Rammeverk for fri flyt av ikke-personlige data

Tittel

Europaparlaments- og rådsforordning (EU) 2018/1807 av 14. november 2018 om en ramme for fri flyt av ikke-personlige data i Den europeiske union

Regulation (EU)2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union

Siste nytt

Europaparlaments- og rådsforordning publisert i EU-tidende 28.11.2018

Nærmere omtale

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 6.2.2019)

Sammendrag av innhold

Bakgrunn

EU har vedtatt en forordning som introduserer prinsippet om fri flyt av andre opplysninger enn personopplysninger i EU.[1] En viktig barriere mot utviklingen av et digitalt indre marked, og en datadrevet økonomi i EU, er manglende datamobilitet. Regulatoriske og administrative krav og praksiser som begrenser muligheten til å lagre og behandle data utenfor det enkelte medlemslands grenser er blant de største hindre for et digitalt indre marked. Formålet med forordningen er å fjerne nasjonale hindringer for fri flyt av data i EU/EØS.

[1] Regulation (EU) 2018/1807 of the European Parliament and of the Council on a framework for the free flow of non-personal data in the European Union

Innhold i forordningen

Forordningen gjelder alle typer teknologisk behandling og lagring av data i vid forstand. Forordningen gjelder kun for andre opplysninger enn personopplysninger og griper således ikke inn i personvernforordningen (GDPR) [1], e-Privacy directive eller Police directive. Sammen skal forordningen om fri flyt av andre opplysninger enn personopplysninger og EUs personvernforordning skape et omfattende og sammenhengende rettslig rammeverk som skal sikre fri fly av data i hele EU/EØS-området.

Dersom datasett inneholder både personopplysninger og andre opplysninger enn personopplysninger så vil personvernforordningen gjelde for personopplysningene. Andre opplysninger reguleres av denne forordningen. Grensen mellom personopplysninger og andre data er ikke alltid så tydelig. Praksis fra EU-domstolen vil være veiledende for hvor grensen går. Juridisk forutsigbarhet for markedsaktørene, med hensyn til valg av lovverk, vil være viktig for å styrke det digitale indre marked. Kommisjonen har forpliktet seg til å publisere en veileder på dette området innen 29. mai 2019.

Etter forordningen skal oppbevaring og lagring av data ikke kunne begrenses til ett medlems­land, og dermed kan lagring eller behandling av data i et annet medlemsland ikke være forbudt eller begrenset av nasjonale regler. Unntak fra prinsippet om fri flyt av data må være berettiget av hensyn til offentlig sikkerhet, slik dette hensynet er definert i EU-retten og særlig TFEU artikkel 52.

Begrepet "public security" (offentlig sikkerhet) er tolket av EU-domstolen og omfatter både intern og ekstern sikkerhet til et medlemsland, og også trygging av innbyggerne gjennom kriminalitetsbekjempelse. Lokaliseringskrav som er grunngitt med hensyn til offentlig sikkerhet må være hensiktsmessige for å oppnå formålet og ikke gå lenger enn nødvendig (forholdsmessighet).

Medlemslandene må oppheve datalokaliseringskrav i eksisterende regelverk, såfremt de ikke kan begrunnes i hensynet til offentlig sikkerhet, innen 30. mai 2021. Datalokaliseringskrav som landene mener er berettiget ut i fra hensynet til sikkerhet, skal meldes til Kommisjonen med en begrunnelse innen samme frist. Nye lovforslag og endringer i eksisterende regler skal også meldes til Kommisjonen, jf. artikkel 4(2).

Medlemslandene må lage en oversikt over datalokaliseringskrav og publisere og vedlikeholde denne på et sentralt nettsted ("national online single information point"). Alle nasjonale restriksjoner skal av hensyn til åpenhet og forutsigbarhet publiseres, og Kommisjonen vil offentliggjøre lenkene til medlemslandenes informasjonssteder.

Et viktig prinsipp i forordningen er å skape fri flyt av data uten at dette griper inn i myndighetens tilgang til data som er nødvendig for å utføre deres oppgaver. Artikkel 5 skal sikre at data gjøres tilgjengelig for myndigheters legitime behov, også når de er lagret i et annet medlemsland. Det åpnes for sanksjoner dersom anmodning om tilgang til data ikke imøtekommes.

Gjennomføring av forordningen krever lovendring, og Stortingets samtykke må derfor innhentes.

[1] Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

Merknader
EU-parlamentet og Rådet vedtok den 14. november 2018 en forordning om fri flyt av andre opplysninger enn personopplysninger i EU ("Free flow of Data", FFD). Det rettslige grunnlaget for forordningen er artikkel 114 i TFEU (Den europeiske unions funksjonsmåde). Artikkel 114 gir hjemmel til å vedta rettsakter som vedrører det indre markeds opprettelse og funksjon.

Den norske regjeringen oversendte våren 2015 et brev til EU-kommisjonen med Norges innspill til arbeidet med et digitalt fellesmarked (DSM). I dette brevet gir regjeringen støtte til DSM og understreker behovet for å kartlegge og fjerne hindringer for digitale tjenester på tvers av EU/EØS-området.

I desember 2016 sendte flere EU-land et brev til visepresident Ansip, hvor de understreket betydningen av fri flyt av data for skape et reelt digitalt fellesmarked i EU. Norge sendte et brev som støttet de andre landenes posisjon og understreket norske myndigheters intensjon om å jobbe for å fjerne grunnløse krav til datalokalisering. Brevet ble fulgt opp med et posisjonsnotat der Norge understreker betydningen av en harmonisert politikk for fri flyt av data innen EØS-området, og uttrykker støtte til arbeidet med lovgivning for å sikre dette.

Et digitalt fellesmarked er i tråd med norsk politikk forankret i Meld. St. 27 (2016-2017) Digital agenda for Norge. Det følger av Nasjonal strategi for bruk av skytenester (KMD, 2016) at regjeringen skal se på grunnlaget og handlingsrommet for å fjerne nasjonale begrensinger for hvor data kan lagres (KMD, 2016). Strategien Norge som datasenternasjon (NFD, 2018) peker på at enhetlige krav som sikrer at offentlige og private virksomheter i hele Europa kan behandle data utenfor egne landegrenser er en viktig forutsetning for at norske datasentre skal kunne være med i konkurransen om å levere datasentertjenester til disse virksomhetene. Rettsakten er således i tråd med nasjonal IKT-politikk.

Rettslige konsekvenser
Gjennomføringen av forordningen vil medføre endringer i norsk lovgivning. Kommunal- og moderniseringsdepartementet har foreløpig vurdert det slik at rettsakten vil kreve endringer i følgende regelverk:

• Bokføringsloven med tilhørende forskrift. Utgangspunktet etter bokføringslovens § 13 annet ledd er at regnskapsmaterialet skal oppbevares i Norge. Det følger av bestemmelsens femte ledd at det kan gjøres unntak fra kravet om "oppbevaringssted og oppbevaringstid" i forskrift eller enkeltvedtak. Det er gitt to forskrifter om unntak fra oppbevaringssted. I forskrift er det åpnet opp for å oppbevare elektronisk regnskapsmateriell i andre EØS-stater på visse vilkår, jf. § 7-5. Det er skattedirektoratet som fastsetter i forskrift hvilke land som oppfyller vilkårene for lagring i utlandet. Adgangen er begrenset til Norden.

• Skattebetalingsforskriften. I §5-11-2, tiende ledd står det: "Dokumentasjonen skal oppbevares i Norge i fem år etter inntektsårets slutt."

• Arkivloven. Lovens §9 b angir at "utan etter særskilt samtykk frå Riksarkivaren, kan ikkje arkivmateriale…" "… førast ut or landet, dersom dette ikkje representerer ein naudsynt del av den forvaltningsmessige eller rettslege bruken av dokumenta."

Økonomiske og administrative konsekvenser
Det følger av Kommisjonens forundersøkelse ("impact assesmment") at lovforslaget vil styrke den digitale økonomien i EU. I 2016 var dataøkonomien estimert til 60 milliarder euro, som var 9,5% vekst fra året før. Studier viser at dataøkonomien potensielt kan øke til 106 milliarder euro inn 2020. Fri flyt av ikke-personlig data er ett av flere tiltak for å styrke EUs posisjon i den digitale økonomien.

Forordningsforslaget vil kunne bidra til at offentlig sektor bruker IKT-løsninger på en mer kostnadseffektiv måte, for eksempel ved økt bruk av skytjenester. Kommisjonens konsekvens­analyser viser at kostandene ved innføring av forordningen vil være beskjedne – de er beregnet til 33.000 euro årlig til menneskelig ressurser for å opprettholde et sentralt kontaktpunkt. I tillegg antas det en mindre årlig kostnad til forberedelse av notifikasjon til Kommisjonen om nye eller eksisterende krav. I den grad innhenting og utlevering av informasjon til og fra andre medlemsland kan foregå i allerede etablerte organer og strukturer, vil dette begrense økonomiske og administrative konsekvenser av lovforslaget.

Lovforslaget vil gi positive konkurransefordeler og stimulere til innovasjon. Et harmonisert regelverk for utveksling av data innen EØS-området er nødvendig dersom Norge skal være et attraktivt land for næringsutvikling, f.eks. for etablering av datasentre.

For næringslivet er det antatt at forordningsforslaget vil kunne medføre økonomiske besparelser knyttet til lagring og oppbevaring av data og reduserte driftskostnader, f.eks. ved økt bruk av skytjenester. Bruk av skytjenester, som reduserer behovet for å investere i egen IKT-infrastruktur, er særlig viktig for SMB-er og nyetableringer, fordi det reduserer både kostnad og risiko. Regelverket skal bidra til å gjøre det lettere å bytte tjeneste­leverandører innenfor EU/EØS og styrke tilliten i markedet.

Sakkyndige instansers merknader
Rettsakten skal behandles regjeringens Spesialutvalg for Kommunikasjoner. Kommunal- og moderniseringsdepartementet vil sende forordningen på høring.

Rettsakten anses å være EØS-relevant.

Vurdering
Rettsakten viser i fortalen til følgende rettsakter for regulering av samarbeid omkring utlevering av data, som ikke er innlemmet i EØS-avtalen:

1. COUNCIL FRAMEWORK DECISION 2006/960/JHA on simplifying the exchange of information and intelligence between law enforcement authorities of the Member States of the European Union.

2. Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 regarding the European Investigation Order in criminal matters.

3. Council Regulation (EC) No 1206/2001 of 28 May 2001 on cooperation between the courts of the Member States in the taking of evidence in civil or commercial matters.

4. COUNCIL DIRECTIVE 2006/112/EC of 28 November 2006 on the common system of value added tax.

5. Council Regulation (EU) No 904/2010 of 7 October 2010 on administrative cooperation and combating fraud in the field of value added tax.

Rettsakt nr. 1 (Rådets rammeavgjørelse 2006/960/JHA) er gjennomført i norsk rett, ettersom rettsakten inngår som del av Schengen-samarbeidet. Rettsakt nr. 2 (direktiv 2014/41/EU) er også en rettsakt som hører inn under Schengen-samarbeidet. Stortinget skal ha gitt sitt samtykke til godkjennelse av rettsakten, men den er ennå ikke gjennomført da Norge ikke har mottatt noen formell notifikasjon om den nye rettsakten fra EU.

Rettsakt nr. 3-5 er ikke innlemmet i EØS-avtalen ettersom de ikke er ansett EØS-relevante. Disse er heller ikke Schengen-relevante eller gjennomført i norsk rett gjennom andre samarbeidsformer med EU.

De nevnte rettsaktene er i fortalens avsnitt (26) gitt som eksempler på eksisterende regelverk som kan komme til anvendelse ved utveksling av informasjon mellom de ulike lands myndigheter etter forordningsforslagets artikler 5 og 7. UD har så langt vurdert at det ikke synes å være behov for særskilte tilpasninger for disse rettsaktene. Kommisjonen oppfordrer medlemslandene til å benytte eksisterende mekanismer der disse finnes, men FFD-forordningen regulerer også hvordan landene skal bistå hverandre i utlevering av data til kompetente myndigheter uavhengig av om det allerede eksisterer slik mekanismer.

Forordningens artikkel 4 henviser til prosedyrer i Direktiv (EU) 2015/1535 fra Europaparlamentet og rådet om en informasjonsprosedyre for tekniske regler og informasjonssamfunnstjenester (kodifisering). Dette direktivet er en kodifisering av Europaparlamentets- og rådsdirektiv 98/34/EF av 22. juni 1998 om en informasjonsprosedyre for standarder og tekniske regler, endret ved europaparlamentets- og rådsdirektiv 98/48/EF av 20. juli 1998. Direktivet stiller krav til statlige forvaltningsorgan om å informere ESA, og derigjennom Kommisjonen, andre EØS-stater og Sveits om utkast til nye tekniske regler, inkludert regler om informasjonssamfunnstjenester. Meldepliktsordningen gjelder nasjonale regler, dvs. regelverk som ikke utelukkende er en implementering av EU regelverk.

Direktiv 2015/1535 er ikke ennå på plass i EØS avtalen, men prosedyrene i artikkel 5, 6 og 7 i direktivet, som det henvises til i artikkel 4 i FFD-forordningen, er implementert i norsk lov gjennom direktiv 98/34 og 98/48.

Fortalen omtaler også Directive (EU) 2016/1148 (NIS-direktivet). Forslag til en ny lov som skal gjennomføre EUs NIS-direktiv i norsk rett ble sendt på høring 21. desember 2018, med høringsfrist 22. mars 2019.

Status
Rettsakten er publisert på Eur-Lex: https://eur-lex.europa.eu/eli/reg/2018/1807/oj

Informasjon om forarbeidet, grunnlagsdokumenter, faktainformasjon og konsekvensutredningen av lovforslaget finnes her: https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data. Norge har deltatt i Kommisjonens arbeid fram mot forordningen, blant annet i embetsgrupper og ekspertgrupper.

Rettsakten er under vurdering i EØS/EFTA-statene. Den er planlagt sendt på offentlig høring i Norge i løpet av våren 2019.

Nøkkelinformasjon
norge-flagg

Norge

Ansvarlig departement
Kommunal- og moderniseringsdepartementet
Informasjon fra departementet
Annen informasjon