Prop. 56 LS (2017–2018)

Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen

Til innholdsfortegnelse

36 Utkast til EØS-komiteens beslutning med tilpasninger

36.1 Innledning

Utkastet til EØS-komiteens beslutning om innlemmelse av forordningen i EØS-avtalen inneholder en fortale og fem artikler.

Artikkel 1 fastsetter at personvernforordningen tas inn i EØS-avtalens vedlegg XI og erstatter gjeldende personverndirektiv. Artikkelen fastsetter videre en rekke tilpasninger til forordningen. Disse tilpasningene gjennomgås under i punkt 36.2.

Artikkel 2 fastslår at henvisningen til artikkel 29-komiteen i punkt 13 i protokoll 37 til EØS-avtalen skal slettes. Artikkel 29-komiteen oppheves ved ikrafttredelsen av personvernforordningen og erstattes av Personvernrådet.

Artikkel 3 fastslår at den islandske og den norske språkversjonen av forordningen gis gyldighet og kunngjøres i EØS-tillegget til Den europeiske unions tidende.

Artikkel 4 regulerer når beslutningen trer i kraft.

Artikkel 5 fastslår at beslutningen selv skal kunngjøres i EØS-avdelingen og i EØS-tillegget til Den europeiske unions tidende.

Utkastet til beslutning har også vedlagt en erklæring som klargjør at løsningen med at det er Personvernrådet som treffer beslutninger rettet mot EØS/EFTA-tilsynsorganene (altså en én-pilar-løsning), ikke skal skape presedens for innlemming av senere rettsakter.

Nedenfor gjøres det rede for hovedtrekkene i utkastet til tilpasningstekst. Tekniske tilpasninger og tilpasninger av mindre betydning omtales ikke.

Utkastet til EØS-komiteens beslutning følger vedlagt. Utkastet er utarbeidet av EØS/EFTA-statene og ligger til behandling i EUs organer. For at Norge ikke skal forsinke ikrafttredelsen av beslutningen, legges det opp til at Stortingets samtykke innhentes før beslutningen er fattet i EØS-komiteen. Det er ikke ventet at det vil komme endringer av betydning i utkastet til beslutning i EØS-komiteen. Dersom den endelige beslutningen skulle avvike vesentlig fra utkastet som er lagt frem i denne proposisjonen, vil saken bli fremlagt for Stortinget på nytt.

36.2 Tilpasningsteksten til forordningen

36.2.1 EØS/EFTA-statenes tilsynsmyndigheters deltakelse i samarbeids- og konsistensmekanismen – Personvernrådet

Som beskrevet i kapittel 30 oppretter forordningen et nytt europeisk tilsynssystem gjennom en samarbeids- og konsistensmekanisme. En behandlingsansvarlig eller databehandler skal i utgangspunktet bare behøve å forholde seg til tilsynsmyndigheten i den staten den har sin hovedvirksomhet. Denne tilsynsmyndigheten kalles den ledende tilsynsmyndigheten og har ansvaret for å koordinere sitt vedtak med andre berørte tilsynsmyndigheter. Ved uenighet mellom den ledende tilsynsmyndigheten og andre berørte tilsynsmyndigheter skal saken henvises til Personvernrådet.

I forhandlingene med Kommisjonen om utkast til tilpasningstekst har det vært et førende prinsipp for Norge at den norske tilsynsmyndigheten skal kunne delta fullt ut i samarbeids- og konsistensmekanismen, herunder være ledende tilsynsmyndighet på samme vilkår som EU-statenes tilsynsmyndigheter.

Deltakelse i samarbeidsmekanismen, inkludert mulighet til å være ledende tilsynsmyndighet, krever ikke spesielle tilpasninger til forordningen, men følger av den generelle tilpasningen i artikkel 1 bokstav b, som fastslår at uttrykket «tilsynsmyndigheter» i forordningen skal forstås som å dekke også EØS/EFTA-statenes tilsynsmyndigheter. Det er imidlertid tatt inn i fortalen til utkastet til EØS-komitébeslutning at EØS/EFTA-statenes tilsynsmyndigheter deltar fullt ut i samarbeidsmekanismen.

Det har også vært viktig for Norge å få gjennomslag for at EØS/EFTA-statenes tilsynsmyndigheter skal delta i Personvernrådet på lik linje med EU-statenes tilsynsmyndigheter. Tilpasningsteksten inneholder en generell bestemmelse om at EØS/EFTA-statenes tilsynsmyndigheter skal delta i Personvernrådet med samme rettigheter og plikter som EU-statenes tilsynsmyndigheter uten stemmerett, jf. artikkel 1 bokstav a. I og med at Personvernrådet er et EU-organ, er det ikke mulig i henhold til EU-retten å gi EØS/EFTA-statenes tilsynsmyndigheter stemmerett. Det er imidlertid fastslått at den enkelte tilsynsmyndighet fra en EØS/EFTA-stat skal kunne kreve å få protokollert sitt syn på den aktuelle saken. Det antas at denne rettigheten er spesielt viktig i saker hvor en EØS/EFTA-stats tilsynsmyndighet er uenig i vedtaket som treffes av Personvernrådet. Rettigheten er ment å være et avhjelpende tiltak for manglende stemmerett.

Det følger av forordningen artikkel 65 nr. 3 at Personvernrådet treffer beslutninger ved simpelt flertall. Ved stemmelikhet skal lederens stemme være avgjørende. I og med at EØS/EFTA-statenes tilsynsmyndigheter ikke har stemmerett, kan de heller ikke være leder av Personvernrådet. Det er fastsatt i utkast til EØS-komiteens beslutning artikkel 1 bokstav a og o at EØS/EFTA-statenes medlemmer i Personvernrådet ikke kan være leder eller nestleder.

36.2.2 EFTAs overvåkingsorgans rett til å be om råd eller uttalelser fra Personvernrådet samt delta i Personvernrådets møter

Forordningen har en rekke bestemmelser som gir Kommisjonen rett til å be om råd eller uttalelser fra Personvernrådet. Dette gjelder blant annet rett for Kommisjonen til å fremlegge ethvert forhold med allmenn rekkevidde eller som har virkning i flere enn én medlemsstat for Personvernrådet for å få en uttalelse derfra, jf. artikkel 64 nr. 2, rett for Kommisjonen til å fremlegge et forhold for Personvernrådet dersom en tilsynsmyndighet ikke anmoder om uttalelse fra Personvernrådet i saker som skal behandles etter konsistensmekanismen, eller ikke følger uttalelsen, jf. artikkel 65 nr. 1 bokstav c, og rett til å be Personvernrådet om å granske ethvert spørsmål som berører forordningen, jf. artikkel 70 nr. 1 bokstav e. I utkastet til EØS-komiteens beslutning artikkel 1 bokstav l er det fastslått at EFTAs overvåkingsorgan også skal ha disse rettighetene i den grad det er relevant for overvåkingspliktene etter EØS-avtalen artikkel 109. I artikkel 1 bokstav m fastsettes det forpliktelser for Personvernrådet til å informere EFTAs overvåkingsorgan om en rekke saker, slik det også er forpliktet til å informere Kommisjonen.

I utkastet til EØS-komiteens beslutning artikkel 1 bokstav k fastslås det at EFTAs overvåkingsorgan skal kunne møte i Personvernrådet uten stemmerett.

Rettighetene til EØS/EFTA-statenes tilsynsmyndigheter og EFTAs overvåkingsorgan skal nedfelles i prosedyrereglene for Personvernrådet, jf. artikkel 1 bokstav a.

36.2.3 Overføring av personopplysninger til tredjestater

36.2.3.1 Innledning

Det følger av forordningen artikkel 44 at overføring av personopplysninger til tredjestater og internasjonale organisasjoner bare kan finne sted dersom vilkårene i kapittel V er oppfylt. Ett av grunnlagene som muliggjør overføring, er at Kommisjonen har truffet en beslutning om at beskyttelsesnivået for personopplysninger i en tredjestat eller internasjonal organisasjon er tilstrekkelig, jf. forordningen artikkel 45. Et annet grunnlag er at den behandlingsansvarlige sikrer at overføringen er omfattet av nødvendige garantier gjennom bruk av standard personvernbestemmelser som er vedtatt eller godkjent av Kommisjonen, jf. artikkel 46 nr. 2 bokstav c og d. Det vises til kapittel 19 for en nærmere gjennomgang av grunnlagene for overføring av personopplysninger til tredjestater.

36.2.3.2 Gjeldende rett

Også etter 95-direktivet kan Kommisjonen treffe beslutning om at en stat sikrer et tilstrekkelig beskyttelsesnivå. Kommisjonen kan også treffe beslutning om at en stat ikke har et tilstrekkelig beskyttelsesnivå. Etter direktivet har disse imidlertid ikke direkte virkning, men forutsetter at medlemsstatene gjennomfører beslutningene. Beslutningen fra Kommisjonen tas på vanlig måte inn i EØS-avtalen gjennom en beslutning av EØS-komiteen.

Tilpasningsteksten til direktivet inneholder imidlertid regler som tillater EØS/EFTA-statene å anvende Kommisjonens beslutning om tilstrekkelig beskyttelsesnivå før EØS-komiteen har innlemmet beslutningen i EØS-avtalen. Hovedregelen er at hver EØS/EFTA-stat skal informere Kommisjonen om hvorvidt den vil anvende beslutningen om tilstrekkelig beskyttelsesnivå før den er inntatt i EØS-avtalen. Dersom en EØS/EFTA-stat ikke informerer om at den ikke vil anvende beslutningen, skal denne staten anvende Kommisjonens beslutning fra samme tidspunkt som EUs medlemsstater. Dersom man ikke kommer til enighet om å innta beslutningen i EØS-avtalen innen tolv måneder, kan den enkelte EØS/EFTA-stat meddele Kommisjonen at den ikke lenger vil anvende beslutningen. Hvis Kommisjonen har besluttet at en tredjestat ikke har et tilstrekkelig beskyttelsesnivå, medfører en beslutning fra en EØS/EFTA-stat om ikke å anvende Kommisjonens beslutning at EUs medlemsstater skal hindre eller begrense overføring av personopplysninger til denne EØS/EFTA-staten.

For å sikre nasjonal gjennomføring av ordningen med anvendelse før beslutningene innlemmes i EØS-avtalen, er det tatt inn en bestemmelse i personopplysningsforskriften § 6-1 første ledd som fastsetter at Kommisjonens beslutninger gjelder i Norge med mindre reservasjonsadgangen er benyttet.

36.2.3.3 Forordningen med tilpasningstekst

Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå er ett av flere grunnlag etter forordningen for å overføre personopplysninger til tredjestater, spesifikke sektorer eller territorier i tredjestater eller internasjonale organisasjoner, jf. forordningen artikkel 45 nr. 1 og 3. Kommisjonen har også kompetanse til å treffe en beslutning som opphever, endrer eller midlertidig opphever en slik beslutning dersom den mottar informasjon om at tredjestaten, enkelte sektorer eller territorier eller den internasjonale organisasjonen ikke lenger sikrer et tilstrekkelig beskyttelsesnivå, jf. artikkel 45 nr. 5. Beslutningene treffes som gjennomføringsrettsakter.

Den alminnelige ordningen etter EØS-avtalen er at delegerte rettsakter og gjennomføringsrettsakter blir bindende for EØS-statene først når de er innlemmet i EØS-avtalen. Dette vil også gjelde etter forordningen, der de fleste av Kommisjonens beslutninger først vil bli gjeldende i Norge når de er innlemmet i EØS-avtalen gjennom en beslutning i EØS-komiteen og gjennomført i norsk rett. Departementet foreslår en hjemmel for å gi forskrifter om gjennomføring av EØS-komiteens beslutninger i norsk rett, se lovforslaget § 15.

Når det gjelder Kommisjonens beslutninger som gir grunnlag for overføring av personopplysninger til tredjestater og internasjonale organisasjoner, er det etter departementets syn grunn til å videreføre tilpasningsteksten fra 95-direktivet. Uten tilpasning må norske behandlingsansvarlige vente på at Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå innlemmes i EØS-avtalen, for å kunne overføre personopplysninger på grunnlag av disse. Etter departementets syn er det en klar fordel for norske behandlingsansvarlige å kunne anvende Kommisjonens beslutninger på dette området samtidig som behandlingsansvarlige i EUs medlemsstater. Utkastet til EØS-komiteens beslutning artikkel 1 bokstav e viderefører derfor ordningen med at Kommisjonens beslutning blir gjeldende i Norge med mindre norske myndigheter informerer om at de ikke vil anvende den.

Det følger av utkastet til EØS-komiteens beslutning artikkel 1 bokstav h at samme ordning skal gjelde for bruk av standard personvernbestemmelser vedtatt eller godkjent av Kommisjonen som grunnlag for overføring av personopplysninger til tredjestater.

36.2.4 Særlig om beslutninger om tilstrekkelig beskyttelsesnivå hvor tredjestater, spesifikke sektorer eller territorier eller en internasjonal organisasjon påtar seg forpliktelser i forbindelse med beslutningen

Det følger av forordningen artikkel 45 at Kommisjonen skal vurdere en rekke momenter i sin vurdering av om en tredjestat eller en internasjonal organisasjon sikrer et tilstrekkelig beskyttelsesnivå. Det skal blant annet legges vekt på overholdelse av menneskerettighetene, relevant lovgivning, om det finnes velfungerende uavhengige tilsynsmyndigheter, og om tredjestaten har påtatt seg internasjonale rettslige forpliktelser gjennom bi- eller multilaterale konvensjoner eller avtaler. Under 95-direktivet har det forekommet at den aktuelle tredjestaten eller sektoren, som et vilkår for at det skal fattes beslutning om tilstrekkelig beskyttelsesnivå, har påtatt seg forpliktelser om å behandle personopplysninger som overføres fra et EU-land, på en bestemt måte. Et eksempel på dette er beslutningen om overføring av personopplysninger til USA, som bare gjelder for bedrifter som har tilsluttet seg et spesielt regelverk. Det er ingen tradisjon for at EU forhandler på vegne av EØS/EFTA-statene. For å sikre at personopplysninger som overføres fra en EØS/EFTA-stat, underlegges samme vilkår, er det derfor fastsatt i tilpasningsteksten artikkel 1 bokstav f at EØS/EFTA-statene skal informeres om slike forhandlinger, og at EU skal diskutere mekanismer som muliggjør anvendelse av slike forpliktelser også for EØS/EFTA-statene.

36.3 Konstitusjonelle forhold

36.3.1 Innledning

Grunnloven bygger på en forutsetning om at lovgivende, utøvende og dømmende myndighet i Norge i utgangspunktet skal utøves av norske statsorganer. Overføres slik myndighet som etter Grunnloven ellers ligger til statens myndigheter, til internasjonale organer, taler en om myndighetsoverføring.

I vurderingen av om det foreligger myndighetsoverføring, trekkes det vanligvis et skille mellom de tilfellene hvor en beslutning fra et internasjonalt organ gjelder direkte overfor private rettssubjekter uten et mellomliggende nasjonalt vedtak, og de tilfellene hvor beslutningen er rettet mot norske myndigheter som deretter har plikt til å gjennomføre beslutningen nasjonalt. De to tilfellene kan betegnes som overføring av myndighet til å treffe vedtak med henholdsvis direkte (internrettslig) virkning og med folkerettslig virkning.

Innenfor rammene av Grunnloven § 26 annet ledd har en i statspraksis lagt til grunn at det er en vid adgang for staten til å overlate myndighet til å binde seg folkerettslig til et internasjonalt organ. I de tilfellene det overføres myndighet til å treffe vedtak som gjelder direkte overfor norske borgere, bedrifter eller organisasjoner, følger det av sikker konstitusjonell praksis at overføring av myndighet som er «lite inngripende», kan skje med Stortingets samtykke etter Grunnloven § 26 annet ledd. For en nærmere redegjørelse for de rettslige utgangspunktene vises det til uttalelsen fra Lovavdelingen 27. februar 2018 (snr. 16/2442) punkt 3.4 om de konstitusjonelle spørsmålene i Prop. 4 S (2017-2018) om tredje energimarkedspakke:

«Myndighetsoverføring som anses som «lite inngripende», kan etter sikker konstitusjonell praksis likevel skje ved bruk av Grunnloven § 26 (i praksis med Stortingets samtykke etter Grunnloven § 26 annet ledd). Vi viser særlig til drøftelsene i St.prp. nr. 100 (1991–92) (EØS-avtalen) side 342 med videre henvisninger og St.prp. nr. 50 (1998–99) (Schengen) side 35, og de vedtakene som ble fattet i den forbindelse, samt beskrivelsen i Prop. 100 S (2015–2016) (om europeiske finanstilsyn) punkt 10, særlig punkt 10.2, jf. Innst. 386 S (2015–2016). Det finnes etter hvert en rekke tilfeller der Stortinget har samtykket etter Grunnloven § 26 annet ledd basert på det synet at det har foreligget myndighetsoverføring, men at denne har vært «lite inngripende». Vi viser, som eksempler, til St.prp. nr. 44 (2004–2005), jf. Innst. S. nr. 164 (2004–2005) (flysikkerhet – EASA-forordningen), Prop. 133 S (2011–2012), jf. Innst. 86 S (2012–2013) (resirkulert plast), Prop. 16 S (2012–2013), jf. Innst. 191 S (2012–2013) (vinforordningene), Prop. 27 S (2012–2013), jf. Innst. 146 S (2012–2013) (flysikkerhet II – revidert EASA-forordning), Prop. 4 S (2013–2014), jf. Innst. 94 S (2013–2014) (tømmerforordningen), Prop. 35 S (2013–2014), jf. Innst. 156 S (2013–2014 (markedsføring og bruk av biocidprodukter), Prop. 80 S (2014–2015), jf. Innst. 270 S (2014–2015) (konsortium for europeisk forskningsinfrastruktur – ERIC) og Prop. 123 S (2014–2015), jf. Innst. 390 S (2014–2015) (luftfartsvirksomhet utøvd av tredjestatsoperatører – «EASA III») (..)
Grunnloven gir selv ingen veiledning om vurderingen av når myndighetsoverføring er å anse som «lite inngripende». Vurderingen av hva som kan aksepteres, må prinsipielt ta utgangspunkt i den enkelte kompetansebestemmelsen i Grunnloven som det er tale om å gripe inn i (§ 3, § 49, § 75, §§ 88 til 90 mfl.). Norske statsorganer kan ikke inngå traktater som kommer i strid med Grunnloven. Praksis, i første rekke slik den er kommet til uttrykk i forbindelse med Stortingets behandling av tidligere saker, vil kunne gi veiledning om hvor grensen for «lite inngripende» myndighetsoverføring går. Denne praksisen bygger på at en rekke momenter kan være relevante ved vurderingen av hva som er «lite inngripende». I St.prp. nr. 100 (1991–92) side 342 er følgende uttalt:
«Kriteriet «lite inngripende» gir anvisning på en skjønnsmessig helhetsvurdering, der det ikke er mulig å gi en uttømmende oppregning en gang for alle av de hensyn som kan ha betydning ved vurderingen.»
Etter praksis er relevante momenter bl.a. den nærmere arten av myndigheten som overføres, omfanget av myndighetsoverføringen og i den forbindelse om overføringen gjelder et bestemt og avgrenset saksområde. Det har videre betydning om overføringen er basert på gjensidighet og likeverdig deltakelse. I praksis er det også lagt vekt på i hvilken grad norske myndigheter har mulighet til å avbøte uheldige virkninger av myndighetsoverføringen. Det må også legges vekt på arten av de samfunnsmessige og politiske interessene som berøres gjennom myndighetsoverføringen. I grensetilfeller kan Stortingets standpunkt i det enkelte tilfellet bli avgjørende for spørsmålet om Grunnloven § 26 kan brukes.»

Det er også adgang til å overføre myndighet til en internasjonal organisasjon Norge ikke er medlem av, så lenge myndighetsoverføringen anses som «lite inngripende». Som eksempel kan det vises til St.prp. nr. 44 (2004–2005), jf. Innst. S.nr. 164 (2004–2005), hvor Stortinget samtykket til en viss myndighetsoverføring til EUs byrå for flysikkerhet (EASA). Det kan også vises til St.prp. nr. 49 (2007–2008), jf. Innst. S. nr. 246 (2007–2008), hvor Stortinget samtykket til en viss myndighetsoverføring til EUs byrå for kjemikalier (ECHA). I begge disse tilfellene gjaldt det overføring av myndighet til å treffe beslutninger som gjaldt direkte overfor private, men i og med at myndighetsoverføringen ble ansett som lite inngripende, samtykket Stortinget til innlemmelse av regelverket i EØS-avtalen etter Grunnloven § 26 annet ledd.

I andre tilfeller hvor et EU-organ har myndighet til å treffe beslutninger overfor private etter EU-regelverket, er denne myndigheten gjennom EØS-komiteens beslutning lagt til nasjonale norske organer. Samtidig vil det nasjonale organet ha en folkerettslig plikt til å treffe et likelydende vedtak. Som eksempel kan det vises til EØS-komiteens beslutning nr. 129/2009 av 4. desember 2009, som innlemmet Kommisjonsforordning (EF) nr. 658/2007 av 14. juni 2007 om økonomiske sanksjoner for brudd på visse forpliktelser i forbindelse med markedsføringstillatelser på legemiddelområdet. Tilpasningsteksten til denne forordningen lyder:

«Retten til å ilegge økonomiske sanksjoner overfor innehavere av markedsføringstillatelser i henhold til forordning (EF) nr. 726/2004 artikkel 84 nr. 3 skal, i tilfeller der innehaveren av markedsføringstillatelsen er etablert i en EFTA-stat, utøves av den aktuelle EFTA-staten på grunnlag av et forslag fra Kommisjonen.»

Kommisjonsforordningen ble tatt inn i EØS-avtalen etter Stortingets samtykke i henhold til Grunnloven § 26 annet ledd, fordi det var nødvendig med lovendringer. Spørsmålet om myndighetsoverføring ble ikke berørt. Det vises til Prop. 90 S (2009–2010) og Innst. 258 S (2009–2010).

Løsningen som er valgt i disse tilfellene, kan ses som parallell til løsningen som følger direkte av personvernforordningen. Personvernrådet treffer en beslutning overfor Datatilsynet, og Datatilsynet har en folkerettslig plikt til å treffe sin beslutning på bakgrunn av beslutningen fra Personvernrådet.

Et element i vurderingen av om en myndighetsoverføring er «lite inngripende», er om norske myndigheter har likeverdig deltakelse i beslutningsprosessene. Hvorvidt myndighetsoverføringen skjer til et organ Norge er medlem av eller ikke, vil være et moment i vurderingen av om myndighetsoverføringen er «lite inngripende».

36.3.2 Utkast til EØS-komiteens beslutning om Personvernrådets kompetanse til å treffe bindende beslutninger overfor EØS/EFTA-statenes tilsynsmyndigheter

Som nevnt i kapittel 30 oppretter forordningen et nytt kontroll- og tilsynsregime på europeisk nivå. Det vises til omtalen der for en gjennomgåelse av disse bestemmelsene.

I henhold til forordningen artikkel 70, jf. artikkel 65 nr. 1, har Personvernrådet kompetanse til å treffe bindende avgjørelser overfor nasjonale tilsynsmyndigheter i følgende tilfeller:

  1. Dersom en konkret sak er behandlet etter samarbeidsmekanismen (one-stop-shop), og en berørt tilsynsmyndighet har reist en relevant og grunngitt innsigelse mot et utkast til beslutning fra den ledende tilsynsmyndigheten, som ikke er tatt til følge

  2. Dersom det er uenighet om hvilken stats tilsynsmyndighet som har kompetanse overfor virksomheten

  3. Dersom en tilsynsmyndighet ikke anmoder om en uttalelse etter artikkel 64 nr. 1, eller ikke følger en uttalelse Personvernrådet har gitt i henhold til artikkel 64 nr. 1 og 2

Avgjørelsene fra Personvernrådet er bindende for den ledende tilsynsmyndigheten og alle berørte tilsynsmyndigheter, jf. artikkel 65 nr. 2. Den ledende tilsynsmyndigheten, eller om relevant, den tilsynsmyndigheten der klagen er inngitt, skal treffe sin endelige avgjørelse på grunnlag av avgjørelsen fra Personvernrådet.

Samtidig fremgår det av forordningen artikkel 52 slik den foreslås gjennomført i norsk lov, at den norske tilsynsmyndigheten (Datatilsynet) skal være uavhengig og ikke skal kunne instrueres, se omtalen i kapittel 25.

Den kompetansen som forordningen gir Personvernrådet til å treffe bindende avgjørelser etter artikkel 65, innebærer elementer av myndighetsoverføring, slik dette uttrykket må forstås i Grunnlovens § 115 annet ledds forstand. Det er tale om overføring av myndighet til å treffe bindende avgjørelser rettet mot et uavhengig nasjonalt tilsynsorgan. Departementet legger til grunn at Personvernrådets avgjørelser «bare har rent folkerettslig virkning». Det vises til de parallelle spørsmålene som er vurdert av Lovavdelingen i en uttalelse 27. februar 2018 (snr. 16/2442) knyttet til Prop. 4 S (2017-2018) om tredje energimarkedspakke, jf. særlig uttalelsen punkt 2.1 til 2.4. Lovavdelingen oppsummerer betydningen av at EFTAs overvåkingsorgan i den saken kan rette pålegg mot et underordnet forvaltningsorgan som skal være uavhengig i utøvelsen av sine oppgaver, slik under punkt 2.4:

«Vi kan etter dette ikke se at det, med sikte på ESAs kompetanse i disse sakene, foreligger konkrete forhold som fører til at ESA treffer vedtak som må sies å ha virkning ut over det rent folkerettslige.
Det foreligger etter dette for så vidt et element av myndighetsoverføring, men det er tale om overføring av myndighet til å treffe vedtak med folkerettslig virkning. Overføring av denne typen myndighet faller i denne saken dermed utenfor Grunnloven § 115, jf. avgrensningen i paragrafens annet ledd. Det må like fullt vurderes om denne myndighetsoverføringen kan aksepteres etter Grunnloven § 26».

Forordningen artikkel 52 nr. 1 krever at tilsynsmyndigheten skal utføre sine oppgaver og utøve sin myndighet etter forordningen i «full uavhengighet.» Videre følger det av artikkel 52 nr. 2 at «[n]år medlemmet/medlemmene av hver tilsynsmyndighet utfører sine oppgaver og utøver sin myndighet i samsvar med denne forordning, skal de ikke utsettes for påvirkninger utenfra, verken direkte eller indirekte, og skal ikke anmode om eller motta instrukser fra noen».

Dette innebærer blant annet at Kongen er avskåret fra å instruere Datatilsynet. Etter departementets syn ligger det i dette et ytterligere element av myndighetsoverføring knyttet til Grunnloven § 3. Vi viser her til Lovavdelingens uttalelse om tredje energimarkedspakke punkt 2.5:

«Vi finner spørsmålet tvilsomt, men etter vårt syn er det trolig mest treffende å se det slik at det prinsipielt foreligger et ytterligere element av myndighetsoverføring, knyttet til Grunnloven § 3, ved at ESA gis kompetanse til å treffe pålegg, samtidig som Kongen har plikt til å avstå fra å treffe pålegg om den samme typen spørsmål (jf. tredje elmarkedsdirektiv artikkel 35 nr. 4, slik dette blir gjennomført i norsk rett). Det er videre tale om utøving av en kompetanse av internrettslig art. Dette elementet har imidlertid, som vi kommer tilbake til, begrenset selvstendig betydning for den konstitusjonelle vurderingen.»

De to tilfellene av myndighetsoverføring nevnt over – kompetansen for Personvernrådet til å treffe bindende vedtak rettet mot Datatilsynet og elementene av myndighetsoverføring knyttet til Grunnloven § 3 – må vurderes samlet. Det første tilfellet dreier seg om overføring av myndighet til å treffe avgjørelser med folkerettslig virkning, mens det andre elementet knytter seg til overføring av myndighet av internrettslig karakter. Det er da naturlig å ta utgangspunkt i det inngrepet som skjer i Grunnloven § 3, og vurdere om denne myndighetsoverføringen er «lite inngripende». Kompetansen Personvernrådet har til å treffe vedtak, har så nær sammenheng med inngrepet som skjer i § 3-kompetansen at dette bør trekkes inn som et moment i vurderingen. En slik tilnærming samsvarer med den som er lagt i grunn i Lovavdelingens uttalelse knyttet til tredje energimarkedspakke, jf. over.

Personvernrådet har ennå ikke begynt sin virksomhet, og det er dermed foreløpig ikke klart hvordan det vil utøve beslutningskompetansen etter forordningen. Visse holdepunkter finnes imidlertid i forordningen selv. Det klare utgangspunkt er at det er de nasjonale tilsynsmyndighetene som skal treffe vedtak, enten alene eller gjennom samarbeidsmekanismen. Det er først når det er uenighet mellom tilsynsmyndighetene, eller når et tilsynsorgan ikke anmoder om eller ikke følger en rådgivende uttalelse fra Personvernrådet, at Personvernrådet kan treffe bindende beslutninger. Det kreves videre at spørsmålet aktivt bringes inn for Personvernrådet. I tilfeller som nevnt i forordningen artikkel 65 nr. 1 bokstav a og b kreves det at den berørte tilsynsmyndigheten bringer saken inn for Personvernrådet. I tilfeller som nevnt i bokstav c vil i tillegg Kommisjonen og EFTAs overvåkingsorgan kunne bringe saken inn for Personvernrådet. Personvernrådet vil med andre ord ha karakter av et tvisteløsningsorgan, jf. også overskriften i artikkel 65. Det er videre grunn til å tro at Personvernrådet ikke vil ta stilling til alle spørsmål saken for den nasjonale tilsynsmyndigheten reiser, men heller avklare hvordan et eller flere omstridte punkter i forordningen skal tolkes, jf. formuleringen «beslutningen skal gjelde alle forhold som omfattes av den relevante og begrunnede innsigelsen» (departementets uthevelse) i artikkel 65 nr. 1 bokstav a. Det nasjonale tilsynsorganet vil deretter treffe det endelige vedtaket på bakgrunn av den tolkningen Personvernrådet legger til grunn, jf. artikkel 65 nr. 6.

Departementet vil også peke på at det her er tale om overføring av myndighet på et avgrenset område. Personvernrådets myndighetsutøvelse skjer videre innenfor et nokså detaljert rettslig rammeverk som vil bli gjennomført av norske myndigheter gjennom den nye personopplysningsloven med forskrifter.

Et element i vurderingen av om en myndighetsoverføring er «lite inngripende», er om norske myndigheter har likeverdig deltakelse i beslutningsprosessen. I og med at Personvernrådet er et EU-organ, er det ikke mulig i henhold til EU-retten å gi EØS/EFTA-statenes tilsynsmyndigheter stemmerett. Det følger imidlertid av tilpasningsteksten til forordningen at Datatilsynet skal ha rett til å delta i Personvernrådet og ha alle rettigheter bortsett fra stemmerett. For å avhjelpe manglende stemmerett skal den enkelte EØS/EFTA-stats tilsyn ha rett til å få protokollert sitt standpunkt i saken. Den norske tilsynsmyndigheten (Datatilsynet) vil dermed ha gode muligheter til å påvirke beslutningen fra Personvernrådet.

Personopplysningsvern er en rettighet som er vernet både av den norske Grunnloven § 102 og av flere internasjonale konvensjoner, herunder Den europeiske menneskerettskonvensjon artikkel 8. Den europeiske menneskerettskonvensjon gjelder i hele EØS, og det er i felles europeisk interesse at personopplysningsvernet styrkes. Overføring av myndighet skjer etter departementets syn dermed på et område der Norge ikke på samme måte som for energimarkedet har egne særskilte nasjonale interesser. Personvernet styrkes ved en felleseuropeisk tilnærming.

Når det gjelder inngrepet i Kongens instruksjonsmyndighet etter Grunnloven § 3, innebærer dette prinsipielt at et viktig element av kontroll- og styringsmulighet fra de øverste statsmaktene skjæres bort. Samtidig må tapet av kontrollmulighet sees i sammenheng med andre momenter. Det dreier seg her om å utøve forvaltningsmyndighet på et bestemt og avgrenset saksområde.

Personvernrådet vil også måtte utøve sin myndighet innenfor et nokså detaljert EØS-rettslig rammeverk. Dette rammeverket må godkjennes av norske myndigheter som en folkerettslig forpliktelse som vil bli gjennomført i norsk rett på ordinært vis, i samsvar med det dualistiske prinsippet.

Som det fremgår av forordningen artikkel 54, vil det også være norske myndigheter som skal fastsette regler om Datatilsynets opprettelse og organisering, innenfor de rammene EØS-retten tillater. Videre gir forordningen vid adgang for statene til å fastsette nasjonale saksbehandlingsregler for tilsynsmyndighetene. Datatilsynet vil være bundet av Grunnloven § 102, som ved motstrid vil gå foran et vedtak fra Personvernrådet. Datatilsynets ansatte er underlagt reglene i norsk rett om ansvar for tjenestehandlinger, med ansvar etter blant annet statsansatteloven og straffelovgivningen.

Som det fremgår av Lovavdelingens uttalelse 27. februar 2018, vil det ved vurderingen av om myndighetsoverføringen er mer enn lite inngripende, bli for snevert å skjære ut én begrenset funksjon (Kongens instruksjonsmyndighet) i det settet av ulike virkemidler som statsmaktene har for å regulere Datatilsynets virksomhet ved bruk av generelle regler. Dessuten er Kongen også på en rekke andre områder gjennom lov avskåret fra å utøve instruksjonsmyndighet over forvaltningen. Trekker en inn dette perspektivet, blir den beskjæringen av Kongens instruksjonsmyndighet som det her er tale om, meget beskjeden.

Etter departementets syn er det derfor ikke tvilsomt at myndighetsoverføringen er «lite inngripende».

36.3.3 Utkast til EØS-komiteens beslutning om anvendelse av Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå og standard personvernbestemmelser

Som nevnt over i punkt 36.2.3 fastsetter utkastet til EØS-komiteens beslutning at Kommisjonens beslutninger om at en tredjestat eller internasjonal organisasjon sikrer et tilstrekkelig beskyttelsesnivå, eller at de ikke lenger gjør det, skal anvendes samtidig i EØS/EFTA-landene som i EU-landene selv om beslutningen ikke er tatt inn i EØS-avtalen, med mindre de reserverer seg mot dette. Dette er en videreføring av tilpasningsteksten til 95-direktivet. Også standard personvernbestemmelser som er vedtatt eller godkjent av Kommisjonen, kan anvendes samtidig i EØS/EFTA-landene som i EU-landene selv om ikke beslutningen er inntatt i EØS-avtalen. Departementet tar sikte på å gjennomføre disse ordningene i nasjonal rett gjennom forskrift som gir Kommisjonens vedtak direkte virkning med mindre Norge reserverer seg mot anvendelsen.

Ettersom Kommisjonens vedtak vil kunne få direkte virkning i Norge, kan dette sees på som en form for myndighetsoverføring. Etter departementets syn er det ikke tvilsomt at dette må anses som lite inngripende overføring av myndighet. Det vises særlig til at overføring skjer på et svært begrenset område. Videre vil norske myndigheter kunne hindre myndighetsoverføringen i det enkelte tilfellet ved å informere Kommisjonen og EFTAs overvåkingsorgan om at Norge ikke vil anvende Kommisjonens beslutning før innlemmelse i EØS-avtalen.

36.3.4 Samlet vurdering

I punkt 36.3.2 og 36.3.3 over er to forskjellige elementer av myndighetsoverføring vurdert i lys av Kongens traktatkompetanse etter Grunnloven 26 (med Stortingets samtykke etter Grunnloven § 26 annet ledd) til å innlemme forordningen i EØS-avtalen. Etter departementets syn er det ikke tvilsomt at verken den myndighetsoverføringen som ligger i Personvernrådets adgang til å treffe folkerettslig bindende beslutninger overfor Datatilsynet, eller muligheten for å gi Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå og om standard personvernbestemmelser direkte virkning i norsk rett, er mer enn «lite inngripende» hver for seg. Også etter en samlet vurdering av de forskjellige elementene av myndighetsoverføring finner departementet at det ikke er tvilsomt at den myndighetsoverføringen som er beskrevet over, ligger godt innenfor rammene av det Stortinget kan samtykke til etter Grunnloven § 26 annet ledd.

36.4 Konklusjon og tilrådning

Forordningen er EØS-relevant og anses som en oppdatering av det någjeldende 95-direktivet for å tilpasse lovgivningen til den teknologiske utviklingen. Samtidig vil et mer harmonisert regelverk, som forordningen legger opp til, motvirke uoversiktlig og ulik gjennomføring av personvernreglene i de ulike EØS-statene, og dermed styrke norske borgeres rettigheter i møte med europeiske aktører. Det vil også bli enklere for norsk næringsliv som opererer i EØS, å forholde seg til et mer harmonisert regelverk.

Forordningen viderefører i hovedsak de sentrale prinsippene i 95-direktivet, som oppheves ved forordningen, og den gjeldende norske personopplysningsloven. Samtidig er det enkelte materielle endringer, som beskrevet i punkt 2.1. Mange av disse endringene er nødvendige som følge av den teknologiske utviklingen og den sterkt økende bruken av personopplysninger, ikke minst grensekryssende behandling av personopplysninger ved bruk av internett. Disse endringene anses som en positiv utvikling på personvernområdet.

Utvikling av et nytt kontroll- og tilsynsregime på europeisk nivå vil også gjøre det enklere for norsk næringsliv, da de i utgangspunktet bare trenger å forholde seg til ett tilsynsorgan, nemlig tilsynsorganet i den staten der de har sin hovedvirksomhet. Det nye kontroll- og tilsynsregimet vil også føre til en mer harmonisert anvendelse av forordningens regler i hele EØS, noe som må anses som en klar fordel for næringslivet og andre aktører som driver grensekryssende virksomhet.

Som beskrevet over skal Personvernrådet i henhold til utkastet til tilpasningstekst også treffe bindende beslutninger overfor EØS/EFTA-statenes tilsynsorganer. Det har vært vurdert om myndigheten til å fastsette bindende avgjørelser skulle legges til EFTAs overvåkingsorgan. Dette ble imidlertid forkastet, da en slik løsning ville være svært vanskelig å praktisere. EFTAs overvåkingsorgan har heller ikke den nødvendige kompetanse til å treffe denne type beslutninger. Videre ville en slik løsning muligens svekket EØS/EFTA-statenes tilsynsmyndigheters mulighet til å delta i Personvernrådet og tyngden av deres argumenter i diskusjonene. Etter departementets syn er derfor løsningen med at Personvernrådet treffer beslutninger også overfor EØS/EFTA-statene, den klart foretrukne løsningen i dette tilfellet. For å avhjelpe EØS/EFTA-tilsynenes manglende stemmerett er det fastsatt at de kan kreve at deres standpunkter blir protokollert.

Justis- og beredskapsdepartementet anbefaler derfor at Stortinget samtykker til innlemmelse av forordningen med tilpasningstekst i EØS-avtalen.

Til forsiden