Den 23. mars kom endelig proposisjonen til ny personopplysningslov. Til tross for at lovforslaget kom på plass tidligere enn departementet hadde varslet ble det på mandag annonsert at GDPR ikke vil tre i kraft ført rundt 1. juli 2018.

Bakgrunnen for forsinkelsen skyldes Liechtensteins nasjonale lovgivning hvor det fremgår at landets innbyggere skal få en måneds frist på å kreve folkeavstemming før GDPR formelt kan godkjennes. Det er lagt opp til at GDPR skal innlemmes i EØS-avtalen ved neste møte i EØS-komiteen den 31. mai og GDPR kan derfor ikke tre i kraft før tidligst 1. juli.

Ettersom GDPR ikke bare gjelder for EU/EØS-medlemsstater, men også for selskaper etablert utenfor EU som tilbyr varer og tjenester til personer i EU eller monitorerer adferden til EU-borgere, vil GDPR likevel gjelde for norske selskaper som utfører slike aktiviteter fra 25. mai 2018.

Datatilsynet har fått bekreftet fra EU at dataoverføringer mellom Norge og EU-land kan gjennomføres som under gjeldende lovgivning. Norge anses altså ikke for å være et såkalt “tredjeland” (som det er forbudt å overføre opplysninger til uten at det er særskilte mekanismer på plass), selv om GDPR ikke implementeres i Norge innen 25. mai.

Proposisjonen fra 23. mars viderefører i stor grad høringsnotatet som ble publisert forrige sommer, med noen sentrale forslag til endringer. Blant de viktigste endringene er:

  • Dagens bestemmelse om behandling av særlige kategorier (såkalte “sensitive” personopplysninger) i arbeidsforhold videreføres.
  • Det foreslås unntak fra innsynsretten i interne dokumenter, så langt det er nødvendig for å sikre forsvarlige interne avgjørelsesprosesser.
  • Publisert: