I en tale i Brussel i dag skisserte EUs justiskommissær Viviane Reding prinsippene som skal legges til grunn for EUs reviderte personvernlov. Hun regner med å ha et utkast klart i løpet av sommeren. Endelig behandling i kommisjonen, EU-parlamentet og ministerrådet kan ta rundt et år.
Manuskriptet til talen er lagt ut på nett: Your data, your rights: Safeguarding your privacy in a connected world. Det går fram av tittelen av lovrevisjonen først og fremst er motivert av hvordan nettets utvikling påvirker personvernet.
Det viktigste poenget i Redings tale var en klar understreking av at lover som regulerer EU-borgeres personvern, skal gjelde – og håndheves – uavhengig av hvem som lagrer personopplysningene, hvordan de lagres, og hvor de lagres.
– Det kan ikke gjøres unntak for tjenestetilbydere i tredje land som kontrollerer våre borgeres data. Ethvert selskap som driver i EUs marked, og ethvert nettprodukt som rettes mot EUs forbrukere, må følge EUs regler, sa hun.
Hun la til, uten å nevne navn:
– Et eksempel på dette: Et sosialt nettverk basert i USA, med millioner av aktive brukere i Europa, må følge EUs regler.
Hun understreket at reglene vil bli håndhevet.
– Nasjonale personvernmyndigheter skal utstyres med fullmakter til å etterforske og innlede juridiske prosesser mot behandlingsansvarlige utenfor EU hvis tjenester sikter mot forbrukere i EU.
Hun la til at den nye lovgivningen vil sørge for å styrke uavhengigheten og harmonisere mandatene til de nasjonale personvernmyndighetene i alle 27 medlemsland. Det vil også tas tiltak for å fremme samarbeid over landegrensene mellom de nasjonale datatilsynene. Reding ønsker ingen gjentakelse av virvaret rundt Google Street View.
Prinsippet om håndheving av EU-borgeres personvern uavhengig av datalagringssted er den siste av fire «pilarer» som den reviderte loven skal bygge på. De tre første er:
- Rett til å glemmes
- Gjennomsiktighet
- Strengt personvern som standardinnstilling
Reding sa at det å kunne fjerne egne personopplysninger fra en tjeneste må være en lovfestet rett, og ikke bare en mulighet. I tilfelle strid, må den behandlingsansvarlige – tjenestetilbyderen som lagrer dataene – bevise at de trenger persondataene. Enkeltpersoner skal ikke ilegges byrden av å måtte bevise at den behandlingsansvarlige ikke har bruk for dataene lenger.
Med andre ord: Man skal kunne trekke seg fra sosiale tjenester, og være sikre på at alle persondata, også bilder, slettes i det man gjør det.
Reding beskrev gjennomsiktighet som den grunnleggende betingelsen for egen kontroll over persondata og for å bygge tillit på nett.
– Individer må informeres om hva slags data det samles på, og til hvilke formål. De må vite hvordan de kan brukes av tredje part. De må kjenne sine rettigheter og vite hvem de kan henvende seg til dersom rettighetene brytes.
Igjen er det sosiale tjenester Reding har i tankene:
– Ofte beskrives ikke ufordelaktige betingelser i klar tekst, som når brukere bare får begrenset kontroll over sine opplysninger, eller når data gjøres offentlig tilgjengelig til evig tid.
Prinsippet «strengt personvern som standardinnstilling» er nok et slag mot det Reding beskriver som «tilfeller av urettvis, uventet eller urimelig prosessering av data», som når data innsamlet til ett formål brukes til et annet uten at det innhentes personlig tillatelse.
Reding understreket at prinsippet også er ment å hindre skjult innsamling av persondata gjennom «apps». Applikasjoner som for eksempel kringkaster hvor mobiltelefonen du bruker befinner seg, uten at du selv har aktivert denne egenskapen, vil følgelig opptre i strid med det kommende EU-lovverket.
Merk hvilken følge den fjerde pilaren, at loven skal gjelde for EU-borgeres personopplysninger uavhengig av hvor dataene lagres, fjerner en viktig innvending mot personregistre i nettskyen.
Siden loven skal gjelde uavhengig av hvor dataene lagres, er det ikke lenger lovhjemmel for å kreve at persondata lagres på ett bestemt fysisk sted. Det som teller, vil være den faktiske sikkerheten i tjenestetilbyderens IT-system.
NB: Den opprinnelige utgaven av denne artikkelen brukte «datakontrollør» i stedet for «behandlingsansvarlig» som oversettelse på det engelske begrepet «data controller». Vi ble gjort oppmerksom på feilen fra faglig hold. Mange takk til advokat Marit Larsen Haarr i advokatfirmaet Haavind.