Neste kapittel
Forrige kapittel

15 Dataforvaltningsforordningen

15.1 Gjennomføringen av forordningen

Departementet foreslår at dataforvaltningsforordningen gjennomføres i sin helhet i dataforvaltningsloven § 6 ved inkorporasjon. For nærmere omtale av departementets lovtekniske vurderinger se punkt 3.4.

15.2 Det saklige virkeområdet til forordningen

Dataforvaltningsforordningens saklige virkeområde følger av artikkel 3. Bestemmelsen angir virkeområdet for reglene om viderebruk av visse kategorier beskyttede data som innehas av offentlige organer, jf. forordningen kapittel II.

Definisjonene av «offentlige organer» og «offentligrettslige organer» er gitt i artikkel 2 nr. 17 og 18. Med offentlige organer menes statlige, regionale eller lokale myndigheter, offentligrettslige organer eller sammenslutninger av én eller flere slike myndigheter eller offentligrettslige organer.

Definisjonen av «data» følger av artikkel 2 nr. 1. Med data menes enhver digital fremstilling av handlinger, fakta eller informasjon, og enhver sammenstilling av slike handlinger, fakta eller informasjon, også i form av lyd-, bilde- eller audiovisuelle opptak. Forholdet til definisjonen av data i åpne data-direktivet og i dataforvaltningsloven er nærmere omtalt denne proposisjonen punkt 7.2.

Etter artikkel 2 nr. 2 betyr «viderebruk» at fysiske eller juridiske personer bruker data som et offentlig organ har, til et annet formål enn det dataene opprinnelig ble samlet inn for som en del av organets offentlige oppgaver. Utveksling av data mellom offentlige organer som utelukkende skjer som ledd i deres offentlige oppgaver, er ikke viderebruk etter forordningen.

Med «beskyttede data» siktes det i dataforvaltningsforordningen til data som offentlige organer besitter og som er beskyttet på grunnlag av:

  • fortrolig behandling av forretningsopplysninger, herunder forretningshemmeligheter, yrkeshemmeligheter og selskapshemmeligheter,

  • fortrolig behandling av statistiske opplysninger,

  • vern av tredjeparters immaterielle rettigheter eller

  • vern av personopplysninger, i den grad slike data ikke er omfattet av direktiv (EU) 2019/1024 (åpne data-direktivet).

Dette følger av forordningen artikkel 3 nr. 1 bokstavene a til d.

Artikkel 3 nr. 2 slår fast at reglene om viderebruk etter dataforvaltningsforordningen ikke gjelder for data:

  • fra offentlige foretak,

  • fra organer som utfører allmennkringkasteroppgaver,

  • fra kultur- og utdanningsinstitusjoner,

  • som er beskyttet av hensyn til offentlig sikkerhet, forsvar eller nasjonal sikkerhet,

  • stilles til rådighet uten at dette omfattes av de berørte offentlige organenes offentlige oppgaver i henhold til lov eller andre bindende regler i den berørte medlemsstaten, eller i mangel av slike regler, som fastsatt i samsvar med vanlig forvaltningspraksis i den aktuelle medlemsstaten, forutsatt at de offentlige oppgavenes virkeområde er åpent for innsyn og kan revurderes.

Fortalepunkt 12 viser til at eksempler på kulturinstitusjoner kan være biblioteker, arkiver og museer, orkestre, operaer, balletter og teatre.

Av artikkel 3 nr. 3 fremgår at bestemmelsene om viderebruk etter forordningen ikke berører:

  • unionsretten, nasjonal rett og internasjonale avtaler om vern av data,

  • unionsretten og nasjonal rett om tilgang til dokumenter.

Dataforvaltningsforordningen utfyller åpne data-direktivet. Åpne data-direktivet gjelder åpne data eller data som kan gjøres allment tilgjengelige og som kan brukes til ethvert formål. Dataforvaltningsforordningen gjelder viderebruk av beskyttede data, og fastsetter vilkår som skal sikre nødvendig skjerming og beskyttelse ved slik viderebruk. Forordningen gjelder ikke for offentlige foretak, mens enkelte offentlige foretak omfattes av åpne data-direktivet, jf. forordningen artikkel 3 nr. 2 bokstav a.

Verken åpne data-direktivet eller dataforvaltningsforordningen gir et rettslig grunnlag for å behandle personopplysninger. Behandling av personopplysninger krever fortsatt et behandlingsgrunnlag etter personopplysningsloven og personvernforordningen (GDPR). Dette gjelder også når data deles eller viderebrukes etter reglene i de to rettsaktene.

Det må vurderes konkret om data som inneholder personopplysninger faller inn under reglene om viderebruk i åpne data-direktivet eller i dataforvaltningsforordningen. Anonymiserte personopplysninger regnes ikke som personopplysninger etter GDPR. Slike data vil derfor som hovedregel omfattes av virkeområdet til åpne data-direktivet, så lenge det ikke er andre forhold ved dataene som gjør at de fortsatt skal beskyttes.

Fortalepunkt 9 legger til grunn at medlemsstatene bør oppmuntre offentlige organer til å gjøre data tilgjengelige i tråd med prinsippet om «innebygd åpenhet» og «åpenhet som standardinnstilling», slik dette er omtalt i åpne data-direktivet. Formålet er å stimulere til økt tilgjengeliggjøring av data, også når dataene ikke er åpne.

15.3 Det materielle innholdet i forordningen

Dataforvaltningsforordningen kapittel II gjelder tilrettelegging for viderebruk av beskyttede data som innehas av offentlige organer. Kapittelet regulerer blant annet:

  • forbud mot avtaler om enerett i artikkel 4,

  • vilkår for viderebruk i artikkel 5,

  • betaling for viderebruk av data i artikkel 6,

  • utpeking av vedkommende organer som skal yte bistand og veiledning med å tillate eller nekte tilgang til slike data i artikkel 7,

  • utpeking av sentrale informasjonspunkter som skal ha oppdatert informasjon om tilgjengelige data, inkludert vilkår for viderebruk og betaling i artikkel 8, og

  • saksbehandling og klageadgang i artikkel 9.

Videre etablerer dataforvaltningsforordningen regler om:

  • dataformidlingstjenester i artiklene 10 til 15,

  • dataaltruisme i artiklene 16 til 25,

  • vedkommende myndigheter og saksbehandlingsbestemmelser i artiklene 26 til 28,

  • Det europeiske datainnovasjonsrådet i artiklene 29 og 30,

  • internasjonal deling av data i artikkel 31, og

  • sanksjoner i artikkel 34.

Artiklene 4 og 5 omtales direkte nedenfor. Øvrige artikler omtales i punktene 15.4 til 15.10, i forordningsteksten og i kapittel 6 av NOU 2024: 14 Med lov skal data deles.

Artikkel 4 inneholder et forbud mot avtaler om enerett til viderebruk av data. Formålet er å sikre at offentlig eide data er tilgjengelige for alle som ønsker å bruke dem. Offentlige organer kan bare inngå slike avtaler i særlige tilfeller av offentlig interesse. Avtalene kan ikke vare lenger enn ett år. Offentlige organer skal informere offentligheten om både beslutningen og begrunnelsen når en slik enerett gis.

Artikkel 5 fastsetter vilkår for tilgjengeliggjøring av beskyttede data for viderebruk. Offentlige organer som etter nasjonal rett har myndighet til å gi eller nekte tilgang, skal offentliggjøre vilkårene for viderebruk gjennom et sentralt informasjonspunkt. Organet kan få teknisk og faglig bistand fra et vedkommende organ, jf. artikkel 5 nr. 1.

Vilkårene for viderebruk skal være ikke-diskriminerende, transparente, forholdsmessige og objektivt begrunnede med hensyn til de kategoriene av data, formålene med viderebruken og arten av data som kan viderebrukes. Vilkårene skal ikke brukes til å begrense konkurransen, jf. artikkel 5 nr. 2.

Offentlige organer skal sikre vern av data i samsvar med unionsretten og i nasjonal rett, jf. artikkel 5 nr. 3. Artikkelen gir nærmere regler om hvilke tiltak som kan stilles for å ivareta dette vernet.

Dersom viderebruk tillates, skal det fastsettes vilkår som ivaretar integriteten til de tekniske systemene i det sikre behandlingsmiljøet som brukes. Det offentlige organet kan kontrollere prosessen, metodene og resultatene av behandlingen for å sikre at dataene beskyttes. Organet kan forby bruk av resultater når resultatene kan sette tredjeparts rettigheter og interesser i fare. En beslutning om forbud skal være forståelig og tydelig for viderebrukeren, jf. artikkel 5 nr. 4.

Hva som menes med «sikkert behandlingsmiljø», følger av definisjonen i artikkel 2 nr. 20.

Med mindre nasjonal rett fastsetter spesifikke krav til fortrolighet, skal det offentlige organet gjøre bruken av dataene betinget av at viderebrukeren overholder plikten til å beskytte dataene mot utlevering som setter tredjeparters rettigheter og interesser i fare. Det skal være forbudt for viderebrukere å gjenidentifisere de registrerte som dataene gjelder. Viderebrukerne skal treffe tekniske og operasjonelle tiltak for å hindre gjenidentifisering, og underrette det offentlige organet om brudd på datasikkerheten som kan føre til gjenidentifisering av de berørte registrerte. Viderebrukeren skal uten unødig opphold, eventuelt med bistand fra det offentlige organet, underrette de juridiske personer hvis rettigheter kan bli påvirket dersom det forekommer uautorisert viderebruk av andre data enn personopplysninger, se artikkel 5 nr. 5.

Dersom viderebruk ikke kan tillates i samsvar med forpliktelsene fastsatt i nr. 3 og 4, og det ikke foreligger noe rettslig grunnlag for overføring av personopplysninger i henhold til GDPR, skal det offentlige organet gjøre sitt beste, i den grad det er tillatt i unionsretten og nasjonal rett, for å bistå potensielle viderebrukere med å innhente samtykke fra de registrerte eller tillatelse fra datainnehaverne hvis rettigheter og interesser kan bli påvirket av slik viderebruk, når det er mulig uten uforholdsmessig store byrder for det offentlige organet, se artikkel 5 nr. 6.

Det offentlige organet kan i forbindelse med denne oppgaven bistås av et vedkommende organ nevnt i artikkel 7 nr. 1.

Viderebruk av data skal bare tillates i samsvar med immaterielle rettigheter. Retten til å utnytte databaser etter artikkel 7 nr. 1 i direktiv 96/9/EF (databasedirektivet), skal ikke utøves av offentlige organer for å hindre viderebruk av data eller begrense viderebruk utover de grensene som er fastsatt i denne forordningen, jf. artikkel 5 nr. 7.

Når dataene det anmodes om, anses som fortrolige i samsvar med unionsretten eller nasjonal rett om fortrolig behandling av kommersielle eller statistiske opplysninger, skal det offentlige organet sikre at den fortrolige informasjonen ikke utleveres som følge av at viderebruk tillates, med mindre slik viderebruk er tillatt i samsvar med nr. 6, se artikkel 5 nr. 8.

Artikkel 5 nr. 9 til artikkel 5 nr. 14 regulerer overføring av personopplysninger til tredjeland. For omtale av reglene vises det til NOU 2024: 14 Med lov skal data deles punkt 6.2.3.

Dataforvaltningsforordningen stiller krav til etableringen av nasjonale roller og ansvarsfunksjoner. Forordningens artikler 7, 8, 13 og 23 angir nærmere hvilke oppgaver som skal ivaretas. Disse oppgavene omfatter støtte til deling og bruk av data, oppgaver knyttet til sikre behandlingsmiljøer og tilsyn med dataformidlingstjenester og dataaltruismeorganisasjoner. Rollene omtales nærmere i punktene 15.4 til 15.6. Sanksjoner omtales i punkt 15.7. For en samlet omtale av forordningens artikler vises det til NOU 2024: 14 kapittel 6.

15.4 Vedkommende organ

15.4.1 Om vedkommende organ i forordningen

Dataforvaltningsforordningen artikkel 7 krever at hvert land utpeker ett eller flere vedkommende organer. Disse organene skal bistå offentlige organer i saker som gjelder viderebruk av beskyttede data etter kapittel II i forordningen. I den engelske versjonen brukes betegnelsen «competent bodies». I NOU 2024: 14 og i flere høringsuttalelser omtales funksjonen som «kompetent organ». I den norske oversettelsen av dataforvaltningsforordningen brukes «vedkommende organ». Det vedkommende organet skal kunne tilby følgende:

  • teknisk støtte ved etablering av et sikkert behandlingsmiljø for tilgang til data for viderebruk,

  • veiledning og teknisk støtte til hvordan best strukturere og lagre data med sikte på å gjøre disse lett tilgjengelige for viderebruk,

  • teknisk støtte til pseudonymisering, og sørge for at databehandlingen skjer på en måte som beskytter personvernet, konfidensialiteten, integriteten og tilgjengeligheten i dataene,

  • bistand til offentlige organer med å innhente samtykke til viderebruk av data fra de det gjelder,

  • bistand til offentlige myndigheter i vurderingen av om de kontraktsrettslige forpliktelsene som viderebrukere har påtatt seg er tilstrekkelige etter artikkel 5 nr. 10.

Forordningen gir nasjonalt handlingsrom. Landene kan utpeke ett eller flere organer, og oppgavene kan legges til nye eller eksisterende institusjoner. Et vedkommende organ kan også gis myndighet til å fatte vedtak om tilgang til beskyttede data etter vilkårene i kapittel II, jf. artikkel 7 nr. 1 og 2.

Artikkel 7 nr. 3 stiller krav om at organet skal ha tilstrekkelige ressurser, samt både juridisk og teknisk kompetanse.

15.4.2 Utvalgets forslag

Utvalget mener at det ikke er nødvendig å etablere et nytt organ. De vurderer det som tilstrekkelig å legge de lovpålagte nasjonale funksjonene til eksisterende organer. Etter utvalgets vurdering oppfyller Digitaliseringsdirektoratet (Digdir), Statistisk sentralbyrå (SSB) og Folkehelseinstituttet (FHI) ett eller flere av kravene i artikkel 7. Alle tre kan derfor være aktuelle kandidater.

Utvalget uttaler at vurderingen av vedkommende organ etter artikkel 7 bør ses i sammenheng med kravet om et nasjonalt informasjonspunkt etter artikkel 8. De foreslår at Digdir og SSB utpekes som nasjonale vedkommende organer. Utvalget legger til grunn at veiledningen om beskyttede data bør være koordinert og samordnet.

Utvalget foreslår videre at vedtakskompetansen fortsatt skal følge sektorprinsippet. Det innebærer at myndigheten til å gi tilgang til beskyttede data bør ligge hos de organene som har sektortilhørighet og ansvar for dataene.

15.4.3 Høringsinstansenes syn

I NOU 2024: 14 ble vedkommende organ omtalt som «kompetent organ». Et fåtall høringsinstanser uttalte seg om utvalgets forslag til vedkommende organ. Blant disse var Statistisk sentralbyrå (SSB), Digitaliseringsdirektoratet (Digdir), Norges miljø- og biovitenskapelige universitet (NMBU), Arbeids- og velferdsdirektoratet (NAV), Sikt - Kunnskapssektorens tjenesteleverandør og Direktoratet for forvaltning og økonomistyring (DFØ). NAV, Digdir og DFØ støtter forslaget om at Digdir og SSB utpekes som vedkommende organ.

SSB viser til at byrået har lang erfaring med å dele beskyttede data til forskning og analyse, både gjennom søknadsbasert viderebruk og gjennom tjenesten microdata.no. Betingelsene for viderebruk av data som SSB forvalter, tilsvarer kravene i artikkel 5. Sammen med Sikt har SSB etablert microdata.no som et sikkert behandlingsmiljø for forskning og analyse på beskyttede data. Tjenesten gjør det mulig for brukere å sette sammen data, bygge analysepopulasjoner og velge relevante dataelementer. SSB viser til at tjenesten oppfyller FAIR-prinsippene om at data skal være gjenfinnbare, tilgjengelige, samhandlende og gjenbrukbare, og kravene i forordningen til sikre behandlingsmiljøer. Tjenesten er søknadsfri og krever bare avtale med bruker og institusjon. SSB understreker at også andre registereiere enn SSB kan gjøre data tilgjengelig gjennom tjenesten.

SSB peker videre på at byrået har godt samarbeid både med FHI og Digdir. Etterspørselen etter data fra SSB sammenfaller ofte med behov for helsedata. SSB samarbeider derfor løpende med Helsedataservice i FHI om felles henvendelser og om å gjøre helsedata tilgjengelige i microdata.no. Det er også samarbeid om tilgang til data i andre sikre analyserom. SSB mener et tettere samarbeid mellom SSB og Digdir som vedkommende organer vil gi gode synergier.

Digdir viser til at direktoratet har omfattende kunnskap på områdene der vedkommende organ skal gi veiledning og bistand, blant annet gjennom Nasjonalt ressurssenter for deling og bruk av data. Rollen ligger innenfor direktoratets samfunnsoppdrag, og Digdir støtter utvalgets forslag om at rollen delvis bør legges til direktoratet. Digdir peker samtidig på at SSB har etablert sikre behandlingsmiljøer og høy kompetanse på tilrettelegging av data, og støtter utvalgets forslag om å dele oppgavene mellom Digdir og SSB. NMBU og Sikt peker på microdata.no som en løsning som tilrettelegger og forenkler viderebruk av beskyttede data, og som en opplagt kandidat for sikkert behandlingsmiljø.

Advokatforeningen understreker at risiko for sammenstilling og re-identifikasjon er en kritisk utfordring ved deling av data. Foreningen mener at det bør vurderes mekanismer for systematiske risikovurderinger før data gjøres tilgjengelige, standardisering av anonymiseringsmetoder og krav til dokumentasjon. Advokatforeningen støtter utvalgets vurdering om at informasjon som kan skade personvernet eller nasjonal sikkerhet, ikke skal omfattes av reglene for åpne data, og støtter forslaget om sikre behandlingsmiljøer for sensitive data.

15.4.4 Departementets vurderinger

Utvalget foreslo en forskriftshjemmel for å regulere det vedkommende organet i forskrift. Departementet er opptatt av å ikke foreslå reguleringer på et høyere regelnivå enn det rettslig sett er behov for. Etter departementets syn nødvendiggjør ikke utnevning av vedkommende organ fastsettelse av en forskrift. Departementet foreslår i stedet at utnevningen skjer administrativt gjennom tildelingsbrev eller instruks. Valget av vedkommende organ omtales derfor ikke nærmere i denne proposisjonen.

Dataforvaltningsforordningen åpner for at vedkommende organ kan gis vedtaksmyndighet når det gjelder tilgang til viderebruk av beskyttede data på vilkår fastsatt etter kapittel II, jf. artikkel 7 nr. 1 og 2.

Departementet mener det ikke er hensiktsmessig å gi vedtakskompetanse til vedkommende organ. En tverrsektoriell vedtakskompetanse vil etter departementets vurdering i for stor grad utfordre sektorprinsippet. Vedkommende organ vil ikke nødvendigvis ha tilstrekkelig sektorkunnskap til å vurdere om tilgang til beskyttede data bør gis. Departementet støtter derfor utvalgets vurdering av at myndigheten til å gi tilgang til beskyttede data fortsatt skal følge sektorprinsippet. Departementet foreslår derfor ikke hjemmel for vedkommende organ til å fatte vedtak.

15.5 Sentralt informasjonspunkt

15.5.1 Forordningen

Etter dataforvaltningsforordningen artikkel 8 skal det etableres et sentralt informasjonspunkt på nasjonalt nivå.

Informasjonspunktet skal stille til rådighet et register over tilgjengelige datakilder og gi informasjon om betaling og andre vilkår for viderebruk av beskyttede data. Det skal også kunne motta forespørsler om tilgang til data og ved behov henvise videre til det offentlige organet som forvalter dataene. Hensikten er å stimulere til viderebruk av beskyttede data fra offentlige organer.

Informasjonspunktet skal omfatte data på tvers av sektorer. Funksjonen kan legges til et eksisterende eller et nytt offentlig organ.

Hvis et land allerede har etablert en nasjonal dataportal for offentlige data, kan funksjonen legges til denne. Det sentrale informasjonspunktet kan baseres på automatiserte løsninger og skal være interoperabelt med det europeiske informasjonspunktet data.europa.eu. Den europeiske dataportalen skal gjøre det enklere å finne åpne data fra europeiske land og fra EUs institusjoner, organer og byråer.

Artikkel 8 nr. 3 oppfordrer medlemsstatene til å etablere en informasjons- og dialogkanal for små og mellomstore bedrifter (SMB-er) og oppstartsselskaper, der disse kan melde inn behov knyttet til viderebruk av beskyttede data.

15.5.2 Utvalgets forslag

Utvalget vurderer at det ikke er behov for å etablere et nytt sentralt informasjonspunkt for offentlige data i Norge. Norge har allerede en nasjonal datakatalog på data.norge.no, som forvaltes av Digitaliseringsdirektoratet. Datakatalogen inneholder i dag oversikt over både åpne og beskyttede data fra offentlig sektor. Den er interoperabel med EUs offisielle dataportal, og i tråd med kravene i forordningen. Utvalget anbefaler at data.norge.no i Digitaliseringsdirektoratet forblir det nasjonale tilgangs- og informasjonspunktet, både for åpne og beskyttede data fra offentlig sektor. Utvalget ser likevel behov for at data.norge.no videreutvikles når det gjelder funksjonen knyttet til å være det sentrale informasjonspunktet for beskyttede data fra offentlig sektor. Løsningen bør videreutvikles for å bedre være tilpasset formålet og kunne høste metadata automatisk fra samtlige lokale datakataloger og virksomheter. Sentralt informasjonspunkt må også kunne imøtekomme kravene i forordningen om å gi informasjon til offentlige organer som skal dele beskyttede data, og til små- og mellomstore bedrifter som skal viderebruke disse dataene.

15.5.3 Høringsinstansenes syn

Et fåtall av høringsinstansene uttalte seg om det sentrale informasjonspunktet. Dette inkluderer Sikt - Kunnskapssektorens tjenesteleverandør, HelseOmsorg21-rådet, Direktoratet for forvaltning og økonomistyring (DFØ), Digitaliseringsdirektoratet (Digdir), Arkivverket og Arkivforbundet. Flertallet av disse høringsinstansene mener at data.norge.no er det naturlige utgangspunktet for det sentrale informasjonspunktet slik det er regulert i artikkel 8 i forordningen. Arkivforbundet ønsker at digitalarkivet også vurderes.

DFØ skriver:

«Når det gjelder utvalgets forslag om organisering av ansvaret for single point of access og single information point virker det ut fra utredningen rimelig at dette legges til Digitaliseringsdirektoratet. Slik vi forstår utredningen, vil det være en videreføring av Digitaliseringsdirektoratets ansvar for Datanorge.no. Det vil også bygge opp under Digitaliseringsdirektoratet som den sentrale myndigheten for videreutvikling og pådriver for digitalisering av offentlig sektor i Norge. Dette kan styrke mulighetene for videreutvikling og koordinering av helt sentrale oppgaver innen digitaliseringsfeltet.»

15.5.4 Departementets vurderinger

Departementet foreslår ingen forskriftshjemmel knyttet til utnevning av det sentrale informasjonspunktet. Lovforslaget fra utvalget inkluderte en forskriftshjemmel om å regulere detaljer om det sentrale informasjonspunktet i forskrift. Departementet foreslår at utnevningen skjer administrativt gjennom tildelingsbrev eller instruks, og vil derfor ikke omtale valget av sentralt informasjonspunkt nærmere i denne proposisjonen.

15.6 Tilsyn

15.6.1 Tilsynsorgan for dataformidlingstjenester – omtale i dataforvaltningsforordningen

Dataforvaltningsforordningen artikkel 13 stiller krav om at det utpekes ett eller flere uavhengige nasjonale tilsynsorganer. Forordningen bruker begrepet «vedkommende myndigheter». Tilsynsorganet(ene) for dataformidlingstjenester skal ha en overvåkings- og kontrollfunksjon overfor dataformidlingstjenester etter forordningen kapittel III.

En dataformidlingstjeneste er definert i forordningen artikkel 2 nr. 11 som en tjeneste med mål om å opprette handelsforbindelser med sikte på datadeling, mellom et ubestemt antall registrerte personer eller datainnehavere på den ene siden og databrukere på den andre siden. Det kan både være private aktører og offentlige aktører som tilbyr denne typen tjenester. Hensikten er å skape tillit til dataformidling, og gjøre det enklere og tryggere for virksomheter og enkeltpersoner å dele data. Til forskjell fra kapittel II av forordningen som gjelder deling av data fra offentlige organer for viderebruk, kan dataformidlingstjenester også omfatte deling av data fra private sektor, samt deling fra privat til privat, eller fra privat til offentlig sektor.

Det innføres flere krav til dataformidlingstjenester i kapittel III av forordningen. For eksempel kan ikke tilbyderen av dataformidlingstjenesten(e) selv bruke data de formidler til andre formål enn å stille dem til rådighet for databrukere. Dataformidlingstjenesten skal kun være et mellomledd. Det kan tilbys verktøy og andre tilleggstjenester for å gjøre datadeling enklere, slik som midlertidig lagring, kuratering, pseudonymisering og anonymisering.

Dataformidlingstjenester kan videre bestå av bilateral eller multilateral datadeling, eller opprettelse av plattformer og databaser som legger til rette for deling av data. Dataformidlingstjenester som tilbyr tjenester til registrerte personer skal hjelpe disse med å håndheve sine rettigheter, og sikre at de ikke oppfordres til å tilgjengeliggjøre mer data for viderebruk enn det som er i deres interesse.

Forordningen setter vilkår for å tilby dataformidlingstjenester, herunder tjenester fra datakooperativer. Datakooperativer er en spesiell type organisasjon for personer, enkeltpersonsforetak og/eller SMB-er som har som hovedformål å støtte sine medlemmer i å utøve egne rettigheter til data.

Virksomheter som skal tilby dataformidlingstjenester må notifiseres, det vil si godkjennes i henhold til kravene framsatt i dataforvaltningsforordningen. Notifiseringen skal utføres av det nasjonale tilsynet for denne type tjenester.

Etter artikkel 29 nr. 1 av forordningen vil representant(er) fra tilsynsorganet få plass i det europeiske datainnovasjonsrådet («European Data Innovation Board» eller EDIB). Norge vil delta i rådet uten stemmerett, jf. EØS-komitebeslutning 307/2025 artikkel 2 andre ledd bokstav e.

15.6.2 Tilsynsorgan for registrering av dataaltruismeorganisasjoner – omtale i dataforvaltningsforordningen

En dataaltruismeorganisasjon er en juridisk person som oppfyller kravene i forordningen artikkel 18. Det går hovedsakelig ut på at organisasjonen skal utføre såkalte «altruistiske aktiviteter» med henblikk på å oppfylle allmennyttige formål. Virksomheten skal ikke ha økonomisk fortjeneste som formål, og oppgaver knyttet til dataaltruisme må være adskilt fra eventuelle andre aktiviteter virksomheten har som har økonomisk fortjeneste som formål. Det er så langt kun etablert tre slike organisasjoner i Europa. En av disse er European Brain Data Hub i Belgia. Organisasjonen arbeider med innsamling, behandling og tilgjengeliggjøring av helsedata som er relevante for mental helse og hjernehelse, til bruk for formål av allmenn interesse.

Videre er det krav til åpenhet, og at rettighetene til de registrerte og datainnhavere blir ivaretatt på en god måte. Dette innebærer for eksempel at registrerte og datainnhavere må gis nødvendig informasjon om hvordan deres data vil bli brukt. Det stilles også sikkerhetskrav for lagring og behandling av data.

Artikkel 23 av forordningen krever at det utpekes en nasjonal tilsynsfunksjon med ansvar for å overvåke og kontrollere at registreringen av dataaltruismeorganisasjoner etterlever kravene i kapittel IV av forordningen. Tilsynsfunksjonen skal også forvalte et nasjonalt register over anerkjente dataaltruismeorganisasjoner. Det er en føring at tilsynet skal koordinere med Datatilsynet når det gjelder bruk av personopplysninger og ellers med andre relevante sektormyndigheter, jf. artikkel 23 nr. 3.

Etter artikkel 29 nr. 1 av forordningen vil representant(er) fra tilsynsorganet få plass i det europeiske datainnovasjonsrådet («European Data Innovation Board» eller «EDIB»). Norge vil delta i rådet uten stemmerett med representant fra de som blir tildelt rollen som nasjonalt tilsyn for dataformidlingstjenester og tilsyn for registrering av dataaltruismeorganisasjoner, se EØS-komitebeslutning 307/2025 artikkel 2 andre ledd bokstav e.

15.6.3 Krav til tilsynsorganer i dataforvaltningsforordningen

Dataforvaltningsforordningen artiklene 13 og 26 stiller krav til nasjonale vedkommende myndigheter (tilsyn). Kravene i artikkel 26 gjelder både for tilsyn for dataformidlingstjenester og tilsyn for dataaltruismeorganisasjoner, jf. artikkel 13. Disse tilsynsorganene skal utføre sine oppgaver upartisk, gjennomsiktig, konsekvent, pålitelig og rettidig.

Artikkel 27 har regler om klage, og artikkel 28 har regler om effektive rettsmidler.

Tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner skal være juridisk atskilt fra og funksjonelt uavhengige av alle tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner. Funksjonene til tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner kan utføres av den samme myndigheten. Medlemsstatene kan enten opprette én eller flere myndigheter eller benytte eksisterende strukturer, jf. artikkel 26 nr. 1.

Etter artikkel 26 nr. 2 så skal tilsynsmyndighetene utføre sine oppgaver på en upartisk, gjennomsiktig, konsekvent, pålitelig og rettidig måte og skal ved utførelsen av sine oppgaver sikre rettferdig konkurranse og ikke-diskriminering.

Den øverste ledelsen og personalet som har ansvar for å utføre de relevante oppgavene hos tilsynsmyndighetene, kan ikke være utvikler, produsent, leverandør, installatør, kjøper, eier, bruker eller vedlikeholder av tjenestene de evaluerer, og de kan heller ikke være juridisk representant for noen av disse partene eller representere dem. Etter artikkel 26 nr. 3 utelukker ikke dette bruk av evaluerte tjenester som er nødvendige for myndighetens aktiviteter, eller bruk av slike tjenester til personlige formål.

Artikkel 28 fastsetter at det skal finnes «klageadgang via et upartisk organ med nødvendig ekspertise.»

15.6.4 Utvalgets forslag

Utvalget utredet ikke spørsmålet om plassering av tilsynsfunksjonene på nasjonalt nivå. De ga kun noen overordnede betraktninger og vurderinger, som at det kan være hensiktsmessig å legge den nasjonale tilsynsmyndigheten til et eksisterende tilsynsorgan av ressurshensyn. Det samme hensynet tilsier at begge tilsynsfunksjoner bør legges til samme organ. Dette har også blitt gjort i de fleste EU-landene, inkludert Danmark, Finland og Sverige.

Utvalget vektla også at endrede og nye krav i et økende antall EU-regelverk på det digitale området (som vil gjelde for Norge gjennom EØS-avtalen), taler for en mer helhetlig gjennomgang av den nasjonale tilsynsorganiseringen på det digitale området. Både dataforordningen (Data Act), forordningen om digitale tjenester (Digital Services Act) og forordningen om kunstig intelligens (Artificial Intelligence Act eller KI-forordningen) inneholder krav til etablering av en tilsynsfunksjon med omtrent det samme kompetansebehovet.

Utvalget anbefalte at den videre utredningen av plassering av tilsynsfunksjon for dataformidlingstjenester og registrering av dataaltruismeorganisasjoner skulle se hen til det pågående arbeidet med å organisere tilsyn etter KI-forordningen og forordningen om digitale tjenester (Digital Services Act).

15.6.5 Høringsinstansenes syn

I høringen av NOU-en fra utvalget, ba departementet særskilt om innspill til tilsynsrollene etter dataforvaltningsforordningen. Et flertall av høringsinstansene støttet utvalgets forslag om at begge tilsynsfunksjonene legges til ett og samme organ, og at man bygger på eksisterende strukturer i stedet for å opprette et nytt organ. Blant disse var Abelia, Digitaliseringsdirektoratet (Digdir), Innlandet fylkeskommune, Buskerud fylkeskommune, Sikt - Kunnskapssektorens tjenesteleverandør og Statistisk sentralbyrå (SSB).

Mange høringsinstanser uttalte også at de støttet utvalgets forslag om en mer helhetlig vurdering av tilsynsroller på digitaliseringsområdet. Dette inkluderer blant annet Abelia, Arbeids- og velferdsdirektoratet (NAV), Norsk Presseforbund, Norsk Journalistlag, Norsk Redaktørforening, Mediebedriftenes Landsforening, Landbruksdirektoratet, Norges teknisk-naturvitenskapelige universitet (NTNU), Stavanger kommune og Universitetet i Oslo.

Flere høringsinstanser kom også med konkrete forslag til aktuelle kandidater for rollen som tilsyn for både dataformidlingstjenester og tilsyn for registrering av dataaltruismeorganisasjoner. Arkivforbundet foreslo Digitalarkivet, Buskerud fylkeskommune foreslo Datatilsynet, Jernbanedirektoratet, Statens kartverk og Sikt - Kunnskapssektorens tjenesteleverandør foreslo Digitaliseringsdirektoratet. Dette ble begrunnet med henvisninger til de forskjellige aktørenes kompetanse og eksisterende oppgaver. Traq AS mener at eier av tilsynet ikke også bør utvikle løsninger i markedet.

15.6.6 Departementets vurderinger

Departementet slutter seg til utvalgets vurderinger og flere av høringsinstansenes syn på hvilke hensyn som bør vektlegges ved plasseringen av tilsynsfunksjonene etter forordningen. Departementet er særlig enig med høringsinstansene og utvalget i at begge tilsynsrollene bør legges til et og samme organ. Forordningen presiserer også at dette er en mulig løsning, jf. forordningen artikkel 26 nr. 1.

Rollen som tilsynsmyndighet for dataformidlingstjenester vil blant annet innebære å ha oversikt over og kontrollere hvorvidt dataformidlingstjenestetilbydere oppfyller kravene i kapittel III av forordningen. Tilsynsmyndigheten for dataformidlingstjenester etter forordningen vil få ansvar for å sikre at meldeprosedyren for dataformidlingstjenester er ikke-diskriminerende og ikke-konkurransevridende. Denne rollen vil innebære en produkttilsynsfunksjon.

Departementet mener det ikke er hensiktsmessig å navngi tilsynsmyndigheten i lov og mener at slik utpeking egner seg bedre i forskrift. Departementet foreslår derfor at bestemmelser om plassering av tilsynsfunksjon og om hvem som er klageorgan ved klage på tilsynsmyndighetens vedtak kan fastsettes i forskrift, jf. departementets forslag §§ 7 og 8.

Artikkel 28 fastsetter at det skal finnes «klageadgang via et upartisk organ med nødvendig ekspertise». Det følger av forvaltningsloven at enkeltvedtak kan påklages til det forvaltningsorgan som er nærmest overordnet det forvaltningsorganet som har truffet vedtaket, jf. forvaltningsloven § 28. For vedtak truffet av kommuner eller fylkeskommuner er klageinstans vanligvis kommunestyret eller fylkestinget.

Spørsmålet er om forvaltningslovens bestemmelser om klage innebærer «klageadgang via et upartisk organ med nødvendig ekspertise» etter dataforvaltningsforordningen artikkel 28. Departementet mener at det at et organ er overordnet et annet ikke nødvendigvis gjør det overordnede organet «upartisk». Flere rettsakter fra EU krever at klageorganer skal være «uavhengige» eller lignende. Departementet er av den oppfatning at «upartisk» derfor ikke krever uavhengighet. Departementet kan derfor heller ikke se at anvendelse av allerede eksisterende regler om hvem som er klageinstans over forvaltningens avgjørelser vil være i strid med forordningens krav om en upartisk klageinstans. Forvaltningsrettslige regler om inhabilitet, forsvarlig saksbehandling med videre vil også gjelde.

15.7 Sanksjoner og betaling mv.

15.7.1 Sanksjoner – omtale i forordningen og utvalgets forslag

Dataforvaltningsforordningen inneholder enkelte bestemmelser om sanksjoner og andre administrative regler.

Medlemsstatene skal fastsette regler om sanksjoner som får anvendelse ved overtredelse av:

  • forpliktelsene vedrørende overføring av andre data enn personopplysninger til tredjeland i samsvar med artikkel 5 nr. 14 og artikkel 31,

  • plikten tilbydere av dataformidlingstjenester har til å levere melding i samsvar med artikkel 11,

  • vilkårene for å levere tjenester i samsvar med artikkel 12, og

  • vilkår for registrering som en anerkjent dataaltruismeorganisasjon i samsvar med artiklene 18, 20, 21 og 22.

Sanksjonene skal være virkningsfulle, stå i forhold til overtredelsen og virke avskrekkende, jf. artikkel 34 nr. 1 første og andre punktum.

Medlemsstatene skal i sine regler om sanksjoner ta hensyn til anbefalingene fra Det europeiske datainnovasjonsråd.

Medlemsstatene skal ved overtredelse av forordningen ta hensyn til følgende ikke-uttømmende og veiledende kriterier for ilegging av sanksjoner mot tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner, jf. artikkel 34 nr. 2:

  • Overtredelsens art, alvorlighetsgrad, omfang og varighet.

  • Eventuelle tiltak truffet av tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen for å begrense eller avhjelpe skaden som overtredelsen har forårsaket.

  • Eventuelle tidligere overtredelser begått av tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen.

  • De økonomiske fordelene som tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen har oppnådd, eller tapet som er unngått, som følge av overtredelsen, i den grad slike fordeler eller tap kan fastslås på pålitelig vis.

  • Eventuelle andre skjerpende eller formildende omstendigheter i saken.

Utvalget mener at det vil være behov for å fastsette regler på nasjonalt nivå for sanksjoner etter forordningen. Utredningen fra utvalget foreslo imidlertid ikke hvordan denne delen av forordningen skulle gjennomføres.

15.7.2 Betaling for tilgang til beskyttede data – omtale i forordningen og utvalgets forslag

Artikkel 6 har bestemmelser om betaling for tilgang til beskyttede data.

Offentlige organer som tillater viderebruk av beskyttede data, kan kreve betaling for dette. Slike betalingssatser skal være ikke-diskriminerende, forholdsmessige og objektivt begrunnede og skal ikke begrense konkurransen, jf. artikkel 6 nr. 1 og 2. Videre etter artikkel 6 nr. 5 så skal betalingssatsene beregnes på grunnlag av kostnadene forbundet med å behandle krav om data for viderebruk, og begrenses til de nødvendige kostnadene som påløper for:

  • reproduksjon, utlevering og formidling av data,

  • klarering av rettigheter,

  • anonymisering eller andre former for bearbeiding av personopplysninger og kommersielt fortrolige data,

  • opprettholdelse av et sikkert behandlingsmiljø,

  • oppnåelse av retten til å tillate viderebruk fra tredjeparter utenfor offentlig sektor, og

  • bistand til viderebrukere med å innhente samtykke fra de registrerte og tillatelse fra datainnehavere hvis rettigheter og interesser kan bli berørt av slik viderebruk.

Kriteriene og metoden for beregning av betalingssatsene skal fastsettes av medlemsstatene og offentliggjøres. Det offentlige organet skal offentliggjøre en beskrivelse av de viktigste kostnadskategoriene og reglene som er brukt til fordeling av kostnadene, jf. artikkel 6 nr. 6.

Det fremgår av artikkel 6 nr. 3 at eventuelle betalingssatser skal kunne betales på nettet via allment tilgjengelige betalingstjenester over landegrensene, uten forskjellsbehandling basert på hvor yteren av betalingstjenesten er etablert, hvor betalingsinstrumentet er utstedt eller hvor betalingskontoen befinner seg.

Offentlige organer som krever betaling, skal treffe tiltak for å stimulere til viderebruk for ikke-kommersielle formål som vitenskapelig forskning, og for små og mellomstore bedrifter og nyetablerte foretak, i samsvar med reglene for statsstøtte. Offentlige organer kan i den forbindelse gjøre dataene tilgjengelige rabattert eller gratis, særlig for små og mellomstore bedrifter og nyetablerte foretak, sivilsamfunnet og utdanningsinstitusjoner. Offentlige organer kan for dette formålet opprette en liste over kategorier av viderebrukere som data kan gjøres tilgjengelig for rabattert eller gratis. Denne listen skal etter artikkel 6 nr. 4 offentliggjøres sammen med kriteriene som er benyttet for å opprette den.

Av fortalepunkt 25 framgår det at «vitenskapelige forskningsformål» i denne sammenheng omfatter alle typer forskningsrelaterte formål uavhengig av hvilken organisatorisk eller økonomiske struktur den enkelte forskningsinstitusjon har. Dette omfatter imidlertid ikke forskning som drives av en virksomhet med sikte på å utvikle, forbedre eller optimalisere produkter eller tjenester.

Utvalget foreslo ingen særskilt nasjonal regulering knyttet til forordningens bestemmelser om betaling.

15.7.3 Høringsinstansenes syn

Ingen høringsinstanser hadde merknader til punktene om sanksjoner eller betaling etter dataforvaltningsforordningen.

15.7.4 Departementets vurderinger

Departementet foreslår en hjemmel for Kongen til å gi forskrift om fastsettelse av sanksjoner i henhold til forordningen artikkel 34, og til å fastsette kriterier og metode for beregning av betalingssatser i henhold til artikkel 6 nr. 6. Se lovforslaget § 8.

15.8 Krav om viderebruk av beskyttede data og klageadgang

15.8.1 Forordningen

Artikkel 9 omfatter bestemmelser om saksbehandling og klage. Det relevante offentlige organet som besitter de aktuelle beskyttede dataene eller det vedkommende organet skal ta stilling til anmodninger om viderebruk av beskyttede data innen to måneder etter datoen da anmodningen ble mottatt, med mindre det er fastsatt kortere frister i samsvar med nasjonal rett. Ved særdeles omfattende og komplekse anmodninger kan denne perioden utvides med høyst 30 dager. I slike tilfeller skal søkeren underrettes så snart som mulig om at det kreves mer tid til å behandle anmodningen sammen med en begrunnelse for dette, jf. artikkel 9 nr. 1.

Enhver som påvirkes direkte av en beslutning i samsvar med nr. 1, skal ha en effektiv klageadgang i den medlemsstaten der det relevante organet befinner seg. Klageretten skal være fastsatt i nasjonal rett og omfatte muligheten til prøving ved en upartisk klageinstans med nødvendig ekspertise, for eksempel nasjonal konkurransemyndighet, relevant myndighet for dokumenttilgang, tilsynsmyndigheten opprettet i samsvar med GDPR eller en nasjonal tvistemyndighet, hvis beslutninger er bindende for det berørte offentlige organet eller for vedkommende organ, jf. artikkel 9 nr. 2.

Artikkel 28 omfatter bestemmelser om rett til effektive rettsmidler. Det innebærer blant annet at berørte fysiske og juridiske personer har rett til effektive rettsmidler med hensyn til juridisk bindende beslutninger fattet av tilsynsorganene for dataformidlingstjenester og for registrering av dataaltruismeorganisasjoner.

15.8.2 Høringsinstansenes syn

Ingen høringsinstanser hadde merknader til artikkel 9 i dataforvaltningsforordningen.

15.8.3 Departementets vurderinger

Departementetmener det ikke er hensiktsmessig å særskilt regulere artikkel 9 i nasjonal lovgivning. Dataforvaltningsforordningen artikkel 9 fastsetter at den som direkte påvirkes av en beslutning om viderebruk etter artikkel 9 nr. 1 skal ha en effektiv klageadgang. Klageretten skal være fastsatt i nasjonal rett. Videre skal den omfatte muligheten til prøving av en upartisk klageinstans.

Det følger av forvaltningsloven at enkeltvedtak kan påklages til det forvaltningsorgan som er nærmest overordnet det forvaltningsorganet som har truffet vedtaket, jf. forvaltningsloven § 28. For vedtak truffet av kommuner eller fylkeskommuner er klageinstans vanligvis kommunestyret eller fylkestinget. Departementet mener at klageretten etter forvaltningsloven dekker kravet i dataforvaltningsforordningen om at klageretten skal være fastsatt i nasjonal rett.

Spørsmålet er videre om det forvaltningsorgan som er nærmest overordnet det forvaltningsorganet som har truffet vedtaket er «en upartisk klageinstans» etter dataforvaltningsforordningen. Departementet mener at det at et organ er overordnet et annet ikke nødvendigvis gjør det overordnede organet «upartisk». Flere rettsakter fra EU krever at klageorganer skal være uavhengige. Departementet er av den oppfatning at «upartisk» derfor ikke krever uavhengighet. Departementet kan derfor ikke se at anvendelse av allerede eksisterende regler om hvem som er klageinstans over forvaltningens avgjørelser vil være i strid med forordningens krav om en upartisk klageinstans. Forvaltningsrettslige regler om inhabilitet, forsvarlig saksbehandling med videre vil også gjelde.

På denne bakgrunn foreslår ikke departementet regulering i loven av klageretten og hvem som er klageinstans etter forordningen artikkel 9. Departementet foreslår imidlertid at Kongen kan gi forskrift om klage og klageorgan, jf. forslaget § 8.

Departementet anser forordningen artikkel 28 nr. 1 om rett til effektive rettsmidler som ivaretatt ved at berørte fysiske og juridiske personer kan fremme sine interesser for norske domstoler.

15.9 Det europeiske datainnovasjonsrådet

15.9.1 Forordningen

Kapittel VI av dataforvaltningsforordningen angir i artikkel 29 og 30 bestemmelser om et europeisk datainnovasjonsråd. EU-kommisjonen skal opprette et europeisk datainnovasjonsråd i form av en ekspertgruppe bestående av representanter fra tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner i alle medlemsstatene. Det europeiske personvernrådet, Det europeiske datatilsynet, ENISA (Den europeiske unions kontor for cybersikkerhet), EU-kommisjonen, EUs representanter for små og mellomstore bedrift (SMB-representanter) eller en representant utpekt av nettverket av SMB-representanter, og andre representanter for relevante organer i spesifikke sektorer, samt organer med særlig ekspertise skal også være representert.

Når EU-kommisjonen utpeker de enkelte ekspertene, skal det etterstrebes å oppnå en jevn geografisk fordeling og fordeling mellom kjønnene, jf. artikkel 29 nr. 1.

Datainnovasjonsrådets oppgaver fremgår av dataforvaltningsforordningen artikkel 30. Disse kan sammenfattes slik:

  • Gi råd til, og bistå EU-kommisjonen med å utarbeide:

    • En konsekvent praksis for offentlige organer og vedkommende organer som behandler anmodninger om viderebruk av data.

    • En konsekvent praksis for dataaltruisme i hele Unionen.

    • Saksbehandling hos tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner.

    • Konsekvente retningslinjer for hvordan man innenfor rammen av forordningen best kan verne andre sensitive data enn personopplysninger mot ulovlig tilgang som kan føre til tyveri av immaterielle rettigheter eller industrispionasje.

    • Konsekvente retningslinjer for cybersikkerhetskrav ved utveksling og lagring av data.

  • Gi råd til EU-kommisjonen om prioriteringen av tverrsektorielle standarder som skal brukes og utvikles for databruk. Rådet skal særlig hensynta innspill fra standardiseringsorganisasjoner.

  • Bistå EU-kommisjonen med å håndtere oppsplitting av det indre marked og dataøkonomien i det indre marked ved å styrke datasamvirkningsevnen på tvers av landegrenser og sektorer.

  • Foreslå retningslinjer for felles europeiske dataområder.

15.9.2 Høringsinstansenes syn

Ingen høringsinstanser hadde merknader om det europeiske datainnovasjonsrådet.

15.9.3 Departementets vurderinger

Forordningen åpner ikke for nasjonalt handlingsrom når det gjelder det europeiske datainnovasjonsrådet. Departementet foreslår derfor ingen nasjonale regler i tilknytning til rådet.

Departementet vurderer at opprettelsen av det europeiske datainnovasjonsrådet på EU-nivå har viktige funksjoner for å sikre harmonisert etterlevelse av forordningen og datapolitikken. Derfor er det viktig at Norge er varig representert der det er mulig. I samsvar med etablert praksis vil Norge delta i datainnovasjonsrådet og relevante undergrupper som observatør med talerett, men uten stemmerett, jf. EØS-komitébeslutning 307/2025 artikkel 2 bokstav e.

15.10 Delegert myndighet til å vedta utfyllende rettsakter

15.10.1 Forordningen

Dataforvaltningsforordningen artikkel 32 og 33 har bestemmelser om EU-kommisjonens hjemmel til å vedta delegerte rettsakter (gjennomføringsrettsakter).

EU-kommisjonen gis myndighet til å vedta delegerte rettsakter nevnt i artikkel 5 nr. 13 og artikkel 22 nr. 1 for en ubegrenset periode fra 23. juni 2022, jf. artikkel 32 nr. 1 og 2.

Før EU-kommisjonen vedtar en delegert rettsakt, skal den rådspørre sakkyndige utpekt av hver medlemsstat i samsvar med prinsippene i den tverrinstitusjonelle avtalen av 13. april 2016 om bedre regelverksutforming, jf. artikkel 32 nr. 4.

Så snart EU-kommisjonen vedtar en delegert rettsakt, skal den underrette Europaparlamentet og Rådet, jf. artikkel 32 nr. 5.

En delegert rettsakt vedtatt i henhold til artikkel 5 nr. 13 eller artikkel 22 nr. 1 skal bare tre i kraft dersom verken Europaparlamentet eller Rådet har gjort innsigelse mot rettsakten innen tre måneder etter at rettsakten ble meddelt Europaparlamentet eller Rådet, eller dersom Europaparlamentet og Rådet innen fristen har underrettet EU-kommisjonen om at de ikke kommer til å gjøre innsigelse. Fristen forlenges med tre måneder på Europaparlamentets eller Rådets initiativ, jf. artikkel 32 nr. 6.

EU-kommisjonen skal bistås av en komité som definert i forordning (EU) 182/2011 om generelle regler for hvordan medlemsstatene kontrollerer EU-kommisjonens hjemmel til å gi gjennomføringsrettsakter, jf. artikkel 33:

  • Når det vises til artikkel 33 nr. 2, får artikkel 4 om rådgivningsprosedyren i nevnte forordning anvendelse. Dette innebærer at komitéen skal avgi en uttalelse. Dersom det er nødvendig med avstemning, skjer vedtak med alminnelig flertall blant komitéens medlemmer. EU-kommisjonen skal deretter fatte vedtak om rettsakten som i størst mulig grad tar hensyn til konklusjonene fra komitéens drøftinger og uttalelser.

  • Når det vises til artikkel 33 nr. 3, får artikkel 5 om undersøkelsesprosedyren i nevnte forordning anvendelse. Dette innebærer at komiteen iverksetter en undersøkelsesprosedyre, som hvis den ender med positivt vedtak eller ikke noe vedtak, innebærer at EU-kommisjonen kan vedta rettsakten. Hvis den derimot ender med negativt vedtak, skal rettsakten ikke iverksettes, og det igangsettes en omfattende prosess for avklaring og eventuell vedtakelse av en endret rettsakt.

15.10.2 Utvalgets forslag

Utvalget forslår ikke hvordan delegerte rettsakter vedtatt av EU-kommisjonen med hjemmel i dataforvaltningsforordningen bør gjennomføres i norsk rett.

15.10.3 Høringsinstansenes syn

Ingen høringsinstanser hadde merknader om delegerte rettsakter eller hjemmel til å gjennomføre de etter dataforvaltningsforordningen.

15.10.4 Departementets vurderinger

Departementet foreslår at det gis hjemmel i lov til å gi forskrift om gjennomføring av fremtidige delegerte rettsakter fra EU-kommisjonen. I henhold til norsk lovgivningstradisjon, foreslår departementet at slike rettsakter gjennomføres som forskrifter etter loven som gjennomfører forordningen, se lovforslaget § 6 andre ledd. Hjemmelen omfatter også gjennomføringsrettsakter som endrer selve dataforvaltningsforordningen.

Neste kapittel
Forrige kapittel