Fri flyt av ikke-personlige data

Kommisjonens forslag om fri flyt av ikke-personlige data

Proposal for a framework for the free flow of non-personal data in the European Union

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 25.01.2018

Spesialutvalg: Kommunikasjoner

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Kommunal- og moderniseringsdepartementet

Vedlegg/protokoll i EØS-avtalen:

Kapittel i EØS-avtalen:

Status

Rettsakten er publisert på Kommisjonen hjemmeside. Her finner man informasjon om lovgivningsforslaget, grunnlagsdokumenter, faktainformasjon og konsekvensutredningen av lovforslaget.

Forordningsforslaget vil bli diskutert videre i EFTAs arbeidsgruppe ECASIS (Working Group on Electronic Communication, Audiovisual Services and Information Society).

Rettsakten er under vurdering i EØS/EFTA-statene. Det er ikke utarbeidet en felles EFTA-posisjon.

Sammendrag av innhold

Kommisjonen har fremmet et forordningsforslag som introduserer prinsippet om fri flyt av ikke-personlige data i EU. En viktig barriere mot utviklingen av et digitalt indre marked, og en datadrevet økonomi i EU, er manglende datamobilitet. Nasjonale krav (regulatoriske og administrative) i medlemslandene, som begrenser muligheten til å lagre data utenfor landets grenser, er blant de største hindre for et digitalt indre marked. Formålet med forordningen er å fjerne nasjonale hindringer for fri flyt av ikke-personlige data i EU/EØS.

Det å kunne utveksle data fritt i EØS-området, innenfor rammene av et felles europeisk regelverk, er viktig for å sikre handel på tvers av landegrensene, særlig for digitale tjenester.

Artikkel 4(1) oppstiller et forbud mot nasjonale lokaliseringskrav med mindre det kan begrunnes ut i fra hensyn til offentlig sikkerhet. Oppbevaring og lagring av data skal ikke begrenses til et medlemsland, og tilsvarende skal lagring av data i et annet medlemsland ikke være forbudt eller være begrenset av nasjonale regler. Unntak fra prinsippet om fri flyt av data må være berettiget av hensyn til offentlig sikkerhet, slik dette hensynet er definert i EU-retten og særlig TFEU artikkel 52.

Begrepet "public security" er tolket av EU-domstolen og omfatter både intern og ekstern sikkerhet til et medlemsland, og offentlig sikkerhet f.eks. i forbindelse med kriminalitet. Etter beskrivelsen av unntaket i rådets posisjon synes terskelen for unntak å ligge høyt.

Etter at forordningen er trådt i kraft, får medlemslandene en frist på 12 måneder til å oppheve ubegrunnede datalokaliserings krav. Datalokaliseringskrav som landene mener er berettiget, ut i fra hensynet til offentlig sikkerhet, skal notifiseres til Kommisjonen med en begrunnelse. Nye lovforslag og endringer i eksisterende regler skal også notifiseres til kommisjonen, jf. artikkel 4(2).

Medlemslandene må lage en online oversikt over landets datalokaliseringskrav på et sentralt informasjonssted. Alle nasjonale restriksjoner skal av hensyn til åpenhet og forutsigbarhet publiseres, og Kommisjonen vil offentliggjøre lenkene til medlemslandenes informasjonssted.

Et viktig prinsipp i forordningen er å skape fri flyt av data uten at dette griper inn i myndighetens tilgang til data som er nødvendig for å utføre sine oppgaver.

Forordningen gjelder alle typer teknologisk behandling og lagring av data i vid forstand. Forordningen gjelder kun for ikke-personlige data og griper således ikke inn i EUs forordning om personvern (GDPR), e-Privacy directive eller Police Directive. Sammen skal forordningen om fri flyt av ikke-personlige data og EUs personvernforordning skape et omfattende og sammenhengende rettslig rammeverk som skal sikre fri fly av data i EU.

Det følger av rådets pressemelding at dersom datasett inneholder både personopplysninger og ikke-personopplysninger så vil personvernforordningen gjelde for delen som utgjør personopplysninger. Andre opplysninger reguleres av denne forordningen. Grensen mellom personopplysninger og andre personopplysninger er ikke skarp. Praksis fra EU-domstolen vil være veiledende for hvor grensen går. Juridisk forutsigbarhet for markedsaktørene, med henhold til valg av lovverk, vil være viktig for å styrke det digitale indre marked.

Merknader

Kommisjonen fremmet den 13. september et forordningsforslag om fri flyt av ikke-personlige data i EU, jf. COM(2017) 495 final. Det rettslige grunnlaget for forordningen er artikkel 114 i TFEU (Den europeiske unions funksjonsmåde). Artikkel 114 gir hjemmel til å vedta rettsakter som vedrører det indre markeds opprettelse og funksjon.

Den norsk regjeringen har uttrykt støtte til EUs arbeid for å styrke dataøkonomien. I desember 2016 sendte flere EU-land et brev til visepresident Ansip, hvor de understreket betydningen av fri flyt av data for skape et reelt digitalt fellesmarked i EU. Norge sendte et støttebrev til EUs arbeid med å fjerne grunnløse krav til datalokalisering.

Et digitalt fellesmarked er i tråd med norsk politikk forankret i Meld. St. 27 (2016-2017) Digital agenda for Norge. Det følger av Nasjonal strategi for bruk av skytjenester at regjeringen skal se på grunnlaget og handlingsrommet for å fjerne nasjonale begrensinger for hvor data kan lagres (KMD, 2016). Rettsakten er således i tråd med nasjonal IKT-politikk.

Hovedtrekk i forordningen:

Artikkel 1 viser at formålet med forordningen er å sikre fri flyt av ikke-personlige data i EU gjennom å regulere medlemslandenes mulighet til å ha nasjonale lokaliseringskrav, adgangen til data for kompetente myndigheter og dataoverføring mellom profesjonelle brukere.

Artikkel 2 regulerer virkeområdet til forordningen. Forordningen gjelder for lagring og behandling av elektronisk data som ikke anses som personopplysninger.

Artikkel 3 definerer de ulike begrepene i lovforslaget.

Artikkel 4 introduserer prinsippet om fri flyt av ikke-personlige data. Unntak må være begrunnet i hensynet til offentlig sikkerhet.

Artikkel 5 stadfester at rettsakten ikke skal gripe inn i myndighetens tilgang til data, som kan f.eks. for til kontrollformål. Myndighetene kan ikke nektes adgang til data med den begrunnelsen at data er lagret i et annet medlemsland, jf. art. 5(1). Dersom myndighetene, etter å ha uttømt sine virkemidler for å få tilgang til data, likevel ikke får tilgang, kan de be om assistanse fra kompetente myndigheter i det landet hvor data behandles/lagres etter prosedyrene fastlagt i artikkel 7, jf. art. 5(2). Prosedyren anvendes kun dersom det ikke er satt opp en spesifikk samarbeidsmekanisme i henhold til EU-regelverket eller internasjonale avtaler om utveksling av data, jf. art. 5(4).

Hvis en anmodning om bistand innebærer tilgang til en juridisk eller fysisk persons lokaler, utstyr, databehandling eller utstyr og midler til databehandling skal adgangen være i overenstemmelse med Unionsretten eller medlemslandets prosessregler. Forordningen fortale viser til flere rettsakter som ikke er innlemmet i EØS avtalen, jf. avsn. 18, se nærmere omtale av EØS-relevans i punkt 5 "vurdering".

 Artikkel 6 viser til at kommisjonens skal utarbeide bransjenormer (selvregulering) med beste praksis for bytte av leverandører og utforming av kontrakter om datalagring og databehandling. Bransjenormene skal på en tydelig og transparent måte regulere blant annet tekniske krav, tidsfrister og gebyrer ved leverandørskifte og tilbakeføring av data til egne IT-systemer. Dette er spesielt aktuelt i forhold til bruk av skytjenester.

Artikkel 7 viser til at medlemslandene skal underrette kommisjonen om de myndighetskontakter som skal benyttes etter artikkel 5(2). Medlemslandene skal sikre at myndighetene har de ressurser som er nødvendig for anvendelse av forordningen.

Kommisjonen gis kompetanse til å vedta nærmere regler for hvordan anmodning om bistand fra andre lands myndigheter, ved innhenting av opplysninger, skal skje, jf. art 7(6). Kommisjonen kan b.la. vedta gjennomføringsrettsakter om anmodningens form, språk og tidsfrister. Den nærmere prosedyren for dette følger av art. 8, jfr. forordning (EU) 182/2011.

Artikkel 9 anbefaler en revisjon av regelverket fem år etter at forordningen er trådt i kraft. Etter artikkel 10 skal forordningen tre i kraft 6 måneder etter publikasjon i Offical Journal of the European Union.

Rettslige konsekvenser

Gjennomføringen av forordningen vil medføre endringer i norsk lovgivning. Behovet for endringer er ikke fullt ut kartlagt på nåværende tidspunkt.

Departementet har foreløpig vurdert det slik at rettsakten vil kreve endringer i bokføringsloven med tilhørende forskrift. Utgangspunktet etter bokføringslovens § 13 annet ledd er at regnskapsmaterialet skal oppbevares i Norge. Det følger av bestemmelsens femte ledd at det kan gjøres unntak fra kravet om "oppbevaringssted og oppbevaringstid" i forskrift eller enkeltvedtak. Det er gitt to forskrifter om unntak fra oppbevaringssted. I forskrift er det åpnet opp for å oppbevare elektronisk regnskapsmateriell i andre EØS-stater på visse vilkår, jf. § 7-5. Det er skattedirektoratet som fastsetter i forskrift hvilke land som oppfyller vilkårene for lagring i utlandet. Adgangen er begrenset til Norden.

Det er på nåværende tidspunkt ikke vurdert hvordan rettsakten skal gjennomføres i norsk rett.

Økonomiske og administrative konsekvenser

Det følger av kommisjonens forundersøkelse ("impact assesmment") at lovforslaget vil styrke den digitale økonomien i EU. I 2016 var dataøkonomien estimert til 60 milliarder euro, som var 9,5 % vekst fra året før. Studier viser at dataøkonomien potensielt kan øke til 106 milliarder euro inn 2020. Fri flyt av ikke-personlig data er ett av flere tiltak for å styrke EUs digitale økonomi.

Forordningsforslaget vil kunne bidra til at offentlig sektor bruker IKT-løsninger på en mer kostnadseffektiv måte, ved økt bruk av skytjenester.

Kommisjonens konsekvensanalyser viser at kostandene til offentlig sektor er beskjedne, beregnet til 33.000 euro årlig til menneskelig ressurser for å opprettholde et sentralt kontaktpunkt. I tillegg antas det en årlig kostnad på mellom 385-1925 euro til forberedelse av notifikasjon til kommisjonen om nye eller eksisterende krav.

I den grad utlevering og mottakelse av informasjon til og fra andre medlemsland kan foregå i allerede etablerte organer og strukturer vil dette begrense økonomiske og administrative konsekvenser av lovforslaget.

Lovforslaget vil få positive konkurransefordeler og stimulere til innovasjon. Å sikre et harmonisert regelverk i EØS-landene for utveksling av data i Europa er nødvendig dersom Norge skal være et attraktivt land for næringsutvikling, f.eks. etablering av grønne datasentre.

For næringslivet er det antatt at forordningsforslaget vil kunne medføre økonomiske besparelser knyttet til lagring og oppbevaring av data og reduserte driftskostnader, f.eks. ved økt bruk av skytjenester. Reduserte utgifter for bedrifter er særlig viktig for små bedrifter og nye bedrifter. Regelverket skal bidra til å gjøre det lettere å bytte tjenesteleverandører i EU og styrke tilliten i markedet.

Sakkyndige instansers merknader

Rettsakten skal behandles regjeringens Spesialutvalgt for Kommunikasjoner. Kommunal- og moderniseringsdepartementet vil sende kommisjonens lovforslag på høring. Rettsakten anses å være EØS-relevant.

Vurdering

Kommunal- og moderniseringsdepartementet arbeider med å undersøke hvordan Norge vil være knyttet forordningens regler om utlevering og utveksling av data mellom myndighetene i EU. Rettsakten viser i fortalen til følgende rettsakter som ikke er innlemmet i EØS-avtalen:

1. COUNCIL FRAMEWORK DECISION 2006/960/JHA on simplifying the exchange of information and intelligence between law enforcement authorities of the Member States of the European Union.

2. Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 regarding the European Investigation Order in criminal matters.

3. Council Regulation (EC) No 1206/2001 of 28 May 2001 on cooperation between the courts of the Member States in the taking of evidence in civil or commercial matters.

4. COUNCIL DIRECTIVE 2006/112/EC of 28 November 2006 on the common system of value added tax.

5. Council Regulation (EU) No 904/2010 of 7 October 2010 on administrative cooperation and combating fraud in the field of value added tax.

6. Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission’s exercise of implementing powers.

Rettsakt nr. 1 (Rådets rammeavgjørelse 2006/960/JHA) er gjennomført i norsk rett, ettersom rettsakten inngår som del av Schengen-samarbeidet. Rettsakt nr. 2 (direktiv 2014/41/EU) er også en rettsakt som hører inn under Schengen-samarbeidet. Stortinget skal ha gitt sitt samtykke til godkjennelse av rettsakten, men den er ikke gjennomført da Norge ikke har mottatt noen formell notifikasjon om den nye rettsakten fra EU.

Rettsakt nr. 3-6 er ikke innlemmet i EØS-avtalen ettersom de ikke er ansett EØS-relevante. Disse er heller ikke Schengen-relevante eller gjennomført i norsk rett gjennom andre samarbeidsformer med EU. Hvilken betydning dette har for innlemmelse av det nye forordningsforslaget om fri flyt av ikke-personlig data i EØS-avtalen, må vurderes konkret i forhold til innholdet i forordningsforslaget.

Her må det vurderes om bestemmelsene kan stå utilpasset eller ikke. Dette vil typisk avhenge av hvorvidt Norge gjennom innlemmelse av disse bestemmelsene påtar oss nye materielle forpliktelser, eller om det dreier seg om rene henvisninger som det ikke er nødvendig å tilpasse. Disse spørsmålene bør diskuteres nærmere i SU kommunikasjoner og i Eftas arbeids- og ekspertgrupper, ECASIS.

UD har gjort en rask foreløpig vurdering. Fem av de ikke-EØS-relevante rettsaktene er kun omtalt i forordningens fortalen pkt. 18. Disse rettsaktene synes kun å være oppgitt som eksempler på regler som kan komme til anvendelse ved utveksling av informasjon mellom de ulike lands myndigheter etter forordningsforslagets art. 5 og 7. Ettersom fortalen ikke er rettslig bindende, virker det ikke å være behov for særskilte tilpasninger for disse rettsaktene. Når det gjelder rettsakt nr. 6 (forordning (EU) 182/2011) er denne omtalt i fortalens pkt. 23, men også i artikkel 8 (1) og (2). Forordning (EU) 182/2011 oppstiller prosedyren for hvordan Kommisjonen skal treffe såkalte gjennomføringsrettsakter. Det antas at det heller ikke her vil være behov for særskilte tilpasninger da den bare angir Kommisjonens kompetanse til å vedta rettsakter.

Andre opplysninger

Nøkkelinformasjon

Institusjon: Kommisjonen
Type rettsakt: Forordning
KOM-nr.: KOM(2017)495
Basis rettsaktnr.:

Norsk regelverk

Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Lenker