Lukk

Når får vi ny personopplysninglov?

Les mer

Stortinget vedtok i mai 2018 en ny personopplysningslov som gjennomfører EUs personvernforordning (GDPR) i Norge.
Innholdet på våre nettsider er nå i tråd med den nye personopplysningloven som forventes å tre i kraft i løpet av juli måned.
Se Justis- og beredskapsdepartementet for nærmere informasjon om nøyaktig ikrafttredelsestidspunkt.

Hvem gjør hva frem mot ny personvernlovgivning?

Det er enighet om EUs nye lovgiving for personvern, men den er ikke vedtatt. Hva foregår nå i EU, og hvordan forbereder vi oss i Norge? Her kommer en oversikt over hvilket arbeid som pågår.

Selv om EU-landene ble enige om innholdet i desember 2015, er ikke EUs personvernforordning formelt vedtatt. Det skjer først når den publiseres i EUs offentlige journal

Så fort EU-landene hadde blitt enige om innholdet i forordningen, begynte arbeidet med å gjennomgå tekstens utforming, nummerering og alle kryssreferanser i bestemmelsene. Denne jobben skjer samtidig med at teksten behandles i de ulike forberedende organer for EU-rådet og EU-parlamentet.

Vedtas i EU i løpet av juni 2016

I slutten av mars bekreftet EU-rådet at forordningsteksten reflekterer det de ble enige med EU-parlamentet om før jul. Neste møte i Rådets arbeidsgruppe for justis og innenrikssaker (JHA) er planlagt den 21. april. I møtet vil det komme en offisiell uttalelse om at EU-rådet godkjenner forordningsteksten. Uttalelsen sendes deretter til EU-parlamentet, nærmere bestemt til Komiteen om borgernes rettigheter og rettslige og indre anliggender (LIBE). Komiteens oppgave er å lage en innstilling som ber om at forordningen vedtas i den form den har nå. Det forventes deretter at EU-parlamentet vedtar forordningen i plenumsmøtet som skal holdes i slutten av mai eller begynnelsen av juni.

Forordningen publiseres i EUs offentlige journal og anses som endelig vedtatt 20 dager etter at den er publisert. Forordningen trer i kraft i samtlige EU land to år etter at den er vedtatt. Norge har derfor litt over to år på å forberede gjennomføringen av forordningen i norsk rett.

Må vedtas både i EU og i EØS-komiteen

Parallelt med EUs gjennomgang går EØS og EFTA-landene gjennom teksten for å sjekke at den er i tråd med nasjonal lovgivning og landenes internasjonale forpliktelser. På de områdene den ikke er det, kan de foreslå tilpasninger til forordningsteksten. Disse samles i en Joint Committee Decision (JCD) og brukes i den videre forhandlingen med EU. Når EU har godtatt EØS-landenes forslag, fatter EØS-komiteen et formelt vedtak. Det innebærer at Norge blir folkerettslig bundet av forordningen så sant Stortinget samtykker til det.

Selv om Norge og de andre EØS-landene må gjennom flere formelle steg før forordningen blir gjeldende rett, skal den tre i kraft omtrent samtidig i Norge som i EU-landene. Det betyr at Datatilsynet må forberede seg på implementeringen, samtidig som de formelle prosessene i regi av EØS/EFTA foregår.

Hva gjør norske myndigheter?

I Norge er det Justis- og beredskapsdepartementet (JD) som er formelt ansvarlig for implementeringen av forordningen. De følger derfor arbeidet i EU og EØS/EFTA tett. Kommunal- og moderniseringsdepartementet (KMD) er ansvarlig for deler av personvernlovgivningen, og jobber derfor tett med både JD og EU, EØS/EFTA i denne saken. Datatilsynet er administrativt underlagt KMD.
I tillegg til å samarbeide med EFTA-landene i utarbeidelse av JCD, vil JD sørge for en gjennomgang av den norske særlovgivningen som pålegger eller åpner for en behandling av personopplysninger. Gjennomgangen innebærer alle personvernrelaterte vurderinger og å sikre at disse bringes i samsvar med forordningen.

Hva gjør vi i Datatilsynet?

Forordningen vil erstatte personopplysningsloven og tilhørende forskrifter. Datatilsynet skal i 2016 bistå JD og KMD i arbeidet med å gjennomføre forordningen i norsk rett. Vi jobber nå for å sikre en smidig overgang fra det eksisterende, til det nye regimet. Arbeidet er organisert som et tverrfaglig prosjekt som tar for seg hovedutfordringene i det nye regelverket, samt relasjonen til Personvernombudene, våre hjelpere i håndhevelse av personvernreglene. Prosjektet vil i første omgang bidra til å sette virksomheter i stand til å møte de nye kravene til håndtering av personopplysninger. Dette gjør vi gjennom å utrede alle juridiske og tekniske krav, å få på plass nødvendige verktøy og systemer for å møte disse kravene, og å avdekke og møte kommunikasjonsbehovene implementeringen har og får.

Hovedintensjonen med forordningen er å etablere en felles forståelse av rettigheter og plikter for personvern i alle europeiske landene. Forordningen pålegger derfor personvernmyndighetene å samarbeide og å utveksle erfaringer og informasjon over landegrensene. Samtidig etablerer den mekanismer for konflikthåndtering i de tilfellene ulike land har ulik forståelse av hvordan reglene skal tolkes. Dette samarbeidet mellom myndigheter er nytt sammenlignet med dagens regelverk og Artikkel 29-gruppen har satt i gang ulike utredninger om hvordan sentrale deler av forordningen skal tolkes. Datatilsynet bidrar foreløpig aktivt i to av disse, men regner med å få bidra i flere slike utredninger frem mot 2018.

Underveis i prosjektet vil vi oppdatere forordningssidene på Datatilsynets nettsider med artikler, avklaringer, veiledninger, verktøy eller annet som kan være nyttig for de som får nye plikter eller rettigheter etter forordningen.