Personvern er et aktuelt tema i disse dager. Grunnen til dette er at EUs personvernforordning (General Data Protection Regulation – GDPR) vil tre i kraft i EU og i Norge 25. mai 2018. Forordningen innebærer en omfattende revisjon av europeisk personvernlovgivning.
I Norge vil det komme en ny personopplysningslov som gjør forordningen til norsk lov. Forordningen innføres i norsk rett ved at gis en henvisning til personvernforordningen. Dette innebærer at dagens personopplysningslov fra 2000 og personopplysningsforskriften oppheves. Selv om det vil foreligge en norsk utgave av forordningen, vil den som leser lovutkastet merke at både språk og innhold vil være vanskeligere å forstå enn det som følger av dagens lovgivning. Trolig vil det også være en del uklarhet om hvilke regler som gjelder i Norge. Dette er to faktorer som bidrar til at den nye personvernlovgivningen ikke er like tilgjengelig som dagens lovgivning.
Den nye personopplysningsloven er fortsatt på høring, men da loven skal implementere forordningen, kan vi allerede nå vite hvilke endringer som kommer i den nye loven. I det følgende skal det nevnes noen av de sentrale endringer i personvernlovgivningen som kan påvirke et ansettelsesforhold.
De registrertes rettigheter
Forordningen medfører en presisering og en utdypning av en del av rettigheter de registrerte har i dag. En ny regel som er innført er at informasjon til de registrerte skal gis på en forståelig og lett tilgjengelig måte. Samtykkekravet har også blitt noe strengere. Det er et krav om at samtykke til behandling av personopplysninger må være et aktivt og informert samtykke. I tillegg skal den registrerte informeres om at samtykke kan trekkes tilbake og at det er mulig å gi separert samtykke til forskjellige behandlingsformer. Den enkelte vil også kunne motsette seg behandling av personopplysninger.
Utvidet ansvar for bedrifter som behandler personvernopplysninger
Personvernforordningen inneholder ikke de samme kravene til internkontroll som dagens personvernlovgivning. Dagens regler erstattes av en mer generell regel om å gjennomføre egnede tekniske og organisatoriske tiltak både ved planlegging og ved gjennomføring for å sikre at personvernforordningen overholdes. Virksomheter skal sørge for et «innebygd personvern» hvor det skal gjennomføres tiltak som sørger for at det kun er nødvendige personopplysninger blir behandlet for det spesifikke forholdet (personvern som standardinnstilling). Det kommer også mer omfattende plikter til å slette personopplysninger, ofte omtalt som «retten til å bli glemt».
Personvernrådgiver (personvernombud)
Enkelte virksomheter vil være forpliktet til å ha en egen personvernrådgiver, mens det i dagens lovverk er frivillig å ha dette. Loven vil også inneholde mer detaljerte regler om organisering av personvernrådgiveren, hvilke arbeidsoppgaver de skal involveres i m.m.
Kameraovervåking
Det finnes omfattende reguleringer av kameraovervåkning i dagens lovverk. I lovforslaget er det foreslått at disse reglene ikke skal videreføres i den nye personopplysningsloven. Kameraovervåking vil bli regulert av de generelle reglene om behandling av personopplysninger. Imidlertid er det foreslått at det skal tas inn egne regler om overvåkning på arbeidsplassen. Hvis dette blir vedtatt, er det noe usikkert om disse reglene skal tas inn i arbeidsmiljøloven eller i personopplysningsloven.
Innsyn i arbeidstakerens epostkasse
Også på dette området foreligger det særnorske regler. I motsetning til reglene om kameraovervåkning, har departementet foreslått å videreføre reglene om innsyn arbeidstakerens epostkasse med noen mindre justeringer. De er foreløpig skilt ut som separate regler. Det er fortsatt uklart om dette er regler som skal inntas i arbeidsmiljøloven eller personopplysningsloven.
Til slutt kan det nevnes at Datatilsynet kan ilegge høye overtredelsesgebyrer. Datatilsynet kan gi gebyr på opptil 10 mill. euro (ca. 95 mill. kr). Det er også foreslått at offentlige virksomheter kan bli ilagt gebyrer.
Henriette Cecilie S. Breilid arbeider hovedsakelig med arbeidsrett og tilhørende rettsområder, samt eiendomsrett, kontraktsrett og familie- og arverett.
Breilid har en master i rettsvitenskap fra Universitetet i Oslo. Hennes masteroppgave omhandlet arbeidsgivers bruk av personopplysninger.
Breilid har tidligere arbeidet hos rettshjelpstiltaket Juridisk rådgivning for kvinner (JURK), samt vært trainee og oppgaveskriver for Arntzen de Besche.