Personvernforordningen 2016 (GDPR)
Fortolkningsdom avsagt av EU-domstolen 19.12.2024
Tidligere
- Gjennomføringsrapport lagt fram av Kommisjonen 25.7.2024 med pressemelding (sak nr. 5)
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 26.6.2018)
Sammendrag av innhold
Forordningens formål er å sørge for en god beskyttelse av personopplysninger samtidig som personopplysninger skal kunne utveksles fritt innenfor EØS-området.
Forordningen opphever og erstatter direktivet om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (direktiv 95/46/EF), heretter 95-direktivet. 95-direktivet er gjennomført i norsk rett gjennom lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven).
Forordningsformen innebærer full harmonisering av personvernreglene i EU/EØS. Dette innebærer at det i utgangspunktet ikke er adgang til å fravike reglene og heller ikke til å gi supplerende regler. Imidlertid åpner forordningen selv for at det kan gis nasjonale regler i enkelte tilfeller.
Forordningen viderefører mange av prinsippene og reglene i det gjeldende direktivet, men innfører samtidig en del nye regler som innebærer eller nødvendiggjør endringer i norsk rett. Blant de viktigste nye reglene er:
• Det innføres en rett for den registrerte til på nærmere vilkår å få overført personopplysninger om en selv til alternative tilbydere av en tjeneste (rett til dataportabilitet).
• Konsesjons- og meldeplikten bortfaller i all hovedsak og erstattes med regler om risikovurdering og dokumentasjonsplikt.
• Virksomheter får utvidete plikter, herunder til å informere om hvordan virksomheten behandler personopplysninger, til å utrede personvernkonsekvenser ved tiltak som utgjør en stor risiko for personvernet og til å varsle om sikkerhetsbrudd.
• De nasjonale tilsynsmyndighetene (Datatilsynet i Norge) gis nye verktøy for sanksjonere brudd på regelverket, herunder myndighet til å ilegge bøter på inntil 20 millioner euro, eller der det gjelder et selskap, inntil 4% av selskapets årlige omsetning på verdensbasis.
• Det innføres en såkalt «one-stop-shop»-ordning som innebærer at virksomheten kun skal behøve å forholde seg til én tilsynsmyndighet innenfor EØS-området. Det er som hovedregel tilsynsmyndigheten i den EØS-staten virksomheten har hovedkontor som skal behandle klager mot virksomheten, selv om klagen er sendt til tilsynsmyndighet i en annen stat. Den kompetente tilsynsmyndigheten har plikt til å samarbeide med andre berørte nasjonale tilsynsmyndigheter.
• Det opprettes en sentral europeisk tilsynsmyndighet, European Data Protection Board (EDPB), som skal bestå av representanter fra nasjonale tilsynsmyndigheter. Tilsynsmyndighetens hovedoppgave vil være å utstede retningslinjer om anvendelsen av personvernforordningen og underliggende regelverk, gi uttalelser til Kommisjonen om forslag til nytt regelverk, samt informere om dommer og uttalelser som angår forordningen. EDPB vil også ha kompetanse til å avgjøre tvister mellom nasjonale tilsynsmyndigheter med bindende virkning og skal gi uttalelser om visse typer nasjonalt regelverk.
Norges deltakelse i forhandlingene i EU om personvernforordningen
Etter EØS-avtalen har Norge ikke anledning til å delta i Rådets behandling av rettsakter. Som følge av mulig Schengen-relevans av deler av forordningen da forslaget ble fremmet, har Norge likevel under hele prosessen i EU fått delta i Rådets forhandlinger på arbeidsgruppenivå, og i en viss utstrekning også på justisrådnivå. Norge har i disse møtene fremmet norske posisjoner til forordningen. Denne prosessen ble avsluttet da trilogforhandlingene ble sluttført høsten 2015. Under forhandlingene i EU har Norges posisjon vært å gå imot forslag som bidrar til å senke den enkeltes personvern i forhold til dagens norske beskyttelsesnivå, og har argumentert for dette med utgangspunkt i personopplysningsloven. Samtidig har det vært viktig for Norge at regelverket ikke skal legge unødvendige byrder på næringslivet, særlig på små og mellomstore bedrifter. Norge har derfor gått inn for en balansert tilnærming, der det avgjørende er å sikre individets rettigheter samtidig som næringslivets behov for et praktisk anvendbart og kostnadseffektivt regelverk ivaretas.
Sakkyndige instansers merknader til Kommisjonens forslag
Kommisjonens forslag til forordning ble sendt på alminnelig høring med høringsfrist 15. juni 2012. Justis- og beredskapsdepartementet mottok en rekke høringsuttalelser og har sett hen til disse ved utformingen av de norske posisjonene under forhandlingene i EU. Det har vært opprettet en egen referansegruppe som har jobbet med å utvikle norske posisjoner til regelverket, bestående av berørte departementer og Datatilsynet. Høringsinstansene støttet gjennomgående opp under målsetningen om et mer harmonisert regelverk i EU/EØS. En rekke høringsinstanser uttrykte også et positivt syn på økte informasjonsrettigheter og de nye rettighetene for de registrerte, samtidig som flere høringsinstanser uttrykte bekymring for at de registrertes rettigheter ville kunne få uønskede konsekvenser på deres områder, særlig retten til bli glemt. Flere instanser hadde også et kritisk syn på rekkevidden av Kommisjonens delegerte myndighet, samt det foreslåtte nivået på sanksjoner for brudd på forordningen
Gjennomføring i norsk rett
Arbeidet med å gjennomføre forordningen i norsk rett ledes av Justis- og beredskapsdepartementet og gjøres i samarbeid med Kommunal- og moderniseringsdepartementet. Justis- og beredskapsdepartementet fremmet 23. mars 2018 proposisjon med forslag til ny personopplysningslov som gjennomfører personvernforordningen i norsk rett og andmodning om Stortingets forhåndssamtykke til innlemmelse av forordningen i EØS-avtalen, se Prop. 56 LS (2017-2018) Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen. Proposisjonen følger opp Justis- og beredskapsdepartementets høringsnotat 6. juli 2017 om ny personopplysningslov som hadde høringsfrist 16. oktober 2017. Stortinget fattet vedtak om forhåndssamtykke og første gangs lovvedtak 22. mai 2018. Lovsaken ble behandlet for annen gang 28. mai 2018. Lovvedtaket ble sanksjonert i statsråd 15. juni 2018. Det ble i samme statsråd besluttet at den nye personopplysningsloven skal tre i kraft samtidig med at EØS-komiteens beslutning om innlemmelse av forordningen i EØS-avtalen trer i kraft.
Behandling i spesialutvalg
Forordningen behandles i spesialutvalget for kommunikasjoner.
Vurdering
Rettslige konsekvenser
Forordningen nødvendiggjør endringer i norsk lov og forskrift. Forordningen gjennomføres i norsk lov gjennom en henvisningsbestemmelse i den nye personopplysningsloven. Enkelte artikler i forordningen henviser til nasjonal rett og/eller gir et nasjonalt handlingsrom som nødvendiggjør utfyllende norske lovbestemmelser. Dessuten åpner forordningen for at enkelte av forordningens bestemmelser kan gjengis i lovgivningen dersom dette er nødvendig for sammenhengen i lovgivningen. Særlovgivning med forskrifter er gjennomgått med sikte på å sikre samsvar med bestemmelsene i forordningen.
Det vises forøvrig til omtalen i Prop. 56 LS (2017-2018).
Økonomiske og administrative konsekvenser
Forordningen vil, som følge av endrede forpliktelser i forhold til gjeldende rett, medføre enkelte økte administrative byrder for norsk næringsliv og for norske offentlige myndigheter som behandler personopplysninger. Samtidig vil forordningen også medføre forenklinger, eksempelvis ved at dagens melde- og konsesjonsplikt i hovedsak ikke videreføres. Videre vil det bli enklere for norske aktører i næringslivet å operere internasjonalt i EU/EØS med ett harmonisert europeisk regelsett å forholde seg til. Aktørene vil også i utgangspunktet bare forholde seg til en tilsynsmyndighet i EU/EØS.
Det vises forøvrig til omtalen i Prop. 56 LS (2017-2018).
Departementets vurdering
Etter Justis- og beredskapsdepartementets vurdering gir forordningen i hovedsak rom for å videreføre de sentrale prinsippene og reglene i gjeldende norsk personvernlovgivning. Samtidig innebærer forordningen materielle endringer, både av grunnleggende og mer detaljert art. Mange av disse endringene er nødvendige som følge av den teknologiske utviklingen og anses som en positiv utvikling på personvernområdet. Et harmonisert regelverk i Europa vil motvirke uoversiktlig og ulik gjennomføring av personvernreglene i de ulike EU/EØS-landene, og styrke norske borgeres rettigheter i møte med europeiske aktører. Det vil også bli enklere for norsk næringsliv som opererer i EU/EØS-området å forholde seg til et mer harmonisert regelverk.
EØS-relevans
Forordningen ligger innenfor EØS-avtalens saklige virkeområde og er en videreføring og endring av direktiv 95/46/EF som er implementert gjennom personopplysningsloven og personopplysningsforskriften. Det er derfor ikke tvilsomt at forordningen er EØS-relevant.
Tilpasningstekst
Det foreligger en relativt omfattende tilpasningstekst til forordningen. Tilpasningsteksten regulerer for det første EFTA-statenes deltakelse i Personvernrådet (et organ som består av alle EU-staters tilsynsorganer). Det fastslås at EFTA-statenes tilsynsmyndigheter skal delta i personvernrådet på lik linje med EU-statenes tilsynsmyndigheter, dog slik at de ikke har stemmerett og heller ikke kan bli valgt til leder eller nestleder. Personvernrådet kan treffe bindende beslutninger overfor tilsynsmyndighetene i enkelte tilfeller. Dette vil også gjelde overfor EFTA-statenes tilsynsmyndigheter.
Tilpasningsteksten inneholder også regler om midlertidig anvendelse av Kommisjonens beslutninger om at en tredjestat eller internasjonal organisasjon har et tilstrekkelig beskyttelsesnivå og at statene dermed kan overføre personopplysninger til dette landet/internasjonale organisasjonen uten nærmere vurdering av beskyttelsesnivået. Det samme gjelder midlertidig anvendelse av Kommisjonens beslutninger om standard personvernbestemmelser. Disse beslutningene tas inn i EØS-avtalen. For å sikre at de får anvendelse på samme tid i hele EØS, er det imidlertid fastsatt at hver enkelt EFTA-stat kan informere Kommisjonen og EFTAs overvåkingsorgan om at de ønsker å anvende kommisjonsbeslutningen også før innlemmelse av beslutningen i EØS-avtalen. Dersom det ikke informeres om det motsatte, vil beslutningen komme til anvendelse samtidig som den får anvendelse i EU.
I Prop. 56 LS (2017-2018) s. 200 flg. vurderes tilpasningsteksten opp mot Grunnloven. Det konkluderes med at det foreligger elementer av myndighetsoverføring, men at det ikke er tvilsomt at disse ikke overskrider grensen for å være mer enn «lite inngripende» og dermed ligger godt innenfor rammene av hva Stortinget kan samtykke til etter Grunnloven § 26 andre ledd.
Tilpasningsteksten inneholder også en rekke mer tekniske tilpasninger.
Konstitusjonelt forbehold ved innlemmelse i EØS-avtalen
Forordningen nødvendiggjør lovendringer og innlemmelse i EØS-avtalen krever derfor Stortingets samtykke, jf. Grl. § 26 andre ledd. Det ble i Prop. 56 LS (2017-2018) bedt om Stortingets forhåndssamtykke til innlemmelse av forordningen i EØS-avtalen. Stortinget ga sitt samtykke til innlemmelse 22. mai 2018. Det ble i statsråd 15. juni 2018 fattet beslutning om deltakelse i EØS-komiteens beslutning om innlemmelse av forordningen i EØS-avtalen. Stortinget ga sin tilslutning basert på utkastet til tilpasningstekst vedlagt Prop. 56 LS (2017-2018). Tilpasningsteksten er nå godtatt av EU uten vesentlige endringer. Det er ikke nødvendig med konstitusjonelt forbehold ved innlemmelse av forordningen i EØS-avtalen.
Status
Kommisjonen fremsatte i januar 2012 forslag til reform av EUs personvernregler. Kommisjonen foreslo to nye regelverk: en forordning om beskyttelse av personopplysninger generelt og et direktiv for myndighetenes behandling av personopplysninger i politi- og straffesektoren. Forordningen (GDPR) erstatter gjeldende personverndirektiv 95/46/EF («95 direktivet») som er inntatt i EØS-avtalen og gjennomført i personopplysningsloven. Direktivet erstatter en rammebeslutning fra 2008 og er gjennomført i politiregisterloven. Forordningen er EØS-relevant, men ikke Schengen-relevant. Direktivet er kun Schengen-relevant og omtales ikke videre i dette EØS-notatet.
Forordningen ble formelt vedtatt i EU i 27. april 2016. Forordningen begynte å gjelde i EU 25. mai 2018, som er 2 år og 20 dager etter publikasjon i Official Journal, jf. forordningens artikkel 99 (1). Norge er for tiden i dialog med de øvrige EØS/EFTA-landene og EU med sikte på innlemmelse av forordningen i EØS-avtalen.
Som nevnt ovenfor er Stortingets forhåndssamtykke til innlemming i EØS-avtalen innhentet og de nødvendige lovendringer vedtatt.