Etter fire år med diskusjoner, ble representanter for 28 EU sent på tirsdag enig om et nytt og strengt regelverk for bruk av persondata. Regelverket gir innbyggere i EU- og EØS-landene, deriblant Norge, en rekke nye rettigheter til innsyn og å nekte ulike typer bruk av deres data.
Regelverket skal formelt vedtas i EU-parlamentet om noen måneder og deretter vil nettbutikker og leverandører av ulike IT-systemer få to år på å gjøre nødvendige endringer.
De nye reglene er dramatiske for blant annet norske nettbutikker fordi man innfører en rekke nye rettigheter. Nettbutikker og andre digitale aktører må be om langt flere tillatelser fra kundene og håndtere at kunder sier nei til visse typer bruk av data. Omfanget er foreløpig uklart, men reglene vil utvilsomt komplisere markedsføringsarbeide og arbeidet med oppsett av nettbutikker.
Og strafferammene for overtramp er også dramatiske: Datatilsynene i Europa og Norge kan i verste tilfelle ilegge bøter på opp til fire prosent av den globale omsetning til et selskap.
Netthandel.no tok kontakt med Datatilsynet som henviser til en uttalelse på sine nettsider, for det kan virke som Justisdepartementet og Datatilsynet ble tatt på sengen.
I sin første redegjørelse starter Datatilsynet med å understreke at de nye EU-reglene vil gjelde også i Norge og altså sette dagens regelverk til side.
Videre skriver de at "Datatilsynet i Norge jobber nå, også i samarbeid med Justisdepartementet, med å identifisere de viktigste endringene i det nye regelverket." skriver tilsynet. "Etter hvert som vi får vite mer om hvordan forordningen og de norske tilpasningene tar form, vil vi formidle dette på våre nettsider."
Datatilsynet gir likevel en første oppsummering av endringene:
Reglene vil gjelde alle internasjonale aktører som tilbyr varer og tjenester til EU-borgere. Hovedregelen blir at opplysninger bare kan brukes til det de er samlet inn for. Skal man bruke data til å noe annet, må det være "forenlige". Er det ikke det, må den som ønsker å bruke data be om spesifikk godkjennelse fra bruker.
Og det nye lovverket gjelder både lagring av data for kunder registert med navn og ikke-identifiserte besøkende i for eksempel nettbutikker eller mottakere av nyhetsbrev. Dette forteller Dana Jaedicke, jurdidisk rådgiver i Datatilsynet til Netthandel.no.
Hun forteller også at lovverket er en forordning fra EU med små muligheter for nasjonale tilpasninger.
Datatilsynet påpeker at de nye reglene gir innbyggere i EU og Norge fire nye rettigheter.
- Rettigheten til å få behandlingen begrenset - kundene skal godkjenne all gjenbruk av data og kunne si nei til videre bruk av data. Det vil ikke være tillatt med generelle kundevilkår, kundene vil måtte godta eller avslå for hvert bruksområde. Det kan derfor se ut som kunder i fremtiden må spørres og godta for eksempel at de ønsker å få anbefalt varer basert på sin kjøpshistorikk, eller om data fra deres besøk brukes til retargeting.
- Retten til dataportabilitet - at kunder skal kunne få med seg data fra en tjeneste de bruker og til en annen.
- Retten til å motsette seg en behandling
- Rettigheter til å motsette deg profilering og automatiserte avgjørelser. Profilering betyr her metodene mange bruker for å sortere kunder i ulike grupper basert på data og deretter behandle dem forskjellig, for eksempel ulik pris på en vare eller tjeneste.
I tillegg må alle større virksomheter må ha et personvernombud og alle selskaper må la kunder kunne slette sin kundehistorikk dersom de ikke ønsker å være kunde lengre.