Beskyttelse av personopplysninger i New Zealand
Kommisjonens gjennomføringsbeslutning 2013/65/EU av 19. desember 2012 om tilfredsstillende beskyttelse av personopplysninger i New Zealand i henhold til Europaparlamentets og Rådets direktiv 95/46/EF
Commission Implementing Decision 2013/65/EU of 19 December 2012 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data by New Zealand
EØS-komitevedtak 14.6.2013
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 19.6.2013)
Sammendrag av innhold
Saken gjelder Kommisjonens beslutning om beskyttelsesnivået ved behandling av personopplysninger i New Zealand. Beslutningen medfører at New Zealand vurderes å ha et tilfredsstillende personvernnivå i forhold til de krav som følger av direktiv 95/46/EC. Overføring av personopplysninger fra stater som er forpliktet etter direktivet, herunder Norge, kan derfor skje til behandlingsansvarlige etablert i New Zealand. Unntak kan likevel gjøres dersom det er grunn til å tro at personopplysningene ikke vil bli behandlet i henhold til direktivets krav etter overføringen.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet – slik at overføring kan skje. Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket. Dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal øvrige EØS-stater innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Rettsakten vurderes ikke å få konsekvenser for Norge eller norske virksomheter ut over at den muligjør overføring av personopplysninger fra Norge til New Zealand. Beslutningen får ikke konsekvenser for norsk lovgvinng.
Sakkyndige instansers merknader
Rettsakten har vært forelagt Datatilsynet, som ikke har inngitt merkander.
Vurdering
Kommisjonens beslutning vurderes akseptabel og relevant jf. bestemmelsen om overføring av personopplysninger til tredjeland i personopplysningsloven § 29. Vedtaket faller inn under personopplysningsforskriften § 6-1, og det kreves derfor ikke endringer i norsk rett i dette tilfellet. Rettsakten har ikke økonomiske eller administrative konsekvenser for Norge.
Status
Rettsakten ble vedtatt i EU 19. desember 2012, og ble publisert i OJ 30. januar 2013.
Sammendrag av innhold
Saken gjelder Kommisjonens beslutning om beskyttelsesnivået ved behandling av personopplysninger i New Zealand. Beslutningen medfører at New Zealand vurderes å ha et tilfredsstillende personvernnivå i forhold til de krav som følger av direktiv 95/46/EC. Overføring av personopplysninger fra stater som er forpliktet etter direktivet, herunder Norge, kan derfor skje til behandlingsansvarlige etablert i New Zealand. Unntak kan likevel gjøres dersom det er grunn til å tro at personopplysningene ikke vil bli behandlet i henhold til direktivets krav etter overføringen.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet – slik at overføring kan skje. Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket. Dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal øvrige EØS-stater innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Rettsakten vurderes ikke å få konsekvenser for Norge eller norske virksomheter ut over at den muligjør overføring av personopplysninger fra Norge til New Zealand. Beslutningen får ikke konsekvenser for norsk lovgvinng.
Sakkyndige instansers merknader
Rettsakten har vært forelagt Datatilsynet, som ikke har inngitt merkander.
Vurdering
Kommisjonens beslutning vurderes akseptabel og relevant jf. bestemmelsen om overføring av personopplysninger til tredjeland i personopplysningsloven § 29. Vedtaket faller inn under personopplysningsforskriften § 6-1, og det kreves derfor ikke endringer i norsk rett i dette tilfellet. Rettsakten har ikke økonomiske eller administrative konsekvenser for Norge.
Status
Rettsakten ble vedtatt i EU 19. desember 2012, og ble publisert i OJ 30. januar 2013.