Kommisjonens gjennomføringsbeslutning (EU) 2016/1250 av 12. juli 2016 i henhold til europaparlaments- og rådsdirektiv 95/46/EF om tilstrekkeligheten av den beskyttelse som oppnås ved hjelp av EUs og USAs vern av privatlivets fred
Beskyttelse av personopplysninger ved datautveksling mellom EU og USA
Progresjon
Evalueringsrapport lagt fram av Kommisjonen 18.10.2017
Redaksjonens kommentar
Beslutningen fra 2016 ble annullert av EU-domstolen 16. juli 2020 i sak C-311/08. Rettsakten er tatt ut av EØS-avtalen ved EØS-komiteens beslutning nr. 217/2020.
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 7.4.2017)
Sammendrag av innhold
Saken gjelder Kommisjonens beslutning om tilstrekkelig beskyttelsesnivå ved behandling av personopplysninger i USA gjennom Privacy shield-avtalen. Beslutningen innebærer at USA, etter vilkår fastsatt i avtalen, vurderes å ha et tilfredsstillende vernenivå for personopplysninger i forhold til de krav som følger av direktiv 95/46/EF (personverndirektivet). Overføring av personopplysninger fra stater som er forpliktet etter personverndirektivet, herunder Norge, kan derfor skje til behandlingsansvarlige etablert i USA og som forplikter seg å følge de vilkår som ordningen fastsetter.
Privacy Shield-avtalen erstatter den tidligere Safe Harbor-avtalen. Safe Harbor ble kjent ugyldig i 2015 ved en dom i EU-domstolen (Schrems-dommen). Safe Harbor var en avtale mellom USA og EU om en selvsertifiseringsordning som ga mulighet for, på en enkel måte, å kunne overføre personopplysninger over landegrensene. Ugyldiggjøringen innebar at overføring av personopplysninger mellom EU og USA ikke lenger kunne skje gjennom den forenklede prosedyren som Safe Harbor-avtalen innebar. Safe Harbor-beslutningen gjaldt også for Norge gjennom EØS-avtalen, men ble tatt ut av avtalen etter at den ble kjent ugyldig. Etter dommen har EU-kommisjonen fremforhandlet Privacy Shield-avtalen med USA, som erstatter Safe Harbor-avtalen. Avtalen skal sikre at personopplysninger behandles i tråd med de krav som ble oppstilt av EU-domstolen i Schrems-dommen. Privacy Shield-avtalen ble vedtatt av EU-kommisjonen i juli 2016.
Privacy Shield-avtalen oppstiller flere prinsipper som de virsomheter som slutter seg til ordningen må overholde. Dette er personvernprinsipper som ellers følger av EU-regelverket, bl.a. prinsipper om innsynrett og opplysningsplikt, formålsbegrensning, dataintegritet, viderebruk av opplysninger og sikkerhet. Det er videre lagt opp til bedre ivaretakelse av individuelle rettigheter, bl.a. ved klageordninger for europeiske borgere som anser at deres personopplysninger blir misbrukt i USA. Amerikanske myndigheter har også gitt tilsagn om at vernet at privatlivets fred skal håndheves konsekvent og har garantert for at nasjonale myndigheter ikke vil iverksette vilkårlig overvåkning eller masseovervåkning.
Merknader
Rettslige konsekvenser
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet, slik at overføring kan skje. Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kommer i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket. Dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal øvrige EØS-stater innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Bestemmelsene i personverndirektivet om kommisjonsbeslutninger om tilstrekkelig beskyttelsesnivå, videreføres i den nylig vedtatte personvernforordningen, EU 2016/679.
Økonomiske og administrative konsekvenser
Rettsakten vurderes ikke å få økonomiske eller administrative konsekvenser for Norge eller norske virksomheter ut over at den muligjør overføring av personopplysninger fra Norge til USA via Privacy Shield ordningen. Det vurderes som viktig for norsk næringsliv å kunne benytte ordningen. Beslutningen medfører ikke behov for endringer i norsk regelverk.
Vurdering
Kommisjonsbeslutningen anses EØS-relevant og akseptabel, og anbefales innlemmet i EØS-avtalens vedlegg XI. Vedtaket faller inn under personopplysningsforskriften § 6-1, og det kreves derfor ikke endringer i norsk regelverk.
Innholder informasjon unntatt offentlighet, jf. offl. § 13
Status
Rettsakten ble vedtatt i EU 12. juli 2016. Rettsakten er under vurdering i EØS-statene.