Nyttig veiledning om EUs personvernforordning (GDPR)
GDPR står for «General Data Protection Regulation», og vil erstatte EUs personverndirektiv fra 1995, som den norske personopplysningsloven fra 2001 bygger på. Illustrasjon: Bly

Nyttig veiledning om EUs personvernforordning (GDPR)

Det nærmer seg raskt tidspunktet for når EUs personvernforordning, også omtalt som GDPR, blir en del av EUs og Norges lovgivning. I den anledning er kommunene og fylkene godt i gang med arbeidet som skal til for å etterleve forordningen.

I arbeidet som nå pågår er det både gamle og nye problemstillinger å sette seg inn i. Da kan det være greit å ha tilgang til veiledning og praktisk informasjon om hvordan regelverket skal forstås, samt hvilket handlingsrom regelverket tillater. I den anledning vil vi minne om at det finnes mye nyttig informasjon og veiledning som er publisert på Datatilsynets nettsider, både informasjon fra tilsynet selv og fra EU-baserte kilder;

Samlet oversikt over Datatilsynets råd og veiledninger
De som ønsker en oversikt over hvilke råd og veiledninger som er gitt fra Datatilsynet kan gå inn på https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/.

Veiledning om bl. a. personvernombudets/personvernrådgiverens rolle, plikter og uavhengighet mv.
Når det gjelder problemstillinger og praktiske utfordringer knyttet til plikten for offentlige virksomheter til å tilknytte seg personvernombud/personvernrådgiver er det også gitt mer utførlig veiledning fra den såkalte «Artikkel 29»-gruppen. Dette er EUs rådgivende organ i personvernspørsmål, som også har gitt uttalelser og anbefalinger på andre områder om hvordan de nye reglene bør etterleves og håndheves.

For mer informasjon og tilgang til uttalelsene kan man gå inn på https://www.datatilsynet.no/regelverk-og-skjema/lover-og-regler/uttalelser-fra-artikkel-29-gruppen/eus-personverngruppe-om-innspill-forordningen/.

Når trer forordningen i kraft i Norge?
Noen kommuner har stilt oss spørsmål om det er avklart at forordningen også vil tre i kraft i Norge fra 25. mai 2018.

Først og fremst er det ikke slik at forordningen automatisk trer i kraft i Norge denne datoen. Det er fordi Norge ikke er medlem av EU. Norge er med i EØS, gjennom EØS-avtalen. For at forordningen skal gjelde i Norge må EØS-komiteen formelt sett vedta å innlemme den i EØS-avtalen.

Justis- og beredskapsminister Sylvi Listhaug uttalte mot slutten av februar i år at det er en viss usikkerhet om forordningen vil være formelt innlemmet i EØS-avtalen innen 25. mai 2018, slik at den nye norske personopplysningsloven kan settes i kraft på dette tidspunktet. Dette beror særlig på behandlingen av utkastet til EØS-komiteens beslutning internt i EU. Hun varslet samtidig at det vil bli fremmet en proposisjon om ny personopplysningslov i april 2018.

Vi anbefaler kommunene og fylkene om å fortsette arbeidet med utgangspunkt i at forordningen trer i kraft fra 25. mai 2018. Når de formelle beslutningene er fattet i EU og av EØS-komiteen vil det trolig gå kort tid før den norske loven og forordningen trer i kraft også her.


Fakta

GDPR står for «General Data Protection Regulation», og vil erstatte EUs personverndirektiv fra 1995, som den norske personopplysningsloven fra 2001 bygger på.

Forordningen vil oppheve og erstatte personverndirektivet når den trer i kraft i EU den 25. mai 2018.

Justis- og beredskapsdepartementet har i høringsnotat av 6. juli 2017 foreslått at forordningen gjennomføres i Norge ved vedtakelse av en ny personopplysningslov, og at loven fra 2001 oppheves.