Standard avtalevilkår for overføring av personopplysninger til tredjestater
Kommisjonsvedtak 2002/16/EF av 27. desember 2001 om standardkontraktsvilkår for overføring av personopplysninger til tredjestater i henhold til direktiv 95/46/EF
Commission Decision 2002/16/EC of 27 December 2001 on standard contractual clauses for the transfer of personal data to processors established in third countries, under Directive 95/46/EC
Nærmere omtale
BAKGRUNN (fra departementets bakgrunnsnotat)
Sammendrag av innholdet
Europaparlaments- og rådsdirektiv 95/46/EF ble innlemmet i EØS-avtalen ved EØS-komiteens beslutning nr. 183/1999. EU-kommisjonen har etter hvert truffet en rekke vedtak, som alle er innlemmet i EØS-avtalen. Den 20. desember 2001 (2002/02/EF) og 27. desember 2001 (2002/16/EF) traff Kommisjonen to nye vedtak om overføring av personoppplysninger til tredjeland. Kommisjonens første vedtak fastslår at nye kanadiske lover om behandling av personopplysninger i Kanada sikrer de registrerte et tilstrekkelig beskyttelsesnivå ved behandling av personopplysninger. Anvendt på norske forhold vil dette innebære at det vil være adgang til å overføre personopplysninger fra Norge til mottakere i Kanada.
Det andre vedtaket gjelder standardklausuler for overføring av personopplysninger til tredjeland, og kompletterer Kommisjonens vedtak 2001/497/EF av 15. juni 2001 om overføring av personopplysninger til behandlingsansvarlige i tredjestater. (Kommisjonsvedtak 2001/497/EF ble innlemmet i EØS-avtalen ved beslutning i EØS-komiteen 1. februar 2002.) Vedtaket bygger på at dersom man benytter nærmere bestemte standardvilkår som ivaretar personvernet (jf. vedlegget til beslutningen), oppveier dette for svak personvernlovgivning i mottakerlandet, og personopplysningene sikres et tilstrekkelig beskyttelsesnivå. Dersom det viser seg at standardvilkårene ikke blir respektert, kan tilsynsmyndighetene (i Norge Datatilsynet) gripe inn og stanse overføringen, jf. beslutningen artikkel 4.
Merknader
Personopplysningsloven, som gjennomfører europaparlaments- og rådsdirektiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater.
Hovedregelen er at opplysningene bare kan overføres til stater som sikrer en forsvarlig behandling av personopplysningene, jf. loven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Overføring kan således skje til andre EØS-land. Ved overføring til stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkårene i § 29 første ledd, eller om unntakene i § 30 er oppfylt slik at personopplysningene eventuelt kan overføres på det grunnlaget. Vurderingen av om det er adgang til å overføre personopplysninger til et land utenfor EØS-området kan by på tvil, og det er behov for å treffe tiltak for å unngå forskjellsbehandling. I direktiv 95/46/EF artikkel 25 nr. 6 er EU-kommisjonen gitt myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet slik at overføring likevel kan skje.
I forbindelse med at direktiv 95/46/EF ble innlemmet i EØS-avtalen, ble det tatt stilling til hvilken betydning Kommisjonens vedtak skulle få for Norge. I EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalen protokoll 37 og vedlegg XI, jf. St. prp. nr. 34 (1999-2000), ble det bestemt at Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft. Dersom slikt varsel ikke gis, er Norge bundet av vedtaket inntil videre. Dersom EØS-komiteen ikke innlemmer vedtakene i EØS-avtalen innen 12 måneder etter at tiltaket er satt i kraft, står Norge fritt til å vurdere spørsmålet på nytt og eventuelt reservere seg mot tiltaket. Konsekvensen av å reservere seg vil være at andre EØS-stater er forpliktet til å innskrenke eller forby fri utveksling av personopplysninger til Norge.
Sakkyndige instansers merknader
Begge vedtakene har vært forelagt Datatilsynet og Arbeids- og administrasjonsdepartementet (som er ansvarlig for forskriftene til personopplysningsloven). Datatilsynet uttaler i brev 13. februar 2002 at tilsynet har fulgt arbeidet med de to vedtakene gjennom deltakelse som observatør i en ekspertgruppe under Kommisjonen (artikkel 29-gruppen), og at man ikke har merknader til resultatet. Heller ikke AAD hadde innvendinger til de to vedtakene. Justisdepartementet har gitt sin tilslutning. Vedtakene blir gjennomført i norsk rett gjennom forskrifter til personopplysningsloven.
Sammendrag av innholdet
Europaparlaments- og rådsdirektiv 95/46/EF ble innlemmet i EØS-avtalen ved EØS-komiteens beslutning nr. 183/1999. EU-kommisjonen har etter hvert truffet en rekke vedtak, som alle er innlemmet i EØS-avtalen. Den 20. desember 2001 (2002/02/EF) og 27. desember 2001 (2002/16/EF) traff Kommisjonen to nye vedtak om overføring av personoppplysninger til tredjeland. Kommisjonens første vedtak fastslår at nye kanadiske lover om behandling av personopplysninger i Kanada sikrer de registrerte et tilstrekkelig beskyttelsesnivå ved behandling av personopplysninger. Anvendt på norske forhold vil dette innebære at det vil være adgang til å overføre personopplysninger fra Norge til mottakere i Kanada.
Det andre vedtaket gjelder standardklausuler for overføring av personopplysninger til tredjeland, og kompletterer Kommisjonens vedtak 2001/497/EF av 15. juni 2001 om overføring av personopplysninger til behandlingsansvarlige i tredjestater. (Kommisjonsvedtak 2001/497/EF ble innlemmet i EØS-avtalen ved beslutning i EØS-komiteen 1. februar 2002.) Vedtaket bygger på at dersom man benytter nærmere bestemte standardvilkår som ivaretar personvernet (jf. vedlegget til beslutningen), oppveier dette for svak personvernlovgivning i mottakerlandet, og personopplysningene sikres et tilstrekkelig beskyttelsesnivå. Dersom det viser seg at standardvilkårene ikke blir respektert, kan tilsynsmyndighetene (i Norge Datatilsynet) gripe inn og stanse overføringen, jf. beslutningen artikkel 4.
Merknader
Personopplysningsloven, som gjennomfører europaparlaments- og rådsdirektiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater.
Hovedregelen er at opplysningene bare kan overføres til stater som sikrer en forsvarlig behandling av personopplysningene, jf. loven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Overføring kan således skje til andre EØS-land. Ved overføring til stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkårene i § 29 første ledd, eller om unntakene i § 30 er oppfylt slik at personopplysningene eventuelt kan overføres på det grunnlaget. Vurderingen av om det er adgang til å overføre personopplysninger til et land utenfor EØS-området kan by på tvil, og det er behov for å treffe tiltak for å unngå forskjellsbehandling. I direktiv 95/46/EF artikkel 25 nr. 6 er EU-kommisjonen gitt myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet slik at overføring likevel kan skje.
I forbindelse med at direktiv 95/46/EF ble innlemmet i EØS-avtalen, ble det tatt stilling til hvilken betydning Kommisjonens vedtak skulle få for Norge. I EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalen protokoll 37 og vedlegg XI, jf. St. prp. nr. 34 (1999-2000), ble det bestemt at Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft. Dersom slikt varsel ikke gis, er Norge bundet av vedtaket inntil videre. Dersom EØS-komiteen ikke innlemmer vedtakene i EØS-avtalen innen 12 måneder etter at tiltaket er satt i kraft, står Norge fritt til å vurdere spørsmålet på nytt og eventuelt reservere seg mot tiltaket. Konsekvensen av å reservere seg vil være at andre EØS-stater er forpliktet til å innskrenke eller forby fri utveksling av personopplysninger til Norge.
Sakkyndige instansers merknader
Begge vedtakene har vært forelagt Datatilsynet og Arbeids- og administrasjonsdepartementet (som er ansvarlig for forskriftene til personopplysningsloven). Datatilsynet uttaler i brev 13. februar 2002 at tilsynet har fulgt arbeidet med de to vedtakene gjennom deltakelse som observatør i en ekspertgruppe under Kommisjonen (artikkel 29-gruppen), og at man ikke har merknader til resultatet. Heller ikke AAD hadde innvendinger til de to vedtakene. Justisdepartementet har gitt sin tilslutning. Vedtakene blir gjennomført i norsk rett gjennom forskrifter til personopplysningsloven.