Ny EU-forordning på trappene
EUs arbeid med personvernreformen er nå i ferdigstillingsfasen og vi vil trolig få se det nye regelverket ved utgangen av 2015 eller begynnelsen av 2016.
EUs arbeid med personvernreformen er nå i ferdigstillingsfasen og vi vil trolig få se det nye regelverket ved utgangen av 2015 eller begynnelsen av 2016.
Moderne og mer harmoniserte regler har som mål å gjøre Europa bedre rustet for den digitale tidsalderen samtidig som den vil styrke rettighetene til borgerne i EU og EØS. På den annen side vil forordningen bringe med seg strengere sanksjoner ved overtredelser og dermed gi bedrifter et ekstra push til å sikre at behandlingen av personopplysninger er i tråd med lovgivningen.
EUs personverndirektiv fra 1995 har i 20 år vært den sentrale lovgivningen for beskyttelse av persondata i Europa. Ettersom den ble vedtatt da internett var i sin spede begynnelse, er regelverket ikke egnet til å løse utfordringer som har oppstått i de senere år i forbindelse med utstrakt bruk av digitale nettjenester, big data og tingenes internett. Den nye EU-forordningen har som mål å være bedre tilpasset den digitale verdenen vi lever i, og utviklingen som vil skje i årene fremover.
EU er i sluttfasen av behandlingen og forordningen er forventet å være ferdigstilt i årsskiftet 2015/2016. Etter dette venter behandling av EØS-komiteen, men det er antatt at personvernforordningen skal bli norsk rett allerede i 2017 eller 2018.
Hovedelementene i reformen er:
- Ett kontinent, ett regelsett: Den nye forordningen vil gjelde i hele EU/EØS. Under dagens regelverk ser vi at det en del forskjeller. For Norges del er det enkelte særregler og en forholdsvis streng praktisering. Dette fører til at bedriften ofte må foreta en særskilt vurdering av sin virksomhet i Norge, til tross for at de allerede har kontrollert at de følger personopplysningsregelverket i andre europeiske land. Med et likt regelverk vil det bli enklere og mindre byråkrati for virksomhetene, også fordi de unødvendige administrative prosedyrer i flere land trolig vil fjernes. EU har anslått at harmoniseringen vil spare næringslivet for omkring 2,3 mrd. Euro i året.
- «One-stop-shop»: Det innføres ett enkelt kontaktpunkt for virksomheter og privatpersoner. Bedrifter som har virksomhet i flere land i EU/EØS kan forholde seg til én tilsynsmyndighet, noe som vil forenkle og redusere kostnadene ved å drive næringsvirksomhet i hele EU. Borgerne vil kun forholde seg til deres hjemlige tilsynsmyndighet, på sitt eget språk, selv om personopplysningene behandles i andre land.
- Skjerpede regler: Privatpersonens personvern styrkes, blant annet gjelder dette «Right to be forgotten». Når privatpersoner ikke lenger ønsker at personopplysninger skal behandles, og det ikke er legitime grunner til behandling eller lagring, skal opplysningene slettes med mindre det kan påvises at de fortsatt er nødvendige og relevante. Videre vil det nye regelverket stille styrkede krav til samtykke og strengere krav til nødvendighet ved behandling av personopplysninger.
- Nasjonale tilsynsmyndigheter styrkes: Tilsynsmyndighetene vil få mulighet til å ilegge bøter ved brudd på reglene. Også i dag har Datatilsynet i Norge mulighet til å ilegge overtredelsesgebyr og tvangsmulkt, men beløpene er beskjedne. Det foreligger flere forslag, Kommisjonen vil øke nivået opp mot 1 million Euro eller opp til 2% av virksomhetens samlede årlige omsetning, mens Rådet ønsker å øke nivået opp mot hele 100 millioner Euro eller opp til 5% av samlede årlige omsetning.
- Den nye forordningen vil legge økt fokus på rutiner og dokumentasjon. Forordningen stiller krav om «Privacy by design» og «Privacy by default» hvilket innebærer at bedriftene skal ta hensyn til personvern i alle steg ved utvikling eller implementering av nye produkter, tjenester og systemer, og at personvern skal gjøres til en standardinnstilling. En slik tilnærming krever at virksomhetene allerede fra første fase i prosessen tenker informasjonssikkerhet og personvern.
Hvordan vil reformen påvirke norske virksomheter?
Det nye forslaget vil medføre flere forenklinger ved behandling av personopplysninger, blant annet ved at dagens plikt til å sende melding til Datatilsynet foreslås fjernet for foretak med færre enn 250 ansatte dersom foretaket ikke har behandling av personopplysninger som hovedvirksomhet. I tillegg foreslås meldeplikten fjernet for behandling som ikke antas å medføre høy risiko.
Meldeplikten vil erstattes med en dokumentasjonsplikt. I realiteten vil denne delen av forslaget medføre betydelige administrative besparelser for norske foretak, som frem til i dag har måttet sende meldinger til Datatilsynet, og deretter fornye meldingene hvert tredje år. For virksomheter som driver i flere land vil det nye regelverket forenkle behandlingen av personopplysninger og medføre mindre byråkrati.
Det blir færre tilsynsmyndigheter å forholde seg til og enklere å innføre felles rutiner og regelverk i hele EU. På den annen side vil konsekvensene av brudd på regelverket være betydelig større enn de er i dag. Dette innebærer økt fokus på internkontroll og compliance.