Nye personvernregler fra mai 2018 gjelder også kommunal sektor

Nye personvernregler fra mai 2018 gjelder også kommunal sektor

Nye personvernregler trer i kraft mai 2018 og innebærer skjerpede krav til behandling av personopplysninger.

Kommunal sektor håndterer mangfoldige personopplysninger og er nødt til å tilpasse seg det nye regelverket, med nye rutiner på plass innen mai 2018.

Direktør Bjørn Erik Thon i Datatilsynet, uttaler at personvern må settes øverst på agendaen allerede nå, for å sikre etterlevelse når det nye regelverket trer i kraft.

Flere plikter ved behandling av personopplysninger

De nye personvernreglene innebærer at virksomhetene pålegges flere plikter ved behandlingen av personopplysninger, i tillegg til at enkeltindividet får flere rettigheter, blant annet tydeligere rett til å kreve sletting («retten til å bli glemt») og retten til å ta med seg personopplysningene til en annen virksomhet («dataportabilitet»). Datatilsynet fremhever at alle kommuner og fylkeskommuner må skaffe seg oversikt over hvilke personopplysninger de behandler og hva formålet med behandlingen er. Datatilsynet har ved tilsyn erfart at kommunal sektor ikke har «gode og dokumenterte risikovurderinger, internkontroll eller rutiner for innsyn eller informasjon til innbyggerne». Dette må på plass for å sikre etterlevelse av de nye kravene.

Eksempler på nye plikter som pålegges virksomhetene:

  • Utfyllende informasjon til den registrerte om behandlingen av personopplysningene
  • Utredning av personvernkonsekvenser i tilfeller hvor det er en stor risiko for personvernet.
  • Alle behandlere av personopplysninger må kunne oppfylle borgernes nye rettigheter.

Obligatorisk med personvernombud

Med det nye regelverket blir det dessuten obligatorisk for alle offentlige myndigheter å opprette et personvernombud. I dag er dette en frivillig ordning. Personombudet velges av virksomheten og godkjennes av Datatilsynet. Det kan være en intern eller en ekstern person, og vedkommende vil ha ansvar for å heve virksomhetens kompetanse innenfor personvern og veilede virksomheten slik at personvernreglene etterleves.

Veien videre

Vår klare anbefaling er å allerede i dag starte arbeidet med å skaffe oversikt over hvilke personopplysninger dere behandler og hva formålet med behandling er, og å foreta en gjennomgang av rutiner for behandlingen av personopplysninger. Det er også sentralt å skaffe seg god oversikt over kravene som stilles etter det nye regelverket, og å starte arbeidet med å lage rutiner som skal sikre etterlevelse av de nye kravene.

 

I vår femte utgave av magasinet Kommunalt Innblikk gikk vi inn på behandling og sikring av personopplysninger. Les nummeret her »

 

Bjørn Ofstad
Director, Tax & Legal
+47 928 00 216
bofstad@deloitte.no

Skrevet av Deloitte Se alle poster fra denne forfatteren →

Deloitte AS er DTTLs medlemsfirma i Norge. Deloitte er verdens største leverandør av profesjonelle tjenester innen revisjon, rådgivning og advokattjenester.