shutterstock_157578992-480113-edited.jpg

Mai 2018 blir det innført nye regler for behandling av personopplysninger. Dette skjer som følge av EUs persondataforordning, General Data Protection Regulation (GDPR).

Fra samme tidspunkt vil blant annet gjeldende personopplysningslov fra 2000 bli opphevet og erstattet av forordningen. Den någjeldende loven bygger på et EU-direktiv som åpnet for nasjonal lovgivning. I og med at EU nå har gitt en forordning, blir denne norsk rett som følge av EØS-avtalen.

Det er på høy tid at det kommer nye personvernregler

Vår någjeldende lov ble til i en tid hvor internett ikke var «allemannseie». Dessuten har samfunnet – nasjonalt og internasjonalt – blitt vesentlig endret som følge av at stadig større mengder personinformasjon blir utvekslet elektronisk.

EU-forordningen – og dermed også de norske reglene – har som hovedmålsetting å beskytte enkeltpersoner mot at opplysninger om dem blir innsamlet, brukt, bearbeidet, lagret og videreformidlet til andre uten at det skjer etter fastsatte regler.

Offentlig forvaltning spiller i denne sammenheng en sentral rolle: Staten, fylkeskommunene og kommunene behandler i dag mange personopplysninger. Dette skjer i forbindelse med service- og tjenesteyting til befolkningen, men det skjer også som ledd i offentlig myndighetsutøvelse. Det siste innebærer blant annet at man er forpliktet til å registrere, behandle og arkivere opplysninger om enkeltpersoner.

Les også: Dette bør enhver leder i offentlig sektor vite om arkivering og dokumentsikkerhet

Slik plikt følger av den generelle dokumentasjonsplikten etter forvaltningsloven, men også av de mer spesielle reglene om journalføring etter for eksempel helsepersonelloven og lignende særlover. I tillegg er offentlig forvaltning underlagt arkivlovgivningen som pålegger oppbevaringsplikt. Et element i denne sammenheng er også at man i offentlig forvaltning er underlagt offentleglova. Kravet om en gjennomsiktig felleskapsforvaltning kan lett komme i konflikt med hensynet til personvern.

Spørsmålet er derfor hva de nye reglene innebærer for det offentlige 

Svaret er at mye blir likt, men noe må også endres. De viktigste endringene kan kort oppsummeres slik:

  • Når det behandles personopplysninger skal den det gjelder – den registrerte – ha god informasjon. Informasjonen skal være kortfattet, klar og tydelig. Den skal dessuten være tilpasset barn.
  • Den som skal behandle personopplysninger må, når behandlingen vil medføre en risiko for den registrertes personvern, utarbeide en konsekvensanalyse. Dette gjelder blant annet for automatiserte behandlinger.
  • Ved utformingen av IKT-løsninger skal man følge prinsippene for innebygd personvern som medfører en plikt til å ta hensyn til personvern i alle utviklingsfaser eller en løsning.
  • Offentlige virksomheter får også en plikt til å opprette personvernombud. Personvernombudet skal velges ut fra faglige kriterier og evne til utføre oppgavene. Ombudet kan være ansatt i virksomheten eller en profesjonell tredjepart. Ombudet skal være uavhengig og involveres i alle saker om behandling av personopplysninger.
  • Databehandleren er den som behandler personopplysninger på den behandlingsansvarliges vegne. Etter de nye reglene får også databehandler nye plikter. Disse vil komme i tillegg til dagens databehandleravtalekrav.

Det viktigste tiltaket forvaltningen kan iverksette er å skaffe seg kunnskap og kompetanse om de nye reglene. Det er kort tid igjen til mai 2018!