Lovendringer i 2024

03/01/24

I løpet av 2024 kommer det flere lov- og forskriftsendringer. Noen gjelder alt fra 1. januar, mens andre vil tre i kraft i løpet av året. Det innføres flere omfattende krav til bærekraftsrapportering som skal hindre grønnvasking, i tillegg kommer det flere endringer i arbeidsmiljøloven. På personvernsfeltet skjer det mye i EU som på sikt vil påvirke norsk lov.

Rapporteringskravene for bærekraft skjerpes

I 2024 kan vi forvente oss store regulatoriske endringer innen bærekraftsrapportering. Det gjeldende Non-Financial Reporting Directive (NRFD), blir erstattet med EUs bærekraftdirektiv - Corporate Sustainability Reporting Directive, (CSRD). Dette innebærer nye og omfattende krav til bærekraftsrapportering for å sikre pålitelig og sammenlignbar informasjon som investorene kan benytte seg av ved bærekraftig investering. Direktivet forventes gjennomført i norsk lov i løpet av første halvår 2024, og slik at Norge følger EUs tidsplan med trinnvis innføring. De første foretakene vil derfor bli rapporteringspliktige allerede for regnskapsåret 2024. PwC har tidligere skrevet om CSRD og hvilke konsekvenser direktivet har for virksomheter. Du kan også lese om sammenhengen mellom CSRD og andre ESG regelverk.

Med CSRD utdypes rapporteringskravene gjennom egne EU-standarder, såkalte ESRS. Standardene tar sikte på å øke samordning og transparens i bærekraftsrapporteringen for å minimere risikoen for grønnvasking. Selskapene plikter å rapportere på både hvilken påvirkning selskapet har på miljø og mennesker, og hvordan bærekraftsforhold påvirker selskapets mulighet til langsiktig verdiskapning. Hva som ansees som vesentlig informasjon identifiseres ved gjennomføring av en dobbel vesentlighetsanalyse.

Flere store endringer i arbeidsmiljøloven

På arbeidsrettsområdet har Stortinget vedtatt en rekke endringer i lover og forskrifter som trer i kraft 1. januar 2024. Fellestrekkene er at arbeidstaker sikres bedre og mer forutsigbare rettigheter, samtidig som lovgiver tydeliggjør innholdet i flere vernebestemmelser.

I arbeidsmiljøloven oppdateres definisjonen av hvem som er arbeidstaker sammen med lovfestede vurderingsmomenter som skal vektlegges i grensedragningen mellom arbeidstakere og oppdragstakere. Bestemmelsen suppleres også med en såkalt presumsjonsregel, som sier at arbeidstakerstatus skal legges til grunn, med mindre oppdragsgiver gjør det overveiende sannsynlig at det reelt foreligger et oppdragsforhold.

Forbudet mot trakassering og annen utilbørlig opptreden i oppdateres slik at også seksuell trakassering er eksplisitt omfattet av forbudet. Bestemmelsen suppleres samtidig med definisjoner tilsvarende likestillings- og diskrimineringsloven.

Arbeidsmiljølovens kapittel 6 og 7 får nye terskelverdier for hvilke virksomheter som skal ha verneombud og arbeidsmiljøutvalg (AMU). I tillegg utvides verneombudets ansvarsområde til også å omfatte innleide arbeidstakere og selvstendige oppdragstakere med nær tilknytning til virksomheten. Det presiseres også at arbeidstakernes psykososiale arbeidsmiljø ligger innenfor verneombudets ansvarsområde.

Nye regler for konserner

For konserner stiller arbeidsmiljøloven fra 1. januar større krav til arbeidsgivere. De nye kravene stiller blant annet større krav til informasjon og drøfting til konsernet, gir arbeidstakerne utvidet fortrinnsrett til annet arbeid og utvidet plikt til å tilby annet passende arbeid. Formkravene til oppsigelse oppdateres tilsvarende slik at arbeidstaker har krav på å motta informasjon om disse rettighetene.

Les også: Regler ved nedbemanning - slik håndterer du prosessen

Veien fra midlertidig til fast ansettelse blir også kortere, ved at det innføres en felles grense på tre år. Det innebærer at arbeidstakere som har vært sammenhengende midlertidig ansatt i mer enn tre år skal anses som fast ansatte, uavhengig av årsaken til at ansettelsen var midlertidig. Det vil heller ikke være tillatt å avtale prøvetid som overstiger halvparten av arbeidsforholdets varighet. Dette får kun betydning for arbeidsforhold som er kortere enn 12 måneder.

Arbeidsmiljøloven får også skjerpede regler om tydelige og forutsigbare arbeidsvilkår, herunder ved at det innføres strengere tidsfrister for inngåelse og oppdatering av skriftlige arbeidsavtaler og særavtaler ved utenlandsopphold. Arbeidsgiver pålegges også en skriftlig redegjørelsesplikt dersom arbeidstaker ber om mer forutsigbare og trygge arbeidsvilkår.

Forskrift om bemanningsforetak oppdateres ved at dagens krav om registrering erstattes av en godkjenningsordning. Det innebærer at bemanningsforetak som skal tilby utleie av arbeidskraft i Norge, må søke om godkjenning fra Arbeidstilsynet. Innleie fra bemanningsforetak vil derfor kun være lovlig dersom Arbeidstilsynet har godkjent bemanningsforetaket. I perioden 1. januar 2024 til 31. mars 2024, vil innleie være tillatt også fra virksomheter som har søknad til behandling hos Arbeidstilsynet.

Flere endringer innen personvern og teknologi

I 2023 skjedde det flere endringer innen fagfeltet personvern og teknologi. Allerede 1. januar trådte digitalytelsesloven i kraft, som ga forbrukere lovfestede rettigheter ved kjøp av digitale ytelser fra næringsdrivende.

I løpet av sommeren vedtok EU-kommisjonen en adekvansbeslutning for EU-US Data Privacy Framework. Dette var kjærkomment for mange europeiske virksomheter, og innebærer at de, på visse vilkår, fritt kan overføre personopplysninger til amerikanske virksomheter som har sertifisert seg.

Gjennom høsten fikk Datatilsynets vedtak mot Meta stor oppmerksomhet, og i november sluttet det europeiske personvernrådet seg til Datatilsynets vurdering med en bindende avgjørelse hvor det irske datatilsynet ble instruert til å forby Meta å behandle personopplysninger om europeiske brukere for atferdsbasert markedsføring uten samtykke. Meta svarte med å innføre en «pay or okay»-løsning, hvor brukerne må betale for å unngå å bli sporet på plattformene. Datatilsynet har varslet at de følger med og Max Schrems’ organisasjon NOYB har allerede klaget på løsningen til det østerrikske datatilsynet.

Datatilsynets har også uttrykt tvil om hvorvidt samtykker som innhentes gjennom «pay or okay»-løsningen kan betegnes som frivillige. NOYB har oppfordret tilsynet om å benytte en hasteprosedyre, så her kan det komme avklaringer allerede i 2024.

Les også: Datatilsynet vant første runde mot Meta - dette må du gjøre

Kontakt våre eksperter innen personvern

Rekord i overtredelsesgebyr

Datatilsynet hadde også vind i seilene på hjemmebane i 2023. I slutten av september opprettholdt Personvernnemnda vedtaket hvor Grindr ble ilagt overtredelsesgebyr på 65 millioner kroner. Grindr er en lokasjonsbasert dating-app som retter seg mot homofile og bifile menn, transpersoner og skeive, og saken gjaldt Grindrs deling av personopplysninger om brukerne til tredjeparter for markedsføringsformål basert på ugyldig samtykke. Overtredelsesgebyret er det høyeste Datatilsynet har gitt.

I slutten av november varslet Datatilsynet et overtredelsesgebyr på 20 millioner kroner og flere pålegg til NAV etter et tilsyn som avdekket flere avvik knyttet til informasjonssikkerhet i NAVs IT-systemer og styringssystemet for behandling av personopplysninger. Datatilsynet uttalte at størrelsen på overtredelsesgebyret ville vært høyere dersom det gjaldt en privat aktør. Det kan derfor være grunn til å gjennomgå og forbedre sine styringssystemer for behandling av personopplysninger i 2024.

Årets store snakkis på teknologifeltet, har definitivt vært generativ kunstig intelligens, noe som understrekes av at Språkrådet har kåret «KI-generert» til fjorårets nyord. Ordet betyr laget med kunstig intelligens. Da passer det bra at EU-parlamentet og EU-rådet oppnådde politisk enighet om det kommende regelverket om kunstig intelligens, AI Act, den 8. desember. AI Act legger til grunn en risikobasert tilnærming, hvor KI-systemets antatte risiko er bestemmende for hvilke krav som stilles. AI Act definerer fire risikonivåer: minimal risiko, begrenset risiko, høy risiko og uakseptabel risiko. KI-systemer med uakseptabel risiko vil som hovedregel være forbudt. Regelverket oppstiller strenge krav til systemer med høy risiko, bl.a. om datastyring, åpenhet og vurdering av konsekvenser for grunnleggende rettigheter. Regelverket vil sanksjoneres med bøter på opp til 35 millioner euro eller 7 prosent av årlig global omsetning. Det er forventet at AI Act vil tre i kraft tidlig i 2024, men først få virkning to år etter det. Noen regler vil få virkning tidligere, eksempelvis krav til høyrisikosystemer. AI Act vil sannsynligvis innføres i norsk rett, men det er for tidlig å si når det vil skje.

Les også: Kunstig intelligens og ansvarlighet: Slik forbereder du deg på den nye loven

I løpet av 2024 vil også flere andre EU-rettsakter få virkning. Det gjelder blant annet Digital Services Act (DSA), som får virkning fra midten av februar. Regelverket pålegger internettbaserte plattformer å fjerne både ulovlig innhold på plattformene og målrettet reklame basert på sensitive opplysninger. Formålet er å motvirke ulovlig innhold på nett og å gi større demokratisk kontroll og tilsyn med plattformene. Det er opprettet en egen arbeidsgruppe ledet av Kommunal- og distriktsdepartementet som for tiden vurderer innføring av DSA i Norge. Arbeidsgruppen vurderer mulige modeller for nasjonal håndheving, og den skal utpeke en nasjonal uavhengig koordinator innen 17. februar 2024.