Standard avtalevilkår for overføring av personopplysninger til utlandet
Kommisjonsbeslutning 2001/497/EF av 15. juni 2001 om standard avtalevilkår for overføring av personopplysninger til utlandet i henhold til europaparlaments- og rådsdirektiv 95/46/EF
Commission Decision 2001/497/EC of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC
Nærmere omtale
BAKGRUNN (fra departementets bakgrunnsnotat)
Sammendrag av innholdet
Personopplysningsloven, som gjennomfører europaparlaments- og rådsdirektiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Direktiv 95/46/EF er en del av EØS-avtalen (jf. EØS-komitebeslutning nr. 83/99 av 25. juni 1999).
Hovedregelen er at opplysningene bare kan overføres til stater som sikrer en forsvarlig behandling av personopplysningene, jf. loven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Overføring kan således skje til andre EØS-land. Ved overføring til stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkårene i § 29 første ledd, eller om unntakene i § 30 er oppfylt slik at personopplysningene eventuelt kan overføres på det grunnlaget.
Vurderingen av om det er adgang til å overføre personopplysninger til et land utenfor EØS-området kan by på tvil, og det er behov for å treffe tiltak for å unngå forskjellsbehandling. I direktiv 95/46/EF artikkel 25 nr. 6 er Kommisjonen gitt myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet slik at overføring likevel kan skje.
I forbindelse med at direktiv 95/46/EF ble innlemmet i EØS-avtalen, ble det tatt stilling til hvilken betydning Kommisjonens beslutninger skulle få for Norge. I EØS-komitebeslutning nr. 83/99 ble det bestemt at Norge er bundet av beslutningene dersom vi ikke reserverer oss ved å varsle Kommisjonen før beslutningen trer i kraft. Dersom slikt varsel ikke gis, er Norge bundet av beslutningen inntil videre. Dersom EØS-komiteen ikke innlemmer beslutningene i EØS-avtalen innen 12 måneder etter at tiltaket er satt i kraft, står Norge fritt til å vurdere spørsmålet på nytt og eventuelt reservere seg mot tiltaket. Konsekvensen av å reservere seg vil være at andre EØS-stater er forpliktet til å innskrenke eller forby fri utveksling av personopplysninger til Norge.
Kommisjonsbeslutning 2001/497/EF omhandler standardvilkår som forplikter partene i et avtaleforhold til å behandle personopplysninger i overensstemmelse med nærmere bestemte personverngarantier. Vilkårene, som er beskrevet nærmere i vedlegg 2 til beslutningen, og som har klare likhetstrekk med reglene i direktiv 95/46, bidrar således til å oppfylle personopplysningslovens krav om forsvarlig behandling av personopplysninger, slik at overføring kan skje. Blant annet oppstilles krav om formålsbegrensning, se vilkår 1, krav til opplysningskvalitet, vilkår 2, og krav om sikkerhetstiltak, se vilkår 4.
Merknader
Beslutningen kan gjennomføres i norsk rett gjennom forskrifter til personopplysningsloven.
Sakkyndige instansers merknader
Rettsakten har vært behandlet internt i Justisdepartementet, som finner den relevant og akseptabel.
Status
Rettsakten er til vurdering i EFTA-/EØS-landene.
Sammendrag av innholdet
Personopplysningsloven, som gjennomfører europaparlaments- og rådsdirektiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Direktiv 95/46/EF er en del av EØS-avtalen (jf. EØS-komitebeslutning nr. 83/99 av 25. juni 1999).
Hovedregelen er at opplysningene bare kan overføres til stater som sikrer en forsvarlig behandling av personopplysningene, jf. loven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Overføring kan således skje til andre EØS-land. Ved overføring til stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkårene i § 29 første ledd, eller om unntakene i § 30 er oppfylt slik at personopplysningene eventuelt kan overføres på det grunnlaget.
Vurderingen av om det er adgang til å overføre personopplysninger til et land utenfor EØS-området kan by på tvil, og det er behov for å treffe tiltak for å unngå forskjellsbehandling. I direktiv 95/46/EF artikkel 25 nr. 6 er Kommisjonen gitt myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet slik at overføring likevel kan skje.
I forbindelse med at direktiv 95/46/EF ble innlemmet i EØS-avtalen, ble det tatt stilling til hvilken betydning Kommisjonens beslutninger skulle få for Norge. I EØS-komitebeslutning nr. 83/99 ble det bestemt at Norge er bundet av beslutningene dersom vi ikke reserverer oss ved å varsle Kommisjonen før beslutningen trer i kraft. Dersom slikt varsel ikke gis, er Norge bundet av beslutningen inntil videre. Dersom EØS-komiteen ikke innlemmer beslutningene i EØS-avtalen innen 12 måneder etter at tiltaket er satt i kraft, står Norge fritt til å vurdere spørsmålet på nytt og eventuelt reservere seg mot tiltaket. Konsekvensen av å reservere seg vil være at andre EØS-stater er forpliktet til å innskrenke eller forby fri utveksling av personopplysninger til Norge.
Kommisjonsbeslutning 2001/497/EF omhandler standardvilkår som forplikter partene i et avtaleforhold til å behandle personopplysninger i overensstemmelse med nærmere bestemte personverngarantier. Vilkårene, som er beskrevet nærmere i vedlegg 2 til beslutningen, og som har klare likhetstrekk med reglene i direktiv 95/46, bidrar således til å oppfylle personopplysningslovens krav om forsvarlig behandling av personopplysninger, slik at overføring kan skje. Blant annet oppstilles krav om formålsbegrensning, se vilkår 1, krav til opplysningskvalitet, vilkår 2, og krav om sikkerhetstiltak, se vilkår 4.
Merknader
Beslutningen kan gjennomføres i norsk rett gjennom forskrifter til personopplysningsloven.
Sakkyndige instansers merknader
Rettsakten har vært behandlet internt i Justisdepartementet, som finner den relevant og akseptabel.
Status
Rettsakten er til vurdering i EFTA-/EØS-landene.