Und­an­farið hefur mikið verið rætt um nýja reglu­gerð Evr­ópu­sam­bands­ins um per­sónu­vernd (GDPR). Vísað er til þess að lög­gjöfin taki gildi innan ESB í maí á næsta ári og því ekki seinna vænna fyrir íslensk fyr­ir­tæki og stofn­anir að hefja und­ir­bún­ing að inn­leið­ingu nýrra verk­ferla sem reglu­gerðin áskil­ur. 

Hins vegar hefur alveg skort á umfjöllun um hvaða áskor­anir reglu­gerðin hefur í för með sér að því er varðar EES sam­starf­ið. Auk þess að fela í sér breytta nálgun að því er varðar vinnslu per­sónu­upp­lýs­inga, sam­þykki þess sem upp­lýs­ingar veitir og verk­ferla innan fyr­ir­tækja og stofn­ana, felur þessi reglu­gerð í sér tölu­verða breyt­ingu á eft­ir­liti með vinnslu per­sónu­upp­lýs­inga. Þannig gerir reglu­gerðin t.d. ráð fyrir því að fyr­ir­tæki sem hafi starf­semi í fleiri en einu aðild­ar­ríki geti snúið sér til ein­vörð­ungu eins eft­ir­lits­að­ila, svo­nefnt „one-­stop-s­hop“ kerfi. Þá er með reglu­gerð­inni komið á fót Evr­ópsku per­sónu­vernd­ar­nefnd­inni (European Data Prot­ect­ion Board) sem sér­stökum lög­að­ila. Hér er því um  að ræða nýja evr­ópska eft­ir­lits­stofn­un. Aðild að stofn­un­inni eiga ­full­trú­ar ­eft­ir­lits­stofn­ana á sviði per­sónu­verndar úr öllum aðild­ar­ríkjum sam­bands­ins. Evr­ópska per­sónu­vernd­ar­nefndin mun hafa vald­heim­ildir til að taka bind­andi ákvarð­anir gagn­vart ein­staka eft­ir­lits­stofn­unum aðild­ar­ríkj­anna, til að mynda ef upp rís ágrein­ingur um hver fari með lög­sögu í til­teknu máli. 

Af þessu má ráða að það er alls ekki ein­falt að finna lausn til þess að taka megi Per­sónu­vernd­ar­reglu­gerð­ina upp í EES samn­ing­inn enda sam­rým­ist hið nýja eft­ir­lits­kerfi tæp­lega hinu svo­nefnda tveggja stoða kerfi sem samn­ing­ur­inn byggir á. Þá er ljóst að hingað til hefur ESB ekki sam­þykkt að veita full­trúum ríkja utan sam­bands­ins fulla aðild að sams konar eft­ir­lits­stofn­un­um. Því blasir við að ætli EFTA ríkin að taka reglu­gerð­ina upp í EES samn­ing­inn er lík­legt að þau verði að  ein­hverju marki að fram­selja ákvörð­un­ar­vald til Evr­ópsku per­sónu­vernd­ar­nefnd­ar­inn­ar.  Hér stöndum við því enn og aftur frammi fyrir stjórn­skip­an­legu álita­efni að því er varðar fram­þróun EES rétt­ar­ins. Enda er það svo að ekki bólar enn á drögum að ákvörðun um að taka beri gerð­ina inn í samn­ing­inn með­ við­hlít­and­i að­lög­un­ar­texta. 

Reynslan sýnir að þegar mæla þarf fyrir um aðlög­un­ar­texta vegna upp­töku nýrrar gerðar í EES samn­ing­inn er máls­með­ferð­ar­tím­inn að minnsta kosti 6 til 9 mán­uð­ir, þ.e. eftir að EFTA ríkin og Fram­kvæmda­stjórn ESB hafa sam­mælst um aðlög­un­ar­texta. Það ætti því að vera nokkuð ljóst að því ferli verður ekki lokið þegar Per­sónu­vernd­ar­reglu­gerðin tekur gildi innan ESB næsta vor. 

Ósam­ræmi í lögum og reglum innan EES er svo sem ekki óþekkt og fer vax­andi. Fjár­mála­fyr­ir­tæki hér á landi þekkja nú þegar þau vand­kvæði sem lúta að því að upp­taka og inn­leið­ing gerða á sviði fjár­mála­starf­semi hefur dreg­ist mjög. Það er því rétt að mæla með því að íslensk fyr­ir­tæki sem þurfa að geta mót­tekið per­sónu­upp­lýs­ingar frá aðilum sem starfa innan ESB hugi sem fyrst að því hvernig hægt sé að mæta þeirri stöðu að Ísland muni standa utan hins sam­ræmda reglu­verks þegar það tekur gildi innan ESB í maí á næsta ári. Að sama skapi verður að hvetja stjórn­völd til þess að leita allra leiða til þess að leysa úr álita­efnum er varða EES samn­ing­inn hið fyrsta þannig að ekki skap­ist við­var­andi óvissa í rekstr­ar­um­hverfi íslenskra fyr­ir­tækja. 

Höf­undur er hér­aðs­dóms­lög­maður hjá ADVEL lög­mönnum.