Utveksling av personopplysninger med Uruguay
Kommisjonens gennomføringsbeslutning 2012/484/EU av 21. august 2012 i henhold til europa-parlamentets- og rådsdirektiv 95/46/EF om beskyttelsesnivået i Republikken øst for Uruguay ved elektronisk behandling av personopplysninger
Commission Implementing Decision 2012/484/EU of 21 August 2012 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data by the Eastern Republic of Uruguay with regard to automated processing of personal data
EØS-komitebeslutning 15.3.2013
Nærmere omtale
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 10.1.2013)
Sammendrag av innhold
Saken gjelder Kommisjonens beslutning om beskyttelsesnivået ved behandling av personopplysninger i Uruguay. Beslutningen medfører at Uruguayvurderes å ha et tilfredsstillende personvernnivå i forhold til de krav som følger av direktiv 95/46/EC. Overføring av personopplysninger fra stater som er forpliktet etter direktivet, herunder Norge, kan derfor skje til behandlingsansvarlige etablert i Uruguay. Unntak kan likevel gjøres dersom det er grunn til å tro at personopplysningene ikke vil bli behandlet i henhold til direktivets krav etter overføringen.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet – slik at overføring kan skje. Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket. Dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal øvrige EØS-stater innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Sakkyndige instansers merknader
Saken har vært forelagt Datatilsynet og Justis- og beredskapsdepartementet. Ingen av disse hadde merknader til saken.
Vurdering
Kommisjonens beslutning vurderes relevant i forhold til overføring av personopplysninger til tredjeland i henhold til personopplysningsloven § 29. Vedtaket faller inn under personopplysningsforskriften § 6-1, og det kreves derfor ikke endringer i norsk rett i dette tilfellet. Rettsakten har ikke økonomiske eller administrative konsekvenser for Norge.
Status
Rettsakten ble vedtatt i EU 21. august 2012, og ble publisert i OJ 23. august 2012.
Sammendrag av innhold
Saken gjelder Kommisjonens beslutning om beskyttelsesnivået ved behandling av personopplysninger i Uruguay. Beslutningen medfører at Uruguayvurderes å ha et tilfredsstillende personvernnivå i forhold til de krav som følger av direktiv 95/46/EC. Overføring av personopplysninger fra stater som er forpliktet etter direktivet, herunder Norge, kan derfor skje til behandlingsansvarlige etablert i Uruguay. Unntak kan likevel gjøres dersom det er grunn til å tro at personopplysningene ikke vil bli behandlet i henhold til direktivets krav etter overføringen.
Merknader
Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), som gjennomfører direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater. Hovedregelen er at opplysningene bare kan overføres til mottakere i stater som sikrer en forsvarlig behandling av personopplysningene, jf. personopplysningsloven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Ved overføring til mottakere i stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkåret om å sikre en ”forsvarlig behandling” av personopplysningene. Personverndirektivet artikkel 25 nr. 6 gir Kommisjonen myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet – slik at overføring kan skje. Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft, jf. EØS-komiteens beslutning nr. 83/1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI, jf. St.prp. nr. 34 (1999–2000). Gis ikke slikt varsel, er Norge bundet av det aktuelle vedtaket inntil videre. Dersom en avtale om innlemmelse i EØS-avtalen av vedtaket ikke kan komme i stand i EØS-komiteen innen 12 måneder etter at tiltakene trådte i kraft, kan Norge slutte å rette seg etter vedtaket. Dersom overføring av personopplysninger til vedkommende tredjestat dermed blir hindret, skal øvrige EØS-stater innskrenke eller forby fri utveksling av personopplysninger til Norge. Særlig for næringslivet i EØS-området er det viktig at alle markedsaktørene har de samme rammene for, og holder seg til de samme reglene om, overføring av personopplysninger.
Sakkyndige instansers merknader
Saken har vært forelagt Datatilsynet og Justis- og beredskapsdepartementet. Ingen av disse hadde merknader til saken.
Vurdering
Kommisjonens beslutning vurderes relevant i forhold til overføring av personopplysninger til tredjeland i henhold til personopplysningsloven § 29. Vedtaket faller inn under personopplysningsforskriften § 6-1, og det kreves derfor ikke endringer i norsk rett i dette tilfellet. Rettsakten har ikke økonomiske eller administrative konsekvenser for Norge.
Status
Rettsakten ble vedtatt i EU 21. august 2012, og ble publisert i OJ 23. august 2012.