EU-kommisjonen la 21. mai frem forslag til forenkling av EUs personvernforordning, GDPR, som er gjort til norsk lov gjennom personopplysningsloven.
Det er et svært komplisert regelverk, og EU har derfor lovet å forenkle regelverket i forbindelse med sin omnibus-strategi for å kutte ned på «red tape» og sørge for mindre administrasjon.
Forventningene var store, men forslaget som er lagt frem er en stor skuffelse og ingenting å rope hurra for.
Fjerner Excel-krav
Kort sagt er det tre hovedendringer:
For det første vil kommisjonen heve terskelen før plikten til å lage protokoller over behandling av personopplysninger, slår inn – slik at den unntar alle foretak og organisasjoner med færre enn 750 ansatte.
Dette er typisk dokumentasjon som lages i Excel-skjemaer, der formål med databruk, kategoriene av registrerte personer og personopplysninger mv. skal fylles inn.
Det kan naturligvis være hensiktsmessig, men det utgjør svært lite av arbeidet med GDPR. Mesteparten av tiden brukes på ulike former for vurderinger og annen dokumentasjon, blant annet personvernerklæringer, å kartlegge bruken av personopplysninger, lagringsrutiner, vurdering av adgang til å overføre personopplysninger ut av EØS osv.
I tillegg må man uansett ha oversikt over informasjonen som må inn i protokollen, slik at bedriftene i realiteten sparer svært lite tid.
Vil trolig få liten betydning
For det andre foreslås å justere reglene om adferdsnormer, som typisk er bransjenormer om hvordan man skal behandle personopplysninger. De spesifikke behovene til mikro-, små og mellomstore bedrifter skal tas i betraktning i denne prosessen.
Dette kravet foreslås utvidet til å omfatte de spesifikke behovene til «small mid-cap enterprises», SMC-er, som er bedrifter som har «vokst ut av» kategorien små og mellomstore bedrifter. Det er også foreslått å ta inn en egen definisjon av SMC-er.
Dette er vel og bra, men adferdsnormer/bransjenormer er uansett lite brukt og vil trolig få liten betydning fremover.
Selv om det skulle lages flere slike normer, vil det likevel stort sett være samme behov for arbeid som i dag, selv om det kan bli tydeligere hvordan arbeidet skal følges opp.
En tapt mulighet
For det tredje foreslås endringer i reglene for sertifiseringsmekanismer for personvern og av personvernsegl og -merker fra sertifiseringsorganer.
Det skal i dag tas hensyn til de spesifikke behovene til mikro-, små- og mellomstore bedrifter. Dette kravet er foreslått utvidet til å omfatte de spesifikke behovene til SMC-er bedrifter.
Også her er det et problem at slike mekanismer knapt er brukt i praksis, og det vil neppe gjøre noen endring for arbeidet med å følge opp pliktene i GDPR.
Forenklingsforslagene er med andre ord en tapt mulighet til sårt trengt forenkling, og EU-kommisjonen forbedrer med dette neppe konkurransestyrken til Europas bedrifter.
Mens vi venter på mer gjennomgripende endringer i GDPR, kan det være en god idé at Datatilsynet forsøker å konkretisere og standardisere vurderinger om hva som er god praksis. Foreløpig blir det nemlig ingen drahjelp fra lovgiver.
IT-sjef: Kjapp USA-exit? Det vil ta oss tilbake til steinalderen
