EUs forordning for personvern (GDPR) blir norsk lov i mai 2018, og erstatter dagens regelverk. Vi får med andre ord nye regler for personvern i Norge. De gir virksomheter nye plikter, og personene man behandler personopplysninger om, de registrerte, får nye rettigheter.
Dagens regelverk stiller krav til at man skal ha rutiner for å etterleve personopplysningsloven. Når loven endres, må man også endre disse rutinene. De nye rutinene skal sørge for at man følger de nye pliktene som kommer i den nye loven.
Det er virksomhetens ledelse som har ansvaret for å utforme de nye rutinene, men alle i organisasjonen må kjenne til og følge de nye reglene.
Det krever ressurser å sette seg inn nye regler, lage nye rutiner og lære opp ansatte. Det er viktig at virksomheten allerede nå lager en plan for overgangen til nye plikter og setter av tilstrekkelige ressurser til arbeidet.
Personopplysningsloven stiller krav om at den som behandler personopplysninger skal etablere et system for internkontroll.
Det betyr at virksomheter som omfattes av loven må iverksette systematiske tiltak for å sørge for at loven og tilhørende regelverk blir fulgt. I tillegg til gjeldende regelverk, må virksomheten ta hensyn til de vilkårene som eventuelt er gitt i konsesjon fra Datatilsynet.
Alle bedrifter skal, i dag, ha et internkontrollsystem. Kravet kom i 1991. Det innebærer at de nye personvernopplysningene kan innbakes i det eksisterende internkontrollsystemet.
Ledelsen er ansvarlig for at det settes i gang aktiviteter for å etablere internkontroll i virksomheten. De har et spesielt ansvar for å utarbeide policy, målsetning, identifisere forpliktelser, klarlegge intern organisering og ikke minst tydelig identifisere ansvar og myndighet. De har også et ansvar for at det etableres prosedyrer og instrukser basert på en risikovurdering i forhold til personvern. Ledelsen må ta stilling til hvilke rutiner som er påkrevd for å sikre samsvar mellom den etablerte systematikken og aktivitetene som faktisk utføres i virksomheten.
Dokumentasjonen over systemet for internkontroll skal være tilgjengelig for de ansatte i virksomheten og for Datatilsynet.
NLF utarbeider i disse dager forslag til et system, som alle våre medlemmer kan benytte seg av. Vi kommer nærmere tilbake til dette når alt er klart.