19 Overføring av personopplysninger til tredjestater og internasjonale organisasjoner
19.1 Gjeldende rett
Personopplysningsloven kapittel V inneholder særskilte regler om overføring av personopplysninger til utlandet. Hovedregelen er etter § 29 første ledd første punktum at personopplysninger bare kan overføres til stater som sikrer en forsvarlig behandling av personopplysningene. Stater som har gjennomført 95-direktivet, oppfyller dette vilkåret, jf. annet punktum. Bestemmelsen gjennomfører artikkel 25 nr. 1 i 95-direktivet. Verken personopplysningsloven eller direktivet gir noen definisjon av overføring, men i praksis dreier det seg om flytting av eller tilgang til personopplysninger på tvers av landegrenser.
Personopplysningsloven § 29 tillater at personopplysninger fritt kan overføres innenfor EU/EØS. Overføring av personopplysninger til land utenfor EU/EØS (tredjestater) er betinget av at landet har et tilstrekkelig beskyttelsesnivå.
Kommisjonen kan ifølge artikkel 25 nr. 6 beslutte at en bestemt tredjestat sikrer et tilstrekkelig beskyttelsesnivå i henhold til artikkel 25 nr. 2. Kommisjonens beslutninger om beskyttelsesnivå er rettsakter som normalt må innlemmes i EØS-avtalen gjennom en beslutning i EØS-komiteen. Imidlertid følger det av EØS-komiteens beslutning som innlemmer direktivet, at Kommisjonens beslutninger skal anvendes av EØS/EFTA-statene med mindre de notifiserer Kommisjonen før ikrafttredelsen av beslutningen om at man ikke ønsker å anvende den. Det følger av personopplysningsforskriften § 6-1 at beslutninger om beskyttelsesnivå også skal gjelde for Norge. Når Kommisjonen har truffet slik beslutning, kan den behandlingsansvarlige overføre personopplysninger til mottagere i den aktuelle staten i medhold av hovedregelen i personopplysningsloven § 29 første ledd.
Personopplysningsloven § 30 fastsetter bestemmelser om overføring til tredjestater som ikke har et tilstrekkelig beskyttelsesnivå. Etter første ledd kan personopplysninger overføres dersom den registrerte har gitt samtykke, det foreligger en plikt etter folkerettslig avtale, eller dersom overføringen er nødvendig av en nærmere angitt grunn, for eksempel for å oppfylle en avtale med den registrerte, for å fastsette eller gjøre gjeldende et rettskrav mv. Etter annet ledd kan Datatilsynet tillate overføring selv om vilkårene i første ledd ikke er oppfylt, dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Det kan settes vilkår for overføringen. I henhold til forskriften § 6-3 kan overføringen også skje uten forhåndsgodkjenning fra Datatilsynet dersom mottageren av opplysningene er en databehandler og grunnlaget for overføringen er EUs standardkontrakt inntatt i kommisjonsbeslutning 2010/87/EU datert 5. februar 2010. Kommisjonen har utarbeidet kontraktsvilkår for dette formålet, som etter direktivet artikkel 26 nr. 4 skal anses som tilstrekkelige garantier som nevnt i bestemmelsen. Standardkontraktene har vært mye brukt av norske virksomheter og er mange sammenhenger anbefalt av Datatilsynet som et sikrere overføringsgrunnlag enn unntakene i § 30 første ledd.
19.2 Forordningen
Kapittel V i forordningen inneholder regler om overføring av personopplysninger til tredjestater og internasjonale organisasjoner. Forordningen definerer ikke nærmere hva som ligger i overføringsbegrepet.
Etter artikkel 44 kan overføring av personopplysninger til tredjestater eller internasjonale organisasjoner bare finne sted dersom vilkårene i kapittel V er oppfylt. Artikkel 44 presiserer dessuten at de øvrige, alminnelige vilkårene for å behandle personopplysninger må være til stede. Reglene om overføring kommer med andre ord i tillegg til de alminnelige kravene som forordningen stiller til enhver behandling.
Artikkel 45 gir regler om Kommisjonens beslutninger om beskyttelsesnivå. Artikkelen oppstiller en rekke momenter Kommisjonen skal vektlegge i vurderingen av om beskyttelsesnivået er tilfredsstillende. Videre slås det fast at Kommisjonen kan godkjenne en tredjestat, et territorium eller en bestemt sektor i en tredjestat. Det samme gjelder for internasjonale organisasjoner som definert i forordningen artikkel 4 nr. 26. Foreligger det en beslutning om tilstrekkelig beskyttelsesnivå, kan opplysninger overføres uten forhåndsgodkjenning fra nasjonale tilsynsmyndigheter. En rekke slike kommisjonsbeslutninger eksisterer allerede etter 95-direktivet, og artikkel 45 nr. 9 slår fast at disse skal fortsette å gjelde.
Etter artikkel 46 nr. 1 kan den behandlingsansvarlige eller databehandleren overføre data til tredjestater uten at det foreligger en beslutning om beskyttelsesnivå dersom den behandlingsansvarlige eller databehandleren gir «nødvendige garantier» og de registrerte har «håndhevbare rettigheter og effektive rettsmidler».
I artikkel 46 nr. 2 er det gitt nærmere regler om hvordan garantiene kan sikres. Garantiene kan sikres ved hjelp av et rettslig bindende og håndhevbart instrument mellom offentlige myndigheter eller organer, standardkontrakter, bindende virksomhetsregler (jf. artikkel 47), godkjente atferdsnormer (jf. artikkel 40) eller gjennom en godkjent sertifiseringsmekanisme (jf. artikkel 42). Også bindende personvernbestemmelser, vedtatt eller godkjent av Kommisjonen etter undersøkelsesprosedyren, kan danne grunnlag for overføring av personopplysninger til tredjestater.
Bindende virksomhetsregler er nærmere regulert i artikkel 47. Dette er retningslinjer som gjelder internt i et konsern eller en gruppe av foretak, jf. artikkel 4 nr. 20. Artikkel 47 oppstiller en rekke krav som må være oppfylt for at det kompetente tilsynsorganet skal kunne godkjenne virksomhetsreglene. Kravene kodifiserer stort sett Artikkel 29-gruppens arbeidsdokumenter og anbefalinger. Godkjenningen skal skje i samsvar med konsistensmekanismen i artikkel 63.
Etter artikkel 46 nr. 3 kan nødvendige garantier også sikres ved hjelp av avtalevilkår mellom den behandlingsansvarlige eller databehandleren og den behandlingsansvarlige, databehandleren eller mottageren av personopplysninger i tredjestaten eller den internasjonale organisasjonen, eller ved administrative ordninger mellom offentlige myndigheter og organer. I disse tilfellene kreves det imidlertid godkjenning fra tilsynsmyndigheten. Etter artikkel 46 nr. 4 skal tilsynsmyndigheten anvende konsistensmekanismen etter artikkel 63.
Artikkel 48 innfører en regel som slår fast at rettslige avgjørelser avsagt av domstoler eller administrative myndigheter i tredjestater, bare kan utgjøre et rettslig grunnlag for utlevering av personopplysninger så fremt de er basert på en internasjonal avtale.
Artikkel 49 tilsvarer langt på vei personopplysningsloven § 30 første ledd. Etter bestemmelsen er overføring tillatt ved samtykke og etter nærmere angitte nødvendighetsgrunner. Artikkelen presiserer at en overføring som ikke kan baseres på et av vilkårene i artikkel 49 nr. 1 bokstavene a til g eller et av alternativene i artikkel 45 og 46, bare kan finne sted dersom den ikke er gjentagende, bare gjelder et begrenset antall registrerte og er «nødvendig av hensyn til de tvingende berettigede interessene som forfølges av den behandlingsansvarlige, og den registrertes interesser eller rettigheter og friheter ikke går foran». Den behandlingsansvarlige må dessuten ha vurdert alle relevante omstendigheter og må gi nødvendige garantier for vern av opplysningene. Den behandlingsansvarlige skal videre informere tilsynsmyndighetene og den registrerte om overføringen.
I artikkel 50 er det gitt regler om internasjonale samarbeidsmekanismer for håndhevelse av den europeiske personvernlovgivningen, gjensidig internasjonal bistand, felles drøftelser og aktiviteter, samt utveksling og dokumentasjon av informasjon om relevant lovgivning og praksis.
19.3 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet å videreføre bestemmelsen i personopplysningsforskriften § 6-1 om at Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå gjelder for Norge med mindre reservasjonsadgangen er benyttet. Videre viste departementet til forordningen artikkel 49 nr. 5, som åpner for at det i nasjonal rett «av hensyn til viktige allmenne interesser uttrykkelig fastsettes grenser for overføring av spesifikke kategorier av personopplysninger til en tredjestat eller en internasjonal organisasjon», og foreslo en forskriftshjemmel for slike bestemmelser.
19.4 Høringsinstansenes syn
Få høringsinstanser uttaler seg om overføring av personopplysninger til tredjestater.
Forbrukerrådet gir uttrykk for at det bør være en reell mulighet for Norge til å reservere seg mot Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå:
«Selv om forordningen gir klare instruksjoner til Kommisjonen om hva som skal vektlegges i en slik vurdering, er det viktig at Norge ikke i alle tilfeller anses forpliktet til å legge Kommisjonens beslutning til grunn. Forbrukerrådet støtter derfor utkastet § 10, første ledd om at vurderingen skal legges til grunn, medmindre reservasjonsadgangen er benyttet. Hva som ligger i denne reservasjonsadgangen omtales riktignok ikke i høringsnotatet, og Forbrukerrådet vil derfor understreke at det er viktig at det eksisterer en reell mulighet for Norge til å reservere seg fra å legge til grunn Kommisjonens beslutning.»
Høringsinstansene er delt i synet på om det være en hjemmel for å fastsette nærmere bestemmelser om overføring av personopplysninger til utlandet i forskrift. Datatilsynet og Direktoratet for e-helse støtter forslaget om en forskriftshjemmel. Datatilsynet stiller imidlertid spørsmål ved om ordlyden i den foreslåtte bestemmelsen er for vid, og uttaler at bestemmelsen «kan gi inntrykk av at det er adgang til å regulere overføring til utlandet som sådan, mens det i realiteten dreier seg om å utnytte handlingsrommet som følger av artikkel 49 nr. 5».
Næringslivets Hovedorganisasjon og Telenor Norge AS går imot forslaget om forskriftshjemmel. Telenor Norge AS uttaler:
«Telenor har imidlertid opplevd det som vanskelig gjennom flere år å ha ulike regimer innenfor EU/EØS- området ved overføring av personopplysninger, det være seg søknadsplikter, informasjonsplikter eller fravær av slike regimer.
Telenor ønsker følgelig ikke en forskriftshjemmel der Datatilsynet har mulighet for å gi nærmere regler om overføring av sensitive opplysninger til tredjestater når det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå. Telenor anser at slike spørsmål må diskuteres og harmoniseres mot regelverk i de andre EU/EØS-landene.
Vi vil også peke på at det er langt flere kategorier av opplysninger enn de som etter forordningen defineres som sensitive som i praksis har et tilsvarende høyt beskyttelsesbehov, det være seg passord, trafikkdata, IP-adresser, pin-koder, fødselsnummer m fl.»
19.5 Departementets vurdering
Forordningens regler om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner åpner i liten grad for nasjonale tilpasninger. I henhold til tilpasningsteksten til 95-direktivet, vil Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå gjelde i Norge i påvente av at beslutningen blir innlemmet i EØS-avtalen med mindre Norge i det enkelte tilfellet reserverer seg mot dette. Denne forpliktelsen er gjennomført i personopplysningsforskriften § 6-1 første ledd. Dette innebærer at beslutningene gjelder for norske behandlingsansvarlige samtidig som de begynner å gjelde i EU, slik at behandlingsansvarlige i Norge ikke trenger å måtte vente på at beslutningene inntas i EØS-avtalen. Utkast til EØS-komiteens beslutning som innlemmer forordningen i EØS-avtalen viderefører denne ordningen. Departementet foreslår at bestemmelser om dette gis i forskrift, slik som etter gjeldende rett.
Et annet grunnlag for overføring av personopplysninger til tredjestater er å benytte standard personvernbestemmelser vedtatt eller godkjent av Kommisjonen, jf. forordningen artikkel 45 nr. 2 bokstav c og d. Utkast til EØS-komiteens beslutning fastslår at også slike avgjørelser fra Kommisjonen skal gjelde i Norge, med mindre Norge i det enkelte tilfellet motsetter seg dette. I likhet med Kommisjonens beslutninger om at tilstrekkelig beskyttelsesnivå, anser departementet det som en klar fordel at norske behandlingsansvarlige kan anvende standard personvernbestemmelser som grunnlag for overføring av personvernopplysninger til tredjestater eller internasjonale organisasjoner samtidig med behandlingsansvarlige i EUs medlemsstater. Departementet foreslår at bestemmelser om dette gis i forskrift.
Etter departementets syn bør det på nåværende tidspunkt ikke gis nærmere nasjonale regler om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner på grunnlag av forordningen artikkel 49 nr. 5. Departementet mener samtidig at det bør gis en hjemmel for å fastsette slike bestemmelser i forskrift, med henblikk på at det i fremtiden kan vise seg å bli nødvendig med nasjonale bestemmelser. Hensynet til harmonisering av regelverket, som er blitt trukket frem i høringen, må vektlegges i en vurdering av om slike bestemmelser bør gis.
Den foreslåtte bestemmelsen vil ikke gi grunnlag for forskrifter i større utstrekning enn forordningen åpner for nasjonale bestemmer. Det er etter departementets syn ikke nødvendig å presisere dette i loven.