Hvem gjør hva frem mot ny personvernlovgivning?

Det er enighet om EUs nye lovgiving for personvern, men den er ikke vedtatt. Hva foregår nå i EU, og hvordan forbereder vi oss i Norge? Her kommer en oversikt over hvilket arbeid som pågår.

Selv om EU-landene ble enige om innholdet i desember 2015, er ikke EUs personvernforordning formelt vedtatt. Det skjer først når den publiseres i EUs offentlige journal

Så fort EU-landene hadde blitt enige om innholdet i forordningen, begynte arbeidet med å gjennomgå tekstens utforming, nummerering og alle kryssreferanser i bestemmelsene. Denne jobben skjer samtidig med at teksten behandles i de ulike forberedende organer for EU-rådet og EU-parlamentet.

Vedtas i EU i løpet av juni 2016

I slutten av mars bekreftet EU-rådet at forordningsteksten reflekterer det de ble enige med EU-parlamentet om før jul. Neste møte i Rådets arbeidsgruppe for justis og innenrikssaker (JHA) er planlagt den 21. april. I møtet vil det komme en offisiell uttalelse om at EU-rådet godkjenner forordningsteksten. Uttalelsen sendes deretter til EU-parlamentet, nærmere bestemt til Komiteen om borgernes rettigheter og rettslige og indre anliggender (LIBE). Komiteens oppgave er å lage en innstilling som ber om at forordningen vedtas i den form den har nå. Det forventes deretter at EU-parlamentet vedtar forordningen i plenumsmøtet som skal holdes i slutten av mai eller begynnelsen av juni.

Forordningen publiseres i EUs offentlige journal og anses som endelig vedtatt 20 dager etter at den er publisert. Forordningen trer i kraft i samtlige EU land to år etter at den er vedtatt. Norge har derfor litt over to år på å forberede gjennomføringen av forordningen i norsk rett.

Må vedtas både i EU og i EØS-komiteen

Parallelt med EUs gjennomgang går EØS og EFTA-landene gjennom teksten for å sjekke at den er i tråd med nasjonal lovgivning og landenes internasjonale forpliktelser. På de områdene den ikke er det, kan de foreslå tilpasninger til forordningsteksten. Disse samles i en Joint Committee Decision (JCD) og brukes i den videre forhandlingen med EU. Når EU har godtatt EØS-landenes forslag, fatter EØS-komiteen et formelt vedtak. Det innebærer at Norge blir folkerettslig bundet av forordningen så sant Stortinget samtykker til det.

Selv om Norge og de andre EØS-landene må gjennom flere formelle steg før forordningen blir gjeldende rett, skal den tre i kraft omtrent samtidig i Norge som i EU-landene. Det betyr at Datatilsynet må forberede seg på implementeringen, samtidig som de formelle prosessene i regi av EØS/EFTA foregår.

Hva gjør norske myndigheter?

I Norge er det Justis- og beredskapsdepartementet (JD) som er formelt ansvarlig for implementeringen av forordningen. De følger derfor arbeidet i EU og EØS/EFTA tett. Kommunal- og moderniseringsdepartementet (KMD) er ansvarlig for deler av personvernlovgivningen, og jobber derfor tett med både JD og EU, EØS/EFTA i denne saken. Datatilsynet er administrativt underlagt KMD.
I tillegg til å samarbeide med EFTA-landene i utarbeidelse av JCD, vil JD sørge for en gjennomgang av den norske særlovgivningen som pålegger eller åpner for en behandling av personopplysninger. Gjennomgangen innebærer alle personvernrelaterte vurderinger og å sikre at disse bringes i samsvar med forordningen.

Hva gjør vi i Datatilsynet?

Forordningen vil erstatte personopplysningsloven og tilhørende forskrifter. Datatilsynet skal i 2016 bistå JD og KMD i arbeidet med å gjennomføre forordningen i norsk rett. Vi jobber nå for å sikre en smidig overgang fra det eksisterende, til det nye regimet. Arbeidet er organisert som et tverrfaglig prosjekt som tar for seg hovedutfordringene i det nye regelverket, samt relasjonen til Personvernombudene, våre hjelpere i håndhevelse av personvernreglene. Prosjektet vil i første omgang bidra til å sette virksomheter i stand til å møte de nye kravene til håndtering av personopplysninger. Dette gjør vi gjennom å utrede alle juridiske og tekniske krav, å få på plass nødvendige verktøy og systemer for å møte disse kravene, og å avdekke og møte kommunikasjonsbehovene implementeringen har og får.

Hovedintensjonen med forordningen er å etablere en felles forståelse av rettigheter og plikter for personvern i alle europeiske landene. Forordningen pålegger derfor personvernmyndighetene å samarbeide og å utveksle erfaringer og informasjon over landegrensene. Samtidig etablerer den mekanismer for konflikthåndtering i de tilfellene ulike land har ulik forståelse av hvordan reglene skal tolkes. Dette samarbeidet mellom myndigheter er nytt sammenlignet med dagens regelverk og Artikkel 29-gruppen har satt i gang ulike utredninger om hvordan sentrale deler av forordningen skal tolkes. Datatilsynet bidrar foreløpig aktivt i to av disse, men regner med å få bidra i flere slike utredninger frem mot 2018.

Underveis i prosjektet vil vi oppdatere forordningssidene på Datatilsynets nettsider med artikler, avklaringer, veiledninger, verktøy eller annet som kan være nyttig for de som får nye plikter eller rettigheter etter forordningen.