Den 22. mai vedtok Stortinget ny personopplysningslov som erstatter gjeldende personopplysningslov fra 2000. Loven inkorporerer GDPR i norsk rett, og inneholder også en reguleringer som supplerer GDPR i Norge. Vi har tidligere omtalt lovendringene her.
Det gjenstående spørsmålet er nå når reglene kan tre i kraft i Norge. GDPR vil allerede 25. mai tre i kraft i EU, men for at reglene skal tre i kraft i Norge må GDPR først innlemmes i EØS-avtalen gjennom behandling i EØS-komitéen. Usikkerheten knytter seg særlig til to forhold:
For det første knytter det seg usikkerhet til Liechtensteins konstitusjonelle forbehold, hvor en lovendring blir rettskraftig først 30 dager etter vedtak. Dette får også betydning for GDPR, idet EØS-komiteens vedtak om å innlemme EU-rett i EØS-avtalen må være enstemmige. Siden EØS-komiteen ikke ser ut til å skulle behandle innlemming av GDPR i EØS-avtalen før i juli, kan dette medføre at de nye reglene ikke trer i kraft før i august måned.
For det andre knytter det seg usikkerhet til Islands behandling av saken. Alltingspresidenten på Island har visstnok uttalt at GDPR sannsynligvis ikke ville bli ferdigbehandlet av Alltinget på Island før «til høsten». Dersom dette er tilfelle kan det medføre ytterligere forsinkelser.
På tross av usikkerheten rundt ikrafttredelse er lite som tyder på at GDPR ikke vil tre i kraft i Norge (eller resten av EØS) i nær fremtid. Det er uheldig at vi fremdeles ikke har en konkret dato for ikrafttredelse, samtidig er det viktig å være oppmerksom på at reglene kan tre i kraft allerede fra juli. Det kan ikke forventes at myndighetene vil bremse prosessen for å gi berørte virksomheter ytterligere tid til forberedelse.