De nye reglene gjelder ikke bare for Norge, men for hele Europa. Alle virksomheter som behandler opplysninger både om ansatte og kunder behandler personopplysninger. Det nye personvernregelverket legger vekt på ansvarlighet og internkontroll hos virksomheten fremfor forhåndskontroll fra Datatilsynet.
Personopplysningsloven stiller strenge krav til behandling av personopplysninger. Den nye personvernlovgivning som trer i kraft mai 2018, blir en ytterligere innskjerping i kravene for å behandle personopplysninger. Det vil blant annet stillers strengere krav til bruk av samtykke som behandlingsgrunnlag, og også flere virksomheter vil bli pålagt å ha et eget personvernombud. Alle offentlige virksomheter (unntatt domstolene), virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang og virksomheter som behandler sensitive personopplysninger i stort omfang skal ha personvernombud.
Med sensitive personopplysninger menes opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.
Behandlingsansvarlige som er registrert utenfor EU, men som tilbyr varer og tjenester til EU-borgere, vil bli omfattet av det nye regelverket. Det er de ikke i dag. Det gjelder for eksempel nettbutikker som ikke er etablert i Europa, men som selger varer over nett, og kanskje tilbyr frakt til europeiske land og betaling i norske kroner. Regelverket vil også gjelde behandlingsansvarlige som er etablert i tredjeland, men som overvåker adferden til EU-borgere innenfor EU, for eksempel amerikanske selskaper som profilerer EU-borgere på bakgrunn av nettbruken deres. Dette gjelder blant annet Facebook. Profiler skal ikke utarbeides på bakgrunn av sensitive opplysninger, hvis ikke den registrerte har samtykket eller slik profilering kan begrunnes med en særlig samfunnsinteresse som er hjemlet i lov
Personopplysninger skal kun behandles der det finnes et tydelig spesifisert formål. Dersom man ønsker å behandle personopplysninger til andre formål enn de var innhentet for, må man forsikre seg om at det nye formålet er forenlig med det gamle. Det som er nytt med det nye regelverket, er at behandlingsansvarlig får hjelp til å avgjøre hva som er forenlige formål og ikke, ved en «kompatibilitets-test» i forordningsteksten. Dersom konklusjonen er at det nye formålet er uforenlig med det gamle, skal det innhentes samtykke, eller behandlingen må hjemles i lov.
Ønsker du å vite mer om disse reglene finner du all informasjon du trenger på Datatilsynet sine sider, følg linkene under:
https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/
https://www.datatilsynet.no/globalassets/global/regelverk-skjema/forordningen/punktliste-til-ny-forordning_web.pdf