IT-politisk råd – Den Norske Dataforening – Høringsnotat 3. mai 2018, Adv. Arve Føyen – leder IT-politisk råd

3. mai 2018 Av: Arve Føyen, Advokat/leder, IT-politisk råd
Arve_300

Personlig har jeg arbeidet med personvernspørsmål siden jeg var konstituert direktør og senere kontorsjef i Datatilsynet fra det ble etablert i 1979 frem til 1984 da jeg gikk over i privat praksis. Senere var jeg i åtte år frem til utløpet av 2016 nestleder i personvernnemnda – oppnevnt av Stortinget.

Den Norske Dataforening (DND) er Norges største IT-faglige forening. IT-politisk råd har som mandat å representere Dataforeningen med høringsuttalelser og opinionspåvirkning i saker av IT-politisk og strategisk viktighet for bransjen og foreningen.

IT-politisk råd mener også at det er et klart behov for nye personvernregler. Dette er spesielt viktig på grunn de store menger personopplysninger vi alle etterlater oss på digitale tjenester og flater.

Digitaliseringen i samfunnet gjør også at den nye loven og forordningen er relevante for alle virksomheter, i nær sagt alle bransjer. De treffer alt fra enkeltpersonforetak til internasjonale konsern. De samme reglene gjelder for alle, med noen få unntak.

Det bringer meg til mitt hovedpoeng. Kompleksiteten og omfanget av de nye reglene gjør de svært vanskelige både å forstå og etterleve - særlig for små og mellomstore virksomheter.

Kompleksiteten treffer på to nivåer. 

Forordningen har en lovgivningsteknikk som er ukjent for mange, også jurister, her i Norge. Et eksempel: For å kunne behandle personopplysninger må man ha et behandlingsgrunnlag etter artikkel 6. Et av de viktigste behandlingsgrunnlagene krever at behandlingen er «..nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn». 

Dette er en svært praktisk situasjon. Bommer man på denne interesseavveiningen vil man i mange tilfeller ha brutt loven, og kan få store bøter. Husk at dette ikke bare gjelder for store konsern, men for alle private virksomheter. Det er gitt lite veiledning om akkurat dette.

Det andre nivået av kompleksitet er den norske gjennomføringen av forordningen. I stedet for å hjelpe virksomhetene med å forstå forordningen, gjør regjeringens forslag det enda vanskeligere. I proposisjonen punkt 3.1 skriver departementet:

«I sum vil det ofte være nødvendig å forholde seg både til forordningens tekst, til de generelle supplerende bestemmelsene i personopplysningsloven og til eventuelle særreguleringer i spesiallovgivningen, og å se disse bestemmelsene i sammenheng.»

Senere i samme punkt skriver departementet at «Det bemerkes at forordningen må leses i lys av de tilpasningene som avtales ved innlemmelsen av forordningen i EØS-avtalen. Visse tilpasninger følger også direkte av EØS-avtalen protokoll 1 – for eksempel skal henvisninger til EUs medlemsstater leses som henvisninger til EØS-statene. Tilpasningene vil ikke bli innarbeidet i den offisielle norske språkversjonen.»

Virksomhetene har da to valg. Enten å leie inn kostbar spesialistbistand for å forstå sine forpliktelser, eller å forholde seg til Datatilsynets veiledere. Mange av disse veilederne er gode, men de dekker langt fra alle viktige spørsmål. 

I praksis er det da også Datatilsynet - et uavhengig forvaltningsorgan - som blir lovgiver gjennom å skrive veiledere til en lov som svært få forstår. Datatilsynet skal ivareta personvernet i all sitt virke. Det ligger i personvernets natur at det ofte vil være kryssende hensyn og andre viktige verdier som må veies opp mot personvernet. Slike vurderinger gjøres best i folkevalgte organer og ikke i et uavhengig forvaltningsorgan.

Vår anbefaling er derfor at man ikke forhaster seg i behandlingen av lovforslaget. Det vil ta tid før man i EU får gode svar på alle de viktigste uklarhetene i forordningen. Rådet i EU lanserte for øvrig 19. april i år rettelser til forordningen, på totalt 10 sider pr medlemsland – totalt 386 sider. 
 
Etter vårt syn har man lite å tape på å vente med innføringen. I påvente av at forordningen blir endelig vedtatt og innlemmet i EØS avtalen, har vi fortsatt Personopplysningsloven og Personverndirektivet fra 1995, som er en del av EØS-avtalen inntil den avløses av forordningen.


Se opptak fra Åpen høring i stortingets justiskomité torsddag 3. mai 2018 kl. 10.15
arve_600.png


Les også artikkel fra Rett24 - Arve Føyen: - Personvernloven bør utsettes