Da Europakommisjonen, Rådet og Europaparlamentet kom frem til enighet om nye regler for personvern og informasjonssikkerhet i Europa 15. Desember 2015 var dette første steg mot en ny standard for personvern og informasjonssikkerhet i Europa.
Forslaget om modernisering har bakgrunn i nye personvernutfordringer knyttet til blant annet sosiale medier, big data og skytjenester. Inkludert i forslaget er både en generell personvernforordning som erstatter dagens regler samt et direktiv om myndighetenes behandling av personopplysninger i politi- og justissektoren.
Etter den nå oppnådde politiske enigheten er det forventet at personvernforordningen vedtas av EU-parlamentet og Europarådet i begynnelsen av 2016. De nye reglene trer etter planen i kraft i EU to år senere.
En økt rett til å bli glemt og eiendomsrett over egne data
Innholdet i den generelle personvernforordningen er mer omfattende og detaljert enn nåværende regelverk og vil gjøre enkeltpersoner bedre i stand til å kontrollere bruken av deres personlige opplysninger. Forordningen vil også harmonisere måten personopplysninger håndteres på i EU og EØS-landene.
Gjennom forslaget vil virkeområdet for reglene bli vesentlig utvidet. Reglene er foreslått å gjelde ikke bare virksomheter etablert i EØS-området, men også virksomheter etablert utenfor EØS dersom disse behandler personopplysninger om EØS-borgere gjennom å overvåke eller tilby varer eller tjenester til disse.
Forslaget inneholder videre en aldersgrense for å kunne samtykke til behandling av personopplysninger. Barn under 16 år må ha foreldrenes samtykke for å kunne godta dette, men hvert land kan likevel velge å sette aldersgrensen til 13 år.
En av de viktigste elementene i forslaget knytter seg til en økt rett til å bli glemt. Teksten foreslår nemlig at hvis den registrerte krever det, skal data slettes med mindre det finnes legitime grunner til å beholde informasjonen. Forslaget gir også borgerne økt eiendomsrett til egne data og opplysninger om og muligheten til å overføre disse til alternative tjenestetilbydere. Forslaget til forordning inneholder også enkelte bestemmelser om et såkalt innebygget personvern, som innebærer at standardinnstillinger skal være personvernvennlige.
EUs forbrukerorganisasjon fornøyd
EUs forbrukerorganisasjon BEUC uttalte etter avtalen at ”It is a false bargain if consumers have to give away their personal data in exchange for accessing online services. This new EU law will give stronger rights to consumers to claim back ownership of their data”.
Et annet element i forslaget er at selskaper med store datamengder eller mange kunder må opprette personvernombud som skal styrke bedriftens håndtering av og kontroll over personopplysninger. Dersom en virksomhet blir hacket eller data på andre måter kommer på avveier vil selskapene ha en 72 timers frist til å rapportere om dette offentlig.
«One-stop-shop» og styrket tilsyn
Forslaget vil styrke uavhengigheten til nasjonale datatilsyn, men fastsetter også en plikt for myndighetene til å samarbeide og utveksle informasjon med hverandre. Det innføres et system der virksomheter som er etablert i flere EU-land kun skal forholde seg til én tilsynsmyndighet («one-stop-shop»).
Det skal også opprettes et nytt EU-byrå (European Data Protection Board) som vil avsi tolkningsuttalelser og sørge for en enhetlig håndhevelse av regelverket ved å gi bindende avgjørelser i konkrete saker hvor nasjonale myndigheter ikke blir enige. Forslaget gir datatilsynsmyndigheter hjemmel til å gi økte bøter for brudd på reglene. En overtredelse kan føre til bøter på opptil 4 % av virksomhetens globale omsetning.
Hva nå med Safe Harbour?
Forordningen føyer seg inn i utviklingen av en tendens til styrking av personvern, som da EU-domstolen fant datalagringsdirektivet og Safe Harbor avtalen i strid med de grunnleggende rettigheter i EU sitt charter.
Det gamle personverndirektivet fastsetter at opplysninger kan overføres til et ikke EU-land (et tredjeland) dersom beskyttelsesnivået for personopplysninger svarer til EU sine krav. En beslutning fra Kommisjonen fra 2000 la til grunn at de nasjonale tilsynsmyndigheter i EU skulle legge til grunn at USA sikrer et slikt beskyttelsesnivå (Safe Harbour). Safe harbor-avtalen mellom EU og USA sikret slik at virksomheter i USA som hadde erklært å følge prinsipper fastsatt av amerikanske myndigheter, skulle vurderes å ha et tilstrekkelig vernenivå for personopplysninger. EU-domstolen behandlet gyldigheten av avtalen etter klage fra den østerrikske jusstudenten Maximillian Schrems. Domstolen kom frem da frem til at personvern er en grunnleggende rettighet i EU og fant Safe Harbour-avtalen ugyldig. Bakgrunnen for dette var at Safe Harbor kun var bindene for virksomheter og ikke for amerikanske myndigheter, samt at hensynet til nasjonal sikkerhet, det offentliges interesse, og utøvelse av politimyndighet gikk foran garantiene i avtalen.
EU-domstolen gav EU og USA frist til 31 Januar 2016 til å bli enige om en ny avtale.
Hva innebærer de nye personvernreglene i EU for Norge?
Når endelig vedtak foreligger i EU, må regelverket behandles i EØS-institusjonene. Det er EØS-rådet som avgjør spørsmålet om hvorvidt rettsakten skal inkorporeres i EØS-avtalen. Det er ventet at regelverket anses som EØS-relevant da det bygger på og erstatter personverndirektiv 95/46/EF som allerede inkorporert. Rettsakten må deretter gjennomføres i norsk rett og det forventes at regelverket vil ha virkning også i Norge fra 2018.
Datatilsynet i Norge vil i samarbeid med Justisdepartementet nå jobbe med å identifisere de viktigste endringene i regelverket. Direktøren i Datatilsynet har sagt at” Umiddelbart ser det ut som et godt forslag der personvernet er bedre ivaretatt en dagens regelverk”. Datatilsynet vil nå vurdere hvordan de på best måte kan formidle regelendringene til berørte, endre sine systemer og sørge for god oppfølging av personvernombudene. Et viktig spørsmål som må avklares er hvordan Datatilsynet som nasjonalt datatilsyn vil delta i det opprettede European Data Protection Board.
Les mer:
- Europakommisjonens pressemelding finner du her.
- Europaparlamentets pressemelding finner du her.
- Regjeringens foreløpige posisjonsnotat finner du her.