Ny personopplysningslov til Stortinget

Regjeringen la fredag frem sitt forslag til ny personopplysningslov for Stortinget. 

Forslaget til ny personopplysningslov består av to hovedelementer. For det første gjøres EUs personvernforordning til norsk lov gjennom en inkorporasjonsbestemmelse. For det andre foreslår departementet en rekke bestemmelser som supplerer reglene i forordningen. 

–  Ny teknologi gir nye muligheter for innsamling og bruk av informasjon om enkeltmennesker. Da må vi sørge for å ivareta personvernet. Den nye loven gir et godt vern for den enkelte, sier justis-, beredskaps- og innvandringsminister Per Sandberg (Frp) i en pressemelding. 

GDPR vil påvirke alle norske virksomheter, og lederdagen 3. mai er i år i sin helhet viet GDPR. 

Unntak for interne sakforberedelser

Infotjenesters juridiske HR- og ledelsesrådgiver Hans Gjermund Gauslaa sier lovforslaget gir noen nyttige avklaringer. Blant annet rundt unntak fra innsynsretten for intern saksforberedelse. 

- I dagens personopplysningslov er det et unntak fra innsynsretten for opplysninger som utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelsen og som heller ikke er utlevert til andre. I høringsforslaget var ikke dette unntaket foreslått videreført for privat sektor. Høringsrunden har imidlertid tydeliggjort at det er behov for et slikt unntak, og i forslaget til ny lov er dette unntaket fra innsynsretten tatt med. Det er imidlertid lagt inn et tilleggsvilkår for å kunne nekte innsyn etter denne bestemmelsen. Etter forslaget presiseres det at det bare er unntaksadgang så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser, sier Gauslaa. 

I forslaget som ble sendt på høring ble begrepet personvernrådgiver benyttet i stedet for personvernombud. I forslaget til ny personopplysningslov benyttes nå begrepet personvernombud, etter mange kritiske bemerkninger i høringsrunden. 

Styrker personvernet

I pressemeldingen fra regjeringen heter det at lovforslaget viderefører hovedprinsippene i den gjeldende personopplysningsloven, men styrker personvernet på viktige punkter:

• Mer åpenhet rundt innsamling og bruk av personopplysninger. Den som ber om samtykke til å bruke opplysninger skal gi klar og tydelig informasjon om hvordan personopplysningene skal brukes.
• Bruk av personopplysninger skal begrunnes og begrenses. Det vil ikke være lov å samle inn eller lagre personopplysninger man ikke trenger. Opplysninger som det ikke lenger er behov for, skal slettes.
• Uriktige eller ufullstendige opplysninger skal rettes.
• Det innføres en rett til å ta med seg personopplysninger fra en virksomhet til en annen.
• Den enkelte får rett til å protestere mot behandling av sine personopplysninger.
• Den enkelte kan slippe at det blir truffet viktige avgjørelser om ham eller henne basert på en helautomatisert behandling av personopplysninger.
• Det vil blir adgang til å ilegge et betydelig høyere gebyr ved overtredelse av reglene

Kan bli forsinket

Etter planen skal GDPR tre i kraft i hele EU/EØS-området 25. mai 2018. Regjeringen har imidlertid tidligere varslet at det kan bli forsinkelser. 

- Loven vil settes i kraft når forordningen er innlemmet i EØS-avtalen. Forslag til innlemmingsbeslutning ligger for tiden til behandling i EU. Det er usikkert om loven vil settes i kraft 25. mai 2018, da prosessen i EU vil kunne ta noe tid og med det forskyve ikraftsettingen noe, skriver regjeringen i forbindelse med fremleggelsen av lovforslaget for Stortinget.