søndag 19. februar 2017

EUs nye personvernforordning

I en artikkel i Dagens Næringsliv lørdag, "Ledere uvitende om ny personvernlov", omtales en undersøkelse it-selskapet Atea har gjort blant over 600 ledere i privat og offentlig sektor. Et av funnene der er at 4 av 5 ledere ikke har satt seg inn i den nye personvernlovgivningen som gjelder fra 2018.

Jeg tenker vel at det ikke er helt uvanlig at ledere ikke har full oversikt over lover og regler et år før de trer i kraft. men dette er en viktig påminnelse om at mange har en jobb å gjøre for å oppfylle kravene som kommer. Da er det viktig at man starter jobben i tide.

Dette er også en god anledning til å reklamere for den utmerkede informasjonen og de gode rådene som finnes på Datatilsynets nettsider om hva EUs nye personvernforordning betyr. Det finnes en ensides oversikt med 10 punkter om hva som er nytt og 4 punkter om hva alle virksomheter må ha på plass, her i pdf-utgave. Og så finnes det en klikkbar nettside med overskriften "Hva betyr de nye personvernreglene for din virksomhet?". Her kan man under de 12 punktene lese om ulike plikter virksomheter må oppfylle, blant annet at alle må ha en forståelig personvernerklæring, at alle må vurdere personvernrisiko, at man må bygge personvern inn i nye løsninger og at virksomheter som behandler sensitive personopplysninger i et større omfang må ha et personvernombud.

Det stilles også krav til at virksomheter kan oppfylle en del viktige personvernrettigheter når de registrerer personopplysninger. Disse borgerrettighetene inkluderer "retten til å bli glemt", "retten til å kreve begrensning", "retten til dataportabilitet" og noen særskilte rettigheter for bruk av barns personoppysninger. Hva de ulike rettighetene innebærer har Datatilsynet beskrevet under punktet "Alle må kunne oppfylle borgernes nye rettigheter".

Det nye lovverket heter General Data Protection Regulation på engelsk og er en EU-forordning. I motsetning til et EU-direktiv som må vedtas i hvert enkelt lands lovverk før den blir gyldig, har en forordning lovs kraft direkte. EØS-avtalen gjør at dette også er tilfelle i Norge.

Så kan man jo spørre om hvorfor det er slik at det er nødvendig at personvernregler må være felles og like over hele EØS-området og ikke kan ha lokale variasjoner? Jeg mener at det er to svært viktige grunner til at felles EU-regler er bra. For det første bidrar det til en enklere hverdag for både innbyggere og næringsliv at man må forholde seg til de samme reglene. Da unngår man også at noen i næringslivet får et uheldig konkurransefortrinn fordi landet de er i har valgt å være mindre opptatt av personvern.

Og minst like viktig er det å sørge for at Europa kan stå sammen om å kreve at selskaper fra utenfor Europa, enten de er fra USA eller Kina, skal tilpasse seg en strengere europeisk personverntradisjon og europeisk lovgivning når de tilbyr tjenester i europeiske land. Et lite land som Norge har mindre å stille opp med mot utenlandske teknologigiganter, som har et ønske om å benytte persondata i sine tjenester og i sine annonser, hvis vi krever at de må forholde seg til vårt lovverk i tillegg til 30 andre nasjonale regler. Med felles europeiske rettigheter for innbyggerne og spilleregler for næringlivet er det mye lettere å sette en standard.

Med det nye personvernregelverket tar EU et viktig skritt fremover. Det styrker personvernet i en tid der vi opplever en rivende teknologisk utvikling der personopplysninger brukes til stadig flere ting. Derfor er det på noen områder strengere enn før. Det er viktig at lovverket moderniseres i tråd med de utfordringene personvernet møter slik at det både sikrer våre liberale borgerrettigheter, men samtidig skaper like og forutsigbare rammebetingelser slik at næringslivet kan tilby nye og innovative tjenester på tvers av geografiske grenser.