Det har lenge vært forespeilet at Norge ikke ville rekke EUs frist for implementering av personvernforordningen, GDPR, som er satt til den 25. mai 2018. Det ble i dag offentliggjort at GDPR ikke vil tre i kraft i Norge før rundt 1. juli 2018.

Det er lagt opp til at GDPR innlemmes i EØS-avtalen ved neste møte i EØS-komiteen den 31. mai, men EØS-landene avventer fortsatt godkjenning av utkastet fra EUs Råd.

EØS-komiteens beslutning vil ikke kunne tre i kraft før alle EØS-landene har godkjent den. I henhold til Liechtensteins nasjonale lovgivning må landets innbyggere få en måneds frist på å kreve folkeavstemming før GDPR formelt kan godkjennes. Dermed kan ikke GDPR tre i kraft i EØS-landene før tidligst 1. juli 2018.

Hva innebærer utsettelsen for norske virksomheter?

EU har gjort det klart at den gamle lovgivningen vil gjelde for EFTA-landene inntil GDPR trer i kraft. Norske selskaper vil dermed få en utvidet frist til 1. juli før de må være GDPR-compliant.

Ettersom GDPR også gjelder for selskaper etablert utenfor EU som tilbyr varer og tjenester til EU-borgere eller monitorerer adferden til EU-borgere, vil GDPR likevel gjelde fra 25. mai 2018 for norske selskaper som utfører slike aktiviteter.

Det har vært spekulert i om overføring av personopplysninger fra EU-land til Norge vil vanskeliggjøres om GDPR ikke trer i kraft i Norge 25. mai 2018. Det har vært stilt spørsmål ved om Norge vil anses som et såkalt tredjeland, som personopplysninger i utganspunktet ikke kan overføres til. Datatilsynet informerer imidlertid at de har fått bekreftet at Norge ikke vil anses for å være et tredjeland, og at overføring av personopplysninger fra EU-land til Norge kan skje på samme måte som i dag.

Justisdepartementet har uttalt at inntil GDPR er formelt implementert i EØS-avtalen og den nye norske personopplysningsloven har trådt i kraft, vil Norge ikke kunne delta i den såkalte «one stop shop»-mekanismen, da en tilsvarende mekanisme ikke finnes i 95-direktivet. Mekanismen innebærer, enkelt forklart, at selskap som har kontorer i flere EU/EØS-land bare skal behøve å forholde seg til den nasjonale tilsynsmyndigheten i landet hvor hovedkontoret er etablert.