Nyhetsbrev

GDPR utsettes - Hva betyr dette for norske virksomheter?

Det har lenge vært forespeilet at Norge ikke ville rekke EUs frist for implementering av personvernforordningen, GDPR, som er satt til den 25. mai 2018. Det ble i dag offentliggjort at GDPR ikke vil tre i kraft i Norge før rundt 1. juli 2018.

Det er lagt opp til at GDPR innlemmes i EØS-avtalen ved neste møte i EØS-komiteen den 31. mai, men EØS-landene avventer fortsatt godkjenning av utkastet fra EUs Råd.

EØS-komiteens beslutning vil ikke kunne tre i kraft før alle EØS-landene har godkjent den. I henhold til Liechtensteins nasjonale lovgivning må landets innbyggere få en måneds frist på å kreve folkeavstemming før GDPR formelt kan godkjennes. Dermed kan ikke GDPR tre i kraft i EØS-landene før tidligst 1. juli 2018.

Hva innebærer utsettelsen for norske virksomheter?

EU har gjort det klart at den gamle lovgivningen vil gjelde for EFTA-landene inntil GDPR trer i kraft. Norske selskaper vil dermed få en utvidet frist til 1. juli før de må være GDPR-compliant.

Ettersom GDPR også gjelder for selskaper etablert utenfor EU som tilbyr varer og tjenester til EU-borgere eller monitorerer adferden til EU-borgere, vil GDPR likevel gjelde fra 25. mai 2018 for norske selskaper som utfører slike aktiviteter.

Det har vært spekulert i om overføring av personopplysninger fra EU-land til Norge vil vanskeliggjøres om GDPR ikke trer i kraft i Norge 25. mai 2018. Det har vært stilt spørsmål ved om Norge vil anses som et såkalt tredjeland, som personopplysninger i utganspunktet ikke kan overføres til. Datatilsynet informerer imidlertid at de har fått bekreftet at Norge ikke vil anses for å være et tredjeland, og at overføring av personopplysninger fra EU-land til Norge kan skje på samme måte som i dag.

Justisdepartementet har uttalt at inntil GDPR er formelt implementert i EØS-avtalen og den nye norske personopplysningsloven har trådt i kraft, vil Norge ikke kunne delta i den såkalte «one stop shop»-mekanismen, da en tilsvarende mekanisme ikke finnes i 95-direktivet. Mekanismen innebærer, enkelt forklart, at selskap som har kontorer i flere EU/EØS-land bare skal behøve å forholde seg til den nasjonale tilsynsmyndigheten i landet hvor hovedkontoret er etablert.

Ta kontakt med

Klikk for detaljer

Nora Magistad Knutrud

Advokatfullmektig Se full CV