Når får vi vite mer om de nye personvernreglene fra EU?

EUs ekspertgruppe for personvern (Artikkel 29-gruppen) har lagt frem sin arbeidsplan for 2017. Deres veiledere er nyttig for alle som må forholde seg til personvernregelverket.

Arbeidsplanen viser at Artikkel 29-gruppen vil fortsette arbeidet med å avklare bestemmelsene i EUs personvernforordning som gruppen startet i fjor. De fleste som jobber med personvern lurer på hva bestemmelsene i den nye lovgivningen egentlig vil bety, og mange virksomheter lurer på hvordan de nye reglene treffer akkurat dem.

Til tross for at disse veilederne ikke er bindende for medlemslandene, følges de i stor grad av datatilsynsmyndighetene i Europa. De bidrar derfor til å harmonisere tolkningen av det nye personvernregelverket. De er derfor også nyttige for virksomheter som ønsker å finne ut hvordan personvernforordningen treffer dem.

Følgende veiledninger vil legges frem i 2017:

  1. Veiledning om forordningens bestemmelser om personvernsertifisering, det vil si en nærmere beskrivelse av hvordan Datatilsynet skal gå frem for å bekrefte (sertifisere) at en behandlingsansvarlig eller databehandler oppfyller forordningens krav, og hvordan Datatilsynet skal vurdere om et tredjepart er kvalifisert for å utføre denne oppgaven.
  2. Veiledning om forordningens bestemmelser om behandling av personopplysninger med så høy risiko at det er nødvendig å gjennomføre en vurdering av personvernkonsekvensene etter artikkel 35.
  3. En enhetlig tilnærming til ileggelse av administrative sanksjoner. Veiledningen vil også drøfte når det kan være aktuelt å ilegge overtredelsesgebyr og når andre sanksjonsmuligheter bør benyttes i tillegg til eller istedenfor for et gebyr. Gruppen skal også forsøke å bli enige om en felles metode for å beregne størrelsen på disse gebyrene.
  4. Nærmere beskrivelse av oppgavene og fremgangsmåten i Personvernrådet (European Data Protection Board), et europeisk organ som skal blant annet skal løse uoverensstemmelser mellom europeiske datatilsyn sine tolkninger eller anvendelser av forordningen.
  5. Veiledning om forordningens bestemmelser om «one-stop-shop», det vil si at ett datatilsyn vil være hovedkontakt for henvendelser fra virksomheter eller de registrerte.

I tillegg til tolkning av konkrete bestemmelser vil gruppen jobbe med ulike temaer som går på tvers av de ulike artikler i forordningen. Dette gjelder:

  • samtykke
  • profilering
  • etterrettelighet

Oppdatering av eksisterende veiledninger

Parallelt med å utarbeide nye veiledninger, vil gruppen sørge for å oppdatere eksisterende materiell i samsvar med de nye personvernreglene. Dette gjelder blant annet veiledningene om: