spekter.no>Konsekvensene av ny personopplysningslov er ikke tilstrekkelig utredet

Ressursbruken og kostnadene ved tilpasningen til nytt regelverk om personopplysninger er undervurdert og for dårlig utredet. For mange av Spekters medlemmer kan det nye regelverket innebære store omlegginger av rutiner og systemer, ikke minst på IT-siden, skriver Spekter i sitt høringssvar.

EU har vedtatt en ny forordning (GDPR – General Data Protection Regulation) om behandling av personopplysninger. Justisdepartementet har på bakgrunn av dette sendt forslag til en ny personopplysningslov på høring. Den nye loven trer i kraft 25. mai 2018.

Lovforslaget viderefører hovedprinsippene i dagens lov, men det er en del endringer. Den registrertes rettigheter er styrket på flere punkter og det innføres plikt til å ha personvernrådgiver for en rekke virksomheter. Videre bortfaller dagens melde- og konsesjonsplikt, men erstattes av en plikt til konsekvensutredning.

Kompliserte regler – stor tolkningsbehov

Spekter ser det som positivt at personvern blir regulert i tråd med den tekniske utviklingen og internasjonaliseringen slik at både personvern og forutsigbarhet for databehandlere blir ivaretatt. Spekter ser også store fordeler ved at dette harmoniseres på tvers av landegrenser. Det er samtidig viktig at regelverket ikke blir så komplekst at det blir vanskelig for virksomhetene å etterleve i praksis.

I høringssvaret har Spekter også tatt opp behovet for praktisk veiledning og tydeliggjøring. Det nye regelverket innebærer en overgang fra en konsesjonsordning til et regime hvor virksomhetene selv må utrede personvernkonsekvenser av tiltak. I enkelte tilfeller skal også Datatilsynet involveres i forhåndsdrøftelser. Det er behov for å tydeliggjøre hva som skal forhåndsdrøftes med tilsynet.

Dagens personvernombudsordning er frivillig. Med de nye reglene vil mange virksomheter få plikt til å opprette personvernrådgivere. Spekter mener det er behov for klargjøring av rollen som personvernrådgiver, samt hvilke private virksomheter som vil ha plikt til å ha personvernrådgiver.

Andre temaer Spekter har tatt opp i høringen er blant annet:

  • Unntak fra innsynsretten. Det må være mulig å kunne unnta interne dokumenter fra innsynsrett, også for virksomheter som ikke er omfattet av offentlighetslovens regler.
  • Overtredelsesgebyr, hvor det åpnes for å gi overtredelsesgebyr på inntil 4 % av virksomhetens årsomsetning (maks 20 mill. euro). Spekter vil oppfordre til at det, så langt det er mulig, legges opp til et moderat gebyrnivå i Norge. Det må ikke bli slik at kostnader til dekning av svært store gebyr vil ramme øvrig drift og tjenester som skal komme publikum og samfunnet for øvrig til nytte.
  • Mulig motstrid mellom regelverk. Flere av Spekters medlemsvirksomheter har særlovgivning som også berører personvernrelaterte forhold. Styrkingen av regelverket som skjermer personopplysninger, kan øke utfordringene man har med å fremskaffe og lagre informasjon man trenger for å følge opp andre lovverks krav. Det kan for eksempel være en utfordring med hensyn til dokumentasjon for avdekking av arbeidslivskriminalitet.
  • Regulering av tilsettingsforhold og særlovgivningen. Spekter mener arbeidsgivers adgang til å behandle personopplysninger burde ha vært bedre vurdert i høringsnotatet. Dette gjelder særlig forslaget om ikke å videreføre dagens regel om sensitive personopplysninger. Spekter mener det er behov for å videreføre dagens unntaksregel for å behandle sensitive personopplysninger.
  • Spekter mener det bør vurderes å samle reguleringer som berører personvern i arbeidslivet i en lov. Spekters oppfatning er at det mest naturlige vil være i arbeidsmiljøloven.

Regelmotsetninger

Spekter påpeker også at det kan være krevende å forene sterkere sikring av personopplysninger med offentlighetslovens regler om utlevering av personopplysninger, slik som f.eks lønnsopplysninger og søkerlister.

Her er det motsetningsforhold mellom hensynene offentlighetsloven skal ivareta, og hensynet til skjermingen av personopplysninger, som personvernregelverket er utviklet for å styrke. Det kan derfor være grunn til å se nærmere på offentlighetsloven krav på dette området.

Les hele høringssvaret her: Høringssvar - Ny personopplysningslov 

Informasjonsmøte for Spektermedlemmer 13. desember 2017

Som nevnt er det behov for praktisk veiledning i det nye regelverket, særlig fra Datatilsynet. Spekter arrangerer derfor et eget informasjonsseminar om det nye regelverket 13. desember. Der vil innledere fra Datatilsynet og utvalgte medlemsvirksomheter komme nærmere inn på de praktiske konsekvensene av de nye reglene. Nærmere informasjon om dette vil bli lagt ut på Spekters nettsider.