3 Personvern i eit internasjonalt perspektiv

3.1 Innleiing

Dei internasjonale rettslege instrumenta og det internasjonale samarbeidet på personvernområdet blir stadig viktigare. Enorme mengder personopplysningar kryssar landegrensene kvar einaste dag. Nokre opplysningar overfører dei registrerte sjølve, både medvite og umedvite, men mange opplysningar blir òg overførte av dei behandlingsansvarlege. Fordi opplysningar i aukande grad kryssar landegrensene i samband med ulik tenesteutøving, blir òg personvernutfordringar og –usemjer i større grad grenseoverskridande. Det krevst internasjonalt samarbeid både for å førebyggje og for å løyse slike usemjer. Regjeringa meiner det derfor er viktig at Noreg prioriterer å ta del i dei ulike internasjonale foruma der personvern er på saklista, og i så stor grad som mogleg freistar påverke utviklinga.

I kapittel 6 i rapporten frå Personvernkommisjonen er det gjort greie for ulike internasjonale regelsett og kva dei har å seie for personvernet. Nedanfor blir det gjort greie for nokre viktige utviklingstrekk på det internasjonale området etter at Personvernkommisjonen avslutta arbeidet sitt.

3.2 EUs personverndirektiv og europeisk personvernsamarbeid

Arbeidet med EUs direktiv 95/46/EF (heretter omtala som personverndirektivet) vart påbyrja alt på slutten av 1980-talet. Etter vidfemnande ordskifte og ikkje reint få endringsframlegg vart direktivet vedteke i 1995. Personverndirektivet er EØS-relevant og bindande for Noreg.

3.2.1 EU-direktiv som er viktige for norsk personvernregulering

Personverndirektivet er i all hovudsak gjennomført i norsk rett gjennom personopplysningslova frå 2000. Viktige element i direktivet er prinsippet om ei uavhengig tilsynsstyremakt, krav til rettsleg grunnlag for behandling av personopplysningar, aktiv informasjonsplikt for den behandlingsansvarlege overfor dei registrerte, særlege rettar for dei registrerte ved behandling av personopplysningar i automatiserte avgjerdsprosessar og meldeplikt til tilsynsstyremakta ved behandling av personopplysningar. Det er likevel opna for store unntak, mange av dei tufta på skjønsvurderingar, frå dei fleste prinsippa som er nedfelte i direktivet. Sjølv om personverndirektivet er bindande for Noreg, er det derfor eit stort nasjonalt handlingsrom når nasjonale personvernreglar blir utforma.

Siktemålet med direktivet er å leggje til rette for einsarta ivaretaking av personvernet til innbyggjarane i heile EU/EØS-området i tillegg til å leggje til rette for fri flyt av personopplysningar i den indre marknaden. Personverndirektivet er eit minimumsdirektiv. Dette betyr at einskildstatane kan fastsetje høgare standard for personvern enn det minimumet som følgjer av direktivet. I mange av føresegnene ligg det dessutan eit stort og skjønsprega handlingsrom. Medlemsstatane kan gjere ei rad meir eller mindre vidfemnande unntak frå det som er hovudregelen i direktivet. Dette fører med seg at den ønskte harmoniseringa, som ligg bak direktivet, likevel ikkje blir heilt nådd. Dette er noko av årsaka til at EU-kommisjonen i lengre tid har arbeidd med ein revisjon av det gjeldande personverndirektivet. Revisjonen blir omtala i kapittel 3.2.3.

Jamvel om reglane i personopplysningslova i all hovudsak er ei gjennomføring av personverndirektivet, er nokre av reglane i lova likevel norske spesialreglar. Dette gjeld særleg reglane i personopplysningslova om kameraovervaking. Direktivet inneheld i dag ikkje føresegner om denne typen behandling av personopplysningar, og det er derfor lagt til grunn at ein står fritt til å vedta nasjonale reglar på dette området i den grad dei ikkje strir mot andre EØS-reglar. I samband med revisjonen av personverndirektivet som er i gang, har EU-kommisjonen likevel gjort framlegg om at det nye regelverket skal innehalde reglar om kameraovervaking. Desse reglane blir gjeldande for Noreg dersom dei, som det er framlegg om, blir vedtekne som forordning og forordninga òg blir gjord EØS-relevant. Dessutan inneheld personopplysningsforskrifta nokre reglar som ikkje beint er å finne i direktivet. Dette er mellom anna spesialreglar om informasjonstryggleik, om fritak frå melde- og konsesjonsplikt, om kredittopplysningsverksemd og om innsynet arbeidsgivaren har i e-posten til tilsette.

Personopplysningslova og -forskrifta inneheld føresegner om korleis norske styremakter og behandlingsansvarlege skal te seg når dei overfører personopplysningar til tredjeland, og om tilhøvet til avgjerder EU-kommisjonen tek om personvernnivået i desse landa. Desse avgjerdene om personvernnivået i tredjeland er EØS-relevante, og Noreg har til no lagt avgjerdene frå EU-kommisjonen til grunn i saker som gjeld overføring av personopplysningar til desse landa. Personverndirektivet er generelt. Det gjeld derfor for all behandling av personopplysningar så framt det ikkje er gjort unntak. Det går fram av direktivet at landa kan fråvike prinsippa i direktivet dersom dette er nødvendig til dømes av omsyn til den nasjonale tryggleiken, for kriminalitetsførebygging eller for å ta vare på særlege økonomiske interesser for eit land. At det av slike grunnar er mogleg å fråvike prinsippa i direktivet, er det teke omsyn til i personopplysningslova.

I tillegg til det generelle personverndirektivet i EU er det vedteke direktiv med personvernrelevans på området for elektronisk kommunikasjon. Direktiv 2002/58/EF (kommunikasjonsverndirektivet) inneheld personvernføresegner som gjeld generelt for elektronisk kommunikasjon. Direktivet regulerer mellom anna trygging av kommunikasjon, lagring og vidarebruk av trafikk- og kommunikasjonsdata, spesifisert rekning og abonnentlister (nummeropplysningstenester/-katalogar). Direktivet er implementert i lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon med forskrifter. Dessutan regulerer direktiv 2006/24/EF (datalagringsdirektivet) plikta ekomtilbydarane har til å lagre trafikk- og kommunikasjonsdata for kriminalitetsmotverkande føremål. Dette direktivet vart vedteke gjennomført i norsk rett i 2011, men reglane har enno ikkje teke til å gjelde.

3.2.2 Noregs deltaking i europeisk personvernsamarbeid

Det finst to samarbeidsforum på personvernområdet i EU. Dei blir omtala som Article 29 Data Protection Working Party (Artikkel 29-gruppa) og Article 31 Working Party (Artikkel 31-gruppa). Artikkel 29-gruppa er samarbeidsforum for tilsynsstyremaktene i medlemslanda, medan Artikkel 31-gruppa er ein komité på departementsnivå. Denne gruppa har avgjerdsmakt når personverndirektivet krev samtykke frå medlemslanda til ei gitt handling. Dette gjeld til dømes vedtak om personvernnivået i tredjeland. EFTA-landa er ikkje med i Artikkel 31-gruppa. Noreg, representert ved Datatilsynet, har likevel vore med i Artikkel 29-samarbeidet sidan 1996. Det følgjer av EØS-avtala at Noreg skal ha observatørstatus, men ikkje røysterett i denne arbeidsgruppa. Gruppa gir EU-kommisjonen råd i spørsmål om personvern og informasjonstryggleik og kjem saman seks gonger i året.

Artikkel 29-gruppa har organisert ei rad undergrupper som arbeider med ulike emne, og i desse undergruppene er EØS-landa med på tilnærma lik line med EUs medlemsstatar. Datatilsynet vurderer desse gruppene som viktige arenaer for å halde seg oppdatert om utviklinga i EU og gir innspel til ulike fråsegner som Artikkel 29-gruppa kjem med. Dette er fråsegner som har mykje å seie for tolking og bruk av personverndirektivet, og som såleis er viktige for rettsutviklinga i EU/EØS-området.

I tillegg til Artikkel 29-gruppa med undergrupper har Datatilsynet dei siste åra prioritert å vere med i fleire arbeidsgrupper saman med dei europeiske datatilsynsstyremaktene, utan at desse formelt er organiserte gjennom eller forankra i EU. Desse gruppene er viktige arenaer for samarbeid og informasjonsinnhenting og blir kort presenterte nedanfor.

The Schengen Joint Supervisory Authority (JSA)

Noreg er fullverdig medlem av dette uavhengige kontrollorganet som er samansett av medlemer frå datatilsynsstyremakter i statar tilknytte Schengenavtala. Representantar frå Datatilsynet er med på møta og har òg vore med på inspeksjonar av korleis andre land handterer pliktene etter Schengenavtala.

Working Party Police and Justice (WPPJ)

Denne arbeidsgruppa har mandatet sitt frå Den europeiske konferansen for datatilsynsstyremakter og har jamlege møte. Oppgåva er å følgje med på utviklinga på politi- og justisområdet når det gjeld behandlinga av personopplysningar. Inntil Lisboa-traktaten vart vedteken, var dette området halde utanfor verkeområdet til personverndirektivet. No gjeld derimot dei generelle personvernreglane i EU på dette området òg. Datatilsynet sit i arbeidsgruppa og kan melde inn både generelle problemstillingar og einskildsaker.

Berlin-gruppa

Gruppa arbeider med personvern innan elektronisk kommunikasjon i utvida forstand. Datatilsynet er fullverdig medlem av arbeidsgruppa, som har brei deltaking frå alle delar av verda. Deltaking i gruppa er med og gir Datatilsynet tidleg kunnskap om ulike problemstillingar. Dessutan påverkar gruppa prosessar i EU, og det gir Datatilsynet indirekte påverknad på desse prosessane. Datatilsynet meiner gruppa er eit viktig forum for å drøfte aktuelle personvernutfordringar relaterte til elektronisk kommunikasjon.

Internasjonalt saksbehandlarmøte

Dette er eit årleg arrangement der Datatilsynet deltek for å få innspel om kva styremaktene i andre land er opptekne av, og for å utveksle røynsler. Møtet er òg ein god arena for utvikling av kontaktnett, og det er viktig med tanke på handtering av internasjonale saker. Av emna som har vore drøfta på det internasjonale saksbehandlarmøtet dei seinare åra, kan nemnast overføring av personopplysningar til utlandet og problematikk knytt til samarbeid mellom tilsynsstyremaktene i dei ulike landa.

Nordisk møte

Fordi Noreg ikkje er medlem av EU, er Datatilsynet særleg oppteke av å ha eit tett og forpliktande samarbeid med dei andre nordiske landa. For å halde dette samarbeidet ved like har dei nordiske datatilsynsstyremaktene organisert Nordisk møte. Her møtest leiarane for dei nordiske datatilsynsstyremaktene ein gong i året for å utveksle røynsler frå eiga verksemd. Dei nordiske landa har mange felles drag i personvernreguleringa, og det nordiske møtet er eit viktig samlingspunkt for å finne felles posisjonar som kan dragast inn i det internasjonale arbeidet. Det er òg verdfullt å sjå korleis likearta spørsmål blir løyste i grannelanda våre.

Som oversikta viser, er det etablert ei rekkje samarbeidsforum i Europa som er nyttige arenaer for Datatilsynet både når det gjeld informasjonsinnhenting og utveksling av erfaringar. Det internasjonale samarbeidet blir stadig viktigare for handtering av ulike problemstillingar som landa har felles interesse i å freiste å løyse på så einsarta måtar som råd. Dess meir samla personvernstyremaktene står overfor næringsliv og industri, dess større gjennomslagskraft får dei i personvernspørsmål. Dess meir einsarta personvernpraksis det er i dei europeiske landa, dess lettare blir det òg for næringslivet og dei behandlingsansvarlege å etterleve reglane. Regjeringa meiner derfor det er både bra og viktig at Datatilsynet prioriterer det internasjonale samarbeidet høgt, og at tilsynet bør halde fram med å ta del i det internasjonale samarbeidet så langt dette let seg gjere.

3.2.3 Revisjon av EUs personvernregulering

EUs gjeldande personverndirektiv (95/46/EF) har vore, og er framleis, eit viktig regelsett. Likevel er det liten tvil om at direktivet er moge for revisjon. Det har vore ei rivande utvikling i åra sidan direktivet vart vedteke. Særleg gjeld dette den teknologiske utviklinga, først og fremst med framveksten av internett. Då personverndirektivet vart vedteke, var utviklinga og bruken av internett berre i byrjinga, og ingen spådde det enorme omfanget dette kommunikasjonssystemet skulle få på alle samfunnsområde. Men òg på andre felt har den teknologiske utviklinga, og utviklinga i viljen til å nytte teknologi, vore stor. Mellom anna gjeld dette i helsesektoren, innan samferdsel og i ekomsektoren. Dei fleste daglege gjeremål let etter seg spor som fortel noko om kvar ein person var, når han var der, og i mange tilfelle kva han gjorde.

25. januar 2012 la EU-kommisjonen fram utkast til revidert personvernregelverk. Eit ønske om betre harmonisering av personvernregelverka i dei europeiske landa har stått sentralt i arbeidet med å førebu regelverksrevisjonen. Tydelegare plikter for dei behandlingsansvarlege og klårare rettar for dei registrerte står sentralt i revisjonen. Det er gjort framlegg om å fjerne den relativt vidfemnande meldeplikta som gjeld i dag, og det er føreslått ei ordning der behandlingsansvarlege som er etablerte i fleire medlemsstatar, skal kunne halde seg til personvernstyremakta i berre eitt av desse landa. Denne styremakta får då ein slags koordinerande funksjon. Det er òg framlegg om å harmonisere reglane om sanksjonering av brot på personvernregelverket. Tanken med framlegga er å lette dei administrative byrdene for dei behandlingsansvarlege.

Når det gjeld rettar, har fokus særleg vore retta mot omgrepet «right to be forgotten», som inneber ein rett til å bli gløymd når personopplysningane ikkje lenger er nødvendige for innsamlingsføremålet. Iveren innbyggjarane har synt etter å leggje personopplysningar på nett har gjort det tydeleg at ein treng denne typen slettereglar. Ein rett til å ta med seg personopplysningar frå eitt sosialt nettverk til eit anna er òg eitt av framlegga som skal betre personvernet på nett. Det er dessutan gjort framlegg om strammare reglar for samtykke som skal danne grunnlag for behandling av personopplysningar. Eit samtykke må vere konkret, informert og eksplisitt. Samstundes er det gjort framlegg om at berre foreldre eller føresette kan samtykke på vegne av barn under 13 år som får tilbod om informasjonssamfunnstenester. Eit tydelegare fokus på personvernfremjande bruk av teknologi står sentralt i revisjonsarbeidet. Auka bruk av innebygd personvern, eller «privacy by design» som er det mest kjende omgrepet, inneber at IKT-løysingar vert utvikla med dei personvernvenlege alternativa som innebygde førsteval. Den som skal bruke systemet, må gjere eit aktivt val dersom han eller ho ønsker å nytte mindre personvernvenlege alternativ. Det er vidare framlegg om klarare reglar om bruk av personvernombod (data protection officer) og oppgåvene deira, og reglar om obligatoriske personvernkonsekvensutgreiingar og internkontrollsystem. I forlenginga av dette blir det òg gjort framlegg om ei sertifiseringsordning som skal dokumentere at den behandlingsansvarlege sikrar eit tilfredsstillande personvernnivå.

I håp om å leggje til rette for ei betre europeisk harmonisering av personvernretten er regelutkastet presentert som ei forordning. Regelutkastet legg stor vekt på rettar og plikter, samstundes som det fokuserer på etablering av sterke og uavhengige personvernstyremakter i dei europeiske landa. Ei forordning må gjennomførast av landa etter ordlyden. Medlemslanda har derfor lite rom for nasjonale tilpassingar dersom det blir vedteke ei forordning om vern av personopplysningar. I tillegg til ei forordning om behandling av personopplysningar generelt har EU-kommisjonen lagt fram utkast til eit direktiv om behandling av personopplysningar for kriminalitetsførebygging. Dette direktivutkastet er i all hovudsak ei direktivfesting av rammeavgjerd 2008/977/JHA om vern av personopplysningar som blir behandla i politi- og justissamarbeid i Europa. Rammeavgjerda gjeld ved utveksling av personopplysningar mellom dei samarbeidande landa. Direktivutkastet legg opp til at dei same reglane òg langt på veg skal gjelde for korleis politiet nasjonalt behandlar personopplysningar i samband med avdekking, gransking, oppklaring og straffeforfølging av strafflagde handlingar. Når lov 28. mai 2010 nr. 16 om behandling av personopplysningar i politiet (politiregisterlova) med forskrifter tek til å gjelde, gjennomfører ho langt på veg reglane i rammeavgjerda som gjeld korleis norsk politi skal behandle personopplysningar nasjonalt. Lova kjem til å leggje til rette for god ivaretaking av personvern i viktige delar av justissektoren. Slik direktivutkastet frå EU no ser ut, er det derfor ingen grunn til å tru at dette fører til store behov for endringar i det norske regelverket.

Regelframlegga er til behandling i Rådet og EU-parlamentet. Det er derfor uklårt korleis det endelege regelverket kjem til å sjå ut, like eins når det blir ferdig. Regjeringa er positiv til mange av dei prinsippa som ligg til grunn for regelframlegga frå EU. Dersom regelverket blir vedteke slik EU kommisjonen har gjort framlegg om, vil det bli nødvendig med endringar i det norske personvernregelverket. Fleire av prinsippa og framlegga frå EU blir nærmare omtala i denne meldinga.

3.3 OECDs retningsliner om personvern

3.3.1 OECDs retningsliner om personvern – innhald og korleis dei verkar inn på norsk personvernrett

OECD vedtok retningsliner for vern og utveksling av personopplysningar over landegrensene i 1980 (Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data). Desse retningslinene er ikkje rettsleg bindande for medlemsstatane. Dei har likevel vore viktige for utviklinga av personvernregelverk i ei rekkje land, særleg utanfor Europa. OECD er ein viktig arena for internasjonalt personvernsamarbeid ut over det europeiske. Særs mykje av den internasjonale personopplysningsflyten går mellom Europa og USA/Asia (ofte omtala som APEC-landa, det vil seie land som er medlemer av Asia-Pacific Economic Cooperation). APEC-landa har ei noko anna tilnærming til personvernspørsmål enn den europeiske tradisjonen. I amerikansk rett er det til dømes ein svært nær samanheng mellom personvernspørsmål og forbrukarspørsmål, og personvernrettar er nært knytte til den einskilde som forbrukar. Det er nyttig å diskutere handteringa av aktuelle personvernutfordringar innanfor OECD, fordi det gir eit innsyn i korleis styremaktene i andre land vurderer ulike personvernspørsmål. Røynsla er uansett at hovudproblemstillingane og utfordringane er felles for dei fleste landa, endå om landa har litt ulik tilnærming til korleis ein bør handtere utfordringane.

For det norske personvernregelverket har OECDs retningsliner om personvern og overføring av personopplysningar over landegrensene dei seinare åra likevel hatt lite å seie konkret og direkte. Hovudårsaka til dette er at pliktene i retningslinene i liten grad går ut over pliktene Noreg har gjennom EØS-samarbeidet og EUs personverndirektiv.

3.3.2 OECDs arbeid med personvern og Noregs deltaking i arbeidet

OECDs personvernarbeid er lagt til arbeidsgruppa for informasjonstrygging og personvern (Working Party on Information Security and Privacy – WPISP), som så er organisert under komiteen for IKT (Committee for Information, Computer and Communications Policy – ICCP). OECDs retningsliner for personvern og flyt av personopplysningar over landegrensene har eit klårt personvernfokus. Samstundes er det sentralt i regelverket at det skal leggje til rette for økonomisk vekst og utvikling ved å minske hindringar for flyt av personopplysningar over landegrensene – eit mål som òg ligg til grunn for EUs personvernregulering. Likevel er det i OECD-samanheng den seinare tida òg retta meir merksemd mot personvern som ein sjølvstendig verdi. Dette kan ein sjå som eit utslag av at flyten av personopplysningar over landegrensene er enorm, og at sjølv om ein ikkje skal hindre denne flyten, er det viktig og nødvendig å leggje til rette for eit godt personvern. Tilliten innbyggjarane har til IKT-system og informasjonsflyt, både nasjonalt og over landegrensene, har mykje å seie for i kva grad dei er villige til å ta systema i bruk. Bruk av ulike IKT-system, ikkje minst for handel, har på si side mykje å seie for den økonomiske utviklinga. Ivaretaking av personvernomsyn, kanskje særleg i den forstand at personopplysningar ikkje skal kome uvedkomande i hende, er derfor viktig ut frå OECDs perspektiv om økonomisk vekst og utvikling. Det er viktig å sjå samspelet mellom økonomisk vekst, trygge IKT-system og personvern. Dette er kome mykje meir i fokus dei seinare åra, mellom anna som følgje av at utviklinga av nettbaserte tenester har skote i vêret.

I 2010 vart det, i høve 30-årsjubileet for OECDs personvernretningsliner, sett i gang eit arbeid med sikte på å revidere retningslinene. I dette arbeidet er OECD oppteken av å modernisere regelverket og i større grad etablere system som kan handtere dei store grenseoverskridande utfordringane ei auka globalisering fører med seg. Revisjonsarbeidet ber i seg mange av dei same prinsippa som ligg til grunn for EUs revisjon av personverndirektivet. For dei OECD-landa som òg er EU-/EØS-medlemer, er det sentralt å sjå regelsettet i dei to organisasjonane i samanheng.

Noreg deltek med representantar på departementsnivå både i OECDs IKT-komité og i arbeidsgruppa for personvern og informasjonstryggleik (WPISP). Slik Datatilsynet erfarer at internasjonalt personvernarbeid gir nyttig informasjon om korleis andre land handterer personvernutfordringar, erfarer regjeringa at deltaking i OECD-arbeidet òg er til stor nytte.

3.4 Personvernkonvensjonen til Europarådet

Europarådskonvensjon 28. januar 1981 nr. 108 om personvern i samband med elektronisk databehandling av personopplysningar (personvernkonvensjonen) vart ratifisert av Noreg 20. februar 1984 og tok til å gjelde 1. oktober 1985. Så langt har 43 land ratifisert konvensjonen.

Føremålet med personvernkonvensjonen er å tryggje respekten for fridom og andre grunnleggjande rettar i samband med lagring og handtering av personopplysningar ved hjelp av elektronisk databehandling. Konvensjonen inneheld minimumsreglar, og dei ulike landa står fritt til å gi personvernrettar som går ut over det som følgjer av konvensjonen. Konvensjonen er gjennomført i norsk rett gjennom personopplysningslova. Personvernkonvensjonen er seinare følgd opp med ulike rekommandasjonar (tilrådingar) som gir utfyllande retningsliner for behandling av personopplysningar på nærmare avgrensa område. Det er oppretta ein konsultativ komité i samsvar med personvernkonvensjonen artikkel 18. Komiteen skal kome med framlegg til betringar og endringar i konvensjonen og kan bli beden om å gi fråsegner om endringar eller bruk av konvensjonen. Komiteen har fått namnet The Consultative Committee of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (T-PD). Noreg stiller normalt med ein representant på dei årlege møta i komiteen.

Det er nyleg sett i gang ein prosess i Europarådet som skal modernisere personvernkonvensjonen. I første rekkje er prosessen påbyrja i arbeidsgruppa T-PD. Ein revidert konvensjon kjem i siste instans til å bli vedteken i ministerrådet. Noreg skal vere aktivt med i alle stega i prosessen. Eit viktig omsyn er å tryggje samsvar mellom personvernregelverket som er under utarbeiding i EU, og Europarådskonvensjonen.

3.5 Overføring av personopplysningar til utlandet – bruk av standardavtaler og Binding Corporate Rules

Personopplysningslova set krav som må vere oppfylte før ein behandlingsansvarleg som er etablert i Noreg, kan eksportere personopplysningar ut av landet, jf. lova §§ 29 og 30. Så lenge personopplysningane skal eksporterast til statar i EØS-området, er det ingen restriksjonar – det følgjer av EUs personverndirektiv at slike opplysningar skal kunne flyttast fritt innanfor dette området. Overføring av personopplysningar kan òg skje fritt til aktørar i tredjeland som EU-kommisjonen ved ei formell avgjerd har funne å ha eit tilfredsstillande vernenivå. Med mindre Noreg reserverer seg, gjeld avgjerdene kommisjonen tek på dette området òg for Noreg.

I alle andre tilfelle der den behandlingsansvarlege ønskjer å overføre personopplysningar til utlandet, må anten eitt eller fleire av unntaka i personopplysningslova § 30 første leddet vere oppfylte, eller Datatilsynet kan godkjenne overføringane som skal gjerast. Bruksområdet for dei nemnde unntaka er likevel nokså snevert, ifølgje Artikkel 29-gruppa1. Den offisielle tilrådinga frå Datatilsynet er derfor at den behandlingsansvarlege anten nyttar standardkontraktane som EU-kommisjonen har laga for dette føremålet, eller at det blir utforma såkalla Binding Corporate Rules, ofte omtala som BCR.

Standardkontraktane er gitt i form av kommisjonsavgjerder og er ein del av EØS-avtala. Partane i avtala er dataeksportøren og dataimportøren. Det finst ulike variantar av kontraktane, og kva for ein som er den rette å bruke i kvart einskilt tilfelle, er avhengig av den rolla dataimportøren har. Dersom importøren skal vere databehandlar for dataeksportøren, må dei inngå ei avtale om overføring frå ein behandlingsansvarleg til ein databehandlar. Skal importøren behandle opplysningane for eigne føremål, og såleis er å rekne som behandlingsansvarleg for opplysningane som blir overførte, vel dei den kontrakten som er fastsett for overføring til behandlingsansvarlege.

Ved inngåing av standardkontraktane tek partane på seg ulike skyldnader med tanke på å garantere rettane til dei registrerte etter at personopplysningane er overførte. Kontraktane tek opp i seg dei sentrale prinsippa og skyldnadene frå personverndirektivet, samstundes som det finst eigne klausular som plasserer erstatningsansvar, definerer lovval og pålegg partane å rette seg etter avgjerder frå domstolar eller personvernstyremakter i eksportlandet. Overføringar baserte på desse kontraktane skal alltid godkjennast av Datatilsynet på førehand.

Standardkontraktane høver godt for enkelståande overføringar frå eitt selskap til eit anna. I store multinasjonale konsern kan ein likevel trenge hyppige overføringar på kryss og tvers i organisasjonen. Dette kan skape store utfordringar for den som skal halde oversikt over den globale dataflyten, og kva kontraktar som må skrivast mellom dei ulike selskapa i konsernet. I slike tilfelle kan Binding Corporate Rules (BCR) vere ei tenlegare løysing.

Ein BCR gir bindande personvernreglar for ein organisasjon og skal mellom anna innehalde eit sett med personvernprinsipp og omtale av prosedyrar som skal tryggje etterleving i praksis. Dessutan må BCR-en vere bindande, både internt i organisasjonen og eksternt overfor rettshavarane.

Føremonene med bruk av BCR er mellom anna at personopplysningar kan flyte fritt innanfor konsernet så snart BCR-en er godkjend, same kvar i verda dataimportøren måtte vere. Det er ikkje nødvendig å kontraktsregulere kvar einaste overføring, og BCR-en sikrar einsarta praksis for behandling av personopplysningane i heile konsernet.

Artikkel 29-gruppa har vedteke eigne prosedyrar for arbeid med BCR, sjå WP 1072. Det er søkjaren sjølv som gjer framlegg om kva tilsynsstyremakt som skal leie arbeidet med å godkjenne ein BCR, men det er tilsynsstyremaktene sjølve som avgjer kva styremakt som bør ha ansvaret i kvar einskild sak. Datatilsynet er dei siste åra utpeikt som «lead authority» – eller leiande styremakt – i to saker som gjeld vurdering og godkjenning av Binding Corporate Rules. Dette inneber at det er Datatilsynet som skal vurdere og eventuelt til slutt godkjenne dei interne retningslinene for behandling av personopplysningar for to store norske konsern med internasjonal verksemd. Godkjenninga blir i så fall gitt på vegner av alle dei europeiske landa som tek del i samarbeidet, som blir omtala som «the mutual recognition procedure». I dag er dette eit samarbeid mellom 20 land, blant dei Storbritannia, Frankrike, Tyskland, Irland og dei tre EFTA-landa Island, Liechtenstein og Noreg.

Vurdering og godkjenning av BCR er ei oppgåve som krev store ressursar hos den tilsynsstyremakta som blir utpeikt som leiande styremakt. Dette er ein konsekvens av at BCR-ane ofte har mange hundre sider med kontraktsvilkår, retningsliner for informasjonstryggleik, opplæringsrutinar og så bortetter. Desse skal analyserast og jamførast med det gjeldande personvernregelverket, altså personopplysningslova og direktiv 95/46/EF. Den leiande styremakta er ansvarleg for å sjå til at rettane til dei registrerte blir ivaretekne på tilfredsstillande vis etter at opplysningane er eksporterte ut av Europa.

Det er grunn til å tru at bruken av BCR blir meir utbreidd i framtida. Dette får i så fall konsekvensar for Datatilsynet òg. Grunnen er at ordninga, som i dag berre er lausleg forankra i personvernlovgivinga, etter kvart blir meir kjend og utbreidd. Dessutan er det framlegg om at ordninga no skal konkretiserast og kodifiserast i framlegget frå EU-kommisjonen til personvernforordning, etter at Artikkel 29-gruppa i mange år har oppmoda europeiske verksemder til å nytte denne løysinga for overføring av personopplysningar til land utanfor EØS-området.

3.6 Samandrag og tilrådingar

Auka globalisering, meir bruk av internett og veksande samhandling over landegrensene fører med seg enorm flyt av personopplysningar. Personvern er derfor eit internasjonalt fagområde. Ein må drøfte og løyse utfordringar internasjonalt. Noreg vil arbeide for deltaking i eit eventuelt nytt europeisk datatilsyn og deltaking i avgjerdsprosessen i Kommisjonen der denne får vedtakskompetanse etter EØS-relevant personvernregelverk. Både Datatilsynet og regjeringa prioriterer deltaking i internasjonalt personvernarbeid. På denne måten kan Noreg arbeide for løysing av personvernutfordringar på den måten Noreg meiner utfordringane bør løysast, og for varetaking av personvernomsyn slik Noreg meiner det best kan gjerast. Datatilsynet må prioritere ressursar for å delta i det internasjonale personvernarbeidet, både i drøftingar med personvernstyremaktene i andre land og med store internasjonale verksemder som påverkar personvernet til innbyggjarane, som Facebook og Google. Sektorstyremaktene må òg vere medvitne om ansvaret dei har for å ta vare på personvern i sin eigen sektor, og det er derfor viktig at dei prioriterer å ta del i internasjonalt personvernarbeid, til dømes i helsesektoren og utdanningssektoren.

Noreg skal vere ein relevant og interessant deltakar og bidragsytar i det internasjonale personvernarbeidet. God nasjonal samordning av Noregs internasjonale personvernengasjement er nødvendig for å oppnå dette. Gjennom godt nasjonalt forarbeid kan utbyttet av det internasjonale samarbeidet aukast.