EUs arbeid for personvern ett skritt videre
EUs arbeid med personvernreformen har kommet ett skritt videre. Moderne og mer harmoniserte regler vil bidra til å gjøre Europa klar for den digitale tidsalder, og er et steg i retning mot EUs digitale indre marked. Personvernreformen vil styrke EUs arbeid for personvern og forenkle næringsvirksomhet i EU/EØS.
EUs arbeid med personvernreformen har kommet ett skritt videre. Moderne og mer harmoniserte regler vil bidra til å gjøre Europa klar for den digitale tidsalder, og er et steg i retning mot EUs digitale indre marked. Personvernreformen vil styrke EUs arbeid for personvern og forenkle næringsvirksomhet i EU/EØS.
Arbeidet med personvernreformen har kommet et godt stykke videre og den vil trolig ferdigstilles i løpet av 2015. Den 15. juni ble justisministerne i Rådet enige om forslag til ny forordning om personvern og databeskyttelse, og trepartsforhandlingene med Europa-Parlamentet, Kommisjonen og Rådet vil bli innledet i juni. Det er et uttalt felles mål om å nå frem til en endelig avtale innen utgangen av 2015. Når en ny forordning foreligger, skal denne behandles i EØS-komiteen og vil etterhvert også bli gjennomført i Norge.
Hovedelementene i reformen er:
-
Ett kontinent, ett regelsett: Den nye forordningen vil gjelde i hele EU/EØS. Det blir enklere og mindre byråkrati for virksomhetene, da unødvendige administrative prosedyrer i flere land trolig blir fjernet. EU har anslått at harmoniseringen vil spare næringslivet for omkring 2,3 mrd. euro i året.
-
«One-stop-shop»: Det innføres ett enkelt kontaktpunkt for virksomheter og privatpersoner. Bedrifter som har virksomhet i flere land i EU/EØS kan forholde seg til én tilsynsmyndighet, noe som vil forenkle og redusere kostnadene ved å drive næringsvirksomhet i hele EU. Borgerne vil kun forholde seg til deres hjemlige tilsynsmyndighet, på sitt eget språk, selv om personopplysningene behandles i andre land.
-
Europeiske regler på europeisk jord: Virksomheter som er etablert utenfor Europa må følge samme regler dersom de tilbyr tjenester i EU.
-
Skjerpede regler: Privatpersoners personvern styrkes, blant annet gjelder dette «the Right to be forgotten». Når privatpersoner ikke lenger ønsker at personopplysninger skal behandles, og det ikke er legitime grunner til behandling eller lagring, skal opplysningene slettes med mindre det kan påvises at de fortsatt er nødvendige og relevante. En rett til «dataportabilitet» vil gjøre det lettere for forbrukere og overføre personopplysninger mellom leverandører.
-
Nasjonale tilsynsmyndigheter styrkes: Tilsynsmyndighetene vil få mulighet til å ilegge bøter ved brudd på reglene. Også i dag har Datatilsynet i Norge mulighet til å ilegge overtredelsesgebyr og tvangsmulkt, men beløpene er beskjedne. Det er foreslått å øke nivået opp mot 1 million euro eller opp til 2 % av virksomhetens samlede årlige omsetning.
Et steg i riktig retning, men vil det fungere i praksis?
«At EU nå er i sluttfasen med en reform er et godt steg i riktig retning, men vi ser at det ofte er vanskelig for næringsdrivende å forstå og manøvrere i regelverket», uttaler partner og advokat Kari Gimmingsrud.
Som en av Haavinds fremste eksperter på feltet, tror hun at man også bør se på muligheten for å kombinere lovverket med mer soft law; retningslinjer og anbefalinger osv. «For at brukerne lettere skal kunne vurdere om tjenesten har tilfredsstillende informasjonssikkerhet og personvern, på tvers av landegrenser, kan man også se på muligheter for sertifisering el.», avslutter hun.
Hva innebærer reformen for norske virksomheter?
For virksomheter som driver i flere land vil det nye regelverket forenkle behandlingen av personopplysninger og medføre mindre byråkrati. Det blir færre tilsynsmyndigheter å forholde seg til og enklere å innføre felles rutiner og regelverk i hele EU. På den annen side vil konsekvensene av brudd på regelverket være betydelig større enn de er i dag. Det innebærer et økt fokus på internkontroll og compliance. Ved utvikling av nye produkter og tjenester må personvern og informasjonssikkerhet ivaretas i alle ledd, også kalt privacy by design. En slik tilnærming til utvikling av nye produkter og tjenester krever at virksomheten allerede fra første fase i prosessen tenker informasjonssikkerhet og personvern. Også i dag er privacy by design nødvendig å ivareta men konsekvensene av å bryte regelverket vil bli mye større når de nye reglene er gjennomført.