Nú þegar tæplega aldarfjórðungur er liðinn frá því að samningurinn um Evrópska efnahagssvæðið (EES) tók gildi hefur íslenskum stjórnvöldum ekki enn tekist að koma á góðu verklagi varðandi innleiðingu EES reglna. Nýjasta dæmið er ný persónuverndarlöggjöf sem Evrópusambandið (ESB) setti í apríl 2016 og nefnist GDPR (General Data Protection Regulation). Þótt meira 21 mánuður sé frá því ESB setti reglugerðina, og minna en fjórir mánuðir séu til gildistöku hennar, þá hefur frumvarp ekki enn verið lagt fram á Íslandi.

Ný löggjöf um persónuvernd
Persónuvernd er mjög mikilvægt mál sem varðar alla landsmenn og þúsundir fyrirtækja. Samtök atvinnulífsins, og aðildarsamtök þess, leggja þunga áherslu á að gætt sé vel að þessum málum. Rúmu einu og hálfu ári eftir að GDRP var lögfest í ESB, í nóvember síðastliðnum, var starfshópur dómsmálaráðherra skipaður sem á að gera drög að frumvarpi. Frumvarpið hefur ekki verið birt almenningi en drög að frumvarpstexta voru send hagsmunaðilum síðastliðinn föstudag. Drög að greinargerð með frumvarpinu liggja ekki fyrir þótt gildistaka sé 25. maí næstkomandi. Forsenda þess er að sameiginlega EES nefndin samþykki að reglugerðin fari í EES, en það hefur ekki enn gerst.

Reglugerðin er óvenjuleg að því leyti að hún varðar mjög marga sem þurfa mjög mikinn tíma til að innleiða hana. Öll fyrirtæki með starfsmenn eða viðskiptavini munu þurfa að fara eftir henni. Það sem eykur flækjuna er að flest fyrirtæki úthýsa upplýsingatæknimálum að hluta eða öllu leyti. Það gerir það að verkum að nauðsynlegar breytingar á kerfum taka langan tíma og fyrirtækin hafa ekki fulla stjórn á því hvenær þær eiga sér stað.

Einhver íslensk stórfyrirtæki hófu að innleiða GDPR í starfsemi sína 2016, rúmu ári áður en starfshópur til að semja frumvarpið var skipaður. Það er ansi öfugsnúið og mætti segja að það sé eins og að klæða sig fyrst í fötin og fara svo í sturtu. Það er ekki ástæða til að hafa áhyggjur af íslensku stórfyrirtækjunum sem eru í alþjóðlegri starfsemi. Mörg þúsund minni fyrirtæki hafa hins vegar augljóslega mun minna bolmagn til þess að meta áhrif og innleiða svo viðamiklar reglur.

Verðum að gera betur
Íslensk stjórnvöld verða að standa betur að innleiðingu EES reglna, sérstaklega þegar þær hafa svo víðtækt gildissvið eins og GDPR. Það er ótrúlegt að á þeim aldarfjórðungi sem er liðinn frá því að Ísland gerðist aðili að EES hafi ekki tekist að láta þetta ganga betur fyrir sig. Það er ekki við neinn einn að sakast í þessu efni, heldur eru þetta sameiginleg á ábyrgð stjórnmála- og embættismanna síðustu 25 ára. Það eru þrjú meginatriði sem þarf að bæta.

Meiri hraði
Ferlið frá lögfestingu í ESB til lögfestingar hér heima þarf að ganga mun hraðar og betur. Utanríkisráðuneyti og fagráðuneyti þurfa að vinna betur saman og þrýsta á að gerðir séu fljótt teknar upp í EES samninginn. Það þarf að skýra hvar ábyrgð liggur. Þingleg meðferð EES mála hefur oft tekið of langan tíma. Ekki er þörf á því að setja meiri fjármuni í málaflokkinn eða fjölga fólki, heldur þarf að byrja fyrr, straumlínulaga ferla og skipuleggja starfið betur. Í tilfelli eins og GDPR, þar sem um stór og mikilvæg mál er að ræða, hefði mátt hefja vinnu við gerð að drögum að frumvarpi um leið og reglugerðin var samþykkt hjá ESB.

Aukið samráð
Hafa þarf meira samráð við atvinnulífið og hagsmunaaðila og fyrr í ferlinu. Það er mjög erfitt að hafa áhrif til hins betra á frumvörp þegar drög að þeim eru tilbúin. Ísland þarf líka að nýta betur rétt sinn til að koma sérfræðingum sínum að á meðan löggjöf er undirbúin í ESB. Með sérfræðingum er í þessu sambandi ekki bara átt við embættismenn. Sérfræðingar í atvinnulífinu eru almennt boðnir og búnir til að leggja sitt af mörkum.

Allir meðlimir starfshóps dómsmálaráðherra um GDPR eru ríkistarfsmenn. Enginn fulltrúi er frá atvinnulífinu, þeim sem munu þurfa að fara eftir lögunum. Í hópnum er formaður stjórnar Persónuverndar, einn starfsmaður dómsmálaráðuneytis, tveir starfsmenn Persónuverndar og starfsmaður rekstarfélags Stjórnarráðsins.

Minna íþyngjandi
Stefna stjórnvalda ætti að vera að innleiða nýjar reglugerðir með eins lítið íþyngjandi hætti og kostur er. Því miður er alltof algengt að þegar svigrúm er til að útfæra reglur þá velji íslensk stjórnvöld mest íþyngjandi kostinn. Þá eru mörg dæmi um að þegar reglur ESB eru innleiddar þá ákveði embættismenn eða löggjafinn að reyna að lauma inn íslenskum íþyngjandi ákvæðum líka.

Dæmi um þetta eru svokallaður hnappur í ársreikningalögum. Hann gefur örfyrirtækjum kost á því að skila gögnum til skattayfirvalda með einföldum hætti. Í því samhengi miða flest ríki við að örfyrirtæki séu með 10 starfsmenn eða færri. Á Íslandi er miðað við 3 starfsmenn án þess að nein sérstök rök séu færð fyrir því önnur en að ella yrði hlutfall örfyrirtækja mjög hátt.

Stundum er eins og löggjafinn haldi að af því að Íslandi sé minna þá þurfi að skala öll stærðarviðmið í lögum niður. Það er óskiljanlegt enda jafn flókið að reka fyrirtæki með 9 starfsmenn í Íslandi og annars staðar á EES, nema þegar íslensk stjórnvöld gera það enn flóknara eins og í þessu tilfelli. Í raun ætti frekar að hafa slík viðmið rýmri á Íslandi þar sem lítill markaður eins og okkar leiðir til þess að við eigum færri stór fyrirtæki. Minni möguleikar á stærðarhagkvæmni hér ættu frekar að leiða til þess að ríkið geri minni kröfur en eru gerðar annar staðar.

Íþyngjandi reglur bitna á öllum
Því oftar sem það gerist að ekki er staðið nógu vel að innleiðingu EES gerða því lakari er samkeppnishæfni íslensks atvinnulífs gagnvart útlöndum og því lengra erum við frá markmiði EES um einsleitni. Lakari samkeppnishæfni bitnar ekki bara á fyrirtækjum, og eigendum þeirra, heldur hagkerfinu í heild og okkur öllum.

---

Til umhugsunar eru reglulegar greinar á vef SA um brýn samfélagmál