Den 29. mai 2019 publiserte Kommisjonen en veileder vedrørende forordningen, som bla. redegjør for samspillet mellom FFD og GDPR, herunder for datasett som inneholder både personopplysninger og andre opplysninger ("mixed datasets"). Data som ikke anses som personopplysninger i henhold til definisjonen i personvernforordningen (GDPR) artikkel 4 nr. 1, reguleres av FFD-forordningen. Slike data kan typisk være data om værforhold, opplysninger om juridiske personer eller anonymiserte data, som verken direkte eller indirekte kan knyttes til en identifisert eller identifiserbar fysisk person. Anonymiserte data skiller seg fra pseudonymiserte opplysninger, fordi slike opplysninger kan kobles til en bestemt person ved bruk av supplerende opplysninger. Hvis data, direkte eller indirekte, kan knyttes til en identifisert eller identifiserbar fysisk person, anses opplysningene som personopplysninger.

Blandede datasett utgjør den største delen av datasett i dataøkonomien. Eksempler på blandede datasett er:

• virksomhetsopplysninger, som skatteoppgjør, hvor virksomhetsdirektørens navn/telefonnummer fremgår,

• datasett i en bank, som inneholder kundeopplysninger og transaksjonsopplysninger, herunder betalingstjenester og dokumenter med blandede opplysninger om fysiske og juridiske personer.

• anonymiserte forskningsdata og de originale data, som ble samlet inn, herunder besvarelser fra individuelle respondenter

• data fra tingenes internett, hvor det kan gjøres antakelser om individers tilstedeværelse på en adresse eller bruksmønster.

For datasett som inneholder både personopplysninger og andre opplysninger vil FFD-forordningen gjelde for den delen som inneholder andre opplysninger enn personopplysninger. Hvis personopplysninger og andre data er uløselig knyttet sammen gjelder GDPR for hele datasettet. Dette gjelder selv om personopplysningene kun utgjør en liten andel av datasettet. Når data anses for å være uløselig knyttet sammen, er hverken definert i GDPR eller FFD-forordningen. Det vil kunne være tilfellet hvor det er praktisk umulig å skille dataene fra hverandre, eller det anses som økonomisk ulønnsomt eller teknisk umulig. Hverken GDPR eller FFD pålegger virksomheter å skille slike datasett.

Grensen mellom personopplysninger og andre opplysninger er ikke alltid klar. Praksis fra EU-domstolen vil være veiledende for hvor grensen går. Juridisk forutsigbarhet for markedsaktørene, med hensyn til valg av lovverk, vil være viktig for å styrke det digitale indre marked.

Etter forordningen skal oppbevaring og lagring av data ikke kunne begrenses til ett medlems­land, og dermed kan lagring eller behandling av data i et annet medlemsland ikke være forbudt eller begrenset av nasjonale regler. Unntak fra prinsippet om fri flyt av data må være berettiget av hensyn til offentlig sikkerhet, slik dette hensynet er definert i EU-retten og særlig TFEU artikkel 52.

Begrepet "public security" (offentlig sikkerhet) er tolket av EU-domstolen og omfatter både intern og ekstern sikkerhet til et medlemsland, og også trygging av innbyggerne gjennom kriminalitetsbekjempelse. Lokaliseringskrav som er grunngitt med hensyn til offentlig sikkerhet må være hensiktsmessige for å oppnå formålet og ikke gå lenger enn nødvendig (forholdsmessighet). Begrepet er nærmere omtalt i fortalens avsnitt 19.

Medlemslandene må oppheve datalokaliseringskrav i eksisterende regelverk, såfremt de ikke kan begrunnes i hensynet til offentlig sikkerhet, innen 30. mai 2021. Datalokaliseringskrav som landene mener er berettiget ut ifra hensynet til offentlig sikkerhet, skal meldes til Kommisjonen med en begrunnelse innen samme frist. Nye lovforslag og endringer i eksisterende regler skal også meldes til Kommisjonen, jf. artikkel 4(2).

Hva som anses som et datalokaliseringskrav er legaldefinert i forordningen art 3(1) nr. 5. Det omfatter alle forpliktelser, forbud, vilkår, begrensninger eller andre krav fastsatt i en medlemsstats lov eller forskrift, eller allmenn og konsekvent forvaltningspraksis, som innebærer at databehandling skal finne sted på et bestemt medlemslands territorium, eller som hindrer at data behandles i en annen medlemsstat. Kommisjonens veileder inneholder en nærmere redegjørelse for hva som utgjør et datalokaliseringskrav, enten direkte eller indirekte.

Medlemslandene må lage en oversikt over datalokaliseringskrav og publisere og vedlikeholde denne på et sentralt nettsted ("national online single information point"). Alle nasjonale restriksjoner skal av hensyn til åpenhet og forutsigbarhet publiseres, og Kommisjonen vil offentliggjøre lenkene til medlemslandenes informasjonssteder.

Et viktig prinsipp i forordningen er å skape fri flyt av data uten at dette griper inn i myndighetens tilgang til data som er nødvendig for å utføre deres oppgaver. Artikkel 5 skal sikre at data gjøres tilgjengelig for myndigheters legitime behov, også når de er lagret i et annet medlemsland.

Forordningen åpner for at medlemslandene kan fastsette sanksjoner ved manglende oppfyllelse av en forpliktelse til å fremlegge opplysninger, ref. artikkel 5(4)

Forordningen vil gjennomføres i form av en ny lov, og Stortingets samtykke må derfor innhentes. For å oppfylle forordningens krav, og sikre fri flyt av andre opplysninger enn personopplysninger er det nødvendig med en gjennomgang av og endringer i nevnte sektorregelverk, se nedenfor.

[2] Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

[3] Direktiv 2002/58/EC.

[4] Direktiv (EU) 2016/680 om beskyttelse av fysiske personer ved behandling av personopplysninger for å forebygge, etterforske, avdekke eller straffeforfølge lovbrudd eller gjennomføring av straffereaksjoner.

Merknader
EU-parlamentet og Rådet vedtok den 14. november 2018 en forordning om fri flyt av andre opplysninger enn personopplysninger i EU ("Free flow of Data", FFD). Det rettslige grunnlaget for forordningen er artikkel 114 i TFEU (Den europeiske unions funksjonsmåde). Artikkel 114 gir hjemmel til å vedta rettsakter som vedrører det indre markeds opprettelse og funksjon.

Et digitalt fellesmarked er i tråd med norsk politikk forankret i Meld. St. 27 (2016-2017) Digital agenda for Norge. Det følger av Nasjonal strategi for bruk av skytenester (KMD, 2016) at regjeringen skal se på grunnlaget og handlingsrommet for å fjerne nasjonale begrensinger for hvor data kan lagres (KMD, 2016). Strategien Norge som datasenternasjon (NFD, 2018) peker på at enhetlige krav som sikrer at offentlige og private virksomheter i hele Europa kan behandle data utenfor egne landegrenser er en viktig forutsetning for at norske datasentre skal kunne være med i konkurransen om å levere datasentertjenester til disse virksomhetene. Rettsakten er således i tråd med nasjonal IKT-politikk.

Rettslige konsekvenser
Forordningen ble sendt på nasjonal høring 12. april 2019. Gjennomføringen av forordningen vil medføre endringer i norsk lovgivning. Kommunal- og moderniseringsdepartementet har foreløpig vurdert det slik at rettsakten vil kreve endringer i følgende regelverk:

• Bokføringsloven med tilhørende forskrift. Utgangspunktet etter bokføringslovens § 13 annet ledd er at regnskapsmaterialet skal oppbevares i Norge. Det følger av bestemmelsens femte ledd at det kan gjøres unntak fra kravet om "oppbevaringssted og oppbevaringstid" i forskrift eller enkeltvedtak. Det er gitt to forskrifter om unntak fra oppbevaringssted. I forskrift er det åpnet opp for å oppbevare elektronisk regnskapsmateriell i andre EØS-stater på visse vilkår, jf. § 7-5. Det er skattedirektoratet som fastsetter i forskrift hvilke land som oppfyller vilkårene for lagring i utlandet. Adgangen er begrenset til Norden.

• Skattebetalingsforskriften. I §5-11-2, tiende ledd står det: "Dokumentasjonen skal oppbevares i Norge i fem år etter inntektsårets slutt."

• Arkivloven. Lovens §9 b angir at "utan etter særskilt samtykk frå Riksarkivaren, kan ikkje arkivmateriale…" "… førast ut or landet, dersom dette ikkje representerer ein naudsynt del av den forvaltningsmessige eller rettslege bruken av dokumenta."

Økonomiske og administrative konsekvenser
Det følger av Kommisjonens forundersøkelse ("impact assesmment") at forodningen vil styrke den digitale økonomien i EU. I 2016 var dataøkonomien estimert til 60 milliarder euro, som var 9,5% vekst fra året før. Studier viser at dataøkonomien potensielt kan øke til 106 milliarder euro inn 2020. Fri flyt av andre opplysninger enn personopplysninger er ett av flere tiltak for å styrke EUs posisjon i den digitale økonomien.

Forordningen vil kunne bidra til at offentlig sektor bruker IKT-løsninger på en mer kostnadseffektiv måte, for eksempel ved økt bruk av skytjenester. Kommisjonens konsekvens­analyser viser at kostandene ved innføring av forordningen vil være beskjedne – de er beregnet til 33.000 euro årlig til menneskelig ressurser for å opprettholde et sentralt kontaktpunkt. I tillegg antas det en mindre årlig kostnad til forberedelse av notifikasjon til Kommisjonen om nye eller eksisterende krav. I den grad innhenting og utlevering av informasjon til og fra andre medlemsland kan foregå i allerede etablerte organer og strukturer, vil dette begrense økonomiske og administrative konsekvenser av lovforslaget.

Lovforslaget vil gi positive konkurransefordeler og stimulere til innovasjon. Et harmonisert regelverk for utveksling av data innen EØS-området er nødvendig dersom Norge skal være et attraktivt land for næringsutvikling, f.eks. for etablering av datasentre.

For næringslivet er det antatt at forordningsforslaget vil kunne medføre økonomiske besparelser knyttet til lagring og oppbevaring av data og reduserte driftskostnader, f.eks. ved økt bruk av skytjenester. Bruk av skytjenester, som reduserer behovet for å investere i egen IKT-infrastruktur, er særlig viktig for SMB-er og nyetableringer, fordi det reduserer både kostnad og risiko. Regelverket skal bidra til å gjøre det lettere å bytte tjeneste­leverandører innenfor EU/EØS og styrke tilliten i markedet.

Sakkyndige instansers merknader
Rettsakten er behandlet i regjeringens Spesialutvalg for Kommunikasjoner, der Kommunal- og moderniseringsdepartementet, Barne- og familiedepartementet, Nærings- og fiskeridepartementet, Justis- og beredskapsdepartementet, Finansdepartementet, Utenriksdepartementet og Nasjonal kommunikasjonsmyndighet er representert ved skriftlig prosedyre 14.02.2019. SU Kommunikasjoner fant rettsakten relevant og akseptabel for innlemming i EØS-avtalen, uten behov for tilpasningstekst.

Vurdering

Konklusjon: Forordningen anses EØS-relevant og akseptabel, og anbefales tatt inn i EØS-avtalen.

Rettsakten viser i fortalen til følgende rettsakter for regulering av samarbeid omkring utlevering av data, som ikke er innlemmet i EØS-avtalen:

1. COUNCIL FRAMEWORK DECISION 2006/960/JHA on simplifying the exchange of information and intelligence between law enforcement authorities of the Member States of the European Union.

2. Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 regarding the European Investigation Order in criminal matters.

3. Council Regulation (EC) No 1206/2001 of 28 May 2001 on cooperation between the courts of the Member States in the taking of evidence in civil or commercial matters.

4. COUNCIL DIRECTIVE 2006/112/EC of 28 November 2006 on the common system of value added tax.

5. Council Regulation (EU) No 904/2010 of 7 October 2010 on administrative cooperation and combating fraud in the field of value added tax.

Rettsakt nr. 1 (Rådets rammeavgjørelse 2006/960/JHA) er gjennomført i norsk rett, ettersom rettsakten inngår som del av Schengen-samarbeidet. Rettsakt nr. 2 (direktiv 2014/41/EU) er også en rettsakt som hører inn under Schengen-samarbeidet. Stortinget skal ha gitt sitt samtykke til godkjennelse av rettsakten, men den er ennå ikke gjennomført da Norge ikke har mottatt noen formell notifikasjon om den nye rettsakten fra EU.

Rettsakt nr. 3-5 er ikke innlemmet i EØS-avtalen ettersom de ikke er ansett EØS-relevante. Disse er heller ikke Schengen-relevante eller gjennomført i norsk rett gjennom andre samarbeidsformer med EU.

De nevnte rettsaktene er i fortalens avsnitt (26) gitt som eksempler på eksisterende regelverk som kan komme til anvendelse ved utveksling av informasjon mellom de ulike lands myndigheter etter forordningsforslagets artikler 5 og 7. UD har så langt vurdert at det ikke synes å være behov for særskilte tilpasninger for disse rettsaktene. Kommisjonen oppfordrer medlemslandene til å benytte eksisterende mekanismer der disse finnes, men FFD-forordningen regulerer også hvordan landene skal bistå hverandre i utlevering av data til kompetente myndigheter uavhengig av om det allerede eksisterer slik mekanismer.

Forordningens artikkel 4 henviser til prosedyrer i Direktiv (EU) 2015/1535 fra Europaparlamentet og rådet om en informasjonsprosedyre for tekniske regler og informasjonssamfunnstjenester (kodifisering). Dette direktivet er en kodifisering av Europaparlamentets- og rådsdirektiv 98/34/EF av 22. juni 1998 om en informasjonsprosedyre for standarder og tekniske regler, endret ved europaparlamentets- og rådsdirektiv 98/48/EF av 20. juli 1998. Direktivet stiller krav til statlige forvaltningsorgan om å informere ESA, og derigjennom Kommisjonen, andre EØS-stater og Sveits om utkast til nye tekniske regler, inkludert regler om informasjonssamfunnstjenester. Meldepliktsordningen gjelder nasjonale regler, dvs. regelverk som ikke utelukkende er en implementering av EU regelverk.

Direktiv 2015/1535 er ikke ennå på plass i EØS avtalen, men prosedyrene i artikkel 5, 6 og 7 i direktivet, som det henvises til i artikkel 4 i FFD-forordningen, er implementert i norsk lov gjennom direktiv 98/34 og 98/48.

Fortalen omtaler også Directive (EU) 2016/1148 (NIS-direktivet). Forslag til en ny lov som skal gjennomføre EUs NIS-direktiv i norsk rett ble sendt på høring 21. desember 2018, med høringsfrist 22. mars 2019.

Status
Rettsakten er publisert på Eur-Lex: https://eur-lex.europa.eu/eli/reg/2018/1807/oj

Informasjon om forarbeidet, grunnlagsdokumenter, faktainformasjon og konsekvensutredningen av lovforslaget finnes her: https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data. Norge har deltatt i Kommisjonens arbeid fram mot forordningen, blant annet i embetsgrupper og ekspertgrupper.

Rettsakten er under vurdering i EØS/EFTA-statene. Forordningen er ikke innlemmet i EØS-avtalen. Kommunal- og moderniseringsdepartementet arbeider med å følge opp høringen, og vil fremme et lovforslag for Stortinget som gjennomfører forordningen i nasjonal rett.