I en felles EØS EFTA-kommentar fra 29. februar ønsker Island, Liechtenstein og Norge Kommisjonens forslag til forordning om forbedring av håndhevelsen av den generelle databeskyttelsesforordningen (GDPR) i grensekryssende saker velkommen, jf. pressemelding fra EFTA-sekretariatet. EØS EFTA-kommentarer er et av verktøyene EØS EFTA-statene bruker for å fremme synspunkt på EUs lovforslag, politikk og programmer.

Personvernforordningen (GDPR) trådte i kraft i EU i mai 2018 og ble innlemmet i EØS-avtalen samme år, med ikrafttredelse 20. juli 2018. I sitt nylig fremlagte forslag har Kommisjonen som mål å styrke GDPR ved å innføre ytterligere prosedyreregler for håndheving av personvernlovgivning i grensekryssende saker. Nærmere informasjon om forslaget fremgår i departementets EØS-notat, inklusivt Datatilsynets merknader til forslaget.

EØS EFTA-statene støtter Kommisjonens overordnede formål med forordningsforslaget. De erkjenner at et velfungerende grensekryssende håndhevelsessystem er avgjørende for å sikre EØS-borgeres rett til beskyttelse av personopplysninger. Samtidig fremhever EØS EFTA-statene at enkelte prosedyreregler i forslaget bør revideres:

• EØS EFTA-statene er av den oppfatning at det ikke alltid vil være tydelig i hvilket tilfelle en sak skal klassifiseres som grensekryssende eller som en sak utelukkende for den nasjonale databeskyttelsesmyndigheten: «Therefore, the EEA EFTA States consider it necessary to clarify in the proposal from which stage in the process the new procedural rules should apply.» Dette er viktig for å gi nødvendig veiledning til nasjonale datatilsynsmyndigheter og sikre rettighetene og pliktene til alle berørte parter.
• EØS EFTA-statene er bekymret for at noen av de foreslåtte reglene, spesielt med hensyn til oversettelse, vil øke den administrative byrden for nasjonale databeskyttelsesmyndigheter uten å bidra til raskere løsning av saker. EØS EFTA-statene mener forslagets krav om å oversette alle dokumenter til språket til både den ledende databeskyttelsesmyndigheten og klageren vil skape ekstra kostnader, og at oversettelse til engelsk bør være tilstrekkelig.
• I henhold til forslaget (artikkel 9) er den ledende datatilsynsmyndigheten forpliktet til å utarbeide et «sammendrag av sentrale spørsmål» i alle grensekryssende saker. EØS EFTA-statene mener denne forpliktelsen i mange tilfeller vil føre til en unødvendig saksbehandlingsforsinkelse. De fleste slike saker er ikke-kontroversielle, og vedtak fattes ved konsensus mellom de involverte myndighetene. Krav om å oppsummere sentrale problemstillinger bør derfor kun gjelde omfattende og kontroversielle saker, eller hvor minst én av datatilsynsmyndighetene ber om et slikt sammendrag.

EØS EFTA-statene understreker for øvrig at «Article 5 of the proposal regarding amicable settlement should not exclude the case being handled through the mechanism laid down in Article 60 GDPR.» Øvrige kommentarer omhandler behov for en utdypning av forholdet mellom «Article 20 of the proposal and Article 78 GDPR in the recitals of the proposed regulation.»

En merknad gjelder kun for Norge og Island: «While Iceland and Norway recognise the need for some information to be kept confidential, they find the duty of confidentiality, particularly concerning non-confidential information, to be too extensive in the proposal.» I departementets EØS-notat fremgår det at «Forordningsforslaget inneholder bestemmelser om tilgang til og bruk av dokumentasjon i klagesaker som skal behandles (…). Reglene er ikke fullt ut i samsvar med bestemmelsene om partsinnsyn i forvaltningsloven og offentlighetsloven.»