Videresending av personopplysninger til USA
Kommisjonsvedtak 2000/520/EF av 26. juli 2000 i henhold til europaparlaments- og rådsdirektiv 95/46/EF om tilstrekkeligheten av den beskyttelse som oppnås ved safe harbour-prinsippene og de tilknyttede spørsmål og svar fra De forente staters handelsdepartement
Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce
Progresjon
EØS-komitebeslutning 11.12.2015 om oppheving i EØS-avtalen
I etterkant av EU-domstolens opphevelse av et EU-vedtak fra 2000 om overføring av personopplysninger til USA, har EØS-komiteen vedtatt en tilsvarende opphevelse i EØS-avtalen. EU-vedtaket har vært en del av EØS-avtalen siden 2001. Bakgrunnen for EU-dommen er blant annet Facebooks videreformidling av persondata til amerikanske myndigheter og Edward Snowdens avsløringer i 2013.
Nærmere omtale
Red. anm.: Bakgrunnsnotatet under gjelder kommisjonsvedtakene 2000/518/EF (om Sveits), 2000/519/EF (om Ungarn) og 2000/520/EF (om USA).
BAKGRUNN (fra departementets bakgrunnsnotat)
Sammendrag av innholdet
Personopplysningsloven (jf. Ot.prp. nr. 92 (1999-2000) gjennomfører europaparlaments- og rådsdirektiv 95/46/EF, som er en del av EØS-avtalen (jf. EØS-komiteens beslutning 83/99 av 25. juni 1999 og St.prp. nr. 34 (1999-2000) om samtykke til godkjenning av EØS-komiteens beslutning nr. 83/1999 av 25. juni 1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI). Direktiv 95/46/EF omhandler beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og fri utveksling av slike opplysninger. Loven regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater.
Hovedregelen er at opplysningene bare kan overføres til stater som sikrer en forsvarlig behandling av personopplysningene, jf. loven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Overføring kan således skje til andre EØS-land. Ved overføring til stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkårene i § 29 første ledd, eller om unntakene i § 30 er oppfylt slik at personopplysningene eventuelt kan overføres på det grunnlaget.
Vurderingen av om det er adgang til å overføre personopplysninger til et land utenfor EØS-området kan by på tvil, og det er behov for å treffe tiltak for å unngå forskjellsbehandling. I direktiv 95/46/EF artikkel 25 nr. 6 er Kommisjonen gitt myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet slik at overføring likevel kan skje.
I forbindelse med at direktiv 95/46/EF ble innlemmet i EØS-avtalen, ble det tatt stilling til hvilken betydning Kommisjonens vedtak skulle få for Norge. I EØS-komiteens beslutning nr. 83/99 om endring av EØS-avtalen protokoll 37 og vedlegg XI, jf. St. prp. nr. 34 (1999-2000), ble det bestemt at Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft. Dersom slikt varsel ikke gis, er Norge bundet av vedtaket inntil videre. Dersom EØS-komiteen ikke innlemmer vedtakene i EØS-avtalen innen 12 måneder etter at tiltaket er satt i kraft, står Norge fritt til å vurdere spørsmålet på nytt og eventuelt reservere seg mot tiltaket. Konsekvensen av å reservere seg vil være at andre EØS-stater er forpliktet til å innskrenke eller forby fri utveksling av personopplysninger til Norge.
Kommisjonen fattet 26. juli 2000 tre vedtak i henhold til direktivets artikkel 25. Vedtakene trer i kraft 25. november 2000.
Kommisjonen slo for det første fast at reglene om behandling av personopplysninger i Sveits og Ungarn sikrer de registrerte et tilstrekkelig beskyttelsesnivå ved behandling av personopplysninger, og at tilsynsmyndighetene i det enkelte EØS-land bare kan stanse overføring av personopplysninger dersom nærmere vilkår er oppfylt. Anvendt på norske forhold vil dette innebære at det i mangel av andre holdepunkter vil være adgang til å overføre personopplysninger fra Norge til mottakere i Sveits og Ungarn.
I Sveits finnes det personvernlovgivning både på føderalt nivå og i de enkelte kantonene. Forbundsforfatningen er nylig endret, slik at den gir enhver fysisk person krav på rett til beskyttelse av privatlivets fred og beskyttelse mot misbruk av ens personopplysninger. Forbundsdomstolen har i sin praksis utviklet grunnleggende personvernrettigheter, som for eksempel krav til at opplysningene skal være korrekte, at de registrerte skal ha rett til innsyn i opplysningene og rett for den enkelte til å få uriktige opplysninger rettet eller slettet. Disse rettighetene er utpenslet og supplert i lov 19. juni 1992 om databeskyttelse (i kraft 1. juli 1993). Ytterligere informasjon om personvernreglene i Sveits er tatt inn i fortalen til Kommisjonens vedtak.
I Ungarn er rett til privatlivets fred nedfelt i grunnloven artikkel 59 og i lov LXIII 17. november 1992. Lovgivningen er utformet slik at det finnes egne personvernbestemmelser for ulike sektorer, som for eksempel statistikk, markedsføring og forskning. Ungarn ratifiserte 1, februar 1998 Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger. Det fremgår uttrykkelig av personopplysningsloven § 29 annet ledd at dette har betydning i vurderingen av om personvernbeskyttelsen er god nok. Ytterligere informasjon om personvernreglene i Ungarn er tatt inn i fortalen til Kommisjonens vedtak.
Kommisjonen besluttet også at personopplysninger kan overføres til mottakere i USA som forplikter seg til å behandle personopplysningene i samsvar med nærmere fastsatte prinsipper (de såkalte "Safe Harbor Privacy Principles"). Prinsippene er fremforhandlet mellom Kommisjonen og nord-amerikanske myndigheter.
Ordningen går ut på at organisasjoner og virksomheter i USA kan velge å forplikte seg til å følge prinsipper for behandling av personopplysninger, og på den måten være berettiget til å motta personopplysninger fra avsendere i EØS-land. Prinsippene pålegger den som mottar opplysningene blant annet plikt til å informere den registrerte om hvilke formål som ligger til grunn for innsamlingen, og hvordan den behandlingsansvarlige kan kontaktes for å få mer informasjon eller for å komme med innvendinger. Den registrerte har også krav på å få vite om opplysningene skal gis videre. Den registrerte skal dessuten kunne reservere seg mot at opplysningene gis videre til andre enn mottakeren i USA, og mot at opplysningene brukes til formål som er uforenlige med formålet opplysningene opprinnelig skulle brukes til. Dersom personopplysningene er følsomme, dvs. opplysninger om helseforhold, rase eller etnisk opprinnelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap eller seksuelle forhold, skal mottakeren i USA innhente den registrertes samtykke før opplysningene gis videre eller brukes til andre formål enn de opprinnelig ble innsamlet for. Mottakeren i USA kan kun gi opplysningene videre til andre som selv har forpliktet seg til å behandle opplysningene i samsvar med prinsippene. Prinsippene pålegger videre mottakeren å sørge for tilstrekkelig informasjonssikkerhet, og at opplysningene har tilstrekkelig integritet. Den registrerte skal som hovedregel ha rett til innsyn i opplysningene om en selv, og dersom opplysningene er uriktige, skal den registrerte som hovedregel kunne kreve retting. Prinsippene stiller også krav til at virksomhetene iverksetter rutiner som sikrer at prinsippene etterleves. I utgangspunktet er det virksomhetene selv som skal sørge for at de håndheves. Det skal ikke være nødvendig å søke om tillatelse for å få sende personopplysninger til slike "trygge havner" i USA. Tilsynsmyndighetene i det enkelte EØS-land, dvs. Datatilsynet for Norges del, skal imidlertid på nærmere bestemte vilkår kunne gripe inn og forby eller begrense overføringen av personopplysningene, for eksempel dersom mottakeren i USA ikke følger personvernprinsippene i praksis.
Nærmere informasjon om ordningen, blant annet i form av en liste med svar på hyppig stilte spørsmål (FAQ), er publisert i EF-tidende 25. august 2000 som bilag til Kommisjonens vedtak.
Merknader
Vedtakene gjennomføres i norsk rett gjennom forskrifter til personopplysningsloven. Kommisjonsvedtaket om overføring av personopplysninger til USA er - i motsetning til tradisjonen i Norge og en rekke andre EØS-land - i stor grad basert på selvregulering. Det svakere innslaget av tilsyns- og håndhevingsmekanismer innebærer at personvernet i større grad enn innenfor EØS-området er avhengig av at mottakerne av personopplysningene velger å etterleve prinsippene i praksis. Justisdepartementet og Datatilsynet er likevel av den oppfatning at Norge ikke bør reservere seg mot tiltaket. Å reservere seg ville kunne få svært negative konsekvenser for flyten av personopplysninger til Norge fra andre EØS-land, og kommisjonsvedtaket gir Datatilsynet mulighet til å gripe inn og stanse eller begrense overføringen dersom mottakeren ikke etterlever prinsippene.
Sakkyndige instansers merknader
Justisdepartementet har behandlet vedtakene og i nært samarbeid med Datatilsynet funnet disse akseptable.
BAKGRUNN (fra departementets bakgrunnsnotat)
Sammendrag av innholdet
Personopplysningsloven (jf. Ot.prp. nr. 92 (1999-2000) gjennomfører europaparlaments- og rådsdirektiv 95/46/EF, som er en del av EØS-avtalen (jf. EØS-komiteens beslutning 83/99 av 25. juni 1999 og St.prp. nr. 34 (1999-2000) om samtykke til godkjenning av EØS-komiteens beslutning nr. 83/1999 av 25. juni 1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI). Direktiv 95/46/EF omhandler beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og fri utveksling av slike opplysninger. Loven regulerer blant annet adgangen til å overføre personopplysninger fra Norge til andre stater.
Hovedregelen er at opplysningene bare kan overføres til stater som sikrer en forsvarlig behandling av personopplysningene, jf. loven § 29. Det fremgår uttrykkelig av loven at stater som har gjennomført direktivet, oppfyller kravene til forsvarlig behandling. Overføring kan således skje til andre EØS-land. Ved overføring til stater utenfor EØS-området, såkalte tredjeland, må det vurderes konkret om mottakerstaten oppfyller vilkårene i § 29 første ledd, eller om unntakene i § 30 er oppfylt slik at personopplysningene eventuelt kan overføres på det grunnlaget.
Vurderingen av om det er adgang til å overføre personopplysninger til et land utenfor EØS-området kan by på tvil, og det er behov for å treffe tiltak for å unngå forskjellsbehandling. I direktiv 95/46/EF artikkel 25 nr. 6 er Kommisjonen gitt myndighet til å avgjøre om et tredjeland behandler personopplysninger på en så betryggende måte at overføring kan skje. Kommisjonen er også gitt myndighet til å forhandle og inngå avtaler med tredjeland som i utgangspunktet ikke oppfyller kravene til behandling av personopplysninger, for på den måten å heve nivået på personvernet i tredjelandet slik at overføring likevel kan skje.
I forbindelse med at direktiv 95/46/EF ble innlemmet i EØS-avtalen, ble det tatt stilling til hvilken betydning Kommisjonens vedtak skulle få for Norge. I EØS-komiteens beslutning nr. 83/99 om endring av EØS-avtalen protokoll 37 og vedlegg XI, jf. St. prp. nr. 34 (1999-2000), ble det bestemt at Norge er bundet av vedtakene dersom vi ikke reserverer oss ved å varsle Kommisjonen før vedtaket trer i kraft. Dersom slikt varsel ikke gis, er Norge bundet av vedtaket inntil videre. Dersom EØS-komiteen ikke innlemmer vedtakene i EØS-avtalen innen 12 måneder etter at tiltaket er satt i kraft, står Norge fritt til å vurdere spørsmålet på nytt og eventuelt reservere seg mot tiltaket. Konsekvensen av å reservere seg vil være at andre EØS-stater er forpliktet til å innskrenke eller forby fri utveksling av personopplysninger til Norge.
Kommisjonen fattet 26. juli 2000 tre vedtak i henhold til direktivets artikkel 25. Vedtakene trer i kraft 25. november 2000.
Kommisjonen slo for det første fast at reglene om behandling av personopplysninger i Sveits og Ungarn sikrer de registrerte et tilstrekkelig beskyttelsesnivå ved behandling av personopplysninger, og at tilsynsmyndighetene i det enkelte EØS-land bare kan stanse overføring av personopplysninger dersom nærmere vilkår er oppfylt. Anvendt på norske forhold vil dette innebære at det i mangel av andre holdepunkter vil være adgang til å overføre personopplysninger fra Norge til mottakere i Sveits og Ungarn.
I Sveits finnes det personvernlovgivning både på føderalt nivå og i de enkelte kantonene. Forbundsforfatningen er nylig endret, slik at den gir enhver fysisk person krav på rett til beskyttelse av privatlivets fred og beskyttelse mot misbruk av ens personopplysninger. Forbundsdomstolen har i sin praksis utviklet grunnleggende personvernrettigheter, som for eksempel krav til at opplysningene skal være korrekte, at de registrerte skal ha rett til innsyn i opplysningene og rett for den enkelte til å få uriktige opplysninger rettet eller slettet. Disse rettighetene er utpenslet og supplert i lov 19. juni 1992 om databeskyttelse (i kraft 1. juli 1993). Ytterligere informasjon om personvernreglene i Sveits er tatt inn i fortalen til Kommisjonens vedtak.
I Ungarn er rett til privatlivets fred nedfelt i grunnloven artikkel 59 og i lov LXIII 17. november 1992. Lovgivningen er utformet slik at det finnes egne personvernbestemmelser for ulike sektorer, som for eksempel statistikk, markedsføring og forskning. Ungarn ratifiserte 1, februar 1998 Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger. Det fremgår uttrykkelig av personopplysningsloven § 29 annet ledd at dette har betydning i vurderingen av om personvernbeskyttelsen er god nok. Ytterligere informasjon om personvernreglene i Ungarn er tatt inn i fortalen til Kommisjonens vedtak.
Kommisjonen besluttet også at personopplysninger kan overføres til mottakere i USA som forplikter seg til å behandle personopplysningene i samsvar med nærmere fastsatte prinsipper (de såkalte "Safe Harbor Privacy Principles"). Prinsippene er fremforhandlet mellom Kommisjonen og nord-amerikanske myndigheter.
Ordningen går ut på at organisasjoner og virksomheter i USA kan velge å forplikte seg til å følge prinsipper for behandling av personopplysninger, og på den måten være berettiget til å motta personopplysninger fra avsendere i EØS-land. Prinsippene pålegger den som mottar opplysningene blant annet plikt til å informere den registrerte om hvilke formål som ligger til grunn for innsamlingen, og hvordan den behandlingsansvarlige kan kontaktes for å få mer informasjon eller for å komme med innvendinger. Den registrerte har også krav på å få vite om opplysningene skal gis videre. Den registrerte skal dessuten kunne reservere seg mot at opplysningene gis videre til andre enn mottakeren i USA, og mot at opplysningene brukes til formål som er uforenlige med formålet opplysningene opprinnelig skulle brukes til. Dersom personopplysningene er følsomme, dvs. opplysninger om helseforhold, rase eller etnisk opprinnelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap eller seksuelle forhold, skal mottakeren i USA innhente den registrertes samtykke før opplysningene gis videre eller brukes til andre formål enn de opprinnelig ble innsamlet for. Mottakeren i USA kan kun gi opplysningene videre til andre som selv har forpliktet seg til å behandle opplysningene i samsvar med prinsippene. Prinsippene pålegger videre mottakeren å sørge for tilstrekkelig informasjonssikkerhet, og at opplysningene har tilstrekkelig integritet. Den registrerte skal som hovedregel ha rett til innsyn i opplysningene om en selv, og dersom opplysningene er uriktige, skal den registrerte som hovedregel kunne kreve retting. Prinsippene stiller også krav til at virksomhetene iverksetter rutiner som sikrer at prinsippene etterleves. I utgangspunktet er det virksomhetene selv som skal sørge for at de håndheves. Det skal ikke være nødvendig å søke om tillatelse for å få sende personopplysninger til slike "trygge havner" i USA. Tilsynsmyndighetene i det enkelte EØS-land, dvs. Datatilsynet for Norges del, skal imidlertid på nærmere bestemte vilkår kunne gripe inn og forby eller begrense overføringen av personopplysningene, for eksempel dersom mottakeren i USA ikke følger personvernprinsippene i praksis.
Nærmere informasjon om ordningen, blant annet i form av en liste med svar på hyppig stilte spørsmål (FAQ), er publisert i EF-tidende 25. august 2000 som bilag til Kommisjonens vedtak.
Merknader
Vedtakene gjennomføres i norsk rett gjennom forskrifter til personopplysningsloven. Kommisjonsvedtaket om overføring av personopplysninger til USA er - i motsetning til tradisjonen i Norge og en rekke andre EØS-land - i stor grad basert på selvregulering. Det svakere innslaget av tilsyns- og håndhevingsmekanismer innebærer at personvernet i større grad enn innenfor EØS-området er avhengig av at mottakerne av personopplysningene velger å etterleve prinsippene i praksis. Justisdepartementet og Datatilsynet er likevel av den oppfatning at Norge ikke bør reservere seg mot tiltaket. Å reservere seg ville kunne få svært negative konsekvenser for flyten av personopplysninger til Norge fra andre EØS-land, og kommisjonsvedtaket gir Datatilsynet mulighet til å gripe inn og stanse eller begrense overføringen dersom mottakeren ikke etterlever prinsippene.
Sakkyndige instansers merknader
Justisdepartementet har behandlet vedtakene og i nært samarbeid med Datatilsynet funnet disse akseptable.