Overføring av personopplysninger til Isle of Man
Kommisjonsvedtak 2004/441/EF av 28. april 2004 om tilstrekkelig vern av personopplysninger i Isle of Man
Commission Decision 2004/441/EC of 28 April 2004 on the adequate protection of personal data in the Isle of Man
Nærmere omtale
BAKGRUNN (fra departementets bakgrunnsnotat)
Sammendrag av innholdet
Direktiv 95/46/EF (personverndirektivet) ble innlemmet i EØS-avtalen ved EØS-komiteens beslutning nr. 183/199. I henhold til dette direktivet har Kommisjonen etter hvert truffet en rekke vedtak som alle er innlemmet i EØS-avtalen. Den 28. april 2004 traff Kommisjonen et vedtak (2004/411/EF) om tilstrekkeligheten av beskyttelsesnivået for personopplysninger på Isle of Man. Vedtaket fastslår at lovgivningen på Isle of Man sikrer de registrerte et tilstrekkelig beskyttelsesnivå ved behandling av personopplysninger. Anvendt på norske forhold vil dette innebære at det vil være adgang til å overføre personopplysninger fra Norge til mottakere på Isle of Man.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater.
Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet – slik at overføring kan skje.
Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket. Dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal øvrige EØS-stater innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Vedtaket faller inn under nåværende § 6-1 i personopplysningsforskriften, og det er derfor ikke nødvendig å supplere personopplysningsloven eller forskriften i dette tilfellet.
Sakkyndige instansers merknader
Vedtaket har vært forelagt for Datatilsynet. Datatilsynet slutter seg til uttalelse fra den såkalte artikkel 29-gruppen (en ekspertgruppe under Kommisjonen) om nivået på beskyttelsen av personopplysninger på Isle of Man. Dette innebærer at Datatilsynet slutter seg til resultatet av Kommisjonens vedtak. Moderniseringsdepartementet har videre gitt sin tilslutning.
Sammendrag av innholdet
Direktiv 95/46/EF (personverndirektivet) ble innlemmet i EØS-avtalen ved EØS-komiteens beslutning nr. 183/199. I henhold til dette direktivet har Kommisjonen etter hvert truffet en rekke vedtak som alle er innlemmet i EØS-avtalen. Den 28. april 2004 traff Kommisjonen et vedtak (2004/411/EF) om tilstrekkeligheten av beskyttelsesnivået for personopplysninger på Isle of Man. Vedtaket fastslår at lovgivningen på Isle of Man sikrer de registrerte et tilstrekkelig beskyttelsesnivå ved behandling av personopplysninger. Anvendt på norske forhold vil dette innebære at det vil være adgang til å overføre personopplysninger fra Norge til mottakere på Isle of Man.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater.
Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet – slik at overføring kan skje.
Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket. Dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal øvrige EØS-stater innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Vedtaket faller inn under nåværende § 6-1 i personopplysningsforskriften, og det er derfor ikke nødvendig å supplere personopplysningsloven eller forskriften i dette tilfellet.
Sakkyndige instansers merknader
Vedtaket har vært forelagt for Datatilsynet. Datatilsynet slutter seg til uttalelse fra den såkalte artikkel 29-gruppen (en ekspertgruppe under Kommisjonen) om nivået på beskyttelsen av personopplysninger på Isle of Man. Dette innebærer at Datatilsynet slutter seg til resultatet av Kommisjonens vedtak. Moderniseringsdepartementet har videre gitt sin tilslutning.