EU Parlamentet vedtok 14. april 2016 den nye personvernforordningen. Forordningen vil tre i kraft 25. mai 2018 og EUs personvernforordning introduserer med det nye regler for personvern. Moderne og mer harmoniserte regler har som mål å gjøre Europa bedre rustet for den digitale tidsalderen samtidig som den vil styrke rettighetene til borgerne i EU og EØS. Forordningen vil også gi strengere sanksjoner ved overtredelser og dermed gi bedrifter et ekstra dytt til å sikre at behandlingen av personopplysninger er i tråd med lovgivningen.

EUs personverndirektiv fra 1995 har i 20 år vært den sentrale lovgivningen for beskyttelse av persondata i Europa. Ettersom den ble vedtatt da internett var i sin spede begynnelse, er regelverket ikke egnet til å løse regulere dagens virkelighet med sammensatte globale digitale nettjenester, big data og tingenes internett. Den nye EU-forordningen har som mål å være bedre tilpasset den digitale verdenen vi lever i og utviklingen som vil skje i årene fremover, og fører med seg nye regler for personvern.

Forordningen vil tre i kraft i mai 2018. For Norges del må forordningen behandles i EØS-komiteen før den kan gjennomføres i Norge. Trolig vil det nye regelverket også implementeres i Norge i 2018.

Hovedelementene i EUs personvernforordning

• Ett kontinent, ett regelsett. I dag er det til dels store forskjeller mellom EU- landene. Dette fører til at internasjonale virksomhet må gjøre lokale tilpasninger i flere land. Forordningen åpner for noen lokale tilpasninger, men i betydelig mindre grad enn i dag. Med et likere regelverk vil det bli enklere og mindre byråkrati for virksomhetene. EU har anslått at harmoniseringen vil spare næringslivet for omkring 2,3 mrd. Euro i året.
• One-stop-shop. Det innføres ett kontaktpunkt for virksomheter og privatpersoner. Målsetningen er at bedrifter som har virksomhet i flere land i EU/EØS kan forholde seg til én tilsynsmyndighet, noe som vil forenkle og redusere kostnadene ved å drive næringsvirksomhet i hele EU. Borgerne vil kun forholde seg til deres hjemlige tilsynsmyndighet, på sitt eget språk, selv om personopplysningene behandles i andre land. Endringen krever et betydelig samarbeid mellom tilsynsmyndighetene i flere land.
• Skjerpede regler. Privatpersonens personvern styrkes, blant annet gjelder dette «Right to be forgotten» og retten til dataportabilitet. Videre vil det nye regelverket stille strengere krav til informasjon, samtykke og strengere krav til nødvendighet ved behandling av personopplysninger.
• System og internkontroll. Forordningen stiller økte krav til system- og internkontroll.
• «Privacy by design» og «Privacy by default» hvilket innebærer at bedriftene skal ta hensyn til personvern i alle steg ved utvikling eller implementering av nye produkter, tjenester og systemer, og at personvern skal gjøres til en standardinnstilling. En slik tilnærming krever at virksomhetene allerede fra første fase i prosessen tenker informasjonssikkerhet og personvern.
• Nasjonale tilsynsmyndigheter styrkes: Tilsynsmyndighetene vil få mulighet til å ilegge bøter ved brudd på reglene. Også i dag har Datatilsynet i Norge mulighet til å ilegge overtredelsesgebyr og tvangsmulkt, men beløpene er beskjedne.

Hvordan vil reformen påvirke norske virksomheter?

Den nye forordningen vil medføre flere forenklinger ved behandling av personopplysninger, blant annet ved at dagens melde- og konsesjonsplikter i stor grad blir erstattet av krav til at virksomhetene selv etablerer system for internkontroll og dokumentasjon.

Det blir færre tilsynsmyndigheter å forholde seg til og enklere å innføre felles rutiner og regelverk i hele EU. På den annen side vil konsekvensene av brudd på regelverket være betydelig større enn de er i dag. Det innebærer at det i tiden frem over vil komme et økt fokus på internkontroll og samsvarskontroll.