SD finner det naturlig å legge til grunn at det er kompromittering av personopplysninger i form av trafikk- og lokasjonsdata og innholdet i elektronisk kommunikasjon, jf. definisjonen i kommunikasjonsverndirektivet 2002/58/EF artikkel 2 og forskrift om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjenste (ekomforkriften) § 7-1, som omfattes av varslingsplikten. På bakgrunn at dette bør kompentent myndighet være Post- og teletilsynet.

Post- og teletilsynet skal fortløpende informere Datatilsynet når de mottar varsler som kan ligge innenfor Datatilsynets kompetanseområde. Det tas sikte på å evaluere kompetanseplasseringen når det foreligger erfaringsgrunnlag med ordningen.

Merknader
Det rettslige grunnlaget for rettsakten er Europaparlaments- og rådsdirektiv 2002/58/EF (kommunikasjonsverndirektivet). Forordningen gjennomfører artikkel 4 (5) i kommunikasjonsverndirektivet 2002/58/EF som er revidert i direktiv 2009/136/EF. Sistnevnte direktiv er del av den reviderte ekompakken fra 2009 som ennå ikke er innlemmet i EØS-avtalen. Formelt må derfor denne tas inn i EØS-avtalen før forordning om varslingsrutiner ved brudd på konfidensialiteten vedrørende personopplysninger kan tas inn i EØS-avtalen og deretter gjennomføres i norsk rett. Artikkel 4 i kommunikasjonsverndirektiv er gjennomført i forskrift om behandling av personopplysninger (personopplysningsforskriften) § 2-6 og lov om elektronisk kommunikasjon (ekomloven) § 2-7 og ekomforskriften kapittel 7. Plikten til å varsle brudd fremgår således av allerede eksisterende regelverk, det er kun når og hvordan varslingen skal skje, og hva varslingen skal inneholde som fremgår av den nye forordningen. Plikten til å varsle brudd bør likevel presiseres i ekomloven § 2-7 ved første anledning, og for å unngå at det oppstår tolkningstvil, kan det også vurderes å presisere § 2-6 i personopplysningsforskriften.

Økonomiske og administrative konsekvenser
Ved implementering av forordningen i norsk rett vil tilbyderne av elektroniske kommunikasjonstjenester pålegges å varsle brudd på konfidensialiteten vedrørende personopplysninger til nasjonal kompetent myndighet, og i visse tilfeller også abonnent eller bruker, i henhold til nærmere angitte kriterier (jf. vedlegg I og II til forordningen). Det følger allerede av personopplysningsregelverket at sikkerhetsbrudd som medfører uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal varsles til kompetent myndighet (i dette tilfelle Datatilsynet), jf. personopplysningsforskriften § 2-6. Det antas derfor at tilbyders kostnader forbundet med denne forordningen vil være marginale og stort sett dreie seg om kostnader forbundet med endring av varslingsrutiner. Likeledes vil det måtte opprettes rutiner for mottak av slike varslinger hos Post- og teletilsynet. Forordningen stiller krav til at kompetent nasjonal myndighet skal etablere et sikkert elektronisk medium for slik rapportering. Per i dag foreligger ikke et slikt system og dette må derfor etableres. Det vil nødvendigvis innebære kostnader å etablere et elektronisk system for å ta i mot slike rapporteringer om brudd. Det er foreløpig uklart hvilken størrelsesorden det her er snakk om, men dersom allerede eksiserende løsninger for innrapportering til myndighetene med tilfredsstillende sikkerhet anvendes, legges det til grunn at dette vil kunne dekkes over det ordinære budsjettet til Post- og teletilsynet.

Rettslige konsekvenser
Forordningen faller inn under "gruppe 2" (rettsakter som krever forskriftsendring som ikke griper vesentlig inn i norsk handlefrihet). Rettsakten vil måtte innlemmes i EØS-avtalen og, ettersom det er snakk om en forordning, vil det være nødvendig med endring i ekomforskriften kapittel 7 ved at forordningen tas inn i ny § 7-6 i ekomforskriften. Endringene i ekomforskriften vil på vanlig vis måtte høres. Videre bør plikten til å varsle brudd presiseres i ekomloven § 2-7 ved første anledning. For å unngå at det oppstår tolkningstvil, kan det også vurderes å presisere § 2-6 i personopplysningsforskriften.

Sakkyndige instansers merknader
Rettsakten ble behandlet første gang i SU kommunikasjoner 8. oktober 2013.

Vurdering
Forpliktelsen om at tilbyder av elektronisk kommunikasjonsnett- og tjenester skal varsle nasjonal kompetent myndighet om brudd på personvernreglene etter kommunikasjonsverndirektivet 2002/58/EF følger allerede av gjeldende regelverk. Denne forordningen fastsetter kun nærmere krav til når og hvordan tilbyder av elektronisk kommunikasjonsnett- og tjenester skal varsle nasjonal kompetent myndighet, og i visse tilfeller også abonnent eller bruker, om slike brudd. Forordningen er således i tråd med norske interesser.

Konklusjon:
Forordningen anses EØS-relevant og akseptabel og anbefales tatt inn i EØS-avtalens vedlegg XI uten behov for tilpasningstekst. Den understerkes som nevnt over at rettsakten ikke kan tas inn i EØS-avtalen før ekompakken er innlemmet i avtalen.

Status
Forordningen ble vedtatt av Kommisjonen 24. juni 2013 og trådte for medlemsstatene i kraft 25. august 2013.

Rettsakten er for tiden til vurderingen i EØS EFTA landene.