EU-parlamentet i Strasbourg. (Bilde: Shotshop GmbH / Alamy/All Over Press)

Rungende «ja» til EUs nye personvern

Overveldende flertall i EU-parlamentet i Strasbourg.

Bildet i denne saken ble endret, etter kritikk fra en leser som pekte på at flaggene på det opprinnelige bildet så ut som de sto på halv stang.

EU-parlamentet vedtok onsdag en innstilling om ny personvernforordning for alle landene i EU og EØS. Innstillingen er i all hovedsak sammenfallende med det EU-kommisjonen la fram i januar 2012 (se Slik blir EUs nye personvern).

Direktør Bjørn Erik Thon i Datatilsynet var blant dem som uttrykte frykt for at det EU-kommisjonen la fram ville bli utvannet som følge av lobbyvirksomhet fra amerikanske giganter som Google og Facebook (se Frykter for personvernet i EU).

Nå ser det ut som at skandalen rundt virksomheten til den amerikanske etterretningsorganisasjonen NSA gjorde at denne lobbyvirksomheten ikke nådde fram.

EU-kommisjonen har i hovedsak opprettholdt sitt opprinnelige forslag.

Der det er små uoverensstemmelser mellom kommisjonen og parlamentet, går parlamentet lenger enn kommisjonen i å forsvare personvernet og pålegge strengere straff når personvernet brytes.

EU-parlamentets vedtak er bindende for parlamentet som trer sammen etter valgene til nytt EU-parlament 22. til 25. mai i år. Det skal nå forhandles om de små uoverensstemmelsene mellom kommisjonen og parlamentet. Den endelige teksten vil forelegges EUs ministerråd når EUs justisministre møtes i juni. Etter vedtak i ministerrådet vil personvernforordningen gjøres til gjeldende lov i alle land i EU og EØS, uten behandling i landenes nasjonalforsamling, fra det tidspunktet ministrene blir enige om.

EU-parlamentet vedtok forordningen med overveldende flertall: 621 for, 10 mot, 22 avholdende.

I en annen avstemming ble også det tilhørende direktivet vedtatt, med 371 for, 276 mot og 30 avholdende. Direktivet angir regler for hvordan forordningen skal håndheves, og må følges opp av vedtak i landenes nasjonalforsamlinger.

Når EUs personvernforordning trer i kraft, vil samtlige EU- og EØS-land ha et identisk lovverk for personvern, én lov i stedet for 28. Landenes personvernmyndigheter sidestilles: Bedrifter og organisasjoner behøver bare forholde seg til én myndighet, det vil si ett datatilsyn. EU tror disse forenklingene vil gi en økonomisk gevinst på 2,3 milliarder euro i året.

I motsetning til det som er tilfelle i dag, innebærer personvernforordningen at også ikke-europeiske bedrifter må rette seg etter europeisk personvern når de driver forretningsvirksomhet i et EU- eller EØS-land.

De som ikke retter seg etter loven vil kunne bøtelegges med opptil 2 prosent av sin globale årsomsetning.

EU tror at personvernforordningen vil gi europeiske bedrifter en konkurransefordel på globale markeder, etter hvert som forbrukere verden over blir mer bevisst fordelene i et solid personvern.

Blant prinsippene som personvernforordningen slår fast er at folk skal ha «rett til å glemmes», full tilgang til data om seg selv, og kontroll over hva slags data lagres om dem.

Rett til å glemmes betyr at dersom et individ ikke lenger ønsker at ens persondata skal prosesseres, og det ikke er noe legitimt grunnlag for en instans å holde på dataene, så skal dataene slettes.

Poenget er å gi vanlige brukere makt over sine data. EU forsikrer at det ikke dreier seg om å slette historiske fakta eller begrense pressefriheten.

Kontroll over egne data innebærer at dersom noen ønsker å registrere personlige opplysninger, må det innhentes samtykke i forkant av registreringen. Det innebærer også at man straks skal informeres ved datalekkasje fra et register der ens persondata lagres. Det er et krav fra EU at personvern skal innebygges i alle produkter og tjenester helt fra utviklingen starter. I sosiale medier skal utgangspunktet være strenge personverninnstillinger.

Forordningen innebærer samtidig at personverntiltak graderes etter en bedrifts befatning med personopplysninger. «Bakeren på hjørnet» skal ikke underlegges de samme kontrolltiltakene som et flernasjonalt selskap. Små og mellomstore bedrifter som uforvarende bryter personvernreglene, skal ikke bøtelegges første gang dette skjer.

Til toppen