I går fattet EU-parlamentet sitt endelige vedtak om EUs nye personvernforordning. Vedtaket innebærer at alle EU- og EØS-land ligger an til å få felles personvernlovgivning innen utgangen av 2014. Siden det dreier seg om en forordning og ikke et direktiv, er det ikke adgang for landenes nasjonalforsamlinger å vedta endringer.

Direktør Bjørn Erik Thon i Datatilsynet sier til digi.no at EU-parlamentet ser ut til å ha fattet et godt vedtak.

Det er over to år siden EU-kommisjonen la fram sitt første utkast, og Thon fryktet at amerikanske giganter som Facebook og Google ville lykkes i en varslet omfattende lobbyvirksomhet å presse gjennom endringer i negativ retning. Det har ikke skjedd. Avsløringene de siste månedene om amerikansk elektronisk overvåkning og digital spionasje ser ut til å ha befestet europeiske politikeres ønske om å styrke personvernet.

– Viktige prinsipper som vi fryktet kunne fjernes, er beholdt, sier Thon til digi.no. – Det viktigste er at europeiske personvernregler skal gjelde for alle som bedriver forretnings- og annen virksomhet i Europa. Jeg merker meg uttalelser fra medlemmer av EU-parlamentet som at «business i Europa betyr å følge europeiske regler». Mer komplisert bør det heller ikke være.

Styrker også norsk personvern
Thon mener det vil styrke det norske personvernet når EU-forordningen erstatter den tilårskomne norske personopplysningsloven.

– Et eksempel er prinsippet om at man har rett til å få slette data, man har rett til å bli «glemt». EU-formuleringen er sterkere.

Thon mener formuleringen på dette punktet i vedtaket fra EU-parlamentet også er sterkere enn i det opprinnelige utkastet fra EU-kommisjonen.

– Den innebærer at man også skal få beskjed om hvem ens personopplysninger er delt med. Dette er nytt, også i forhold til personopplysningsloven.

Forordningen lovfester to prinsipper som Datatilsynet har konsekvent forfektet i alle år: Personvern skal bygges inn i tjenester og produkter fra bunnen av, og skal leveres med sterk personvern som forhåndsvalg.

Ny praksis i sosiale medier
– I praksis betyr dette at du må velge bort personvern for å bli med på et sosialt medium. Og når et sosialt medium kommer med noe nytt, må det innhente samtykke for det nye. I dag sier Facebook at det holder å informere brukeren. EU-forordningen innebærer at Facebook må endre praksis: De kan ikke nøye seg med å informere, de må også innhente samtykke før en endring med personvernfølger iverksettes for brukeren. Dette kommer til å styrke selvbestemmelsen i sosiale medier.

– Blant de mindre uoverensstemmelsene som parlamentet og kommisjonen må avklare, er bøtenivået. EU-kommisjonen gikk inn for bøter på opptil 2 prosent av den globale årsomsetningen for selskaper som ikke føyer seg, mens EU-parlamentet vedtok 5 prosent. Hva synes du om det?

– Man kommer uansett opp på et bøtenivå i en helt annen skala enn det vi bruker i Norge. I Datatilsynet mener vi at hovedmåten å håndheve regelverket på skal ikke være bøter. Men bøter innebærer en mulighet til å legge press, og adgangen til å skrive ut bøter er positivt. Det viktigste her er det klare signalet som sendes om hvor alvorlig det er å bryte personvernet.

Vedtakene i kommisjonen og parlamentet signaliserer EUs ønske om å gjøre håndhevingen av personvernforordningen så effektiv som mulig. Thon er likevel redd for unødvendig byråkrati.

– Det ser ut til at EU-kommisjonen har gitt seg selv svært mye makt for å gripe inn i prosesser. Motivet for dette er å sikre enhetlig håndheving i alle medlemsland. Flere faktorer kan gjøre dette vanskelig. Det er store kulturelle forskjeller i synet på personvern, for eksempel mellom land som Norge, Hellas og Portugal. Det er også huller i forordningen, for eksempel rundt personvern i arbeidslivet.

Datatilsynet må i tiden framover gå gjennom norske regler og veiledninger, og bygge opp ny praksis på områder som retten til å bli glemt, sier Thon.

– Det er mye vi nå må studere nøye for å få en endelig oversikt. Samtidig vil mange regler og databehandleravtaler ligge fast. De viktigste endringene dreier seg om saker som må gå gjennom flere land. Amerikanske selskaper vil opplagt måtte endre praksis: Innebygget personvern, rett til å bli glemt, personvern som standardinnstilling, krav som samtykke og tilgang til egne data er prinsipper de vil måtte forholde seg til, uavhengig av hvilket europeisk land de driver i.