Logo og hjelpeverktøy

Hovedmeny

Personvernrådet med uttalelse om EUs digitale omnibus-lovforslag

Personvernrådet er positiv til forslagene om å gjøre lovene enklere og styrke konkurransekraften, men har også noen bekymringer.

Illustrasjon av gavel foran et EU-flagg
Illustrasjon av gavel foran et EU-flagg

EU-kommisjonen har foreslått å endre deler av personvernforordningen og andre EU-lover på det digitale feltet. Dette skjer gjennom et lovforslag som kalles EUs digitale omnibus, hvor formålet er å forenkle reglene. Det europeiske personvernrådet (EDPB), der alle datatilsynene i EØS er medlemmer, har nå vedtatt en uttalelse om lovforslaget sammen med datatilsynet for EU-organene, European Data Protection Supervisor (EDPS). Den felles uttalelsen er overordnet positiv til formålet med Kommisjonens forslag, men uttrykker samtidig betydelige bekymringer over enkelte endringer og gir anbefalinger om hvordan forslagene kan forbedres.

- Jeg mener at vi sammen har kommet fram til en klok og balansert uttalelse, og vi ser frem til en konstruktiv prosess videre. Vi etterspør klare og forutsigbare regler, og støtter flere av endringsforslagene. Samtidig er vi bekymret for den foreslåtte innskrenkingen av begrepet «personopplysninger», fordi dette kan svekke personvernet for norske innbyggere, sier Line Coll, direktør i Datatilsynet.

Les hele uttalelsen (edpb.europa.eu, pdf).

Vil snevre inn definisjonen av personopplysninger

Personvernrådet uttrykker spesielt stor bekymring over EU-kommisjonens forslag om å endre definisjonen av personopplysninger. Grunnen er at forslaget vil snevre inn omfanget av personopplysningsbegrepet og dermed påvirke den grunnleggende retten til personvern. Personvernrådet mener at endringen ikke er i tråd med praksis fra EU‑domstolen og at det ikke vil forenkle personvernforordningen i praksis. På bakgrunn av dette oppfordrer Personvernrådet og EDPS kraftig til at den foreslåtte endringen ikke vedtas.

Ønsker flere endringsforslag velkommen

Det er en rekke endringer som datatilsynene ønsker velkommen:

  • Terskelen for å melde brudd på informasjonssikkerheten (avvik) heves for virksomheter
  • Det skal utarbeides felleseuropeiske kriterier for når vurdering av personvernkonsekvenser (DPIA) er påkrevd og ikke påkrevd, og det vil utarbeides maler for gjennomføring av DPIA
  • Personvernforordningen skal definere ‘vitenskapelig forskning’, noe som vil redusere tolkningstvil
  • Lovforslaget vil innføre et nytt unntak fra forbudet i artikkel 9 (særlige kategorier personopplysninger) når det gjelder behandling av biometriske opplysninger

Datatilsynene er også positive til nye cookie-regler som skal redusere såkalt «samtykketretthet». Lovforslaget viderefører dagens regel om at virksomheter må innhente samtykke til cookies og liknende teknologier, men innfører noen nye unntak der de ikke trenger et slikt samtykke. Dessuten inneholder lovforslaget regler om hvordan samtykket skal hentes inn, og det foreslås at datatilsynene skal ha tilsynsansvar for disse reglene i fremtiden. I dag er dette regulert på forskjellige måter i de ulike landene i EØS (i Norge har Datatilsynet delvis tilsynsmyndighet).