tips til bedrifter som behandler personopplysninger Mange norske virksomheter har lenge forberedt seg på innføringen av de nye reglene om person¬opplysninger som kommer gjennom EUforordningen GDRP. Nå er det klart hvilke regler norske myndigheter foreslår og ny norsk personopplysningslov tar form. Dette er en av de mest omfattende lovendringene i EU på personvernområdet de siste 20 årene. Regelverket er bedre tilpasset en stadig mer digital og internasjonal økonomi. Det introduserer nye konsepter og styrker eksisterende rettigheter og forpliktelser. Dette gjelder for eksempel «retten til å bli glemt», dataportabilitet, varsling til de registrerte ved avvik, økte krav til internkontroll og dokumentasjon for å nevne noe. Den nye loven vil erstatte nåværende personopplysningsloven fra 2000 og personopplysningsforskriften når den trer i kraft i 2018. GDPR vil gjelde direkte for alle EUstatene, men ikke for Norge som er tilknyttet EU gjennom EØSavtalen. Derfor er en gjennomføringslov nødvendig for at GDPR skal få virkning i Norge. Forslaget til ny personopplysningslov har vært sendt på høring. Justisdepartementet jobber nå med å fremme lovforslaget for Stortinget. Hovedpunkter fra forslaget til ny personopplysningslov. GDPR vil i sin helhet gjelde som norsk rett. EUforordningen gjennomføres via inkorporasjon som betyr at forordningen vil gjelde som norsk rett. Lovforslaget består i stor grad av en henvisning til forordningen. De bestemmelsene som er foreslått i ny lov vil derfor enten være nasjonale tilpasninger av GDPR eller videreføring av allerede gjeldende nasjonale regler. Justisdepartementet tar sikte på at loven trer i kraft 25. mai 2018 – samtidig som i EU. For at loven skal tre i kraft kreves det at GDPR blir innlemmet i EØSavtalen og at Stortinget samtykker til dette. Høringsfristen var 16. oktober 2017, og nå jobber departementet med et lovforslag som skal behandles i Stortinget. Hvem gjelder den nye loven for? Den nye personopplysningsloven er generell og vil gjelde for både privat og offentlig virksom het som behandler personopplysninger om fysiske (levende) personer. Reglene gjelder imidlertid ikke for behandling som gjøres av en privatperson i rent personlige eller familiemessige aktiviteter. Justisdepartementet foreslår å videreføre dagens system med saksog sektorspesifikke bestemmelser på noen områder, men ved motstrid vil forordningen gå foran. Norske særregler Noen norske særregler er foreslått, blant annet: • Begrensninger i bruk av fødselsnummer og andre entydige identifikasjonsmidler; • Aldersgrense for barns bruk av informasjonssamfunnstjenester på 18 år. Dette vil for eksempel gjelde tjenester som Facebook og Snapchat • Videreføring av strengt regelverk for bruk av kameraovervåkning. • Regulering av såkalte «dummykameraer » eller «uekte kameraovervåkingsutstyr». • Særregler om arbeidsgivers innsyn i epostkasse, aktivitetslogger mv. videreføres. • Meldeog konsesjonsplikten bortfaller og erstattes av rådføring med Datatilsynet. Det 28 temahefte-48