Gjennomføring
av EU si personvernforordning
Etter å ha arbeidd
med regelverket i over fire år, vedtok EU den nye forordninga om
personvern, forordning 2016/679, i april 2016. Ho tek til å gjelde
i alle EU sine medlemsstatar 25. mai 2018 og vil erstatte det nogjeldande
personverndirektivet, direktiv 95/46/EC. Dei gjeld direkte som nasjonal
rett i EU-landa. Samstundes med forordninga blei det vedteke eit
direktiv om behandling av personopplysningar i justissektoren. Forordninga
er EØS-relevant og direktivet er Schengen-relevant. Begge delar
vil derfor bli gjennomførte i norsk rett.
Forordninga fører
til at personvernreglane i Europa blir harmoniserte i større grad
enn etter det gjeldande personverndirektivet. Gjennomføring av forordninga
er eit viktig element i både den norske og den europeiske digitaliseringspolitikken.
Eit tilnærma einsarta
personvernregelverk i heile EU-/EØS-området vil vere ein fordel
både for dei registrerte og for verksemder som behandlar personopplysningar
og skal etterleve reglane. Forordninga legg opp til fleire ordningar
for å sikre einsarta tolking av reglane i alle EU-/EØS-landa. Forordninga
legg opp til eit utstrakt samarbeid mellom dei nasjonale datatilsyna,
samstundes som det blir oppretta eit felleseuropeisk datatilsyn med
eit overordna tilsynsansvar («European Data Protection Board»).
Det felleseuropeiske tilsynsorganet vil kunne fatte bindande avgjerder
i ein del enkeltsaker og uttale seg om tolking av forordninga. Dei
nasjonale datatilsyna må legge slike tolkingar til grunn i saksbehandlinga
si. Regjeringa arbeider for at det norske Datatilsynet skal få delta
i dette samarbeidet slik dei deltar i Artikkel 29-gruppa i dag.
Regjeringa meiner
den nye forordninga gir eit sterkt vern for personopplysningar.
Mange av dei grunnleggande personvernprinsippa og reglane som følger
av det gjeldande direktivet og gjeldande norsk rett, blir førte
vidare i forordninga. Dette har vore viktig for Noreg under forhandlingane
i EU. Samstundes innfører forordninga nye reglar på fleire område
og fører til endringar i norsk personvernrett.
EU-reglane er omfattande
og dekker alle samfunnsområde. I utgangspunktet skal vi, på lik
line med alle medlemsstatane i EU, gjennomføre forordninga i nasjonal
rett slik ho lyder. Reglane vil derfor bli viktige for alle dei
som behandlar personopplysningar i Noreg. Ei merkbar endring for
både Datatilsynet og dei som behandlar personopplysningar, vil vere
at den ganske omfattande konsesjonsplikta vi kjenner i dag, fell
bort. Til erstatning blir det innført ei omfattande plikt for dei som
skal behandle personopplysningar, til å gjere grundige utgreiingar
av personvernkonsekvensar før nye tiltak blir sette i verk. Med
grunnlag i konsekvensvurderingane skal dei behandlingsansvarlege
gjennomføre risikoreduserande tiltak. Som ledd i dette arbeidet
kan dei søke råd hos Datatilsynet i samsvar med reglane om førehandsdrøftingar
i forordninga. Dei som behandlar personopplysningar, må på dette
viset sjølve ta mykje større ansvar for at dei behandlar opplysningar
i samsvar med reglane. Det finst likevel ei opning i forordninga
for å fastsette nasjonale reglar om konsesjonsplikt i særskilte
døme. Regjeringa vil vurdere om det er nødvendig med slike reglar
for å sikre personvernet.
Forordninga inneheld
ei rekke reglar som gir statane eit nasjonalt handlingsrom. I arbeidet
med gjennomføring av forordninga vurderer regjeringa korleis dette
handlingsrommet kan nyttast best mogleg for norske innbyggarar og
verksemder. Det kan derfor bli aktuelt å vidareføre nokre av dei
norske særreglane om behandling av personopplysningar, til dømes
i arbeidslivet ved forsking og vitskaplege formål.
Regjeringa arbeider
med gjennomføring av forordning 2016/679 i norsk rett. Direktiv
2016/680 om behandling av personopplysningar i justissektoren er
allereie foreslått gjennomført i norsk rett gjennom endringar i
politiregisterlova, sjå Prop. 99 L (2016–2017).