Revisjonsutvalget og ny personopplysningslov | KPMG | NO

Revisjonsutvalget og ny personopplysningslov

Revisjonsutvalget og ny personopplysningslov

25. mai 2018 trer personvernforordningen, The General Data Protection Regulation (GDPR), i kraft. EU-forordningen innfører blant annet strengere og skjerpede regler til egenkontroll av personvern innad i virksomheter.

1000

Kontaktperson

Partner, Audit

KPMG i Norge

Kontakt

Relatert innhold

Den nye forordningen innfører nå obligatoriske krav om personvernrådgiver i offentlig virksomheter og virksomheter hvis kjerneaktivitet består i å overvåke personer i stort omfang, samt virksomheter som behandler sensitive personopplysninger i stort omfang.

Brudd på loven kan resultere i bøter opp til 20 MEUR eller 4 % av årlig global omsetning, forteller Thore Kleppen, KPMG Audit Committee Institute. Han fortsetter at mange bedrifter erfarer at de har slik informasjon knyttet til bl. a. kunder og at de nye reglene krever endringer i systemer. Revisjonsutvalget bør påse at det finnes en plan for hvordan man sikrer en forsvarlig implementering av dette lovverket og at de nødvendige endringer kommer på plass.

Innføringen av EU-forordningen vil medføre strengere og skjerpede regler til egenkontroll av personvern innad i virksomheter. Dette stiller krav til både faglig ekspertise innen personvernrett og IT ekspertise innad i bedriftene.

Inntil nå har personvernrådgiver vært en frivillig ordning. Den nye forordningen innfører nå obligatoriske krav om personvernrådgiver i følgende virksomheter:

  • offentlig virksomheter (unntatt domstolene)
  • virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang
  • virksomheter som behandler sensitive personopplysninger i stort omfang.

Manglende etterlevelse av de nye personvernreglene vil kunne resultere i bøter opp til 20 MEUR   eller 4% av årlig global omsetning. Større virksomheter som behandler omfattende mengder personopplysninger, bør være klar over at de vil kunne være blant de første som blir kontrollert.

En frivillig etablering av en personvernrådgiver eller en rolle/gruppe som arbeider med oppgaver relatert til personvern og data sikkerhet kan også være en hensiktsmessig måte å tilrettelegge og håndtere den pålagte egenkontrollen på.

Hvem kan være personvernrådgiver?

Personvernrådgiver skal velges ut fra faglige kvalitet, ekspertise innen personvernrett og evne til å utføre oppgavene.

Personvernrådgiver kan utpekes internt eller det kan engasjeres ekstern kompetanse.

Konserner eller offentlige myndigheter med underliggende etater kan ha ett felles ombud, forutsatt at ombudet er lett tilgjengelig for alle konsernets etableringer.

Nøkkelkontakter

Personvernrådgivers rolle og oppgaver

Personvernrådgiveren skal være uavhengig. Den nye forordningen pålegger personvernrådgiveren bl. a. følgende plikter:

  • informere, gi råd til og opplære virksomheten og de ansatte i personvernregler
  • overvåke etterlevelsen av personvernreglene i virksomheten
  • gi råd om og delta i vurderinger av konsekvensanalyser vedrørende personvern
  • fungere som kontaktpunkt mellom de registrerte og virksomheten i personvernsaker
  • fungere som kontaktpunkt mellom Datatilsynet og virksomheten i personvernsaker

Revisjonsutvalgets rolle og oppgaver

Revisjonsutvalget bør etterspørre hvilke utfordringer dette gir din virksomhet, hvordan arbeidet med å etterleve den nye reglene er organisert, samt status på implementering mot fristen i 2018.

For mer informasjon, kontakt:

Thore Kleppen, Partner
Audit Commitee Institute
thore.kleppen@kpmg.no

Ta kontakt

 

Forespørsel

 

Send inn