Utveksling og beskyttelse av personopplysninger: endringsbestemmelser
Kommisjonens gjennomføringsbeslutning (EU) 2016/2295 av 16. desember 2016 om endring av vedtak 2000/518/EF, 2002/2/EF, 2003/490/EF, 2003/821/EF, 2004/411/EF og 2008/393/EF, beslutning 2010/146/EU, 2010/625/EU og 2011/61/EU, samt gjennomføringsbeslutning 2012/484/EU og 2013/65/EU om adekvat beskyttelse av personopplysninger i visse tredjeland, i henhold til artikkel 25, stk. 6, i europaparlaments- og rådsdirektiv 95/46/EF
Commission Implementing Decision (EU) 2016/2295 of 16 December 2016 amending Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU and Implementing Decisions 2012/484/EU, 2013/65/EU on the adequate protection of personal data by certain countries, pursuant to Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council
EØS-komitebeslutning 5.5.2017 om innlemmelse i EØS-avtalen
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 20.2.2017)
Sammendrag av innhold
Kommisjonsbeslutningen endrer beslutning 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU samt gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU om adekvat beskyttelse av personopplysninger i visse tredjeland (hhv. Sveits, Canada, Argentina, Guernsey, Isle of Man, Jersey, Færøyene, Andorra, Israel, Uruguay og New Zealand).
Endringene kommer som en følge av EU-domstolens avgjørelse av 6. oktober 2015 i sak C-362/14 Maximillian Schrems v Data Protection Commissioner. Dommen slo fast at flere av vilkårene i Kommisjonens ulike beslutninger om overføring av personopplysninger til tredjeland ikke var i samsvar med overordnet regelverk, herunder EU-charteret om grunnleggende rettigheter. Blant annet ble det slått fast at bestemmelsene i artikkel 3 i den tidligere Safe Harbor-avtalen mellom EU og USA om overføring av personopplysninger til USA (2000/520/EC) ikke var i samsvar med charteret. Denne bestemmelsen begrenset de nasjonale tilsynsmyndighetenes kompetanse til å gripe inn overfor bestemte overføringer av personopplysninger. Safe Harbor-avtalen ble, som følge av dommen, i sin helhet erstattet av Privacy Shield-rammeverket 12. juli 2016.
Beslutning 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU, samt gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU inneholder tilsvarende bestemmelser som artikkel 3 i Safe Harbor-avtalen. Disse kommisjonsbeslutningene gjelder for Norge, jf. personopplysningsforskriften § 6-1 første ledd, og kan benyttes av norske behandlingsansvarlige som grunnlag for overføring av personopplysninger til visse tredjeland.
Som en følge av EU-domstolens avgjørelse i sak C-362/14, har EU-kommisjonen besluttet endringer i de nevnte rettsaktene. Nærmere bestemt gjøres det endringer i artikkel 3 og artikkel 3a i beslutning 2000/518/EC, 2002/2/EC og 2003/490/EC, i artikkel 3 og artikkel 4 i beslutning 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU, samt i artikkel 2 og artikkel 3 i gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU. Endringene innebærer at de nasjonale tilsynsmyndighetene nå står fritt til å vurdere og, midlertidig eller permanent, stanse overføringer av personopplysninger til hhv. Sveits, Canada, Argentina, Guernsey, Isle of Man, Jersey, Færøyene, Andorra, Israel, Uruguay og New Zealand dersom det vurderes som nødvendig for å beskytte enkeltpersoner. Kommisjonen skal løpende monitorere utviklingen i landenes lovgivning og praksis i den grad det kan påvirke adekvansbeslutningene, inkludert nasjonale myndigheters tilgang til opplysningene. Nasjonale tilsynsmyndigheter skal varsle Kommisjonen om eventuelle vedtak, hvorpå Kommisjonen vil videreformidle informasjonen til de øvrige medlemsstater.
Merknader
Rettslige konsekvenser
Rettsakten krever ikke lov- eller forskriftsendringer.
Sakkyndige instansers merknader
Rettsakten følger hurtigprosedyren, og behandles ikke i Spesialutvalget for kommunikasjoner. Ansvarlig departement finner rettsakten EØS-relevant og akseptabel.
Vurdering
Endringene innebærer at Datatilsynet vil ha full kompetanse til å føre tilsyn med og gripe inn overfor overføring av personopplysninger til Andorra, Argentina, Canada, Færøyene, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Sveits og Uruguay i samsvar med Kommisjonens beslutninger om slike overføringer, dersom tilsynet vurderer det som nødvendig for å beskytte enkeltpersoner. Beslutningen vurderes ikke å endre de gjeldende og grunnleggende nasjonale reglene om behandling av personopplysninger. Beslutningen vurderes derimot å styrke Datatilsynets kompetanse for så vidt gjelder tilsyn med overføring av personopplysninger til de aktuelle tredjelandene.
Andre opplysninger
Beslutningen endrer følgende basis rettsakter: 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU, 2012/484/EU og 2013/65/EU.
Status
Rettsakten følger hurtigprosedyren, og behandles ikke i Spesialutvalget for kommunikasjoner. Ansvarlig departement finner rettsakten EØS-relevant og akseptabel.
Sammendrag av innhold
Kommisjonsbeslutningen endrer beslutning 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU samt gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU om adekvat beskyttelse av personopplysninger i visse tredjeland (hhv. Sveits, Canada, Argentina, Guernsey, Isle of Man, Jersey, Færøyene, Andorra, Israel, Uruguay og New Zealand).
Endringene kommer som en følge av EU-domstolens avgjørelse av 6. oktober 2015 i sak C-362/14 Maximillian Schrems v Data Protection Commissioner. Dommen slo fast at flere av vilkårene i Kommisjonens ulike beslutninger om overføring av personopplysninger til tredjeland ikke var i samsvar med overordnet regelverk, herunder EU-charteret om grunnleggende rettigheter. Blant annet ble det slått fast at bestemmelsene i artikkel 3 i den tidligere Safe Harbor-avtalen mellom EU og USA om overføring av personopplysninger til USA (2000/520/EC) ikke var i samsvar med charteret. Denne bestemmelsen begrenset de nasjonale tilsynsmyndighetenes kompetanse til å gripe inn overfor bestemte overføringer av personopplysninger. Safe Harbor-avtalen ble, som følge av dommen, i sin helhet erstattet av Privacy Shield-rammeverket 12. juli 2016.
Beslutning 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU, samt gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU inneholder tilsvarende bestemmelser som artikkel 3 i Safe Harbor-avtalen. Disse kommisjonsbeslutningene gjelder for Norge, jf. personopplysningsforskriften § 6-1 første ledd, og kan benyttes av norske behandlingsansvarlige som grunnlag for overføring av personopplysninger til visse tredjeland.
Som en følge av EU-domstolens avgjørelse i sak C-362/14, har EU-kommisjonen besluttet endringer i de nevnte rettsaktene. Nærmere bestemt gjøres det endringer i artikkel 3 og artikkel 3a i beslutning 2000/518/EC, 2002/2/EC og 2003/490/EC, i artikkel 3 og artikkel 4 i beslutning 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU, samt i artikkel 2 og artikkel 3 i gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU. Endringene innebærer at de nasjonale tilsynsmyndighetene nå står fritt til å vurdere og, midlertidig eller permanent, stanse overføringer av personopplysninger til hhv. Sveits, Canada, Argentina, Guernsey, Isle of Man, Jersey, Færøyene, Andorra, Israel, Uruguay og New Zealand dersom det vurderes som nødvendig for å beskytte enkeltpersoner. Kommisjonen skal løpende monitorere utviklingen i landenes lovgivning og praksis i den grad det kan påvirke adekvansbeslutningene, inkludert nasjonale myndigheters tilgang til opplysningene. Nasjonale tilsynsmyndigheter skal varsle Kommisjonen om eventuelle vedtak, hvorpå Kommisjonen vil videreformidle informasjonen til de øvrige medlemsstater.
Merknader
Rettslige konsekvenser
Rettsakten krever ikke lov- eller forskriftsendringer.
Sakkyndige instansers merknader
Rettsakten følger hurtigprosedyren, og behandles ikke i Spesialutvalget for kommunikasjoner. Ansvarlig departement finner rettsakten EØS-relevant og akseptabel.
Vurdering
Endringene innebærer at Datatilsynet vil ha full kompetanse til å føre tilsyn med og gripe inn overfor overføring av personopplysninger til Andorra, Argentina, Canada, Færøyene, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Sveits og Uruguay i samsvar med Kommisjonens beslutninger om slike overføringer, dersom tilsynet vurderer det som nødvendig for å beskytte enkeltpersoner. Beslutningen vurderes ikke å endre de gjeldende og grunnleggende nasjonale reglene om behandling av personopplysninger. Beslutningen vurderes derimot å styrke Datatilsynets kompetanse for så vidt gjelder tilsyn med overføring av personopplysninger til de aktuelle tredjelandene.
Andre opplysninger
Beslutningen endrer følgende basis rettsakter: 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU, 2012/484/EU og 2013/65/EU.
Status
Rettsakten følger hurtigprosedyren, og behandles ikke i Spesialutvalget for kommunikasjoner. Ansvarlig departement finner rettsakten EØS-relevant og akseptabel.