EUs justiskommissær Viviane Reding holdt i går to viktige taler om det pågående arbeidet for å stramme opp europeisk personvern. Den ene var rettet til EUs øverste personvernmyndighet, den såkalte Article 29 Working Party (se Independent Data Protection Authorities: Indispensable Watchdogs of the Digital Age), den andre til en konferanse om nettskyen organisert av GSMA (se Privacy in the Cloud: Data Protection and Security in Cloud Computing).
Samtidig har Statewatch lekket et utkast til det dokumentet Reding vil erstatte dagens personverndirektiv med: General Data Protection Regulation (pdf, 116 sider).
I talen til Article 29 Working Party forklarer Reding at hun ønsker én personvernlov for hele Europa. Hun har følgelig valgt et bestemt «juridisk instrument» for å sikre dette.
At dagens direktiv, «Data Protection Directive», skal erstattes med en «Data Protection Regulation», er ingen tilfeldighet. I EU-verdenen er et direktiv et pålegg til medlemslandenes nasjonalforsamling om å innlemme et sett med regler i landets lovverk.
En «regulation» krever derimot ingen behandling i medlemslandenes nasjonalforsamlinger. Det er et sett med regler som umiddelbart gjøres gjeldende for alle medlemsland, straks gyldige vedtak er fattet av EUs tre organer, det vil si EU-kommisjonen, EU-parlamentet og ministerrådet.
I et varsel til sine klienter om personvernarbeidet i EU, skriver det internasjonale advokatfirmaet Morrison & Foerster: «Straks en ‘regulation’ er vedtatt, blir den til en lov i alle EUs medlemsstater nøyaktig slik den står skrevet.»
Poenget er altså at nå skal medlemslandene marsjere i takt, og EU sentralt skal diktere gjeldende lover og regler.
Reding tar flere tiltak for å sørge for at den kommende personvernreguleringen også håndheves sentralt og konsekvent.
Article 29 Working Party, som består av representanter for medlemslandenes personvernmyndigheter, skal døpes om til «European Data Protection Board», og få visse fullmakter til å koordinere arbeidet til de nasjonale datatilsyn. Den forholdsvis beskjedne institusjonen «European Data Protection Supervisor» skal konstitueres som sekretariat til «European Data Protection Board».
I tillegg til «General Data Protection Regulation» arbeider Reding med et direktiv som skal anvise vilkår for politiet og rettssystemets tilgang til personopplysninger, «Police and Criminal Justice Data Protection Directive».
Hva er så innholdet i personvernlovene som EU skal banke gjennom?
Det som er kjent fra før, bekreftes av utkastet til General Data Protection Regulation:
- EU vil gjøre det umulig for amerikanske myndigheter å kreve tilgang til europeiske persondata, uten at det klareres med EU i forkant.
- EU innfører skyhøye bøter for brudd på personvern.
- EUs personvernlov skal gjelde også for utenlandske selskaper, dersom de har et kontor i Europa, eller dersom de har kunder i Europa.
- «Retten til å glemmes» skal lovfestes: Privatpersoner skal ha anledning til å kreve sletting av persondata, og slike anmodninger skal etterkommes med mindre spesielle hensyn taler mot.
- Tap av personopplysninger skal varsles både personvernmyndighetene og individene det gjelder, innen 24 timer.
- Offentlige organer, samt private bedrifter med over 250 ansatte, pålegges å etablere et personvernombud.
- Ved lagring av personopplysninger, skal det innhentes samtykke fra den det gjelder, på forhånd.
I tillegg kommer blant annet følgende:
- Personvernmyndigheten i landet der et selskap har sitt hovedkontor, har det overordnede ansvaret for å håndheve personvernloven overfor det selskapet. Reding sa i sin tale at hun ikke ville tolerere manglende koordinering, verken når det fører til parallelle tiltak, eller til ingen tiltak i det hele tatt.
- Dataprosessorer, det vil si selskaper som behandler persondata, og datakontrollører, det vil si selskaper som er ansvarlige for at persondata registreres, skal få nærmest sidestilt ansvar for å verne om disse dataene. Forekommer det lekkasjer fra et selskap som lagrer sine data i nettskyen, er både selskapet selv og nettskyleverandøren ansvarlige.
- Der personopplysninger behandles av flere instanser, skal instansene kunne framvise en avtale om ansvarsfordeling ved brudd på personvernet. I mangel av en slik avtale, gjøres alle ansvarlig for alle brudd, i fellesskap.
- Europeiske persondata vil kunne lagres utenfor Europa, forutsatt at datakontrollører og dataprosessorer innhenter nødvendige tillatelser og forplikter seg til å overholde EUs personvernregler. Tillatelse innvilges av medlemslandets personvernmyndighet.
- Medlemslandene pålegges å sikre personvernmyndigheten både uavhengighet og tilstrekkelig med ressurser til å følge opp loven og intensjonen bak den.
- De nasjonale personvernmyndighetene skal ha anledning til å ilegge bøter på opptil 5 prosent av et selskapets årsomsetning ved brudd på personvernet.
Digi.no har forelagt dette for Justisdepartementet, med spørsmål rundt hva det betyr for norsk lovgivning. Svar er ennå ikke mottatt.
Et endelig utkast til «General Data Protection Regulation» skal publiseres i slutten av januar, i forbindelse med World Economic Forum i Davos. Man må regne med to til tre års behandlingstid i EU for reglene trer i kraft, og gjøres gjeldende for alle medlemslandene.