Hva betyr de nye personvernreglene (gDpr) for offentlige virksomheter? I mai 2018 blir det innført nye regler for behandling av personopplysninger. Dette skjer som følge av EUs persondataforordning, General Data Protection Regulation (GDPR). kurt o. Bjørnnes, advokat (innlegget er opprinnelig publisert på Fagakademiets Fagblogg) Fra samme tidspunkt vil blant annet gjeldende personopplysningslov fra 2000 bli opphevet og erstattet av forordningen. Den någjeldende loven bygger på et EUdirektiv som åpnet for nasjonal lovgivning. I og med at EU nå har gitt en forordning, blir denne norsk rett som følge av EØSavtalen. Vår någjeldende lov ble til i en tid hvor internett ikke var «allemannseie». Dessuten har samfunnet – nasjonalt og internasjonalt – blitt vesentlig endret som følge av at stadig større mengder personinformasjon blir utvekslet elektronisk. EUforordningen – og dermed også de norske reglene – har som hovedmålsetting å beskytte enkeltpersoner mot at opplysninger om dem blir innsamlet, brukt, bearbeidet, lagret og videreformidlet til andre uten at det skjer etter fastsatte regler. Offentlig forvaltning spiller i denne sammenheng en sentral rolle: Staten, fylkeskommunene og kommunene behandler i dag mange personopplysninger. Dette skjer i forbindelse med serviceog tjenesteyting til befolkningen, men det skjer også som ledd i offentlig myndighetsutøvelse. Det siste innebærer blant annet at man er forpliktet til å registrere, behandle og arkivere opplysninger om enkeltpersoner. Les også: Dette bør enhver leder i offentlig sektor vite om arkivering og dokumentsikkerhet Slik plikt følger av den generelle dokumentasjonsplikten etter forvaltningsloven, men også av de mer spesielle reglene om journalføring etter for eksempel helsepersonelloven og lignende særlover. I tillegg er offentlig forvaltning underlagt arkivlovgivningen som pålegger oppbevaringsplikt. Et element i denne sammenheng er også at man i offentlig forvaltning er underlagt offentleg lova. Kravet om en gjennomsiktig felleskaps forvaltning kan lett komme i konflikt med hen synet til personvern. Spørsmålet er derfor hva de nye reglene innebærer for det offentlige. Svaret er at mye blir likt, men noe må også endres. De viktigste endringene kan kort oppsummeres slik: • Når det behandles personopplysninger skal den det gjelder – den registrerte – ha god informasjon. Informasjonen skal være kortfattet, klar og tydelig. Den skal dessuten være tilpasset barn. • Den som skal behandle personopplysninger må, når behandlingen vil medføre en risiko for den registrertes personvern, utarbeide en konsekvensanalyse. Dette gjelder blant annet for automatiserte behandlinger. • Ved utformingen av IKTløsninger skal man følge prinsippene for innebygd personvern som medfører en plikt til å ta hensyn til personvern i alle utviklingsfaser eller en løsning. • Offentlige virksomheter får også en plikt til å opprette personvernombud. Personvernombudet skal velges ut fra faglige kriterier og evne til utføre oppgavene. Ombudet kan være ansatt i virksomheten eller en profesjonell tredjepart. Ombudet skal være uavhengig og involveres i alle saker om behandling av personopplysninger. • Databehandleren er den som behandler personopplysninger på den behandlingsansvarliges vegne. Etter de nye reglene får også data behandler nye plikter. Disse vil komme i tillegg til dagens databehandleravtalekrav. Det viktigste tiltaket forvaltningen kan iverk sette er å skaffe seg kunnskap og kompetanse om de nye reglene. Det er kort tid igjen til mai 2018! 18  temahefte-48