Personvernforordning

Forordning om beskyttelse av individer ved behandling av personopplysninger og om fri flyt av slike opplysninger (generell personvernforordning)

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 27.08.2014

Spesialutvalg: Kommunikasjoner

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Justis- og beredskapsdepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester

Kapittel i EØS-avtalen:

Status

Kommisjonen fremsatte i januar 2012 forslag til reform av EUs personvernregler. Kommisjonen foreslo to nye regelverk: en forordning om beskyttelse av personopplysninger generelt og et direktiv for myndighetenes behandling av person­opplysninger i politi- og straffesektoren. Forordningen erstatter gjeldende personvern­direktiv 95/46/EF («95 direktivet») som er inntatt i EØS-avtalen og gjennomført i personopplysningsloven. Direktivet erstatter en rammebeslutning fra 2008 som er gjennomført i politiregisterloven.

Forordningen er ansett EØS-relevant, men ikke Schengen-relevant. Direktivet er kun ansett Schengen-relevant og omtales ikke videre i dette EØS-notatet.

Forordningen ble formelt vedtatt i EU i 27. april 2016. Forordningen begynner å gjelde i EU 25. mai 2018, som er 2 år og 20 dager etter publikasjon i Official Journal, jf. forordningens artikkel 99 (1). Norge og de andre EØS/EFTA-landene vil ha samme gjennomføringsfrist dersom ikke annet fastsettes ved innlemmelse i EØS-avtalen.

Sammendrag av innhold

Forordningens formål er å sørge for en god beskyttelse av personopplysninger samtidig som personopplysninger skal kunne utveksles fritt innenfor EØS-området.

Forordningen opphever og erstatter direktivet om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (direktiv 95/46/EF), heretter 95-direktivet. 95-direktivet er gjennomført i norsk rett gjennom lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven).

Forordningsformen innebærer full harmonisering av personvernreglene i EU/EØS. Dette innebærer at det i utgangspunktet ikke er adgang til å fravike reglene og heller ikke til å gi supplerende regler. Imidlertid åpner forordningen selv for at det kan gis nasjonale regler i enkelte tilfeller.

Forordningen viderefører mange av prinsippene og reglene i det gjeldende direktivet, men innfører samtidig en del nye regler som innebærer eller nødvendiggjør endringer i norsk rett. De viktigste nye reglene er:

  • Det innføres en rett for den registrerte til på nærmere vilkår å få overført person­opplys­ninger om en selv til alternative tilbydere av en tjeneste (rett til dataporta­bilitet).
  • Konsesjons- og meldeplikten bortfaller i all hovedsak og erstattes med regler om risikovurdering og dokumentasjonsplikt..
  • Virksomheter får utvidete plikter, herunder til å informere om hvordan virksom­heten behandler personopplysninger, til å utrede person­vern­konse­kvenser ved tiltak som utgjør en stor risiko for personvernet og til å varsle om sikkerhets­brudd.
  • De nasjonale tilsynsmyndighetene (Datatilsynet i Norge) gis nye verktøy for sanksjonere brudd på regelverket, herunder myndighet til å ilegge bøter på inntil 20 millioner euro, eller der det gjelder et selskap, inntil 4% av selskapets årlige omsetning på verdensbasis.
  • Det innføres en såkalt «one-stop-shop»-ordning som innebærer at virksomheten kun skal behøve å forholde seg til én tilsynsmyndighet innenfor EØS-området. Det er som hovedregel tilsynsmyndigheten i den EØS-staten virksomheten har hovedkontor som skal behandle klager mot virksomheten, selv om klagen er sendt til tilsynsmyndighet i en annen stat. Den kompetente tilsynsmyndigheten har plikt til å samarbeide med andre berørte nasjonale tilsynsmyndigheter.
  • Det opprettes en sentral europeisk tilsynsmyndighet, European Data Protection Board (EDPB), som skal bestå av representanter fra nasjonale tilsynsmyndig­heter. Tilsyns­myndighetens hovedoppgave vil være å utstede retningslinjer om anvendelsen av personvernforordningen og underliggende regelverk, gi uttalelser til Kommisjonen om forslag til nytt regelverk, samt informere om dommer og uttalelser som angår forordningen. EDPB vil også ha kompetanse til å avgjøre tvister mellom nasjonale tilsyns­myndigheter med bindende virkning og skal gi uttalelser om visse typer nasjonalt regelverk.

Norges deltakelse i forhandlingene i EU

Etter EØS-avtalen har Norge ikke anledning til å delta i Rådets behandling av retts­akter. Som følge av mulig Schengen-relevans av deler av forordningen da forslaget ble fremmet, har Norge likevel under hele prosessen i EU fått delta i Rådets forhandlinger på arbeidsgruppenivå, og i en viss utstrekning også på justisrådnivå. Norge har i disse møtene fremmet norske posisjoner til forordningen. Denne prosessen ble avsluttet da trilogforhandlingene ble sluttført høsten 2015.

Under forhandlingene i EU har Norges posisjon vært å gå imot forslag som bidrar til å senke den enkeltes personvern i forhold til dagens norske beskyttelsesnivå, og har argumentert for dette med utgangspunkt i personopplysningsloven. Samtidig har det vært viktig for Norge at regelverket ikke skal legge unødvendige byrder på nærings­livet, særlig på små og mellomstore bedrifter. Norge har derfor gått inn for en balansert tilnærming, der det avgjørende er å sikre individets rettigheter samtidig som nærings­livets behov for et praktisk anvendbart og kostnadseffektivt regelverk ivaretas.

Sakkyndige instansers merknader

Kommisjonens forslag til forordning ble sendt på alminnelig høring med høringsfrist 15. juni 2012. Justis- og beredskapsdepartementet mottok en rekke høringsuttalelser og har sett hen til disse ved utformingen av de norske posisjonene under forhandlingene i EU. Det har vært opprettet en egen referansegruppe som har jobbet med å utvikle norske posisjoner til regelverket, bestående av berørte departementer og Datatilsynet.

Høringsinstansene støttet gjennomgående opp under målsetningen om et mer harmonisert regelverk i EU/EØS. En rekke høringsinstanser uttrykte også et positivt syn på økte informasjonsrettigheter og de nye rettighetene for de registrerte, samtidig som flere høringsinstanser uttrykte bekymring for at de registrertes rettigheter ville kunne få uønskede konsekvenser på deres områder, særlig retten til bli glemt. Flere instanser hadde også et kritisk syn på rekkevidden av Kommisjonens delegerte myndighet, samt det foreslåtte nivået på sanksjoner for brudd på forordningen

Gjennomføring i norsk rett

Arbeidet med å gjennomføre forordningen i norsk rett ledes av Justis- og beredskaps­departementet i samarbeid med Kommunal- og moderniseringsdepartementet. Det er i denne forbindelse nedsatt en interdepartemental arbeidsgruppe bestående av berørte departementer og Datatilsynet.

Behandling i spesialutvalg

Forordningen behandles i spesialutvalget for kommunikasjoner.

Vurdering

Rettslige konsekvenser

Forordningen nødvendiggjør endringer i norsk lov og forskrift. I og med at det nye regelverket er gitt som en forordning, foreslår Justis- og beredskapsdepartementet å inkorporere forordningen i norsk lov gjennom en henvisningsbestemmelse.

Enkelte artikler i forordningen henviser til nasjonal rett og/eller gir et nasjonalt handlingsrom som nødvendiggjør utfyllende norske lovbestemmelser. Dessuten åpner forordningen for at enkelte av forordningens bestemmelser kan gjengis i lovgivningen dersom dette er nødvendig for sammenhenn i lovgivningen. Forordningen overlater til nasjonal rett å fastsette straffebestemmelser for overtredelse av personvernforord­ningen. Straffebestemmelsen i personopplysningsloven vil bli vurdert med henblikk på endringer/opphevelse. Særlovgivning med forskrifter må gjennomgås for å harmoniseres med forordningen. Justis- og beredskapsdepartementet tar sikte på å sende ut et høringsnotat om saken i løpet av sommeren 2017.

Under forhandlingene var det spørsmål om EUs personvernkomité (EDPB) ville få kompetanse til å fatte vedtak overfor enkeltpersoner/foretak. Dette ville i så tilfelle reise spørsmål om forholdet til Grunnloven § 115. Slik forordningen ble vedtatt, har EDPB kun adgang til å fatte vedtak som binder de nasjonale tilsynsmyndighetene. Forordningen reiser dermed ingen spørsmål om Grunnloven § 115.

Økonomiske og administrative konsekvenser

Forordningen vil, som følge av endrede forpliktelser i forhold til gjeldende rett, medføre enkelte økte administrative byrder for norsk næringsliv og for norske offentlige myndigheter som behandler personopplysninger. Samtidig vil forordningen også med­føre forenklinger, eksempelvis ved at dagens melde- og konsesjonsplikt i hovedsak ikke videreføres. Videre vil det bli enklere for norske aktører i nærings­livet å operere internasjonalt i EU/EØS med ett harmonisert europeisk regelsett å forholde seg til. Aktørene vil også i utgangspunktet bare forholde seg til en tilsyns­myndighet.

Forordningen artikkel 37 nr. 1 pålegger behandlings­ansvarlige og databehandlere plikt til å oppnevne personvern­ombud i tilfeller hvor behandlingen foretas av en offentlig myndighet eller et offentlig organ, unntatt domstoler som handler i deres egenskap av domstol. Det fremgår av forordningen artikkel 37 nr. 3 at flere offentlige myndig­heter/organer kan ha felles personvernombud, men forordningen presiserer ikke nøyaktig i hvilket omfang slik deling er tillatt. Det oppstår derfor spørsmål om f.eks. flere departementer, kommuner mv. kan ha felles personvernombud. For de offentlige aktører som ikke allerede har personvernombud, vil dette utgjøre en økonomisk og administrativ kostnad. Justis- og beredskapsdepartementet legger til grunn at kostnaden kan dekkes innenfor gjeldende budsjettrammer.

Forordningen legger opp til endringer i Datatilsynets oppgaver. På den ene side vil bortfall av konsesjons- og meldeplikt frigjøre ressurser for Datatilsynet. På den ande siden vil andre kontroll- og rådgivningsoppgaver øke. Departementene vil utrede de økonomiske og administrative konsekvensene for Datatilsynet nærmere i hørings- og proposisjonsarbeidet og eventuelt komme tilbake til budsjettbehovet i den ordinære budsjettprosessen.

Departementets vurdering

Etter Justis- og beredskapsdepartementets vurdering gir forordningen i hovedsak rom for å videreføre de sentrale prinsippene og reglene i gjeldende norsk personvern­lovgivning. Samtidig innebærer forordningen materielle endringer, både av grunn­leggende og mer detaljert art. Mange av disse endringene er nødvendige som følge av den teknologiske utviklingen og anses som en positiv utvikling på personvernområdet.

Et harmonisert regelverk i Europa vil motvirke uoversiktlig og ulik gjennomføring av personvernreglene i de ulike EU/EØS-landene, og styrke norske borgeres rettigheter i møte med europeiske aktører. Det vil også bli enklere for norsk næringsliv som opererer i EU/EØS-området å forholde seg til et mer harmonisert regelverk.

I forbindelse med innlemmelse av forordningen i EØS-avtalen vil Norge arbeide for å sikre deltakerrettigheter Personvernkomiteen (European Data Protection Board – «EDPB») og i Kommisjonens beslutningsprosess der Kommisjonen gis kompetanse etter forordningen.

EØS-relevans

Forordningen ligger innenfor EØS-avtalens saklige virkeområde og er en videreføring og endring av direktiv 95/46/EF som er implementert gjennom personopplysnings­loven og personopplysningsforskriften. Det er derfor ikke tvilsomt at forordningen er EØS-relevant. Det kan imidlertid reises spørsmål om EØS-relevansen av enkelte artikler, se nærmere om dette nedenfor.

Konstitusjonelt forbehold ved innlemmelse i EØS-avtalen

Forordningen nødvendiggjør lovendringer og innlemmelse i EØS-avtalen krever derfor Stortingets samtykke, jf. Grl. § 26 andre ledd. Det vil bli tatt konstitusjonelt forbehold ved innlemmelsen i EØS-avtalen.

Innholder informasjon unntatt offentlighet, jf. offl. § 20

Andre opplysninger

Nøkkelinformasjon

Institusjon: Parlament og Råd
Type rettsakt: Forordning
KOM-nr.: KOM(2012)0011
Rettsaktnr.: 2016/679
Basis rettsaktnr.:
Celexnr.: 32016R0679

EFTA-prosessen

Dato mottatt standardskjema: 04.05.2016
Frist returnering standardskjema: 24.08.2016
Dato returnert standardskjema:
EØS-relevant: Ja
Akseptabelt: Ja
Tekniske tilpasningstekster: Ja
Materielle tilpasningstekster: Ja
Art. 103-forbehold: Ja

Norsk regelverk

Endring av norsk regelverk: Ja
Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Fylker og kommuner

Berører fylker og kommuner i vesentlig grad.

Lenker