Standard avtalevilkår for overføring av personopplysninger til tredjeland
Kommisjonsvedtak 2004/915/EF av 27. desember 2004 om endring av vedtak 2001/497/EF med henblikk på å innføre et alternativt sett standardkontraktsvilkår for overføring av personopplysninger til tredjestater
Commission Decision 2004/915/EC of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries
Nærmere omtale
BAKGRUNN (fra departementets bakgrunnsnotat)
Sammendrag av innholdet
Direktiv 95/46/EF (personverndirektivet) ble innlemmet i EØS-avtalen ved EØS-komiteens beslutning nr. 83/1999. I henhold til dette direktivet har Kommisjonen etter hvert truffet en rekke vedtak som alle er innlemmet i EØS-avtalen. Den 27. desember 2004 traff Kommisjonen et vedtak (2004/915/EF) om standardkontraktsbetingelser ved overføring av personopplysninger til tredjeland. Vedtaket innfører et alternativt sett med standard kontraktsbetingelser ved slike overføringer.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater.
Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. I henhold til personverndirektivet artikkel 26 nr. 4 kan Kommisjonen fastsette standardkontraktbetingelser som innebærer tilstrekkelige garantier for beskyttelse av personopplysninger ved overføring av opplysninger til tredjeland. Bruken av disse er frivillig i og med at de nå vedtatte standardkontraktbetingelser kun er en av flere muligheter som i henhold til direktivet kan benyttes ved overføring av personopplysninger til tredjeland.
Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket.
Vedtaket faller inn under § 6-1 i personopplysningsforskriften, og det er derfor ikke nødvendig å supplere personopplysningsloven eller forskriften i dette tilfellet.
Sakkyndige instansers merknader
Vedtaket har vært forelagt for Datatilsynet. Datatilsynet anser standardkontraktbetingelsene som et nyttig hjelpemiddel for partene i eksport- og importsituasjon av personopplysninger. Moderniseringsdepartementet har videre gitt sin tilslutning.
Sammendrag av innholdet
Direktiv 95/46/EF (personverndirektivet) ble innlemmet i EØS-avtalen ved EØS-komiteens beslutning nr. 83/1999. I henhold til dette direktivet har Kommisjonen etter hvert truffet en rekke vedtak som alle er innlemmet i EØS-avtalen. Den 27. desember 2004 traff Kommisjonen et vedtak (2004/915/EF) om standardkontraktsbetingelser ved overføring av personopplysninger til tredjeland. Vedtaket innfører et alternativt sett med standard kontraktsbetingelser ved slike overføringer.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater.
Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. I henhold til personverndirektivet artikkel 26 nr. 4 kan Kommisjonen fastsette standardkontraktbetingelser som innebærer tilstrekkelige garantier for beskyttelse av personopplysninger ved overføring av opplysninger til tredjeland. Bruken av disse er frivillig i og med at de nå vedtatte standardkontraktbetingelser kun er en av flere muligheter som i henhold til direktivet kan benyttes ved overføring av personopplysninger til tredjeland.
Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket.
Vedtaket faller inn under § 6-1 i personopplysningsforskriften, og det er derfor ikke nødvendig å supplere personopplysningsloven eller forskriften i dette tilfellet.
Sakkyndige instansers merknader
Vedtaket har vært forelagt for Datatilsynet. Datatilsynet anser standardkontraktbetingelsene som et nyttig hjelpemiddel for partene i eksport- og importsituasjon av personopplysninger. Moderniseringsdepartementet har videre gitt sin tilslutning.