Styrket personvern

Den største moderniseringen av personvernregelverket i EU siden 1995 er nå i ferd med å bli gjennomført. Målet er å styrke individets rettigheter og å overføre mer kontroll til den enkelte.

smart phone

En ny undersøkelse viser at nordmenn prioriterer personvern fremfor en enklere hverdag gjennom bruk av digitale tjenester. Tidligere er det vist at ni av ti europeere er bekymret for at applikasjoner på mobiltelefonen deres skal samle inn data uten samtykke, og at syv av ti er bekymret for virksomheters utnyttelse av denne informasjonen.

Personvernreformen skal styrke enkeltpersoners vern, blant annet ved:

  • Retten til å bli glemt. Den enkelte skal kunne be om å få slettet innsamlet data om seg selv, når det ikke lenger er noen legitim grunn til å beholde disse. Formålet er å gi individet mer kontroll over sine personopplysninger, ikke å slette fortid eller begrense ytringsfriheten.
  • Det skal bli enklere å flytte personlige data fra en tjenesteleverandør til en annen.
  • Det skal kreves eksplisitt samtykke til innsamling av personlig data.
  • ”Personvernvennlige” innstillinger skal være standardinnstillingen på for eksempel sosiale medier.

Retten til å bli glemt innebærer at personlige opplysninger eies av vedkommende selv, og ikke av den som har samlet inn eller lagret opplysningene. Personopplysninger omfatter informasjon som kan bli brukt til å identifisere en konkret person. Det holdes i forslaget åpnet om personopplysninger omfatter informasjon som gjør at man med høy sannsynlighet kan identifisere en person – for eksempel et bilde av en person. Også andre spørsmål er uavklarte.  Hva ligger i at informasjonen skal glemmes – må alle kopier av informasjonen slettes og fjernes slik at det er umulig å finne tilbake til informasjonen uansett teknisk hjelpemiddel, eller kan tekstkopier av informasjonen beholdes, så fremt informasjonen ikke lenger synliggjøres?

Det nye regelverket kommer i form av en forordning, som betyr at reglene vil gjelde likt i hele Europa, også i Norge. Regleverket blir dermed klarere og mer entydig. Videre stilles det større krav til virksomhetens ansvar for intern kontroll, i stedet for dagens formelle og kostnadskrevende meldingsrutiner. Virksomhetene skal kunne forholde seg til én nasjonal tilsynsmyndighet i det landet virksomheten har sitt hovedsete, og befolkningen skal kunne forholde seg til sin nasjonale tilsynsmyndighet. Tilsynsmyndighetene gis kompetanse til å ilegge bøter på opp til 1 million euro, eller 2 % av virksomhetens samlede årlige omsetning.

Både retten til å bli glemt og personvernreglenes internasjonale anvendelse illustreres ved den nye og mye omtalte dommen avsagt av EU-domstolen 13. mai. Saken gjaldt et krav om at Google måtte fjerne linker til en spansk nettavis som kom opp ved søk på klagerens navn i Google. På nettstedet fremkom opplysninger om klageren i forbindelse med et tvangssalg av hans eiendom. EU-domstolen kom til at enkeltpersoner har rett til å be utgiver av søketjenester om at innhold som er lovlig publisert på en nettside ikke skal være søkbart basert på navn, dersom de personlige dataene som er publisert er mangelfulle, irrelevante eller ikke lenger relevante (i tid).  

Google ble ansett som databehandler, og det ble fastslått at spansk rett kom til anvendelse selv om søketjenesten i sin helhet ble styrt av Google Inc. (USA), fordi Google Inc. retter seg mot kunder i Spania. Dommen har vakt oppsikt da den i betydelig grad utvider definisjonen av rettighetene slik de i dag er implementert og fortolket i medlemsstatene. Den nye forordningen inneholder forslag om nettopp å utvide det territorielle omfanget av EUs personvernslovgivning. Europeisk rett vil dermed gjelde for alle virksomheter som retter seg mot europeiske borgere, selv om virksomheten har sitt sete utenfor Europa. En slik utvidelse av reglene innebærer at mange virksomheter nå må foreta vanskelige avveininger ved forespørsler om behandling av personopplysninger.

Det nye regelverket skal i prinsippet gjennomføres ”ord for ord” i nasjonal rett, også i Norge. Hvor lang tid en gjennomføring vil ta, er uvisst – i mellomtiden oppstiller EU-domstolens avgjørelse nye strenge krav til både norske og utenlandske databehandlere.

Dette innlegget sto også å lese i Dagens Næringsliv 24.06.14.