Bjørn Erik Thon ser fram til bedre personvern i sosiale medier som følge av EU-forordningen. (Bilde: Marius Jørgenrud)

– EU-vedtak bra for personvernet

Positivt for brukere av sosiale medier, sier Datatilsynets Bjørn Erik Thon.

I går fattet EU-parlamentet sitt endelige vedtak om EUs nye personvernforordning. Vedtaket innebærer at alle EU- og EØS-land ligger an til å få felles personvernlovgivning innen utgangen av 2014. Siden det dreier seg om en forordning og ikke et direktiv, er det ikke adgang for landenes nasjonalforsamlinger å vedta endringer.

    Les også:

Direktør Bjørn Erik Thon i Datatilsynet sier til digi.no at EU-parlamentet ser ut til å ha fattet et godt vedtak.

Det er over to år siden EU-kommisjonen la fram sitt første utkast, og Thon fryktet at amerikanske giganter som Facebook og Google ville lykkes i en varslet omfattende lobbyvirksomhet å presse gjennom endringer i negativ retning. Det har ikke skjedd. Avsløringene de siste månedene om amerikansk elektronisk overvåkning og digital spionasje ser ut til å ha befestet europeiske politikeres ønske om å styrke personvernet.

– Viktige prinsipper som vi fryktet kunne fjernes, er beholdt, sier Thon til digi.no. – Det viktigste er at europeiske personvernregler skal gjelde for alle som bedriver forretnings- og annen virksomhet i Europa. Jeg merker meg uttalelser fra medlemmer av EU-parlamentet som at «business i Europa betyr å følge europeiske regler». Mer komplisert bør det heller ikke være.

Styrker også norsk personvern
Thon mener det vil styrke det norske personvernet når EU-forordningen erstatter den tilårskomne norske personopplysningsloven.

– Et eksempel er prinsippet om at man har rett til å få slette data, man har rett til å bli «glemt». EU-formuleringen er sterkere.

Thon mener formuleringen på dette punktet i vedtaket fra EU-parlamentet også er sterkere enn i det opprinnelige utkastet fra EU-kommisjonen.

– Den innebærer at man også skal få beskjed om hvem ens personopplysninger er delt med. Dette er nytt, også i forhold til personopplysningsloven.

Forordningen lovfester to prinsipper som Datatilsynet har konsekvent forfektet i alle år: Personvern skal bygges inn i tjenester og produkter fra bunnen av, og skal leveres med sterk personvern som forhåndsvalg.

Ny praksis i sosiale medier
– I praksis betyr dette at du må velge bort personvern for å bli med på et sosialt medium. Og når et sosialt medium kommer med noe nytt, må det innhente samtykke for det nye. I dag sier Facebook at det holder å informere brukeren. EU-forordningen innebærer at Facebook må endre praksis: De kan ikke nøye seg med å informere, de må også innhente samtykke før en endring med personvernfølger iverksettes for brukeren. Dette kommer til å styrke selvbestemmelsen i sosiale medier.

– Blant de mindre uoverensstemmelsene som parlamentet og kommisjonen må avklare, er bøtenivået. EU-kommisjonen gikk inn for bøter på opptil 2 prosent av den globale årsomsetningen for selskaper som ikke føyer seg, mens EU-parlamentet vedtok 5 prosent. Hva synes du om det?

– Man kommer uansett opp på et bøtenivå i en helt annen skala enn det vi bruker i Norge. I Datatilsynet mener vi at hovedmåten å håndheve regelverket på skal ikke være bøter. Men bøter innebærer en mulighet til å legge press, og adgangen til å skrive ut bøter er positivt. Det viktigste her er det klare signalet som sendes om hvor alvorlig det er å bryte personvernet.

Vedtakene i kommisjonen og parlamentet signaliserer EUs ønske om å gjøre håndhevingen av personvernforordningen så effektiv som mulig. Thon er likevel redd for unødvendig byråkrati.

– Det ser ut til at EU-kommisjonen har gitt seg selv svært mye makt for å gripe inn i prosesser. Motivet for dette er å sikre enhetlig håndheving i alle medlemsland. Flere faktorer kan gjøre dette vanskelig. Det er store kulturelle forskjeller i synet på personvern, for eksempel mellom land som Norge, Hellas og Portugal. Det er også huller i forordningen, for eksempel rundt personvern i arbeidslivet.

Datatilsynet må i tiden framover gå gjennom norske regler og veiledninger, og bygge opp ny praksis på områder som retten til å bli glemt, sier Thon.

– Det er mye vi nå må studere nøye for å få en endelig oversikt. Samtidig vil mange regler og databehandleravtaler ligge fast. De viktigste endringene dreier seg om saker som må gå gjennom flere land. Amerikanske selskaper vil opplagt måtte endre praksis: Innebygget personvern, rett til å bli glemt, personvern som standardinnstilling, krav som samtykke og tilgang til egne data er prinsipper de vil måtte forholde seg til, uavhengig av hvilket europeisk land de driver i.

Til toppen