Omfattende forslag til personvernregler

I januar la EU-kommisjonen frem et forslag om å erstatte dagens personverndirektiv med en ny personvernforordning (lov). Datatilsynet ønsker forslaget velkommen, men er kritiske til et nytt, europeisk personvernorgan uten norsk innflytelse.

Kommisjonens formål er todelt. De ønsker et regelverk som er mer tilpasset vår digitale nåtid og fremtid enn det gjeldende direktivet fra 1995 er, og de ønsker økt harmonisering på personvernområdet i Europa. I dag er det store nasjonale variasjoner i hvordan personverndirektivet er implementert. Særlig for virksomheter som opererer i flere land er dette tungvint.

Forslaget er svært omfattende, og det er vanskelig å se de fulle konsekvensene av det som er foreslått. Den norske personopplysningsloven er bygget på dagens personverndirektiv, så dersom dette forslaget blir vedtatt, vil det få konsekvenser også i Norge. 

Nytt personvernorgan uten norsk innflytelse

– Det samarbeides godt mellom datatilsynsmyndighetene i Europa på stadig flere områder, men det er et problem at det gjeldende personvernregelverk ikke legger føringer på hva det skal samarbeides om og hvordan, sier direktør i Datatilsynet Bjørn Erik Thon.  

– Vi er derfor positive til kommisjonens forslag om å gjøre samarbeidet mindre tilfeldig ved å opprette et nytt, overordnet personvernorgan; European Data Protection Board (EDPB). Det er imidlertid en meget problematisk side ved forslaget, for kommisjonen legger opp til at det bare er tilsynsmyndighetene i medlemslandene som skal være representert i EDPB. Vi i det norske Datatilsynet risikerer dermed å havne helt på sidelinjen i det felleseuropeiske personvernarbeidet. Et norsk krav bør derfor være at så lenge EUs nye personvernlovgivning blir gjeldende rett i Norge, må Norge være representert med fulle rettigheter i EDPB, understreker Thon.

Datatilsynet har i sin høringsuttalelse kommentert flere punkter som vil kunne få betydning for borgernes personvern: 

Retten til å bli glemt

Datatilsynet synes det er positivt at man fremhever den enkeltes rett til å slette opplysninger om seg selv. Selv om dette er en praksis vi har i Norge allerede, er tilsynets erfaring at mange møter problemer når de vil slette personopplysninger fra nettet. Da Datatilsynet hadde ansvar for slettmeg.no i 2010 og 2011, kom det inn nesten 2000 henvendelser fra norske borgere som trengte hjelp til å slette egne profiler og kontoer fra nettet. I tillegg var det en stod andel som ønsket å slette informasjon som andre hadde lagt ut om dem. Datatilsynet tror at en tydeliggjøring av retten til å slette informasjon er nødvendig. 

Dataportabilitet

Kommisjonen introduserer dataportabilitet som en ny rettighet. Det vil si retten til å hente ut egne personopplysninger fra en tjeneste, og så eventuelt flytte disse over til en annen.  Blir denne rettigheten vedtatt, vil man ikke lenger behøve å være lojal mot en tjeneste med dårlige personvernvilkår, eller som man av andre årsaker ikke stoler på, bare fordi opplysningene er låst til tjenesten. Man kan i stedet flytte opplysningene til en konkurrent. Datatilsynet tror dataportabilitet kan bli like viktig for konkurransen blant tjenesteleverandører på Internett som nummerportabilitet var for konkurransen i telemarkedet for over ti år siden.

Dokumentasjonskrav fremfor meldeplikt

I dag er hovedregelen at den eller de som skal behandle personopplysninger må melde fra til Datatilsynet i forkant av behandlingen. Nå foreslår imidlertid kommisjonen å erstatte meldeplikten med et krav om at de som skal behandle personopplysninger må kunne dokumentere behandlingene de har ansvar for. Datatilsynet mener at dagens meldepliktsystem ikke fungerer tilfredsstillende, og ser derfor positivt på en vridning fra å melde til å dokumentere. 

Personvernombud

Et annet nytt element er kravet om at offentlige myndigheter og private virksomheter med mer enn 250 ansatte skal utnevne et personvernombud. Ombudet skal informere og gi råd til arbeidsgiver i relevante personvernspørsmål, samt følge med på arbeidsgiverens etterlevelse av personvernregelverket. Datatilsynet har i flere år erfart hvilken viktig rolle dedikerte personvernombud kan ha, og er positive til å gjøre ordningen obligatorisk.

Unntak for ”samfunnets interesse”

Selv om kommisjonen signaliserer et ønske om mer harmonisering, brukes hensynet til ”samfunnets interesse” i flere artikler for å beskrive situasjoner hvor den enkelte stat kan avvike fra flere av forordningens rettigheter og krav.  Datatilsynet mener dette vide begrepet bør erstattes med mer konkrete situasjoner hvor nasjonale unntak tillates. På den måten vil regelverket bli mer forutsigbart. 

Mistenkt - ikke lenger sensitivt

I forslaget legges det opp til at opplysninger om at man er mistenkt, siktet eller tiltalt for en straffbar handling ikke lenger er å anse som sensitive. Dette mener Datatilsynet er en uheldig endring.

Unntak for små og mellomstore bedrifter

I flere av de foreslåtte bestemmelsene om hvilke plikter og krav som skal stilles ved behandling av personopplysninger gis det unntak for små og mellomstore bedrifter (færre enn 250 ansatte). Dette er uforståelig fra et personvernståsted. Datatilsynet mener behandlingens karakter bør avgjøre hvilke krav og plikter som skal stilles, ikke tallet på ansatte.

For mye makt til kommisjonen

Datatilsynet reagerer dessuten på at kommisjonen gis forskriftskompetanse på nesten en tredjedel av forordningsforslagets innhold, inkludert innhold som er av stor materiell betydning. Som ikke-medlem har Norge langt færre muligheter til å påvirke forskriftsarbeid enn det medlemsland har. I tillegg gis kommisjonen mulighet til å overstyre nasjonale personvernmyndigheter i enkeltsaker for å sikre harmonisering og konsistens. Dette truer personvernmyndighetenes uavhengighet.

Les hele høringsuttalelsen:

Høringsuttalelse - EU-kommisjonens forslag til nye personvernregler (pdf)