Undanfarið hefur mikið verið rætt um nýja reglugerð Evrópusambandsins um persónuvernd (GDPR). Vísað er til þess að löggjöfin taki gildi innan ESB í maí á næsta ári og því ekki seinna vænna fyrir íslensk fyrirtæki og stofnanir að hefja undirbúning að innleiðingu nýrra verkferla sem reglugerðin áskilur.
Hins vegar hefur alveg skort á umfjöllun um hvaða áskoranir reglugerðin hefur í för með sér að því er varðar EES samstarfið. Auk þess að fela í sér breytta nálgun að því er varðar vinnslu persónuupplýsinga, samþykki þess sem upplýsingar veitir og verkferla innan fyrirtækja og stofnana, felur þessi reglugerð í sér töluverða breytingu á eftirliti með vinnslu persónuupplýsinga. Þannig gerir reglugerðin t.d. ráð fyrir því að fyrirtæki sem hafi starfsemi í fleiri en einu aðildarríki geti snúið sér til einvörðungu eins eftirlitsaðila, svonefnt „one-stop-shop“ kerfi. Þá er með reglugerðinni komið á fót Evrópsku persónuverndarnefndinni (European Data Protection Board) sem sérstökum lögaðila. Hér er því um að ræða nýja evrópska eftirlitsstofnun. Aðild að stofnuninni eiga fulltrúar eftirlitsstofnana á sviði persónuverndar úr öllum aðildarríkjum sambandsins. Evrópska persónuverndarnefndin mun hafa valdheimildir til að taka bindandi ákvarðanir gagnvart einstaka eftirlitsstofnunum aðildarríkjanna, til að mynda ef upp rís ágreiningur um hver fari með lögsögu í tilteknu máli.
Af þessu má ráða að það er alls ekki einfalt að finna lausn til þess að taka megi Persónuverndarreglugerðina upp í EES samninginn enda samrýmist hið nýja eftirlitskerfi tæplega hinu svonefnda tveggja stoða kerfi sem samningurinn byggir á. Þá er ljóst að hingað til hefur ESB ekki samþykkt að veita fulltrúum ríkja utan sambandsins fulla aðild að sams konar eftirlitsstofnunum. Því blasir við að ætli EFTA ríkin að taka reglugerðina upp í EES samninginn er líklegt að þau verði að einhverju marki að framselja ákvörðunarvald til Evrópsku persónuverndarnefndarinnar. Hér stöndum við því enn og aftur frammi fyrir stjórnskipanlegu álitaefni að því er varðar framþróun EES réttarins. Enda er það svo að ekki bólar enn á drögum að ákvörðun um að taka beri gerðina inn í samninginn með viðhlítandi aðlögunartexta.
Reynslan sýnir að þegar mæla þarf fyrir um aðlögunartexta vegna upptöku nýrrar gerðar í EES samninginn er málsmeðferðartíminn að minnsta kosti 6 til 9 mánuðir, þ.e. eftir að EFTA ríkin og Framkvæmdastjórn ESB hafa sammælst um aðlögunartexta. Það ætti því að vera nokkuð ljóst að því ferli verður ekki lokið þegar Persónuverndarreglugerðin tekur gildi innan ESB næsta vor.
Ósamræmi í lögum og reglum innan EES er svo sem ekki óþekkt og fer vaxandi. Fjármálafyrirtæki hér á landi þekkja nú þegar þau vandkvæði sem lúta að því að upptaka og innleiðing gerða á sviði fjármálastarfsemi hefur dregist mjög. Það er því rétt að mæla með því að íslensk fyrirtæki sem þurfa að geta móttekið persónuupplýsingar frá aðilum sem starfa innan ESB hugi sem fyrst að því hvernig hægt sé að mæta þeirri stöðu að Ísland muni standa utan hins samræmda regluverks þegar það tekur gildi innan ESB í maí á næsta ári. Að sama skapi verður að hvetja stjórnvöld til þess að leita allra leiða til þess að leysa úr álitaefnum er varða EES samninginn hið fyrsta þannig að ekki skapist viðvarandi óvissa í rekstrarumhverfi íslenskra fyrirtækja.
Höfundur er héraðsdómslögmaður hjá ADVEL lögmönnum.