Ny personopplysningslov og innlemmelse i EØS-avtalen

Justis- og beredskapsdepartementet arbeider for tiden med å gjennomføre EUs personvernforordning (GDPR) i norsk rett og innlemme forordningen i EØS-avtalen.

Forordningen ble vedtatt i april 2016 og begynner å gjelde i EUs medlemsland 25. mai 2018.

Forordningen erstatter EUs personverndirektiv fra 1995, som er gjennomført i den norske personopplysningsloven.

Målet er å sikre vern av personopplysninger, harmoniserte regler i EU og EØS og gi fri utveksling av personopplysninger mellom EU og EØS-landene.

Ny norsk personopplysningslov

Å gjennomføre forordningen i en ny norsk personopplysningslov er et prioritert arbeid for regjeringen. Regjeringen fremmet proposisjon med forslag til ny personopplysningslov og anmodning om Stortingets forhåndssamtykke til innlemmelse av forordningen i EØS-avtalen 23. mars 2018, se Prop. LS 56 (2017–2018).

Stortinget vedtok den nye personopplysningsloven i første behandling 22. mai 2018. Andre behandling forventes å skje innen kort tid. Stortinget ga samme dato samtykke til innlemmelse av forordningen i EØS-avtalen.

Forordningen må innlemmes i EØS-avtalen

Før den nye personopplysningsloven kan settes i kraft som norsk rett, må forordningen innlemmes og tre i kraft i EØS-avtalen. Før forordningen kan innlemmes i EØS-avtalen må EU ha ferdigbehandlet EØS-komiteens beslutning, og at alle EØS/EFTA-landene har vedtatt komitebeslutningen og opphevet eventuelle konstitusjonelle forbehold. Når tidspunktet for EØS-komiteens beslutning er klart vil et mer nøyaktig ikrafttredelsestidspunkt i Norge kunne angis. Det kan ikke påregnes at den loven vil kunne settes i kraft allerede den 25. mai, som er tidspunktet forordningen begynner å gjelde i EU.

Om den nye forordningen ikke er innlemmet i EØS-avtalen og loven ikke er satt i kraft innen 25. mai 2018

  • At forordningen ikke er innlemmet i EØS-avtalen og trådt i kraft innen 25. mai 2018 skal ikke påvirke flyten av personopplysninger mellom EU og Norge. Inntil forordningen formelt er innlemmet i EØS-avtalen vil det etter departementets syn være det gamle 95-direktivet som regulerer overføringen av personopplysninger mellom EU og Norge.
  • Inntil forordningen formelt er innlemmet i EØS-avtalen og den nye norske personopplysningsloven har trådt i kraft, er det departementets syn at Norge ikke vil kunne delta i den såkalte «one stop shop» mekanismen, da en tilsvarende mekanisme ikke finnes i 95-direktivet. «One stop shop» er en mekanisme hvor selskaper som har kontorer i flere EU/EØS-land, som et utgangspunkt bare skal behøve å forholde seg til den nasjonale tilsynsmyndigheten i landet hvor de har sitt hovedkontor.

Om forslaget til ny personopplysningslov

Forordningen oppstiller et omfattende generelt personopplysningsregelverk, herunder de grunnleggende prinsippene og vilkårene for å behandle personopplysninger, rettigheter for enkeltpersoner, plikter for behandlingsansvarlige og databehandlere, overføring av personopplysninger over landegrensene og regler om tilsyn og sanksjoner. Reglene gjelder for både private og offentlige aktører.

Ettersom personvernforordningen vil gjøres til norsk rett ved inkorporasjon, slik dette er foreskrevet i EØS-avtalens artikkel 7 bokstav a, er de materielle reglene i forslaget til en ny norsk personopplysningslov i vesentlig grad allerede kjent. Utover å inkorporere forordningen vil det i den nye personopplysningsloven bli foreslått en rekke nasjonale lovbestemmelser som supplerer reglene i forordningen. Forslaget til slike supplerende bestemmelser vil i det vesentlige bygge på høringsnotatet om ny personopplysningslov som ble sendt på høring 6. juli 2017 med frist 16. oktober 2017 og de innspill som er kommet i høringen.