-Ein tydeleg medspelar Ny personvernlovgivning HMS-fagnettverk 2. mai 2018
Hva skjer? GDPR General Data Protection Regulation 25. mai 2018 Forordningen trer i kraft Utsettes til 1. juli i EØS(?) Erstatter personverndirektivet, og dagens personopplysningslov m/forskrift Ny personopplysningslov til behandling i Stortinget Prop. 56 LS 2017-2018 (22. mai i Stortinget?) Reglene vil gjelde virksomheter også utenfor EU/EØS tilbyr varer og tjenester til EU- eller EØS-borgere kartlegger EU- eller EØS-borgeres adferd innen EU- eller EØS-området.
Hva skjer? 2 Innebærer noe nytt og en skjerping av en del krav/rutiner Kravene til informasjon til «registrerte» skjerpes. Både form og innhold. Retten til å bli glemt Dataportabilitet Melde- og konsesjonssystemet faller bort Krav om utredning av personvernkonsekvens der behandlingen kan tenkes å utgjøre en høy personvernrisiko Krav til «innebygget personvern»
Hva skjer? 3 Lovfesting av plikter for databehandlere (som i stor grad har vært ivaretatt gjennom databehandleravtalene i dag. Oppfordrer til bruk av bransjenormer Avvik skal meldes Datatilsynet (innen 72 timer) der dette skyldes brudd på personopplysningssikerheten unntak fra dette gjelder hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern. Følger også regler for varsling av berørte.
Hva skjer? 4 Nedre grense for barns samtykke ved bruk av informasjonssamfunnstjenester 16 år. Krever avklaring: 13 år (lovforslaget 5) Bøtenivået heves. Opp til 10/20 mill. euro. eller 2 / 4% av omsetning hvis bedrift ( undertaking ). Bøtenivået er avhengig av hva slags brudd og alvorlighet. Pluss erstatningsansvar. Krav om personvernombud Offentlig virksomheter (stat, fylkeskommune og kommune)
Hva må gjøres? Interkontrolldokumentasjon må oppdateres Oppdatere/kartlegge systemer der personopplysninger blir behandlet(herunder hva slags opplysninger og behandlingsgrunnlag) Revidere informasjon om behandling av personopplysninger Sørge for: rutiner for risikovurdering (herunder vurdering personvernkonsekvens) rutiner for sletting av opplysninger dokumenterte rutiner for tilgangskontroll Databehandleravtaler (der andre behandler opplysninger på behandlingsansvarliges vegne) nye må ta hensyn til GDPR revisjon av eksisterende
Om behandling av personopplysninger i arbeidsforhold Behandlingsgrunnlag personopplysninger artikkel 6 (avtale, rettslig forpliktelse og berettiget int.) Behandlingsgrunnlag særlige kategorier av personopplysninger (sensitive) artikkel 9 (oppfylle forpliktelse området arbeidsrett), samt ny personopplysningslov 6. Inkl. samtykke Videre hjemler artikkel 88 bruk av nasjonale regler (lov, tariffavtale) for vern av rettigheter og friheter ved behandling av arb.takers opplysninger.
Personopplysninger i forbindelse med ansettelsesforhold Rekruttering Oppfyllelse av arbeidsavtaler forpliktelser fastsatt ved lov eller tariffavtaler, ledelse, planlegging og organisering av arbeidet, likestilling og mangfold helse og sikkerhet på arbeidsplassen, vern av arbeidsgiverens eller kundens eiendom, individuell eller kollektiv utøvelse av eller rett til å nyte godt av rettighetene og fordelene knyttet til ansettelsen, samt for å avslutte ansettelsesforholdet.
Litt fra lovarbeidet Unntak for innsyn i interne dokumenter videreføres i forslag til ny personopplysningslov Unntaket viderefører 23 første ledd bokstav e i gjeldende lov, men oppstiller et ytterligere krav om at det bare kan gjøres unntak så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser. Regler om kameraovervåking i virksomheten (på arbeidsplassen/av ansatte) flyttes til arbeidsmiljøloven (som forskrift). Innsyn i e-postkasse m.v. flyttes til arbeidsmiljøloven (som forskrift).