Det kan knapt kalles en fest. Det er ingen gallakjoler å se, bare byråkratens yndlingsarbeidsdrakt, fasjonabelt smykket med store dokumentmapper. Årets desidert viktigste utvikling i personvernretten nærmer seg likevel høydepunktet.
Mye stod på spill da justisministrene fra de 27 EU-landene nylig møttes i Rådet i EU i et forsøk på å definere spillereglene for behandling av personopplysninger i Europa.
Har klart å bli enige
Rådets siste bragd er en delvis enighet om ordlyden i to helt sentrale bestemmelser i den fremtidige personvernforordningen:
- Prinsippet om én behandling. Prinsippet om «én behandling – én myndighet» (one-stop-shop) omfatter regler for samarbeid mellom personvernmyndigheter i viktige transnasjonale saker. Tanken er at den behandlingsansvarlige skal kun forholde seg til én myndighet, selv om de behandler opplysninger i flere europeiske land. Bestemmelsene fastsetter hva oppgavene til de nasjonale personvernmyndighetene er, hvordan de skal håndtere en eventuell uenighet seg imellom og hvilke beslutninger som skal løftes til europeisk nivå. Bestemmelsene fastsetter også hvilke beslutningsmekanismer som skal til for å sikre enslydende tolkning av lovbestemmelsene. Dette er gode nyheter for store, multinasjonale bedrifter som opererer i flere land, og en hard nøtt å knekke for de av oss som jobber med å håndheve personvernrett i Europa.
- Hvordan beskytte personopplysninger. Bærebjelkene i beskyttelse av personopplysninger reguleres i forordningens kapittel II. Det er mye kjent stoff i teksten: Bestemmelser om behandlingsgrunnlag, grunnkrav til behandling av personopplysningene, vilkår for at samtykket skal kunne anses som gyldig, og regler som har å gjøre med samtykke fra barn. De strenge kravene vi i dag har til behandling av sensitive personopplysninger beholdes, og det er gitt adgang for medlemslandene til å vedta spesiallovgivning vedrørende behandling av personopplysninger på utvalgte områder (blant annet helse, arbeid, offentlig sektor, forskning og statistikk med offentlig interesse).
Med denne avtalen i boks på det som er det nest siste rådsmøtet i det latviske presidentskapet, kan det se ut som om drømmen om en fornyet, mer sammenhengende og mer moderne regelverk på personvernområdet er innen rekkevidde.
Fra før har flere brikker i den nye rettsakten falt på plass:
- Forordningens geografiske virkeområde. Kort oppsummert vil ikke-europeiske virksomheter måtte følge de samme reglene som de europeiske, dersom de velger å tilby tjenester eller varer til europeiske borgere, eller for eksempel å kartlegge bruksmønsteret til europeiske nettbrukere.
- Forordningens anvendelse i offentlig sektor. Dette er ingen overraskelse for oss, siden personopplysningsloven gjelder også behandlingen av personopplysninger i offentlige virksomheter. Det som virkelig er gledelig for oss er at Norge vil kunne beholde særreglene for behandling av personopplysninger i offentlig sektor, selv om disse skulle avvike fra forordningens bestemmelser.
- De behandlingsansvarliges og databehandlernes plikter. Denne delen skal vi komme tilbake til ved en senere anledning, siden temaet er verdt en egen diskusjon.
- Overføring av personopplysninger. Det er oppnådd enighet om bestemmelsene omkring overføring av personopplysninger til tredjeland eller internasjonale organisasjoner.
- Særskilte behandlinger av personopplysninger. I praksis får medlemslandene adgang til å gjøre unntak fra forordningens regler når det gjelder behandling av personopplysninger for journalistiske, artistiske eller akademiske formål, i forhold til ytringsfriheten, vedrørende behandling av fødselsnummer og liknende. Det blir også muligheter for unntak når det gjelder arbeidsforhold eller til formål knyttet til arkivering, statistikk eller forskning.
… men alt er ikke bare en dans på roser …
Der 27 ulike nasjonale prioriteringer og interesser forsøkes forent, er det ikke overraskende at resultatet ikke blir optimalt. Sterke stemmer har allerede uttrykt bekymring for innholdet i Rådets forslag, som på noen områder legger opp til et lavere beskyttelsesnivå enn det som utgjør status quo etter personverndirektivet. Leder Isabelle Falque-Pierrotin i Artikkel 29-gruppen, EUs arbeidsgruppe for personvern, har i kjølvannet av EU-rådets vedtak forrige fredag kommet med en pressemelding der hun uttrykker bekymring for utvanningen av prinsippet om formålsbestemthet. Art 6 (4) i Rådets forslag tillater nemlig gjenbruk av personopplysninger som er innhentet til ett formål, til andre, uforenlige formål, dersom den behandlingsansvarlige har en berettiget interesse i at behandlingen finner sted. Denne bestemmelsen blir av personvernmyndighetene sett på som et frontalangrep på personvernet, sammen med det faktum at direkte markedsføring og forskning blir forstått som to forenlige formål for bruk av personopplysninger. Disse bestemmelsene vil mest sannsynligvis ikke stå uimotsagt verken i forkant av, eller i løpet av den såkalte trialogen mellom EU-rådet, -kommisjonen og -parlamentet.
Tre må være med på leken
Forestillingens siste akt er nemlig ikke spilt i Brussel. EU-kommisjonen, -parlamentet og -rådet må vedta likelydende tekster dersom forordningen skal bli vedtatt.
Rådets siste behandling av saken forventes i midten av juni. 14. og 15. juni skal justisministre fra de 27 EU-landene forsøke å lande noen overordnede prinsipper for forordningen. Dokumentet er frem til nå forhandlet kapittelvis under prinsippet «ingenting er avtalt til alt er fremforhandlet». Det skal da få en mer sammenhengende og ordentlig utforming og gjøres klart for den siste etappen i forhandlingene.
I juni vil Rådet få den formelle mandatet til å forhandle med Kommisjonen og Parlamentet. Da kan den myteomspunne «trialogen» begynne.
Personvernmyndigheter i EU- og EØS-landene venter spent på resultatene etter denne forestillingen, der høytstående representanter fra de tre EU-institusjonene vil danse seg frem til enighet etter en selvkomponert melodi.
Uansett hvor vellykket koreografien vil fremstå, vil den for en del av oss bli helt uforglemmelig. I alle fall vil forordningen som kommer som et resultat av den bli den helt sentrale rettsakten i Europa på personvernfeltet.