Beskyttelse av personopplysninger ved datautveksling mellom EU og USA

Tittel

Kommisjonens gjennomføringsbeslutning (EU) 2016/1250 av 12. juli 2016 i henhold tileuropaparlaments- og rådsdirektiv 95/46/EF om tilstrekkeligheten av den beskyttelse som oppnås ved hjelp av EUs og USAs vern av privatlivets fred

Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield

Siste nytt

Evalueringsrapport lagt fram av Kommisjonen 18.10.2017

Behandlende organ

Ferdigbehandlet

 
 

Nærmere omtale

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 7.4.2017)

Sammendrag av innhold
Saken gjelder Kommisjonens beslutning om tilstrekkelig beskyttelsesnivå ved behandling av personopplysninger i USA gjennom Privacy shield-avtalen. Beslutningen innebærer at USA, etter vilkår fastsatt i avtalen, vurderes å ha et tilfredsstillende vernenivå for personopplysninger i forhold til de krav som følger av direktiv 95/46/EF (personverndirektivet). Overføring av personopplysninger fra stater som er forpliktet etter personverndirektivet, herunder Norge, kan derfor skje til behandlingsansvarlige etablert i USA og som forplikter seg å følge de vilkår som ordningen fastsetter.

Privacy Shield-avtalen erstatter den tidligere Safe Harbor-avtalen. Safe Harbor ble kjent ugyldig i 2015 ved en dom i EU-domstolen (Schrems-dommen). Safe Harbor var en avtale mellom USA og EU om en selvsertifiseringsordning som ga mulighet for, på en enkel måte, å kunne overføre personopplysninger over landegrensene. Ugyldiggjøringen innebar at overføring av personopplysninger mellom EU og USA ikke lenger kunne skje gjennom den forenklede prosedyren som Safe Harbor-avtalen innebar. Safe Harbor-beslutningen gjaldt også for Norge gjennom EØS-avtalen, men ble tatt ut av avtalen etter at den ble kjent ugyldig. Etter dommen har EU-kommisjonen fremforhandlet Privacy Shield-avtalen med USA, som erstatter Safe Harbor-avtalen. Avtalen skal sikre at personopplysninger behandles i tråd med de krav som ble oppstilt av EU-domstolen i Schrems-dommen. Privacy Shield-avtalen ble vedtatt av EU-kommisjonen i juli 2016.

Privacy Shield-avtalen oppstiller flere prinsipper som de virsomheter som slutter seg til ordningen må overholde. Dette er personvernprinsipper som ellers følger av EU-regelverket, bl.a. prinsipper om innsynrett og opplysningsplikt, formålsbegrensning, dataintegritet, viderebruk av opplysninger og sikkerhet. Det er videre lagt opp til bedre ivaretakelse av individuelle rettigheter, bl.a. ved klageordninger for europeiske borgere som anser at deres personopplysninger blir misbrukt i USA. Amerikanske myndigheter har også gitt tilsagn om at vernet at privatlivets fred skal håndheves konsekvent og har garantert for at nasjonale myndigheter ikke vil iverksette vilkårlig overvåkning eller masseovervåkning.

Merknader

Rettslige konsekvenser
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet, slik at overføring kan skje. Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kommer i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket. Dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal øvrige EØS-stater innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.

Bestemmelsene i personverndirektivet om kommisjonsbeslutninger om tilstrekkelig beskyttelsesnivå, videreføres i den nylig vedtatte personvernforordningen, EU 2016/679.

Økonomiske og administrative konsekvenser
Rettsakten vurderes ikke å få økonomiske eller administrative konsekvenser for Norge eller norske virksomheter ut over at den muligjør overføring av personopplysninger fra Norge til USA via Privacy Shield ordningen. Det vurderes som viktig for norsk næringsliv å kunne benytte ordningen. Beslutningen medfører ikke behov for endringer i norsk regelverk.

Vurdering
Kommisjonsbeslutningen anses EØS-relevant og akseptabel, og anbefales innlemmet i EØS-avtalens vedlegg XI. Vedtaket faller inn under personopplysningsforskriften § 6-1, og det kreves derfor ikke endringer i norsk regelverk.

Innholder informasjon unntatt offentlighet, jf. offl. § 13

Status
Rettsakten ble vedtatt i EU 12. juli 2016. Rettsakten er under vurdering i EØS-statene.

Utvid: les hele teksten.

Nøkkelinformasjon

EU



eu-flagg
Kommisjonens framlegg
D045249/12
Dato
29.02.2016
EU-vedtak (CELEX-nr): viser også lenke til konsolidert versjon og om rettsakten er i kraft
32016D1250
Dato
12.07.2016
Anvendelsesdato i EU
21.08.2016
Annen informasjon
Kommisjonens pressemelding 18.10.2017

KOM(2017) 611 - Første evalueringsrapport om EU-US Privancy Shield

EØS



EFTA/EØS-flagg
EØS-prosessen
EEA-Lex
Saksområde
Justis og innenriks: personvern (del av EØS-avtalens vedlegg XI)
Utkast til EØS-komitevedtak oversendt EU
16.05.2017
Vedtatt i EØS-komiteen
07.07.2017
EØS- komitebeslutning
Nr. 144/2017
EØS-beslutningens ikrafttredelse
08.07.2017
Frist for implementering (anvendelse) i EØS
08.07.2017

Norge



norge-flagg
Ansvarlig departement
Kommunal- og distriktsdepartementet
Informasjon fra departementet
EØS-notat

Lovdata Pro



Lovdata
Rettsakten i Lovdata Pro 32016D1250
Har du ikke abonnement? Les mer om Lovdata Pro