30 Et nytt europeisk tilsynssystem – samarbeids- og konsistensmekanismen
30.1 Innledning
Forordningen legger opp til et utvidet samarbeid mellom tilsynsmyndighetene i EU og fastsetter til dels detaljerte regler for hvordan dette samarbeidet skal foregå. Det opprettes et europeisk Personvernråd, hvor alle nasjonale tilsynsmyndigheter skal være representert ved lederen i tilsynsorganet, og det legges opp til mekanismer som skal benyttes for at de nasjonale tilsynsmyndighetene skal komme frem til en ensartet tolkning og anvendelse av forordningen når en behandling av personopplysninger har virkninger i flere EU-stater.
30.2 Det europeiske Personvernråd (Personvernrådet)
I henhold til 95-direktivet er det opprettet en arbeidsgruppe bestående av representanter for EU-landenes nasjonale datatilsyn, den såkalte Artikkel 29-gruppen. Artikkel 29-gruppens hovedoppgave er å gi råd og informasjon til Kommisjonen, men den kan også utarbeide anbefalinger på eget initiativ. Det følger av tilpasningsteksten til 95-direktivet at EØS/EFTA-statenes tilsynsmyndigheter har rett til å delta i Artikkel 29-gruppen som observatør uten stemmerett. Datatilsynet deltar i gruppen på vegne av Norge.
Forordningen fastsetter at det skal opprettes et europeisk Personvernråd, i det følgende omtalt som Personvernrådet, jf. artikkel 68 til 76. Personvernrådet skal være et eget rettssubjekt bestå av representanter fra nasjonale tilsynsmyndigheter og EUs datatilsyn (EDPS). Kommisjonen skal ha rett til å delta i Personvernrådets møter uten stemmerett. Personvernrådet skal assisteres av et sekretariat stilt til rådighet av EUs datatilsyn.
Personvernrådet kan sees på som en videreføring av Artikkel 29-gruppen, men med utvidede oppgaver. Personvernrådet skal gi råd til Kommisjonen i personvernspørsmål, gi retningslinjer og anbefalinger til medlemsstatenes tilsynsmyndigheter og arbeide for effektivt samarbeid mellom tilsynsmyndighetene. Uttalelser og retningslinjer fra Personvernrådet er ikke bindende, men det er grunn til å anta at uttalelsene i praksis vil bli tillagt stor vekt. Personvernrådet skal utarbeide en årlig rapport.
Personvernrådet spiller også en sentral rolle i den såkalte konsistensmekanismen, og vil i den forbindelse også ha kompetanse til å treffe bindende avgjørelser. Konsistensmekanismen omtales nedenfor.
30.3 Samarbeid mellom de nasjonale tilsynsmyndighetene
30.3.1 Gjeldende rett
Etter 95-direktivet har hver stats tilsynsmyndighet kompetanse til å utøve tilsyn og fatte vedtak om behandling av personopplysninger som skjer på eget territorium. Andre lands tilsynsmyndigheter kan anmode om at kompetent tilsynsmyndighet utøver sin myndighet, og det foreligger en plikt for tilsynsmyndighetene til å samarbeide, herunder utveksle nødvendig informasjon. Personopplysningsloven § 45 annet ledd fastsetter at Datatilsynet og Personvernnemnda kan utveksle opplysninger med utenlandske tilsynsmyndigheter uten hinder av taushetsplikten når det er nødvendig for å kunne treffe vedtak som et ledd i tilsynsvirksomheten.
30.3.2 Forordningen
Også etter forordningen er utgangspunktet at hver stats tilsynsmyndighet skal utøve den myndighet de er tillagt etter forordningen på eget territorium, jf. artikkel 55 nr. 1. Ved forordningen innføres samtidig en ordning der bedrifter som er etablert i flere EU-land, eller som er etablert i ett EU-land, men like fullt utøver grenseoverskridende behandling av personopplysninger, bare behøver å forholde seg til én tilsynsmyndighet (ettstedsmekanismen), jf. artikkel 56. Formålet med ordningen er å redusere administrative byrder for selskaper som opererer i flere EU-land, ved at de kan forholde seg til én tilsynsmyndighet.
I artikkel 56 reguleres kompetansen til den ledende tilsynsmyndigheten i saker som involverer tilsynsmyndigheter i flere land. Det fastsettes at tilsynsmyndigheten i det landet den behandlingsansvarlige eller databehandleren har sin hovedvirksomhet, skal fungere som ledende tilsynsmyndighet i saker med grenseoverskridende behandling av personopplysninger. Det fastsettes også nærmere saksbehandlingsregler. Den ledende tilsynsmyndigheten skal være den behandlingsansvarlige eller databehandlerens eneste kontaktpunkt.
Ordningen gjelder ikke for offentlige myndigheter eller for private hvor behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, eller der behandlingen er nødvendig for å utføre en oppgave i offentlighetens interesse eller utøve offentlig myndighet, jf. artikkel 55 nr. 2. Den gjelder i utgangspunktet heller ikke hvis behandlingen av personopplysninger bare skjer i én medlemsstat eller i vesentlig grad påvirker registrerte bare i én medlemsstat, jf. artikkel 56 nr. 2.
Artikkel 60 regulerer samarbeidet mellom den ledende tilsynsmyndigheten og andre tilsynsmyndigheter i saker der flere EU-stater er berørt. Det fastsettes at den ledende tilsynsmyndigheten skal samarbeide med de andre berørte tilsynsmyndighetene og bestrebe seg på å oppnå enighet om et vedtak i saken. Andre berørte tilsynsmyndigheter er forpliktet til å yte bistand. Forordningen har detaljerte bestemmelser om den ledende tilsynsmyndighetenes plikt til å forelegge utkast til vedtak for de berørte tilsynsmyndighetene, inkludert tidsfrister. Når alle berørte tilsynsorganer er enige om et vedtak, eller det ikke er kommet innsigelser innen fristen, treffer den ledende tilsynsmyndighet vedtaket og meddeler denne til den behandlingsansvarliges eller databehandlerens hovedvirksomhet, som plikter å gjennomføre de nødvendige tiltak for å overholde vedtaket i alle medlemsstater de har virksomhet. Vedtaket skal også meddeles de berørte tilsynsmyndighetene, som blir bundet av det, og til Personvernrådet. Tilsynsmyndigheten i den stat der klagen er inngitt, meddeler vedtaket til klageren. Det er gitt egne regler om beslutningsmyndighet og meddelelse i de tilfellene en klage helt eller delvis skal avvises.
Artikkel 61 regulerer plikten til å yte gjensidig bistand mellom nasjonale tilsynsmyndigheter og gir anvisning på hvilke prosedyrer og frister som gjelder. Alle tilsynsmyndigheter er forpliktet til å yte gjensidig bistand etter anmodning, med mindre de ikke har kompetanse til å gjennomføre de tiltak de er bedt om å iverksette, eller dersom det vil være i strid med forordningen, EU-lovgivningen eller nasjonal rett å etterkomme anmodningen. Dersom en tilsynsmyndighet ikke underretter den anmodende tilsynsmyndighet om resultatene eller tiltakene som er truffet for å besvare anmodningen innen én måned, kan den anmodende tilsynsmyndighet iverksette midlertidige tiltak på sitt territorium, og saken skal forelegges Personvernrådet for bindende avgjørelse.
Artikkel 62 gir regler for felles aktiviteter, herunder felles undersøkelser og felles håndhevingstiltak. Artikkelen fastsetter bestemmelser om rett til deltakelse, de forskjellige tilsynsmyndighetenes kompetanse og erstatningsansvar. Dersom en behandlingsansvarlig eller databehandler har virksomhet i flere stater eller virksomheten i vesentlig grad berører et betydelig antall registrerte i flere medlemsstater, skal tilsynsmyndighetene i alle berørte medlemsstater ha rett til å delta. Hvilken myndighet som kan utøves av deltakerne i aktivitetene, avgjøres av vertsstatens lovgivning.
Artikkel 63 fastslår at tilsynsmyndighetene skal samarbeide med hverandre.
30.4 Konsistensmekanismen
For å bidra til en ensartet anvendelse av forordningen er det opprettet en konsistensmekanisme hvor Personvernrådet er gitt en sentral rolle, jf. artikkel 64 til 67.
Artikkel 64 pålegger nasjonale tilsynsmyndigheter å forelegge visse typer tiltak for Personvernrådet. Blant annet skal vedtak med lister over hvilke behandlingsaktiviteter som omfattes av kravet om personvernkonsekvensutredning, godkjenning av kriterier for akkreditering, godkjenning av avtalevilkår for overføring av opplysninger til tredjestater og godkjenning av konsernregler forelegges Personvernrådet. I tillegg kan Kommisjonen og nasjonale tilsynsmyndigheter anmode om uttalelse om forhold med allmenn rekkevidde eller som har virkning i mer enn én medlemsstat. Personvernrådet må behandle saken innen visse frister. I perioden saken behandles i Personvernrådet, kan ikke nasjonale tilsynsmyndigheter treffe vedtak i saken. Uttalelsen fra Personvernrådet er i utgangspunktet ikke bindende, men de nasjonale tilsynsmyndigheter er pålagt å ta størst mulig hensyn til uttalelsen. De nasjonale tilsynsmyndighetene er dessuten pålagt å informere Personvernrådet dersom de ikke følger uttalelsen, og Personvernrådet vil da ha anledning til å treffe bindende avgjørelse.
Artikkel 65 fastsetter at Personvernrådet skal kunne fatte avgjørelser dersom en ledende nasjonal tilsynsmyndighet ikke følger en innsigelse fra en annen berørt nasjonal tilsynsmyndighet, dersom det er uenighet om hvilken nasjonal tilsynsmyndighet som har kompetanse til å behandle saken, eller dersom en nasjonal tilsynsmyndighet ikke anmoder om eller ikke følger en uttalelse gitt i medhold av artikkel 64. Det fastsettes også saksbehandlingsregler, inkludert tidsfrister for behandling av disse sakene. De nasjonale tilsynsmyndighetene kan ikke fatte avgjørelser i sakene mens saken er til behandling i Personvernrådet, og avgjørelsene er bindende for de nasjonale tilsynsmyndighetene.
I artikkel 66 gis det anvisning på en hasteprosedyre som kan benyttes dersom det anses å være et akutt behov for å treffe tiltak. I disse tilfellene kan den nasjonale tilsynsmyndigheten treffe midlertidig vedtak og også anmode om at Personvernrådet treffer en hastebeslutning i saken.
30.5 Departementets vurdering
Departementet anser det som en fordel at det er opprettet mekanismer for samarbeid mellom tilsynsmyndighetene for å bidra til en ensartet praksis i hele EU/EØS. Som det fremgår av utkast til EØS-komiteens beslutning, vil det norske Datatilsynet delta fullt ut i Personvernrådet, dog uten stemmerett. Utkast til EØS-komiteens beslutning fastsetter videre at Personvernrådet skal treffe beslutninger overfor EØS/EFTA-statenes tilsynsmyndigheter. For en nærmere gjennomgang av utkast til EØS-komiteens beslutning og grunnlovsvurderinger knyttet til dette, vises det til kapittel 36.
For at samarbeidsmekanismen skal bli effektiv, er det viktig at Datatilsynet får anledning til å samarbeide med tilsynsmyndighetene i andre land uten hinder av taushetsplikten. Som nevnt i punkt 28.5 vil departementet derfor foreslå å videreføre personopplysningsloven § 45 annet ledd, som fastslår at Datatilsynet og Personvernnemnda kan gi opplysninger til utenlandske tilsynsmyndigheter uten hinder av taushetsplikten når dette er nødvendig for å kunne treffe vedtak som ledd i tilsynsvirksomheten, se lovutkastet § 24 annet ledd.
Departementet finner ikke på nåværende tidspunkt grunn til å fastsette regler for at andre lands tilsynsmyndigheter kan utøve myndighet på norsk territorium etter artikkel 62 nr. 3. Det anses som tilstrekkelig at ansatte fra andre lands tilsynsmyndigheter kan være til stede ved tilsynsaktiviteter sammen med det norske Datatilsynet, men uten å ha myndighet på norsk territorium. Etter departementet vurdering vil det foreligge et bedre grunnlag for å vurdere behovet for regler om overføring av myndighet til representanter for utenlandske tilsynsmyndigheter når forordningen har vært i kraft noen tid og man har fått erfaring med hvordan samarbeidsmekanismene fungerer.