Beskyttelse av personopplysninger i Andorra
Kommisjonsbeslutning 2010/625/EU av 19. oktober 2010 om tilstrekkeligheten av beskyttelsesnivået for personopplysninger i Andorra i henhold til europaparlaments- og rådsdirektiv 95/46/EF
Commission Decision 2010/625/EU of 19 October 2010 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data in Andorra
EØS-komitevedtak 2.12.2011
Nærmere omtale
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 27.4.2012)
Sammendrag av innhold
Saken gjelder Kommisjonens beslutning om beskyttelsesnivået ved behandling av personopplysninger i Andorra. Beslutningen medfører at Andorra vurderes å ha et tilfredsstillende personvernnivå i forhold til de krav som følger av direktiv 95/46/EC. Overføring av personopplysninger fra stater som er forpliktet etter direktivet, herunder Norge, kan derfor skje til behandlingsansvarlige etablert i Andorra. Unntak kan likevel gjøres dersom det er grunn til å tro at personopplysningene ikke vil bli behandlet i henhold til direktivets krav etter overføringen.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet – slik at overføring kan skje. Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket. Dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal øvrige EØS-stater innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Vurdering
Kommisjonens beslutning vurderes relevant i forhold til overføring av personopplysninger til tredjeland i henhold til personopplysningsloven § 29. Vedtaket faller inn under personopplysningsforskriften § 6-1, og det kreves derfor ikke endringer i norsk rett i dette tilfellet. Rettsakten har ikke økonomiske eller administrative konsekvenser for Norge.
Status
Rettsakten ble vedtatt i EU 19. oktober 2010, og ble publisert i OJ 21. oktober 2010.
Sammendrag av innhold
Saken gjelder Kommisjonens beslutning om beskyttelsesnivået ved behandling av personopplysninger i Andorra. Beslutningen medfører at Andorra vurderes å ha et tilfredsstillende personvernnivå i forhold til de krav som følger av direktiv 95/46/EC. Overføring av personopplysninger fra stater som er forpliktet etter direktivet, herunder Norge, kan derfor skje til behandlingsansvarlige etablert i Andorra. Unntak kan likevel gjøres dersom det er grunn til å tro at personopplysningene ikke vil bli behandlet i henhold til direktivets krav etter overføringen.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet – slik at overføring kan skje. Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket. Dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal øvrige EØS-stater innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Vurdering
Kommisjonens beslutning vurderes relevant i forhold til overføring av personopplysninger til tredjeland i henhold til personopplysningsloven § 29. Vedtaket faller inn under personopplysningsforskriften § 6-1, og det kreves derfor ikke endringer i norsk rett i dette tilfellet. Rettsakten har ikke økonomiske eller administrative konsekvenser for Norge.
Status
Rettsakten ble vedtatt i EU 19. oktober 2010, og ble publisert i OJ 21. oktober 2010.