold er spesifisert i forordningen.

Personvernreglene i EU har frem til nå vært besluttet som direktiv, men de nye reglene vedtas som forordning. Det innebærer at forordningsteksten blir bindende som en lov i alle medlemslandene.

Sanksjoner
For forsettlige eller grovt uaktsomme overtredelser av de mest sentrale påbudene kan et selskap ilegges bøter på opptil 4 % av selskapets globale årsomsetning.  Dette er vesentlig strengere enn i dag, og dobbelt så mye som det tidligere forslaget til forordning.

Det geografiske virkeområdet utvides
Personvernreglene i EU gjelder også for selskaper i stater utenfor EU-sonen, dersom de selger varer eller tjenester til borgere i EU. Her stilles det blant annet krav om at slike selskaper må ha en representant i EU, for å kunne behandle opplysninger om EUs borgere.
 
Personvernansvar «flyttes over» på bedriftene
Innebygget personvern («Privacy by design») og personvern som standardinnstilling i programmer («Privacy by default») har tidligere vært ansett som et «best practice»-prinsipp, men vil nå bli lovpålagt.

Meldeplikten ved behandling av personopplysninger bortfaller, ut over de tilfeller der bedriften anser risikoen ved behandling av personopplysninger som for stor til at den kan håndteres internt, skal det være behov for forhåndsgodkjenning fra Datatilsynet. Også behovet for å søke om konsesjon reduseres.

I stedet utvides virksomhetenes plikt til selv å vurdere personvernet når personopplysninger behandles, men varslingsplikten ved sikkerhetsbrudd er samtidig gjort vidtgående.

Ønsker du å vite mer om hvordan de nye personvernreglene slår ut for ditt selskap og hvordan du kan tilpasse deg?

Kontakt oss:
Advokat Sven Skinnemoen, tlf: 904 70 442
Advokatfullmektig Ida Kristine Hjorteset, tlf: 938 86 655