10 Overføring av personopplysninger til utlandet
10.1 Gjeldende rett
Etter personregisterloven § 36 må Datatilsynet i utgangspunktet samtykke før personregistre eller personopplysninger som skal innføres i et personregister overføres til utlandet. I personregisterforskriften § 8-1 er imidlertid samtykkekravet redusert til en meldeplikt. Gjennom meldeplikten kan Datatilsynet kontrollere overføringer ut av landet og gripe inn dersom det anses nødvendig. For overføringer som Norge har plikt til å foreta i henhold til en folkerettslig avtale eller som følge av medlemskap i en internasjonal organisasjon, foreligger det heller ikke meldeplikt.
Bruk av internasjonale kommunikasjonskanaler som internett reiser særlige spørsmål i forhold til gjeldende regler. Når man gjør personopplysninger tilgjengelig ved f eks å opprette hjemmesider, kan det reises spørsmål om offentliggjøringen skal anses som en utlevering av opplysningene i tradisjonell forstand eller som en overføring av opplysningene til utlandet. I den grad opprettelsen anses som en overføring, vil den ikke bare være underlagt de vanlige reglene om utlevering av personopplysninger (herunder regler om taushetsplikt), men også de særlige reglene som gjelder for overføring av opplysninger til utlandet.
10.2 Internasjonale regler
EU-direktivetskiller mellom overføring av personopplysninger til medlemslandene og til tredjeland. Det skal være fri utveksling av personopplysninger mellom medlemslandene, jf artikkel 1 nr 2, mens det for overføring av personopplysninger til tredjeland oppstilles ulike grunnprinsipper som skal sikre at opplysninger som hovedregel bare overføres til land som har et tilstrekkelig beskyttelsesnivå når det gjelder personvern, jf artikkel 25.
Artikkel 26 inneholder unntak fra hovedregelen om overføring til tredjeland i artikkel 25. Artikkelen oppstiller i bokstavene a til f alternative vilkår som kan berettige overføring av personopplysninger til tredjeland som ikke har tilstrekkelig beskyttelsesnivå. Overføring kan bl a skje når det er nødvendig av hensyn til å få gjennomført en kontrakt/kontraktsinngåelse der den registrerte er part, eller når det er påkrevd av hensyn til den registrertes vitale interesser. Overføring kan også tillates når det er nødvendig eller fastsatt i lov for å beskytte viktige samfunnsinteresser, eller for at et rettskrav skal kunne fastlegges, gjøres gjeldende eller forsvares.
Kommisjonen og medlemslandene har en gjensidig plikt til å underrette hverandre om tredjeland som de mener har et utilstrekkelig beskyttelsesnivå. Kommisjonen kan etter å ha innhentet råd fra en komité der alle medlemslandene er representert, konstatere at et tredjeland ikke har et tilstrekkelig beskyttelsesnivå, men kan deretter inngå forhandlinger med vedkommende land for å forsøke å avhjelpe den situasjonen som er oppstått etter en slik konstatering. Medlemslandene er forpliktet til å sette i verk nødvendige tiltak for å hindre overføring av opplysninger til de landene som Kommisjonen konstaterer ikke har et tilfredsstillende beskyttelsesnivå. Dersom Kommisjonen etter forhandlinger fastslår at vedkommende lands beskyttelsesnivå likevel er tilfredsstillende, må medlemslandene legge dette til grunn for fremtidige behandlinger.
Når direktivet innlemmes i EØS-avtalen, blir Norge, Island og Liechtenstein innlemmet i den kretsen av land hvor det skal være fri utveksling av personopplysninger.
Etter Europarådskonvensjonenartikkel 12 kan man i utgangspunktet ikke forby eller kreve særlig tillatelse for overføring av personopplysninger som går til en annen stat som har ratifisert konvensjonen med det formål å verne privatlivets fred. Det kan likevel gjøres unntak fra dette utgangspunktet dersom ikke mottakerstatens regler gir tilsvarende beskyttelse som avsenderstatens bestemmelser.
10.3 Utvalgets forslag
Utvalget går inn for at overføring til tredjeland som hovedregel bare skal kunne tillates dersom det landet som mottakeren skal behandle opplysningene i, regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte, jf § 29 i utvalgets lovutkast. De stater som har gjennomført EU-direktivet, skal anses å oppfylle kravet til tilstrekkelig forsvarlig regulering, mens det for andre stater må foretas en konkret vurdering av beskyttelsesnivået, der man blant annet legger vekt på opplysningenes art, behandlingenes formål og varighet, rettsreglene hos den aktuelle staten om behandling av personopplysninger og om staten har tiltrådt Europarådskonvensjonen om personvern i forbindelse med elektronisk databehandling av personopplysninger.
Utvalget finner det nødvendig å presisere i utredningen hva den frie utvekslingen av personopplysninger til stater som har gjennomført EU-direktivet nærmere innebærer: Det enkelte land vil fremdeles stå fritt til å stille krav til måten opplysningene skal overføres på, så lenge kravene er de samme for overføringer innenlands og utenlands. Norske regler om taushetsplikt vil være til hinder for at taushetsbelagte opplysninger gis videre, uten hensyn til om mottakeren befinner seg i Norge eller i et EØS-land. Man vil ha full anledning til å nekte overføring til et annet EØS-land som ikke har gjennomført EU-direktivet. For områder som faller utenfor direktivets anvendelsesområde, jf f eks politiets og påtalemyndighetens registre, vil man stå fritt til å bestemme hvilke regler som skal gjelde for overføring av opplysninger til tredjeland.
Etter utvalgets oppfatning kan man likevel ikke se bort fra at personopplysninger som overføres fra Norge til et annet EØS-land vil kunne bli behandlet noe annerledes enn de ville blitt i henhold til det norske regelverket. Om dette uttaler utvalget på s 100 i utredningen:
«Dette skyldes at direktivet gir medlemslandene en viss frihet til selv å velge hvordan reglene skal være. Og det er ikke bare ulikt regelverk som gjør at overføringer utgjør en fare for personvernet. Opplysninger som overføres plasseres dermed i en ny sosial og kulturell virkelighet - i en annen sammenheng - som gjør at opplysningene kan tillegges et annet innhold enn det de ble tillagt i avsenderlandet. Et stykke på vei kan disse farene avhjelpes ved at det stilles krav til måten opplysningene overføres på. Utvalget viser til de generelle materielle reglene (f eks om krav til sikkerhet) som også gjelder ved videregivelse av opplysninger til utlandet.»
I tråd med direktivet åpner utvalget for at man på nærmere bestemte vilkår også skal kunne overføre opplysninger til stater som etter en konkret vurdering ikke anses å regulere behandlingen av personopplysninger på en tilstrekkelig forsvarlig måte. Utvalget legger da blant annet vekt på at det er vanskelig å ha noen klar oppfatning av hvilke behov for overføring som kan oppstå i fremtiden, og at man bør velge en lovregulering som gir anledning til å løse slike uforutsigbare behov på en smidig måte. Som et eksempel nevner utvalget behovet for å overføre personopplysninger i forbindelse med et bistandsprosjekt til et u-land som i utgangspunktet ikke regulerer personvernspørsmål på en tilfredsstillende måte.
Både for overføring innenfor og utenfor EØS-området vil det i henhold til utvalgets forslag foreligge melde- eller konsesjonsplikt i den grad overføringen er en behandling som er melde- eller konsesjonspliktig etter lovens alminnelige regler. Som oftest vil overføringene til utlandet være behandlet i forbindelse med en tidligere melding eller konsesjonssøknad om behandling av opplysningene her i Norge. På s 101 i utredningen beskriver utvalget gjennomføringen av meldeplikten slik:
«Datatilsynet vil i de fleste tilfeller være informert om overføringene i samband med den alminnelige konsesjons- eller meldepliktsordningen. Dette skyldes at opplysningene vil ha vært gjenstand for en eller annen form for behandling før de blir sendt ut av landet, og den forutgående behandlingen vil - ihvertfall der den representerer en personverntrussel - ha vært gjenstand for meldeplikt eller konsesjonsplikt. I så fall vil meldingen eller konsesjonssøknaden fortelle om opplysningene senere skal overføres til et annet land, og eventuelt til hvilke(t) land det er snakk om. Dersom den opprinnelige meldingen ikke inneholdt opplysninger om overførsel av opplysningene til utlandet, må ny melding sendes hvor de nye opplysningene fremgår. I de tilfeller hvor det ikke på forhånd er foretatt noen behandling som utløser meldeplikt i Norge, og overføringene representerer en meldepliktig behandling, vil overføringen måtte meldes til Datatilsynet etter de vanlige reglene. Enkelte overføringer vil ikke utløse meldeplikt, for eksempel når opplysningene som overføres er allment tilgjengelig, jf lovforslaget § 31 tredje ledd.»
Datatilsynet skal føre kontroll med at vilkårene for overføring er oppfylt og vil ha kompetanse til å nekte eller sette vilkår for overføringen, jf § 4 i utvalgets lovutkast.
På s 102-103 i utredningen drøfter utvalget enkelte spørsmål knyttet til bruk av internasjonale kommunikasjonskanaler, som internett. Utvalget legger til grunn at hver kommunikasjonsform må vurderes for seg når man skal ta stilling til om det dreier seg om overføring av personopplysninger til utlandet i lovforslagets forstand. Mange av de hjemmesidene som opprettes på internett vil normalt falle utenfor lovforslagets anvendelsesområde, ettersom de ofte vil være rent personlige (private) eller inneholde ren produktinformasjon uten personopplysninger. For de hjemmesidene som omfattes av lovforslaget, finner utvalget det naturlig å anse publiseringen på internett som en overføring av personopplysninger til utlandet. Bakgrunnen er at det når opplysningene først gjøres tilgjengelige, er en stor sjanse for at de også vil bli lastet ned og brukt i et land der norsk lovgivning ikke gjelder. Oversending av e-post via internett bør etter utvalgets oppfatning anses som overføring dersom mottakeren befinner seg i utlandet. Hvis mottakeren er i Norge, bør bruken anses som utlevering i tradisjonell forstand og ikke som overføring, selv om posten teknisk sett går via utlandet.
10.4 Høringsinstansenes syn
Det er ikke kommet vesentlige innvendinger mot utvalgets forslag. Den norske Advokatforeningog Norges Forsikringsforbundgir uttrykkelig tilslutning til hovedprinsippene i forslaget. LOviser til at reglene gjennomfører EU-direktivets forpliktelser, men understreker samtidig at en rekke av de europeiske landene har liten tradisjon med åpenhet og offentlige kontrollordninger, noe som gjør at vi må kunne kreve at personvernreglene ligger fast.
Vegdirektoratet mener at overføringer til utlandet bør behandles av Datatilsynet før selve overføringen finner sted. Det legger vekt på at det ikke kan forventes at de behandlingsansvarlige har den kunnskapen om nivået på behandlingen av personopplysninger i andre land som er nødvendig for å vurdere om overføringen er tillatt.
LOog Datatilsynetunderstreker behovet for å klargjøre i hvilken grad bruk av internasjonale kommunikasjonskanaler som internett innebærer en overføring av opplysninger til utlandet.
10.5 Departementets vurdering
Departementet slutter seg i hovedsak til utvalgets forslag til regler om overføring av personopplysninger til utlandet. Den stadig økende internasjonaliseringen nødvendiggjør en regulering som knesetter enkelte grunnleggende vilkår for slike overføringer, med det formål å ivareta sentrale personvernhensyn. Samtidig er det viktig at reguleringen åpner for fleksibilitet. De nye reglene som utvalget foreslår, innebærer en klarere presisering av vilkårene for overføring enn personregisterloven med tilhørende forskrifter. Datatilsynet skal føre kontroll med overføringene og gi pålegg om at overføringer må stanses eller bare kan foretas på bestemte vilkår. Datatilsynet vil også ha en sentral rolle som veileder i forhold til de behandlingsansvarlige. Blant annet gjennom deltakelse i internasjonalt personvernarbeid og ved kontakt med andre nasjonale tilsynsorganer vil Datatilsynet opparbeide seg oversikt over personvernreguleringen i ulike land.
Vegdirektoratet har reist spørsmål om forhåndskontroll fra Datatilsynets side før opplysningene overføres til utlandet. Som også utvalget peker på, vil det ofte være slik at Datatilsynet på et tidligere stadium er gjort kjent med overføringene, ettersom overføringen gjerne vil være ett av flere ledd i en sammensatt rekke av personopplysningsbehandlinger som er melde- eller konsesjonspliktige. Dersom det ikke er gitt melding i forbindelse med den forutgående behandlingen av opplysningene her i landet, vil det måtte sendes egen melding om overføringen i god tid før overføringen skal skje. I medhold av den generelle inngrepshjemmelen i § 46 i lovforslaget vil Datatilsynet kunne stanse eller sette vilkår for overføringer som er i strid med lovens regler. Departementet kan ikke se noen grunntil å innføre et krav om forhåndskontroll utover den som vil bli foretatt i forbindelse med lovens alminnelige regler om melde- og konsesjonsplikt.
Departementet vil understreke at lovens alminnelige krav til behandlingen av personopplysninger også gjelder ved overføring til utlandet. Dette innebærer for det første at det må være adgang til å utlevere opplysningene i henhold til de grunnleggende vilkårene for i det hele tatt å behandle personopplysninger i §§ 8 og 9 i lovforslaget. Videre må f eks kravene til informasjonssikkerhet i § 13 overholdes. På samme måte vil det heller ikke være adgang til å utlevere opplysninger som er taushetsbelagt i henhold til norsk lovgivning.
Utvalget sondrer i sitt forslag mellom overføring til land som har gjennomført EU-direktivet, der det fritt skal kunne overføres personopplysninger, og til andre land, der opplysninger kan overføres etter en konkret vurdering av personvernnivået i vedkommende land. Sondringen bygger på artikkel 1 nr 2 i EU-direktivet. Departementet finner det naturlig å opprettholde sondringen i sitt lovforslag, jf § 29 første ledd annet punktum. Selv om direktivet på en del punkter åpner for en viss frihet til å bestemme hvordan de nasjonale reglene skal være, forutsetter det et rammeverk som bør tilfredsstille kravet til forsvarlig personvernregulering. Det legges dessuten opp til et nært samarbeid mellom medlemslandene (og senere også EØS-landene) om praktisering av de nasjonale reglene som gis i medhold av direktivet, jf ariklene 29 og 30. Hvis ikke direktivet er innlemmet i EØS-avtalen når personopplysningsloven skal settes i kraft, kan det imidlertid være aktuelt å vurdere om ikraftsettingen av denne presieringen bør utsettes, jf § 50 annet punktum i lovforslaget. Behovet for slik utsatt ikrafttredelse vil bli vurdert nærmere når man vet mer om fremdriften i innlemmelsesprosessen.
Departementet slutter seg til utvalgets syn på forholdet mellom reglene om overføring av personopplysninger til utlandet og bruk av internasjonale kommunikasjonskanaler som internett. Det er naturlig å vurdere behandling av personopplysninger på internett på samme måte som annen behandling etter lovforslaget. Det forhold at personopplysningene offentliggjøres via internett bør ikke i seg selv medføre at det gis særregler for denne formen for kommunikasjon. Departementet er derfor enig med utvalget i at opprettelse av hjemmesider i den utstrekning de for øvrig faller inn under lovforslagets regler, naturlig vil fremstå som en overføring av opplysningene i lovforslagets forstand. Oversending av e-post faller inn under overføringsreglene i den grad mottakeren befinner seg i utlandet, jf nærmere i merknadene til § 29.
Bl a i Sverige er det reist spørsmål om hvilken betydning overføringsreglene i praksis vil få i forhold til bruk av internett, f eks ved bruk av web-sider og pratetjenester («chat»). Når man legger ut personopplysninger på internett, vil de kunne leses og lastes ned av personer over hele verden, også av folk som bor i land med andre krav til personvernlovgivningen enn de som oppstilles i Norge og innen EU-området. Regler som i for sterk utstrekning begrenser overføring av personopplysninger til utlandet, vil i uønsket grad kunne hindre utveksling av meninger og informasjon på internett. Spørsmålet om offentliggjøring av personopplysninger via internett er ikke utrykkelig regulert i EU-direktivet og heller ikke kommentert i direktivets fortale. Hvordan direktivet skal fortolkes på dette punkt, kan derfor være noe tvilsomt. Som nevnt under merknadene til § 3 annet ledd i lovforslaget, vil private hjemmesider med informasjon av personlig og privat karakter kunne legges ut på internett uten hensyn til lovens behandlings- og overføringsregler Det følger av § 7 i lovforslaget at heller ikke internettjenester der personopplysninger bare brukes for kunstneriske, litterære eller journalistiske (opinionsdannende) formål vil være underlagt de kravene som stilles til behandling og overføring av personopplysninger i lovforslaget.
For annen form for bruk av internettjenester i regi av private næringsdrivende, offentlige virksomheter eller ulike organisasjoner vil man måtte ta utgangspunkt i behandlingsreglene i §§ 8 og 9 i lovforslaget og deretter vurdere reglene om overføring til utlandet i §§ 29 og 30. Reglene om overføring av personopplysninger til utlandet i §§ 29 og 30 bygger på en forutsetning om at det er adgang til å utlevere personopplysningene i henhold til de alminnelige behandlingsreglene i §§ 8 og 9, jf også artiklene 25 og 26 sett i sammenheng med artiklene 7 og 8 i EU-direktivet. Hvis man i henhold til vilkårene i de alminnelige behandlingsreglene har adgang til å utlevere personopplysninger til en ubestemt krets av personer, vil opplysningene uten videre kunne overføres til og offentliggjøres i land som har et tilstrekkelig beskyttelsesnivå for personopplysninger. I slike tilfeller bør det som hovedregel også være adgang til å offentliggjøre opplysningene f eks på en hjemmeside på internett, selv om dette innebærer at personopplysningene blir tilgjengelige også i andre land. Har man først tillatt en vid og i prinsippet ubegrenset spredning av personopplysningene i henhold til de alminnelige behandlingsreglene, kan det neppe hevdes å utgjøre noen trussel mot privatlivets fred å offentliggjøre de samme opplysningene i en global sammenheng. I slike tilfeller bør det derfor ved vurderingen etter § 29 annet ledd i lovforslaget legges avgjørende vekt på det forhold at opplysningene i utgangspunktet kan offentliggjøres til en ubegrenset krets av mottakere. Ved vurderingen av om og i hvilken utstrekning det er adgang til å utlevere personopplysninger i henhold til de alminnelige behandlingsreglene i §§ 8 og 9, må man til gjengjeld ta i betraktning det forhold at man gjennom internett vil få en global spredning av opplysningene. Begrensningene i adgangen til å overføre personopplysninger til utlandet vil etter dette først og fremst få selvstendig betydning for personopplysninger som i henhold til de alminnelige behandlingsreglene bare kan utleveres til en begrenset krets av mottakere.
Det er på det rene at bruk av internasjonale kommunikasjonskanaler som internett vil kunne stille mange og stadig nye utfordringer til lovverket. Dette er derfor et område som det vil være grunn til å følge særlig nøye i forbindelse med den etterkontrollen av personopplysningsloven som det vil bli lagt opp til, jf punkt 15.3.
Datatilsynet vil ha kompetanse til å gi pålegg om at overføringer som er i strid med loven skal stanse. Dette vil f eks være tilfelle når det overføres opplysninger til tredjeland som ikke har et tilfredsstillende nivå på sin personvernlovgivning uten at vilkårene i § 30 er oppfylt.