Lut er i hvert fall delt ut.
Som direktøren vår har skrevet om, kom endelig teksten til en etterlengtet personvernforordning 15. desember 2015. Det er en del formelle runder som gjenstår før forordningen er helt ferdig, men vi har nå oversikt over hva som kommer til å styre personvernet i årene fremover.
Alle direktørene i de nasjonale europeiske datatilsynene var samlet i Brussel i går og diskuterte noen elementer av den nye forordningen. EU-kommisjonen var også der og snakket om hva som var oppnådd på personvernets vegne.
Det første de trakk frem var at samtykke var styrket – eller presisert er kanskje en bedre beskrivelse. Fortalen til forordningen krever at samtykke ikke kan være implisitt – det må en aktivitet til fra den som samtykker sin side. Jeg er spent på hva som blir nedre grense for hva som kan utgjøre en slik «samtykkeaktivitet». Det skal praksis avklare, og det blir viktig for oss som tilsynsmyndigheter å følge opp. Det blir alle personers første og siste skanse for medbestemmelse og påvirkning av eget personvern.
Fortalens punkt 25:
«Consent should be given by a clear affirmative action establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to personal data relating to him or her being processed, such as by a written, including electronic, or oral statement.»
Det andre temaet som ble nevnt var muligheten til å ilegge sanksjoner, og da typisk i form av overtredelsesgebyr. Det er ikke alle tilsynsmyndigheter som har denne muligheten i dag. Datatilsynet i Norge har det, en mulighet vi har brukt i de mest alvorlige sakene og saker hvor vi mener det er viktig at det kommer en synlig reaksjon i tillegg til en korrigering.
Det EU-kommisjonen sa om dette var interessant. De sa at det var bra at gebyrnivået nå var besluttet, og at nivået nærmet seg det som gjelder for konkurransemyndighetene. Mitt inntrykk er at de var godt fornøyd med akkurat dette.
Jeg trekker ut av det de sa at brudd på personvernreglene nå stiller i samme klasse som brudd på konkurransereglene.
Det som blir spennende, er hvilket nivå personvernmyndighetene legger seg på i Europa når det gjelder overtredelsesgebyr når lovverket nå tillater at vi gir gebyrer på inntil fire prosent av et selskaps årlige, globale omsetning.
Nå har alle datatilsynsmyndighetene samme utgangspunkt med likt regelverk, og jeg kan ikke skjønne annet enn at nivået på gebyrene også må være likt i hele Europa.
Alle må nå forholde seg til en praksis som i lagt større grad vil være farget av hva som gjøres i andre land. Slik jeg oppfattet EU-kommisjonen, ser de for seg at reaksjonene skal ligge opp mot nivåene som konkurransemyndighetene bruker. Det betyr for mange datatilsynsmyndigheter i Europa at de kan komme med betydelig strengere reaksjoner i fremtiden.
- Se også Bjørn Erik Thons innlegg: – Enighet om nye personvernregler i EU
- Ny forordning for personvern gir flere rettigheter (datatilsynet.no)