Personvernforordningen (GDPR) trådte i kraft 25. mai 2018, og i henhold til artikkel 97 i forordningen skal Kommisjonen legge fram en rapport senest innen to år. Rapporten skal evaluere og revidere to kapitler: kapittel V om overføring av personopplysninger til tredjeland og internasjonal organisasjoner, og kapittel VII om samarbeid og ensartet anvendelse. I rapporten skal Kommisjonen ta hensyn til innspill fra Rådet og Europaparlamentet. Rådet vedtok forrige uke sitt innspill til Kommisjonen om den kommende evalueringen av GDPR.

I Rådets innspill oppfordrer medlemslandene Kommisjonen til å evaluere og revidere hvordan GDPR anvendes og fungerer utover det som spesifikt nevnes i kapittel V og VII. Kommisjonen bør også ta hensyn til erfaringer og bidrag fra andre aktører. Rådet framhever forordningens betydning og innvirkning på et digitalt samfunn i konstant utvikling, og mener det er sterke argumenter for en bred revisjon og en løpende diskusjon om tema.

GDPR har vært en suksess, står det i innspillet fra Rådet. Den er en viktig milepel og et instrument som styrker retten til beskyttelse av personopplysninger, samtidig som den har gitt økt kunnskap om personvern. EU-landene er positive til økt samarbeid mellom de nasjonale tilsynsmyndighetene i Det Europeiske Personvernrådet (EDPB), men mener at dette samarbeidet må styrkes ytterligere. Det gjelder spesielt tilsyn med grenseoverskridende behandling av personopplysninger og behandling som angår mange medlemsland. Medlemslandene er opptatt av håndheving av regelverket overfor de store teknologifirmaene. Irland omtales ikke i rapporten, men mange land har vært kritiske til at det er Irland som er det «ledende» tilsynet for Google, Facebook, Microsoft og Twitter, siden firmaene har basert sine europeiske virksomheter der. Vurderingen av hvordan disse overholder GDPR har tatt lang tid. Til nå er det kun Google som har fått en stor bot. Det skjedde da Frankrike i 2019 ga selskapet en bot på 50 millioner euro.

GDPR innebærer full harmonisering av personvernreglene i EØS. Et hovedmål var å fjerne et fragmentert landskap av ulike nasjonale lover. Forordningen åpner likevel for at det kan gis nasjonale regler i enkelte tilfeller. Den danske regjeringen har i Rådet lagt vekt på at det fortsatt er behov for et nasjonalt handlingsrom. Dette er også den generelle holdningen i Rådet, men en rekke medlemsland peker på at man på noen områder har fått en fragmentering som man ikke forutså. Et eksempel som trekkes fram er aldersgrensen for å kunne samtykke til bruk av netttjenester og apper som Facebook og Instagram, hvor medlemslandene har innført forskjellige aldersgrenser. Den norske aldersgrensen er 13 år.

Rådet understreker at nye teknologier (AI, algoritmer, tingenes internett m.m.) og anvendelsen av disse (ansiktsgjenkjenning, profilering, «deepfake»-teknologi som kunstig genererte videoer), skaper nye utfordringer. Det er viktig at man på EU-nivå så raskt som mulig undersøker og presiserer hvordan GDPR anvendes og hvordan disse utfordringene håndteres.

Tiltak for å utarbeide sektorspesifikke atferdsnormer bør styrkes, mener medlemslandene. Dette vil bidra til riktig anvendelse av GDPR og kan ta særlig hensyn til spørsmål knyttet til beskyttelse av barns personopplysninger og behandling av helsedata. Også enklere verktøy og bedre veiledning for dataansvarlige og -behandlere er et ønske fra medlemslandene. Dette er spesielt viktig for små og mellomstore bedrifter og frivillige organisasjoner. Forenkling og veiledning foreslås også i en ny rapport fra Svenskt Näringsliv: Vad är fel med GDPR? - beskrivning av näringslivets utmaningar samt några förslag på förbättringar.