Hva betyr de nye personvernreglene
(gDpr) for offentlige virksomheter?
I mai 2018 blir det innført nye regler for behandling av
personopplysninger. Dette skjer som følge av EUs persondataforordning,
General Data Protection Regulation (GDPR).
kurt o. Bjørnnes, advokat
(innlegget er opprinnelig
publisert på Fagakademiets
Fagblogg)
Fra samme tidspunkt vil blant annet gjeldende
personopplysningslov fra 2000 bli opphevet og
erstattet av forordningen. Den någjeldende loven
bygger på et EUdirektiv
som åpnet for nasjonal
lovgivning. I og med at EU nå har gitt en forordning,
blir denne norsk rett som følge av EØSavtalen.
Vår någjeldende lov ble til i en tid hvor internett
ikke var «allemannseie». Dessuten har samfunnet
– nasjonalt og internasjonalt – blitt vesentlig
endret som følge av at stadig større mengder
personinformasjon blir utvekslet elektronisk.
EUforordningen
– og dermed også de norske
reglene – har som hovedmålsetting å beskytte
enkeltpersoner mot at opplysninger om dem blir
innsamlet, brukt, bearbeidet, lagret og videreformidlet
til andre uten at det skjer etter fastsatte
regler.
Offentlig forvaltning spiller i denne sammenheng
en sentral rolle: Staten, fylkeskommunene
og kommunene behandler i dag mange personopplysninger.
Dette skjer i forbindelse med
serviceog
tjenesteyting til befolkningen, men
det skjer også som ledd i offentlig myndighetsutøvelse.
Det siste innebærer blant annet at man
er forpliktet til å registrere, behandle og arkivere
opplysninger om enkeltpersoner.
Les også: Dette bør enhver leder i offentlig
sektor vite om arkivering og dokumentsikkerhet
Slik plikt følger av den generelle dokumentasjonsplikten
etter forvaltningsloven, men også av
de mer spesielle reglene om journalføring etter
for eksempel helsepersonelloven og lignende særlover.
I tillegg er offentlig forvaltning underlagt
arkivlovgivningen som pålegger oppbevaringsplikt.
Et element i denne sammenheng er også at
man i offentlig forvaltning er underlagt offentleg
lova. Kravet om en gjennomsiktig felleskaps
forvaltning kan lett komme i konflikt med hen
synet til personvern.
Spørsmålet er derfor hva de nye reglene
innebærer for det offentlige. Svaret er at mye blir
likt, men noe må også endres. De viktigste
endringene kan kort oppsummeres slik:
• Når det behandles personopplysninger skal
den det gjelder – den registrerte – ha god
informasjon. Informasjonen skal være
kortfattet, klar og tydelig. Den skal dessuten
være tilpasset barn.
• Den som skal behandle personopplysninger
må, når behandlingen vil medføre en risiko
for den registrertes personvern, utarbeide en
konsekvensanalyse. Dette gjelder blant annet
for automatiserte behandlinger.
• Ved utformingen av IKTløsninger
skal man
følge prinsippene for innebygd personvern som
medfører en plikt til å ta hensyn til personvern
i alle utviklingsfaser eller en løsning.
• Offentlige virksomheter får også en plikt til å
opprette personvernombud. Personvernombudet
skal velges ut fra faglige kriterier og evne til
utføre oppgavene. Ombudet kan være ansatt i
virksomheten eller en profesjonell tredjepart.
Ombudet skal være uavhengig og involveres i
alle saker om behandling av personopplysninger.
• Databehandleren er den som behandler personopplysninger
på den behandlingsansvarliges
vegne. Etter de nye reglene får også data
behandler nye plikter. Disse vil komme i tillegg
til dagens databehandleravtalekrav.
Det viktigste tiltaket forvaltningen kan iverk
sette er å skaffe seg kunnskap og kompetanse om
de nye reglene. Det er kort tid igjen til mai 2018!
18
temahefte-48