På vei mot nye regler for personvern


Et overveldende flertall i Europaparlamentet stemte den 12. mars 2014 for å innføre flere større endringer i personvernlovgivningen i EU. Dagens personverndirektiv er fra 1995. Det foreslåtte nye regelverket skal ta hensyn til endringene i den globale digitale hverdagen.

Hvis de nye reglene skulle bli vedtatt av Rådet slik de er vedtatt i Europaparlamentet, vil det geografiske virkeområdet til den europeiske personvernlovgivningen utvides. Reglene vil gjelde for behandlingsansvarlige som er etablert i EU/EØS. I tillegg vil de omfatte behandling av personopplysninger i forbindelse med varer eller tjenester som tilbys personer som er bosatt i EU/EØS samt overvåkning av EU/EØS-borgere. Dette er kontroversielt siden de europeiske reglene også vil få anvendelse for behandlingsansvarlige som ikke er etablert i EU/EØS i større grad enn i dag. Dette har flere multinasjonale amerikanske selskap reagert på. Endringen vil utjevne forskjeller mellom europeiske og ikke-europeiske konkurrenter. 

Europaparlamentets vedtak innebærer også at tilsynene (for Norge sin del Datatilsynet) skal kunne gi overtredelsesgebyr på opptil det høyeste av € 100.000.000 og 5 % av selskapets årlige globale omsetning. Dette er en økning fra Europakommisjonens opprinnelige forslag på
€ 1.000.000 og 2 %.

En annen viktig endring er at behandlingsansvarlige som er etablert i flere EU/EØS-land eller som behandler personopplysninger i flere EU/EØS-land bare skal behøve å forholde seg til tilsynet i ett land. Dette har vært mye debattert. Det sentrale motargumentet er at dette kan gjøre det vanskeligere for enkeltpersoner å hevde sine rettigheter. På den annen side vil dette gjøre det mye enklere for bedrifter som har flere europeiske land som nedslagsfelt.

Det nye regelverket vil også styrke reglene om samtykke og sletting (retten til å bli glemt).

Reformen vil også innebære at EU går fra å regulere personvernet gjennom et direktiv til å benytte en forordning. I motsetning til direktiver har forordninger direkte virkning som de er i alle EU-land uten at reglene må vedtas av de forskjellige landenes lovgivende myndigheter. Dette vil bidra til ensartet regulering i hele EU, slik at en, i alle fall formelt, unngår dagens lappeteppe av forskjellig nasjonal lovgivning. I praksis vil det kunne forekomme noen forskjeller mellom landende gjennom ulik tolkning av bestemmelsene, men i prinsippet skal regelverket tolkes likt i hele EU.

For at Europaparlamentets vedtak skal bli til lov i EU, må det også vedtas i Rådet. Det er forventet at Rådet vil forhandle med Europaparlamentet, og særlig gripe fatt i mindre praktiske aspekter ved Europaparlamentets vedtak. Det er først når Europaparlamentet og Rådet treffer likelydende vedtak at forordningen er endelig vedtatt. Det er planlagt at Rådet vil behandle forordningen i møtet den 4. juni 2014. Det er forventet at den nye reformen vil bli vedtatt som lov i EU innen utgangen av 2014, og at den vil tre i kraft to år senere, altså ved utgangen av 2016.

I skrivende stund er det uklart når reglene kan forventes å bli innlemmet i EØS og deretter gjennomført i Norge, men det vil fort ta over to år fra forordningen er vedtatt i EU. Når forordningen blir en del av EØS-avtalen, vil Norge gjennom EØS-avtalens artikkel 7 a være forpliktet til å gjøre forordningen slik den er til en del av norsk rett. Forordningen har, i motsetning til hvordan det er innen EU, ikke virkning i Norge før den blir gjennomført av lovgiver her.

 

Kontaktpersoner: Ingvild Hansen-BauserRolf Riisnæs og Odd R Kleiva