Ny personopplysningslov utsatt til 1. juli
Bakgrunnen for forsinkelsen skyldes Liechtensteins nasjonale lovgivning hvor det fremgår at landets innbyggere skal få en måneds frist på å kreve folkeavstemming før GDPR formelt kan godkjennes. Det er lagt opp til at GDPR skal innlemmes i EØS-avtalen ved neste møte i EØS-komiteen den 31. mai og GDPR kan derfor ikke tre i kraft før tidligst 1. juli.
Ettersom GDPR ikke bare gjelder for EU/EØS-medlemsstater, men også for selskaper etablert utenfor EU som tilbyr varer og tjenester til personer i EU eller monitorerer adferden til EU-borgere, vil GDPR likevel gjelde for norske selskaper som utfører slike aktiviteter fra 25. mai 2018.
Datatilsynet har fått bekreftet fra EU at dataoverføringer mellom Norge og EU-land kan gjennomføres som under gjeldende lovgivning. Norge anses altså ikke for å være et såkalt “tredjeland” (som det er forbudt å overføre opplysninger til uten at det er særskilte mekanismer på plass), selv om GDPR ikke implementeres i Norge innen 25. mai.
Proposisjonen fra 23. mars viderefører i stor grad høringsnotatet som ble publisert forrige sommer, med noen sentrale forslag til endringer. Blant de viktigste endringene er:
- Dagens bestemmelse om behandling av særlige kategorier (såkalte “sensitive” personopplysninger) i arbeidsforhold videreføres.
- Det foreslås unntak fra innsynsretten i interne dokumenter, så langt det er nødvendig for å sikre forsvarlige interne avgjørelsesprosesser.