Prop. 56 LS (2017–2018)

Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen

Til innholdsfortegnelse

37 Økonomiske og administrative konsekvenser

37.1 Generelt

Da Kommisjonen i 2012 la frem utkast til nytt regelverk om behandling av personopplysninger, viste Kommisjonen til at en viktig målsetting med forslaget var å redusere administrative byrder og eliminere unødvendige kostnader. Videre skulle retten til personopplysningsvern gjøres mer effektiv, og den enkelte skulle få kontroll over egne opplysninger.1 Kommisjonen anslo besparelser på om lag 2,3 milliarder euro per år som en følge av reduserte administrative byrder i de nye reglene. Kommisjonen viste da blant annet til forslaget om å lage felles regler for hele EU og å sette opp en ettstedsmekanisme («one-stop-shop»).2 Kommisjonen viste også til at nye regler trolig vil medføre økte kostnader, særlig for noen behandlingsansvarlige. På den andre siden viste Kommisjonen til at strenge regler for behandling av personopplysninger kan gi EUs økonomi et konkurransefortrinn, da det øker forbrukernes tillit til markedet.

Forordningen slik den ble vedtatt i mai 2016, skiller seg på mange punkter fra den teksten Kommisjonen foreslo i 2012. De overordnede målsettingene med forslaget og de beregningene Kommisjonen hadde gjort, kan likevel etter departementets syn gi noen utgangspunkter for vurderingen av administrative og økonomiske konsekvenser ved gjennomføringen av forordningen. Kommisjonens vurderinger ved fremleggelsen av forslaget viser også hvor sammensatt en vurdering av forordningens økonomiske konsekvenser vil bli. Det må dels sees hen til implementeringskostnader som en følge av nytt regelverk, dels eventuelle kostnadsøkninger og besparelser som en følge av de nye materielle reglene, og dels mer avledede konsekvenser, for eksempel i form av bedrede forutsetninger for økonomisk vekst i Europa over tid.

At nytt regelverk gis i form av en forordning, som høringen viser at mange opplever som vanskelig tilgjengelig, og som i sin form er et uvanlig innslag i norsk lovgivningstradisjon, innebærer i seg selv økonomiske og administrative byrder knyttet til tolkningstvil og usikkerheten dette skaper. Veiledning fra Datatilsynet og uttalelser fra Personvernrådet vil kunne avhjelpe dette. Også atferdsnormer som utvikles på ulike livsområder, vil kunne gi veiledning. På sikt vil det også komme praksis fra både nasjonale tilsynsmyndigheter og domstoler samt EU- og EFTA-domstolen som vil bidra til å avklare tolkningstvil. Videre vil en rekke bedrifter få fordeler av at det nå blir et enhetlig regelverk i EØS, slik at byrder knyttet til å operere i flere EØS-land vil reduseres.

I det følgende vil det skilles mellom vurderingen av konsekvenser av reglene i forordningen og de utfyllende reglene som foreslås i ny personopplysningslov. Når det gjelder de direkte anvendelige reglene i forordningen, er konsekvensene av reglene som nevnt vurdert av EU under utarbeidelse av reglene. Videre må forordningens regler vurderes samlet med sikte på å avgjøre om forordningen som sådan skal tas inn i EØS-avtalen, da det ikke er mulig på nåværende tidspunkt å endre enkeltregler i forordningen.

37.2 Konsekvenser for offentlig sektor

Flere av høringsinstansene har uttalt seg om økonomiske og administrative konsekvenser for offentlig sektor. En rekke høringsinstanser mener at forordningens regler vil innebære betydelige kostnader for offentlig sektor og at spørsmålet ikke er tilstrekkelig utredet i høringsnotatet, dette gjelder Arbeids- og velferdsdirektoratet, Kirkerådet, Arkivverket, Helse Stavanger HF, Helse Nord RHF, Medietilsynet, Tolldirektoratet, Oslo kommune, Den norske legeforening, Utlendingsdirektoratet, IT-politisk råd i Den Norske Dataforening, Skattedirektoratet, Politidirektoratet og KS.

Arbeids- og velferdsdirektoratet viser til at forordningens regler trolig vil innebære store kostnader for direktoratet, men understreker at det er knyttet usikkerhet til beregningene. Høringsinstansen uttaler blant annet følgende:

«Ny personvernlov med personvernforordningen, setter strengere krav til styringssystem, dokumentasjon av behandlinger og dataflyt og utviklingsprosessen. Vår vurdering er at dette arbeidet har en engangskostnad på mellom 5 og 10 millioner kroner og økt forvaltningsomfang tilsvarende på 3-5 årsverk.
Det er knyttet stor usikkerhet til kostnadsanslagene for IT-løsningene og det vil i det videre arbeidet både vurderes alternative løsningstilnærminger og om kravene kan løses tilfredsstillende med enklere løsninger. Det vil også bli vurdert om det er mest hensiktsmessig å forbedre dagens IT-løsninger for å møte kravene eller om det er bedre å møte kravene gjennom å erstatte enkelte av dagens IT-løsninger med nye. Det må også vurderes om deler av kravene er riktig å se sammen med nye funksjonelle behov, og at gjennomføring og eventuelt også finansiering av lovkravene knyttes til nye behov.
Vår vurdering på nåværende tidspunkt er at totalkostnaden for at NAVs IT-løsninger skal møte kravene i ny personopplysninglov er mellom 90 og 140 millioner kroner.»

Også Politidirektoratet mener det nye regelverket vil innebære store administrative og økonomiske konsekvenser, og det pekes særlig på behovet for endringer i styrende dokumenter, kompetanseheving og endrede arbeidsprosesser. Høringsinstansen uttaler blant annet følgende:

«Etter direktoratets vurdering vil det nye regelverket generelt medføre behov for endringer i eksisterende styrende dokumenter og instrukser og utarbeidelse av nye, både internt i direktoratet og til underliggende organ, og i tillegg arbeid knyttet til innføring av nye krav til IKT-utviklingsprosjekter. Videre vil det være behov for endrede/nye arbeidsprosesser og rutiner og opplæring/kompetanseheving. Våre erfaringer med innføring av politiregisterloven tilsier at endring av arbeidsprosesser og kompetanseheving er ressurskrevende og vil berøre mange deler av organisasjonen, og at dette arbeidet er svært sentralt for en vellykket innføring. I Ot.prp. 108 (2008–2009) om lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven) var de økonomiske og administrative kostnadene særlig anslått ut fra behov for IKT-tilpasninger og ansettelse av personvernrådgivere, mens i praksis har kostnader knyttet til styrende dokumenter, kompetanseheving og arbeidsprosesser vist seg å utgjøre en betydelig del av de totale kostnadene for politiet.»

Høringen har også vist at gjennomføring av forordningen i norsk rett vil innebære kostnader for kommunene. KS uttaler blant annet følgende i sin høringsuttalelse:

«Ettersom konsekvensene for teknisk utvikling ikke er kjent, er det heller ikke mulig å si noe om hvorvidt dette er utgifter man kan håndtere innenfor eksisterende budsjettrammer eller ikke.»

Kirkerådet mener også at kommunene kan bli påført nye kostnader og peker særlig på kravet om personvernombud. Høringsinstansen uttaler følgende om dette:

«Kirkerådet bemerker at kommunene i Norge er pålagt å dekke kirkelig fellesråds utgifter til «administrasjon og kontorhold», jf. kirkeloven § 15 bokstav d. Ca. 420 kirkelige fellesråd i Den norske kirke vil trolig måtte opprette personvernombud eller gjøre innkjøp av slike tjenester. Siden kommunen etter loven har plikt til å dekke utgifter til administrasjon og kontorhold, vil innføring av plikt, dersom denne også vil gjelde kirkelig fellesråd, kunne medføre en ikke ubetydelig kostnad for kommunene.»

Høringen har vist at overgangen til et nytt regelverk vil innebære kostnader for offentlig sektor, blant annet knyttet til opplæring av ansatte og gjennomgåelse av rutiner og systemer. Det fremgår også at det er knyttet usikkerhet til hvor store kostnadene i forbindelse med tilpasning til det nye regelverket vil bli. Departementet fastholder at forordningen innebærer en videreføring av gjeldende rett på en rekke punkter, noe som begrenser kostnadene knyttet til innføringen av regelverket. Departementet påpeker videre at overgangen til forordningens regler også innebærer forenklinger, for eksempel ved at melde- og konsesjonsplikten avskaffes.

Departementet er enig med Kirkerådet i at plikten til å utpeke personvernombud etter forordningen artikkel 37, som pålegger behandlingsansvarlige og databehandlere plikt til å utpeke personvernombud i alle tilfeller hvor en offentlig myndighet eller et offentlig organ forestår behandlingen, vil innebære kostnader for offentlige organer. Kostnadene vil kunne begrenses noe ved at forordningen åpner for at flere aktører kan ha felles personvernombud.

Det er usikkert hvor store kostnadene for de ulike virksomhetene i offentlig sektor vil bli. Eventuelle implementeringskostnader vil dekkes innenfor berørte departementers gjeldende budsjettrammer.

Departementet foreslår i hovedsak nasjonale regler som viderefører gjeldende rett, noe som innebærer at forslagene ikke vil ha vesentlige økonomiske og administrative kostnader. Det foreslås nasjonale regler om at reglene om overtredelsesgebyrer skal gjelde tilsvarende for offentlige organer. Dette er en videreføring av gjeldende rett, men det at den øvre grensen for hvor store gebyrer som kan ilegges i det enkelte tilfelle, heves betraktelig, innebærer at offentlige organer kan bli ilagt langt høyere gebyrer enn etter gjeldende rett. Slike gebyrer vil imidlertid tilfalle statskassen. Bortfallet av straffansvar vil innebære færre oppgaver for politi og påtalemyndighet. Departementet kjenner imidlertid til få straffesaker om overtredelser av den gjeldende straffebestemmelsen i personopplysningsloven.

37.3 Særlig om konsekvenser for Datatilsynet

Datatilsynet vil få økte veilednings- og informasjonsoppgaver samt nye forvaltningsoppgaver etter forordningen. Datatilsynets arbeidsmåter og oppgaver endres i både omfang og innhold. Det må påregnes behov for økt bemanning for å håndtere nye oppgaver og økt sakstilfang knyttet blant annet til forhåndsdrøftinger, utarbeidelse av atferdsnormer, behandling av saker om lovovertredelser og ileggelse av administrative sanksjoner, deltakelse i sertifiseringsarbeid og generell veiledning om nytt regelverk. Fordi sanksjonene ved brudd på personvernregelverket kan bli svært tyngende, må det påregnes større behov for bistand fra Datatilsynet når nye ordninger og systemer som forutsetter behandling av personopplysninger, planlegges. I tillegg vil det være behov for å øke ressursene til utvikling og drift av nye IKT-systemer, nye digitale kommunikasjonsløsninger, flere nye informasjons- og kommunikasjonstiltak og kompetanseutvikling. Regelverket forutsetter at de nasjonale tilsynsmyndighetene deltar aktivt i det europeiske personvernsamarbeidet, og også samarbeider med hverandre om håndhevelse av reglene. Det må påregnes at Datatilsynet vil få betydelig økte kostnader til samhandling med andre personvernmyndigheter og deltagelse i internasjonalt personvernarbeid. Datatilsynet ble i 2017 gitt 7,5 millioner i økte bevilgninger for å kunne drive en rekke ulike aktiviteter knyttet til gjennomføringen av forordningen i norsk rett. I budsjettet for 2018 er det vedtatt å videreføre økningen fra 2017 på 7,5 millioner kroner, samt å øke posten med ytterligere 3,5 millioner kroner for å dekke Datatilsynets økte kostnader ved gjennomføring av nytt personvernregelverk. Midlene skal blant annet dekke intern kompetanseutvikling, ekstraordinære informasjonstiltak, utvikling av saksbehandlingsrutiner tilpasset nytt regelverk, utvikling av digitale kommunikasjonsløsninger og økt deltakelse i internasjonalt personvernarbeid. Det forutsettes at eventuelle ytterligere budsjettmessige konsekvenser for Datatilsynet vil bli dekket innenfor gjeldende budsjettrammer.

Den nye personopplysningslovgivningen innebærer en betydelig økning av den øvre grensen for overtredelsesgebyr. Den øvre grensen for overtredelsesgebyr økes fra 10 G til 20 millioner euro, eller 4 % av foretakets samlede globale årsomsetning fra forutgående regnskapsår. Det er knyttet usikkerhet til hvor store overtredelsesgebyrer som vil bli ilagt i praksis. Størrelsen på gebyrene vil avhenge av flere ulike faktorer. Datatilsynet må i hver enkelt sak ta hensyn til momentene som er listet opp i forordningen artikkel 83 nr. 2. Datatilsynet vil trolig også se hen til utviklingen i EØS, herunder retningslinjer og praksis fra Personvernrådet. Gebyrene vil på tilsvarende måte som i dag tilfalle statskassen.

Forslaget til nasjonale bestemmelser innebærer ingen særlige økonomiske og administrative konsekvenser for Datatilsynet, da forslagene i stor grad er en videreføring av gjeldende rett.

37.4 Konsekvenser for privat sektor

Departementet har merket seg at flere av høringsinstansene peker på at forordningen vil kunne ha betydelige økonomiske konsekvenser for private aktører, og at omfanget av slike konsekvenser ikke er tilstrekkelig utredet i høringsnotatet. Dette gjelder Arbeidsgiverforeningen Spekter, Juristforbundet, Nærings- og fiskeridepartementet, Næringslivets Hovedorganisasjon, Advokatforeningen, Medietilsynet, Coop Norge SA, Den norske legeforening, Sporveien Oslo AS, Rederiforbundet og IT-politisk råd i Den Norske Dataforening. Advokatforeningen uttaler blant annet følgende om spørsmålet:

«Det må forventes både betydelige økte kostnader og administrative konsekvenser ved flere endrede og nye krav etter forordningen. Utover plikten til å utnevne en personvernrådgiver, må også plikten til omfattende protokollering av behandlingsaktiviteter, gjennomføring av personvernkonsekvensutredning, innføring av nye tiltak som sikrer innebygd personvern og dataportabilitet mv, samt endring av eksisterende IT-systemer, endring av standarddokumentasjon og eksisterende databehandleravtaler og en lang rekke andre nye og utvidede forpliktelser, forventes å innebære økte kostnader og få betydelige organisatoriske konsekvenser for de fleste offentlige og private aktører.
Oppgavene som er forbundet med gjennomføringen av slike helt nye eller utvidede krav, vil innebære et betydelig behov for omorganisering, innhenting av nye ressurser, innføring av nye rutiner, utdanning av personell, innkjøp av tjenester mv. hos langt de fleste foretak.»

Finans Norge uttaler følgende når det gjelder konsekvenser for finanssektoren:

«Etter Finans Norges syn må det forventes betydelige økonomiske og administrative konsekvenser som følge av flere endrede og nye krav etter forordningen. Forordningens krav om personvernkonsekvensutredning, innføring av nye tiltak som sikrer innebygd personvern, dataportabilitet og endring av eksisterende IT-systemer vil alene medføre betydelige økonomiske og administrative kostnader, i tillegg kommer blant annet endring av dokumentasjon, gjennomgang, endring av databehandleravtaler m.m. og ansettelse av personvernrådgiver. For finansnæringen antas det å beløpe seg til flere hundre millioner.»

Næringslivets Hovedorganisasjon trekker frem kostnader knyttet til gjennomføring av forordningen, men peker også på at for bedrifter som opererer i flere land i EØS, vil regelverket ha positive effekter. Næringslivets Hovedorganisasjon uttaler blant annet følgende:

«Forordningen skal styrke personvernet i en digital hverdag, der opplysninger om personer brukes i stadig større utstrekning og samtidig blir utvekslet over landegrenser. Samtidig er det klart at opplysninger om personer er en helt nødvendig – og fullt ut legitim – del av virksomheten i nesten enhver bedrift.
Den nye loven vil gi svært mange bedrifter store utfordringer med å etterleve regelverket. I realiteten vil nok en stor del av forpliktelsene i dagens lov være lik forpliktelsene i den nye loven. Høringsnotatet tar i stor grad dette som utgangspunkt. Det er likevel ikke tvil om at også realiteter vil bli endret.
De formelle forskjellene mellom de to lovene er imidlertid store. Vi får en helt ny lov med en helt annen struktur enn tidligere. Den vil ha formuleringer som vi normalt ikke finner i norskutviklet lovverk. Avviket fra alminnelig norsk lovgivningsteknikk gjør det vanskeligere enn ellers å forstå innholdet i loven. Den veiledningen man vanligvis vil finne i forarbeidene er nær fraværende.
Samlet gjør dette at gjennomføring av personvernforordningen vil påføre norsk næringsliv store kostnader, både ved omstilling og drift. Det er ikke bare snakk om å sette seg inn i og forstå et komplisert regelverk. Bedriftene må endre og implementere rutiner, og de må endre systemløsninger, for å nevne noe. Reglene vil gjelde for omtrent alle norske bedrifter. For bedrifter med virksomhet i flere EØS-land, er harmonisering av regelverket kjærkomment.»

Departementet vil i denne sammenhengen peke på at forordningen i betydelig utstrekning viderefører det gjeldende personopplysningsregelverket. Det synes likevel klart at innføringen av nytt regelverk vil medføre kostnader for mange virksomheter, for eksempel knyttet til opplæring av ansatte i det nye regelverket og gjennomgåelser av gjeldende praksis og rutiner. Samtidig oppstiller forordningen enkelte nye plikter som vil kunne medføre administrative konsekvenser og økonomiske kostnader. Private aktører er også pålagt å utpeke personvernombud dersom de nærmere vilkårene for dette i artikkel 37 er oppfylt. For aktører som ikke allerede har personvernombud, men som er pålagt å ha dette etter forordningen, vil dette utgjøre en ny økonomisk og administrativ kostnad.

En rekke høringsinstanser mener regelverket vil innebære økte kostnader, men har til dels ulike vurderinger av hvilke regler som vil innebære størst kostnader. Det finnes også rapporter utarbeidet av private aktører3 der kostnadene knyttet til implementering av forordningen er beregnet, som indikerer store kostnader knyttet til etterlevelse av forordningen i den enkelte bedrift. Etter departementets syn hefter det stor usikkerhet ved slike beregninger, og videre vil kostnadene for den enkelte bedrift trolig i stor grad avhenge av i hvilken grad bedriftene etterlever gjeldende regelverk. Det synes likevel klart at for store bedrifter som behandler større mengder personopplysninger, vil kostnadene knyttet til etterlevelse kunne være betydelige, særlig i en overgangsfase ved tilpasningen til nytt regelverk. Også mindre bedrifter vil trolig måtte bruke ressurser på tilpasningen til nytt regelverk, for eksempel ved å kjøpe inn bistand fra eksterne aktører. De positive virkningene, herunder konkurransefordeler, vil trolig være størst for bedrifter der behandling av personopplysninger er en del av deres kjernevirksomhet. Det kan for eksempel tenkes at for banker, forsikringsselskaper eller lignende kan etterlevelse av personvernregelverket gi høyere tillit hos forbrukerne, mens det for andre typer virksomheter, som håndverksbedrifter, restauranter eller lignende, i mindre grad vil påvirke forbrukernes tillit til virksomheten som sådan. Forordningens regler innebærer da også på flere punkter mindre omfattende krav for mindre bedrifter som ikke har behandling av personopplysninger som en del av sin kjernevirksomhet.

En del bedrifter vil trolig som en følge av innføring av forordningen rette større oppmerksomhet mot etterlevelse av personvernregler som også følger av gjeldende rett. Dette vil kunne medføre kostnader. En slik økt oppmerksomhet mot å etterleve reglene på området, og dermed gjøre retten til personopplysningsvern mer effektiv i praksis, er imidlertid også et av formålene med forordningen.

Etter departementets vurdering synes forordningen å medføre både administrative lettelser, for eksempel ved avskaffelse av meldeplikt, konsesjonsplikt og innføring av ettstedsmekanismen, og økte administrative byrder, herunder byrden ved å implementere et nytt regelverk. Departementet mener videre at den overordnede målsettingen om å sikre et konkurransedyktig næringsliv på sikt må tillegges vekt ved vurderingen av byrdene som legges på bedriftene. Slik også Næringslivets Hovedorganisasjon er inne på, vil et harmonisert regelverk være en fordel for bedrifter som opererer i flere land innenfor EØS. Det er videre satt i verk tiltak for å avbøte negative konsekvenser for næringslivet. Datatilsynet har utarbeidet informasjonsmateriell som ligger tilgjengelig på deres nettsider, avholder en rekke kurs om temaet og gir også tilpasset veiledning til bedrifter og enkeltpersoner. Videre deltar Datatilsynet i Artikkel 29-gruppen, som består av alle de europeiske tilsynsmyndighetene. Artikkel 29-gruppen har også gitt ut en rekke veiledere til forordningens regler som er offentlig tilgjengelige. Etter departementets syn må det også ved vurderingen av økonomiske og administrative konsekvenser av å gjennomføre forordningen i norsk rett legges vekt på at gjennomføring av forordningens regler på sikt vil være en forutsetning for at Norge skal være del av et felles europeisk område der personopplysninger kan utveksles fritt. Dette vil trolig ha store positive økonomiske konsekvenser for norske virksomheter.

Når det gjelder de nasjonale reglene som foreslås, vil disse ikke innebære vesentlige konsekvenser for privat sektor, da reglene i hovedsak vil innebære en videreføring av gjeldende rett.

Fotnoter

1.

Se Commission staff working paper executive summary of the impact assessment SEC (2012) 73 final punkt 4.

2.

Se punkt 7 samme sted.

3.

Se for eksempel: https://senzing.com/wp-content/uploads/2018/02/Senzing-GDPR-Report.pdf

Til forsiden