Kommisjonsvedtak 2003/821/EF av 21. november 2003 om tilstrekkelig vern av personopplysninger i Guernsey
Overføring av personopplysninger til Guernsey
Commission Decision 2003/821/EC of 21 November 2003 on the adequate protection of personal data in Guernsey
Nærmere omtale
BAKGRUNN (fra departementets bakgrunnsnotat)
Sammendrag av innholdet
Direktiv 95/46/EF (personverndirektivet) ble innlemmet i EØS-avtalen ved EØS-komiteens beslutning nr. 183/199. I henhold til dette direktivet har Kommisjonen etter hvert truffet en rekke vedtak som alle er innlemmet i EØS-avtalen. Den 21. november 2003 traff Kommisjonen et vedtak (2003/821/EF) om tilstrekkeligheten av beskyttelsesnivået for personopplysninger i Guernsey. Vedtaket fastslår at lovgivningen i Guernsey sikrer de registrerte et tilstrekkelig beskyttelsesnivå ved behandling av personopplysninger. Anvendt på norske forhold vil dette innebære at det vil være adgang til å overføre personopplysninger fra Norge til mottakere i Guernsey.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater.
Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Overføring kan dermed skje til mottakere i andre EØS-land. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. (Personopplysningsloven § 30 gjør imidlertid noen nærmere bestemte unntak fra dette.) Vurderingen av om det er adgang til å overføre personopplysninger til et land utenfor EØS-området kan by på tvil, og det er behov for å treffe tiltak for å unngå forskjellsbehandling. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet – slik at overføring kan skje.
I forbindelse med at personverndirektivet ble innlemmet i EØS-avtalen, ble det tatt stilling til hvilken betydning Kommisjonens vedtak skulle få for Norge. I EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000), ble det bestemt at Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft. Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge beslutte å rette seg etter vedtaket. Men dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal de øvrige EØS-statene da på sin side innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Vedtaket vil i norsk rett bli gjennomført i personopplysningsforskriften.
Sakkyndige instansers merknader
Vedtaket har vært forelagt for Datatilsynet og for Arbeids- og administrasjonsdepartementet som er ansvarlig for forskrift 15. desember 2000 nr. 1265 til personopplysningsloven (personopplysningsforskriften). Datatilsynet slutter seg til uttalelse nr. 5/2003 fra den såkalte artikkel 29-gruppen (en ekspertgruppe under Kommisjonen) om nivået på beskyttelsen av personopplysninger i Guernsey. Dette innebærer at Datatilsynet slutter seg til resultatet av Kommisjonens vedtak. Arbeids- og administrasjonsdepartementet har ikke hatt merknader til vedtaket. Justisdepartementet har gitt sin tilslutning.
Sammendrag av innholdet
Direktiv 95/46/EF (personverndirektivet) ble innlemmet i EØS-avtalen ved EØS-komiteens beslutning nr. 183/199. I henhold til dette direktivet har Kommisjonen etter hvert truffet en rekke vedtak som alle er innlemmet i EØS-avtalen. Den 21. november 2003 traff Kommisjonen et vedtak (2003/821/EF) om tilstrekkeligheten av beskyttelsesnivået for personopplysninger i Guernsey. Vedtaket fastslår at lovgivningen i Guernsey sikrer de registrerte et tilstrekkelig beskyttelsesnivå ved behandling av personopplysninger. Anvendt på norske forhold vil dette innebære at det vil være adgang til å overføre personopplysninger fra Norge til mottakere i Guernsey.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater.
Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Overføring kan dermed skje til mottakere i andre EØS-land. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. (Personopplysningsloven § 30 gjør imidlertid noen nærmere bestemte unntak fra dette.) Vurderingen av om det er adgang til å overføre personopplysninger til et land utenfor EØS-området kan by på tvil, og det er behov for å treffe tiltak for å unngå forskjellsbehandling. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet – slik at overføring kan skje.
I forbindelse med at personverndirektivet ble innlemmet i EØS-avtalen, ble det tatt stilling til hvilken betydning Kommisjonens vedtak skulle få for Norge. I EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000), ble det bestemt at Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft. Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge beslutte å rette seg etter vedtaket. Men dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal de øvrige EØS-statene da på sin side innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Vedtaket vil i norsk rett bli gjennomført i personopplysningsforskriften.
Sakkyndige instansers merknader
Vedtaket har vært forelagt for Datatilsynet og for Arbeids- og administrasjonsdepartementet som er ansvarlig for forskrift 15. desember 2000 nr. 1265 til personopplysningsloven (personopplysningsforskriften). Datatilsynet slutter seg til uttalelse nr. 5/2003 fra den såkalte artikkel 29-gruppen (en ekspertgruppe under Kommisjonen) om nivået på beskyttelsen av personopplysninger i Guernsey. Dette innebærer at Datatilsynet slutter seg til resultatet av Kommisjonens vedtak. Arbeids- og administrasjonsdepartementet har ikke hatt merknader til vedtaket. Justisdepartementet har gitt sin tilslutning.