FFD-forordningen om fri flyt av ikke-personlige data
EØS-komitebeslutning 22.9.2023 om innlemmelse i EØS-avtalen
Tidligere:
EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 21.6.2023
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 9.10.2023)
Sammendrag av innhold
Forordningen vil gjennomføres i form av en ny lov, og Stortingets samtykke må derfor innhentes. For å oppfylle forordningens krav er det nødvendig med en gjennomgang av og endringer i enkelte sektorregelverk.
Bakgrunn
EU har vedtatt en forordning som introduserer prinsippet om fri flyt av andre opplysninger enn personopplysninger i EU.[1] En viktig barriere mot utviklingen av et digitalt indre marked, og en datadrevet økonomi i EU, er manglende datamobilitet. Regulatoriske og administrative krav og praksis, som begrenser muligheten til å lagre og behandle data utenfor den enkelte medlemsstats grenser, er blant de største hindre for et digitalt indre marked. Formålet med forordningen er å fjerne nasjonale hindringer for å sikre fri flyt av andre opplysninger enn personopplysninger i EU/EØS.
[1] Regulation (EU) 2018/1807 of the European Parliament and of the Council on a framework for the free flow of non-personal data in the European Union
Innhold i forordningen
Forordningen gjelder alle typer elektronisk behandling og lagring av data i vid forstand. Forordningen gjelder kun for andre opplysninger enn personopplysninger og griper således ikke inn i personvernforordningen (GDPR) [2], kommunikasjonsverndirektivet (e-Privacy directive[3) eller Police directive.[4] Sammen skal forordningen om fri flyt av andre opplysninger enn personopplysninger og EUs personvernforordning skape et helhetlig og sammenhengende rettslig rammeverk som skal sikre fri fly av alle opplysninger i hele EU/EØS-området.
Etter forordningen skal oppbevaring og lagring av data ikke kunne begrenses til en medlemsstat, og dermed kan lagring eller behandling av data i en annen medlemsstat ikke være forbudt eller begrenset av nasjonale regler. Unntak fra prinsippet om fri flyt av data må være berettiget av hensyn til offentlig sikkerhet ("public security"), slik dette hensynet er definert i EU-retten og særlig TFEU artikkel 52.
Begrepet "public security" er tolket av EU-domstolen og omfatter både intern og ekstern sikkerhet i en medlemsstat, og også trygging av innbyggerne gjennom kriminalitetsbekjempelse. Lokaliseringskrav som er grunngitt med hensyn til offentlig sikkerhet må være hensiktsmessige for å oppnå formålet og ikke gå lenger enn nødvendig (forholdsmessighet). Begrepet er nærmere omtalt i fortalens avsnitt 19.
Medlemsstatene må oppheve datalokaliseringskrav i eksisterende regelverk, såfremt de ikke kan begrunnes i hensynet til offentlig sikkerhet, innen 30. mai 2021. Datalokaliseringskrav som statene mener er berettiget ut ifra hensynet til offentlig sikkerhet, skal meldes til Kommisjonen med en begrunnelse innen samme frist. Nye lovforslag og endringer i eksisterende regler skal også meldes til Kommisjonen, jf. artikkel 4(2).
Hva som anses som et datalokaliseringskrav er legaldefinert i forordningen art 3(1) nr. 5. Det omfatter alle forpliktelser, forbud, vilkår, begrensninger eller andre krav fastsatt i en medlemsstats lov eller forskrift, eller allmenn og konsekvent forvaltningspraksis, som innebærer at databehandling skal finne sted på en bestemt medlemsstats territorium, eller som hindrer at data behandles i en annen medlemsstat. Kommisjonens veileder inneholder en nærmere redegjørelse for hva som utgjør et datalokaliseringskrav, enten direkte eller indirekte.
Medlemsstatene må lage en oversikt over datalokaliseringskrav og publisere og vedlikeholde denne på et sentralt nettsted ("national online single information point"). Alle nasjonale restriksjoner skal av hensyn til åpenhet og forutsigbarhet publiseres, og Kommisjonen vil offentliggjøre lenkene til medlemsstatenes informasjonssteder.
Et viktig prinsipp i forordningen er å skape fri flyt av data uten at dette griper inn i myndighetens tilgang til data som er nødvendig for å utføre deres oppgaver. Artikkel 5 skal sikre at data gjøres tilgjengelig for myndigheters legitime behov, også når de er lagret i en annen medlemsstat.
Forordningen åpner for at medlemsstatene kan fastsette sanksjoner ved manglende oppfyllelse av en forpliktelse til å fremlegge opplysninger, ref. artikkel 5(4)
Den 29. mai 2019 publiserte Kommisjonen en veileder vedrørende forordningen. Veilederen redegjør blant annet for samspillet mellom FFD og GDPR, herunder for datasett som inneholder både personopplysninger og andre opplysninger ("mixed datasets"). Data som ikke anses som personopplysninger i henhold til definisjonen i personvernforordningen (GDPR) artikkel 4 nr. 1, reguleres av FFD-forordningen. Slike data kan typisk være data om værforhold, opplysninger om juridiske personer eller anonymiserte data, som verken direkte eller indirekte kan knyttes til en identifisert eller identifiserbar fysisk person. For datasett som inneholder både personopplysninger og andre opplysninger vil FFD-forordningen gjelde for den delen som inneholder andre opplysninger enn personopplysninger. Hvis personopplysninger og andre data er uløselig knyttet sammen gjelder GDPR for hele datasettet. Dette gjelder selv om personopplysningene kun utgjør en liten andel av datasettet. Grensen mellom personopplysninger og andre opplysninger er ikke alltid klar. Praksis fra EU-domstolen vil være veiledende for hvor grensen går.
Forordningen vil gjennomføres i form av en ny lov, og Stortingets samtykke må derfor innhentes. For å oppfylle forordningens krav, og sikre fri flyt av andre opplysninger enn personopplysninger er det nødvendig med en gjennomgang av og endringer i nevnte sektorregelverk, se nedenfor.
[2] Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
[3] Direktiv 2002/58/EC.
[4] Direktiv (EU) 2016/680 om beskyttelse av fysiske personer ved behandling av personopplysninger for å forebygge, etterforske, avdekke eller straffeforfølge lovbrudd eller gjennomføring av straffereaksjoner.
Merknader
EU-parlamentet og Rådet vedtok den 14. november 2018 en forordning om fri flyt av andre opplysninger enn personopplysninger i EU ("Free flow of Data", FFD). Det rettslige grunnlaget for forordningen er artikkel 114 i TFEU (Den europeiske unions funksjonsmåde). Artikkel 114 gir hjemmel til å vedta rettsakter som vedrører det indre markeds opprettelse og funksjon.
Et digitalt fellesmarked er i tråd med norsk politikk forankret i Meld. St. 27 (2016-2017) Digital agenda for Norge. Det følger av Nasjonal strategi for bruk av skytenester (KMD, 2016) at regjeringen skal se på grunnlaget og handlingsrommet for å fjerne nasjonale begrensinger for hvor data kan lagres (KMD, 2016). Strategien Norge som datasenternasjon (NFD, 2018) peker på at enhetlige krav som sikrer at offentlige og private virksomheter i hele Europa kan behandle data utenfor egne landegrenser er en viktig forutsetning for at norske datasentre skal kunne være med i konkurransen om å levere datasentertjenester til disse virksomhetene. Rettsakten er således i tråd med nasjonal IKT-politikk.
Rettslige konsekvenser
Forordningen ble sendt på nasjonal høring 12. april 2019. Gjennomføringen av forordningen vil medføre endringer i norsk lovgivning. Det er foreløpig vurdert at rettsakten vil kreve endringer i følgende regelverk:
- Bokføringsloven med tilhørende forskrift. Utgangspunktet etter bokføringslovens § 13 annet ledd er at regnskapsmaterialet skal oppbevares i Norge. Det følger av bestemmelsens femte ledd at det kan gjøres unntak fra kravet om "oppbevaringssted og oppbevaringstid" i forskrift eller enkeltvedtak. I forskrift er det åpnet opp for å oppbevare elektronisk regnskapsmateriell i andre EØS-stater på visse vilkår, jf. § 7-5. Det er skattedirektoratet som i egen forskrift fastsetter hvilke stater som oppfyller vilkårene for lagring i utlandet. Adgangen er begrenset til Norden.
- Skattebetalingsforskriften. I §5-11-2, tiende ledd står det: "Dokumentasjonen skal oppbevares i Norge i fem år etter inntektsårets slutt."
- Arkivloven. Lovens §9 b angir at "utan etter særskilt samtykk frå Riksarkivaren, kan ikkje arkivmateriale…" "… førast ut or landet, dersom dette ikkje representerer ein naudsynt del av den forvaltningsmessige eller rettslege bruken av dokumenta."
Økonomiske og administrative konsekvenser
Det følger av Kommisjonens forundersøkelse at forodningen vil styrke den digitale økonomien i EU. I 2016 var dataøkonomien estimert til 60 milliarder euro, som var 9,5% vekst fra året før. Studier viser at dataøkonomien potensielt kan øke til 106 milliarder euro inn 2020. Fri flyt av andre opplysninger enn personopplysninger er ett av flere tiltak for å styrke EUs posisjon i den digitale økonomien.
Kommisjonens konsekvensanalyser viser at kostandene ved innføring av forordningen vil være beskjedne – de er beregnet til 33.000 euro årlig til menneskelig ressurser for å opprettholde et sentralt kontaktpunkt. I tillegg antas det en mindre årlig kostnad til forberedelse av notifikasjon til Kommisjonen om nye eller eksisterende krav. I den grad innhenting og utlevering av informasjon til og fra andre medlemsstater kan foregå i allerede etablerte organer og strukturer, vil dette begrense økonomiske og administrative konsekvenser av lovforslaget.
Lovforslaget vil gi positive konkurransefordeler og stimulere til innovasjon. Et harmonisert regelverk for utveksling av data innen EØS-området er nødvendig dersom Norge skal være et attraktivt land for næringsutvikling, f.eks. for etablering av datasentre.
For næringslivet er det antatt at forordningsforslaget vil kunne medføre økonomiske besparelser knyttet til lagring og oppbevaring av data og reduserte driftskostnader, f.eks. ved økt bruk av skytjenester. Regelverket skal bidra til å gjøre det lettere å bytte tjenesteleverandører innenfor EU/EØS og styrke tilliten i markedet.
Sakkyndige instansers merknader
Rettsakten er behandlet i regjeringens Spesialutvalg for Kommunikasjoner, der berørte departementer er representert, samt Nasjonal kommunikasjonsmyndighet er representert, ved skriftlig prosedyre 14.02.2019. SU Kommunikasjoner fant rettsakten relevant og akseptabel for innlemming i EØS-avtalen, uten behov for tilpasningstekst.
Vurdering
Konklusjon: Forordningen anses EØS-relevant og akseptabel, og anbefales tatt inn i EØS-avtalen.
Rettsakten viser i fortalen til følgende rettsakter for regulering av samarbeid omkring utlevering av data, som ikke er innlemmet i EØS-avtalen:
1. COUNCIL FRAMEWORK DECISION 2006/960/JHA on simplifying the exchange of information and intelligence between law enforcement authorities of the Member States of the European Union.
2. Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 regarding the European Investigation Order in criminal matters.
3. Council Regulation (EC) No 1206/2001 of 28 May 2001 on cooperation between the courts of the Member States in the taking of evidence in civil or commercial matters.
4. COUNCIL DIRECTIVE 2006/112/EC of 28 November 2006 on the common system of value added tax.
5. Council Regulation (EU) No 904/2010 of 7 October 2010 on administrative cooperation and combating fraud in the field of value added tax.
Rettsakt nr. 1 (Rådets rammeavgjørelse 2006/960/JHA) er gjennomført i norsk rett, ettersom rettsakten inngår som del av Schengen-samarbeidet. Rettsakt nr. 2 (direktiv 2014/41/EU) er også en rettsakt som hører inn under Schengen-samarbeidet. Stortinget skal ha gitt sitt samtykke til godkjennelse av rettsakten, men den er ennå ikke gjennomført da Norge ikke har mottatt noen formell notifikasjon om den nye rettsakten fra EU.
Rettsakt nr. 3-5 er ikke innlemmet i EØS-avtalen ettersom de ikke er ansett EØS-relevante. Disse er heller ikke Schengen-relevante eller gjennomført i norsk rett gjennom andre samarbeidsformer med EU.
De nevnte rettsaktene er i fortalens avsnitt (26) gitt som eksempler på eksisterende regelverk som kan komme til anvendelse ved utveksling av informasjon mellom de ulike statenes myndigheter etter forordningsforslagets artikler 5 og 7. UD har så langt vurdert at det ikke synes å være behov for særskilte tilpasninger for disse rettsaktene. Kommisjonen oppfordrer medlemsstatene til å benytte eksisterende mekanismer der disse finnes, men FFD-forordningen regulerer også hvordan statene skal bistå hverandre i utlevering av data til kompetente myndigheter uavhengig av om det allerede eksisterer slik mekanismer.
Forordningens artikkel 4 henviser til prosedyrer i Direktiv (EU) 2015/1535 fra Europaparlamentet og rådet om en informasjonsprosedyre for tekniske regler og informasjonssamfunnstjenester (kodifisering). Dette direktivet er en kodifisering av Europaparlamentets- og rådsdirektiv 98/34/EF av 22. juni 1998 om en informasjonsprosedyre for standarder og tekniske regler, endret ved europaparlamentets- og rådsdirektiv 98/48/EF av 20. juli 1998. Direktivet stiller krav til statlige forvaltningsorgan om å informere ESA, og derigjennom Kommisjonen, andre EØS-stater og Sveits om utkast til nye tekniske regler, inkludert regler om informasjonssamfunnstjenester. Meldepliktsordningen gjelder nasjonale regler, dvs. regelverk som ikke utelukkende er en implementering av EU regelverk.
Direktiv 2015/1535 er ikke ennå på plass i EØS avtalen, men prosedyrene i artikkel 5, 6 og 7 i direktivet, som det henvises til i artikkel 4 i FFD-forordningen, er implementert i norsk lov gjennom direktiv 98/34 og 98/48.
Fortalen omtaler også Directive (EU) 2016/1148 (NIS-direktivet). Forslag til en ny lov som skal gjennomføre EUs NIS-direktiv i norsk rett ble sendt på høring 21. desember 2018, med høringsfrist 22. mars 2019. Prop. 109 LS (2022-2023) Lov om digital sikkerhet (digitalsikkerhetsloven) ble oversendt Stortinget 5. mai 2023.
Status
Rettsakten er publisert på Eur-Lex: https://eur-lex.europa.eu/eli/reg/2018/1807/oj
Informasjon om forarbeidet, grunnlagsdokumenter, faktainformasjon og konsekvensutredningen av lovforslaget finnes her: https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data. Norge har deltatt i Kommisjonens arbeid fram mot forordningen, blant annet i embetsgrupper og ekspertgrupper.
I statsråd 15. september 2023 ble det vedtatt at Norge deltar, med forbehold om Stortingets samtykke, i EØS-komiteens beslutning om innlemmelse i EØS-avtalen av Forordning (EU) 2018/1807 av 14. november 2018 om en ramme for fri flyt av andre opplysninger enn personopplysninger i EU.
EØS-komiteen fattet beslutning om innlemmelse 22. september 2013. Kommunal- og moderniseringsdepartementet vil fremme et lovforslag for Stortinget som gjennomfører forordningen i nasjonal rett. Det tas sikte på at dette kan behandles i Stortinget i vårsesjonen 2024.