Datastyringsforordningen (DGA)

Forslag til europaparlaments- og rådsforordning om europeisk datastyring (Data Governance Act)

Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act)

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 05.07.2021

Spesialutvalg: Kommunikasjoner

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Kommunal- og moderniseringsdepartementet

Vedlegg/protokoll i EØS-avtalen:

Kapittel i EØS-avtalen:

Status

Sammendrag av innhold

Kommisjonens forslag til Data Governance Act (datastyringsforordningen) er det første initiativet som har blitt lagt frem i oppfølgingen av datastrategien fra febraur 2020. Forslaget til forordning tar bl.a. sikte på å øke tilgjengeligheten av data, øke tilliten til dataformidlere og det å styrke datadelingsmekanismer i hele EU / EØS. Den omhandler både offentlig og privat sektor, og både personopplysninger og andre data enn personopplysninger. Forordningen omfatter data som er beskyttet av hensyn til beskyttelse av personopplysninger, intelektuelle rettigheter, forretningshemmeligheter og statisistisk konfindensialitet, jf. art. 3.1.

Forslaget til forordning har 4 hovedelementer:

1) Tilgang til visse kategorier av beskyttede data som innehas av offentlige data (underlagt tredjeparters rettigheter) - forretningshemmeligheter, statistisk fortrolighet, immaterialrettigheter, personopplysniger

2) Regler for dataformidlere i privat sektor 

3) Rammer for såkaldt dataaltruisme

4) Etablering av en ekspertgruppe for datainnovasjon (”Data Innovation Board”). 

NB! Der det i teksten under er innsatt i en parentes at (Rådet presiserer eller foreslår e.l., eller hvor teksten er understreket), så uttrykker det som står i parentesen rådets forslag til endringer av Kommisjonens forslag. Dette er ikke alle rådets forslag til endringer, men et utvalg.

Tilgang til offentlige data – kapittel II

Forslag til forordning innebærer ingen plikt for offentlig sektor til å dele de dataene som omfattes, men den legger noen rammer der slik deling gjøres. En forutsetning for deling av slike data er at anonymiteten og konfidensialiteten opprettholdes, og at betingelsene for deling er basert på ikke-diskriminerende, proporsjonale og objektive kriterier. Forordningens kapittel II om dataformidlere avgrenser, jf. artikkel 3 nr. 2, mot data som innehas av 1) offentlige foretak, 2) allmennkringkastere og deres datterforetak i tillegg til andre organer/datterforetak i forbindelse med oppfyllelse av allmennkringkastingsoppgaver, 3) data som innehas av kultur- og utdanningsinstitusjoner, 4) data beskyttet av årsaker knyttet til nasjonal sikkerhet, forsvar eller offentlig sikkerhet. Data som dekkes av direktivet om åpne data og viderebruk av informasjon fra offentlig sektor er også utenfor forordningens virkeområde.

Forordningen oppstiller et forbud mot enerettsavtaler eller praktiske ordninger som som gir enerett eller har som mål eller virkning å gi enerett eller begrense tilgjengeligheten for andre enn de som er part i slike avtaler eller annen praksis, jf. artikkel 4.

De næmere vilkårene for viderebruk fremgår av art. 5. Offentlig sektor kan bl.a. pålegge forpliktelser om at tilgangen til og viderebruken av dataene må skje i et sikkert prosesseringsmiljø som er kontrollert av offentlig sektor. Microdata..no og den fremtidige helseanalyseplattformen kan stå som eksempler på hvordan dette kan gjøres, mht at det kan kreves at tilgangen skal skje innenfor det offentliges egne lokaler.

Det stilles særlige krav mht. overføring av data til tredjeland (se særlig fortalens punkt 15-17), bl.a. for å forhindre IP-tyveri  og industrisponasje. Slik overføring kan bare skje der det foreligger tilstrekkelige sikkerhetstiltak mht. fundamentale rettigheter og interessene til datasubjekter og dataholdere mht. bruken av dataene. Slike tiltak skal antas å foreligge dersom det i tredjelandet er tilsvarende tiltak som i unionen, særlig mht. forretningshemmeligheter og IPR. Kommisjonen kan vedta gjennomføringsrettsakter som erklærer at et tredjeland gir tilstrekkelig beskyttelse tilsvarende det som unionen eller nasjonal rett gir. Vurderingen av nivået på beskyttelsen i tredjeland skal se hen til relevant generisk og sektorspesifikt regelverk, herunder om offentlig sikkerhet, forsvar, nasjonal sikkerhet og strafferett, men skal også se hen til at det i tredjelandet finnes uavhengige fungerende tilsynsmyndigheter med ansvar for å sikre og håndheve forpliktelsene som sikrer tilgang til dataene, eller som sikrer tredjelandets internasjonale forpliktelser mht. vern av data som landet har inngått. Sikkerhetstiltakene skal inkludere muligheter for at rettighetene kan håndheves med effektive rettsmidler. Domsavsigelser eller administrative vedtak fra myndighetene i tredjeland som krever overføring av eller tilgang til slike data skal kun håndheves der de er basert på internasjonale forpliktelser mellom tredjelandet og unionen eller en medlemsstat. Det kan oppstå tlfeller der et krav om overføring eller tilgang til silke data fra et tredjeland er i strid med en konkurrerende forpliktelse til å beskytte slike data i henhold til unionsretten eller nasjonal rett. Ved fravær av internasjonale avtaler om slike forhold bør overføring eller tilgang bare tillates på visse vilkår, og da særlig (Rådet: etter verifisering) at tredjelandets system krever at årsakene til vedtaket og vedtakets forholdsmessighet fastsettes, at rettskjennelsen eller vedtaket er av en spesifikk karakter, og at en begrunnet innsigelse fra adressaten kan prøves ved en vedkommende domstol i tredjelandet som har myndighet til å ta behørig hensyn til de relevante rettslige interessene til den som stiller slike data til rådighet. Der EU-lovgivningen for visse kategorier av data (art. 5 (11)), fastsetter at ikke-personlige data er særlig sensitive, så har EU-kommisjonen mht. tredjeland mulighet til å sette spesifikke betingelser for overføring av data gjennom en delegert retsakt i samsvar med artikkel 28.

(Rådet foreslår i tillegg nærmere presiseringer til overstående mht fortalens punkt 15-17: Tilstrekkelige sikkerhetstiltak skal inkludere det at offentlige organ kun kan overføre data til viderebruker dersom viderebruker påtar seg forpliktelser mht. å beskytte dataene. Viderebruker må forplikte seg i henhold til kravene som følger av forordningen også etter at dataene er overført til tredjeland, og må videre akseptere jurisdiksjonen til det medlemsland der det offentlige organet som har tillatt viderebruken hører hjemme mht. rettslige forlik eller tvister - for å sikre god håndhevelse av forpliktelsene. Offentlige organer og viderebukere skal kunne stole på standardkontrakter med klausuler vedtatt av Kommisjonen. Hva som skal anses som egnede beskyttelsestiltak er i rådets forslag omtalt i fortalens punkt 16, og formålet er å sørge for tilsvarende beskyttelsesnivå som i unionen eller i nasjonal rett. Mht gjennomføringsrettsakter presiserer rådet at det kan gis dersom det er berettighet som følge av et betydelig antall forespørsler på tvers av unionen om at tredjelandet gir tilstrekkelig beskyttelse i tråd med unionsretten eller nasjonal rett. Kommisjonen skal vurdere behovet for slike gjennomføringsrettsakter basert på informasjonen som medlemslandene frembringer gjennom European Data Innovation Board. En slik vurdering skal forsikre offentlige organer som tillater viderebruk at de ikke kompromiterer beskyttelsen av dataene. Videre så vil slike gjennomføringsrettsakter ikke berøre juridiske forpliktelser eller kontraktsmessige ordninger som allerede er utført av en viderbruker av hensyn til beskyttelse av ikke-personlige data.)

(Rådet foreslår, jf. fortalens punkt 17, at offentlige organ, fysiske eller juridiske personer som rettigheter til viderebruk er gitt til, dataformildere og enheter i registeret for anerkjente altruismeorganisasjoner (kap IV) ved signering av kontrakter med private parter forsikre seg om at slike data kun overføres til tredjeland i samsvar med unionsretten eller et medlemslands rett). 

Det offentlige kan ta gebyrer for viderebruk av data og vilkårene for dette fremgår av art. 6. Det kan gis særlige vilkår der viderebruk er basert på ikke-kommersielle hensikter, og til små og mellomstore bedrifter i den grad de er i tråd med statsstøtteregelverket (art. 6 (4)). (Rådet foreslår presiseringer av en del begreninger for hva som kan hensyntas i art. 6 nr. 5)

Landene skal, jf. artikkel 7, utpeke organer (competent bodies - vedkommende organer) som kan være sektorspesifikke og som skal støtte de offentlige organene som gir tilgang til viderebruk av kategoriene av data nevnt i artikkel 3 nr. 1. Det kan være teknisk støtte, bistand til viderebrukere i forbindelse med innhening av samtykke eller tilatelse fra datasubjekter og dataholdere [i forbindelse med altruistiske og andre formål - denne parentensen er strøket i rådet sitt forslag] i samsvar med datainnehaverens spesifikke beslutninger, inkl. også hensyn til jurisdiksjonen(e) der databehandlingen skal finne sted. Støtte til offentlige organ vil også gjelde mht om tilsagn en viderebuker har gitt for data beskyttet av immaterialrettigheter (i henhold til artikkel 5 nr. 10) er tilstrekkelig med hensyn til forpliktelsene som følger for overføring til tredjeland. Disse organene må således ha tilstrekkelige juridiske og tekniske kapasiteter og ekspertise som gjør at unionsretten og nasjonal rett overholdes. (Rådet presiserer i sitt forslag i fortalens punkt 21 at de utpekte organer etter artikkel 7 (competent bodies) ikke skal ha tilsynsmyndighet i relasjon til GDPR-forordningen. Det vil her være det offentlige organet som har ansvaret for registeret der dataene ligger som vil være behandlingsansvarlig)

Landene skal etablere et sentralt informasjonspunkt, jf. fortalens punkt 21, og sikre at all relevant informasjon mht. vilkår for viderebruk og gebyrer er tilgjengelig gjennom informasjonspunktet. Det skal ha et tverrsektorielt oppdrag og skal bl.a. viderebringe alle forespørsler om viderebruk til rett etat og stile til rådighet et register over alle tilgjengelige datakilder med relevant informasjon som beskriver dataenes art, jf artikkel 8 nr. 2. (Rådet fremhever i sitt forslag til endringer i fortalens punkt 21 at informasjonspunktet skal kunne basere seg på automatiske hjelpemidler ved overføring av henvendelser eller forespørsler om viderebruk og presiserer at eksisterende praktiske arrangementer som åpne data portaler vil kunne fylle formålet. Informasjonspunktet skal ha en innholdsliste over tilgengelige dataressurser med beskrivelse av dataene, og der det er relevant, også de som er tilgjengelige på sektor-, regeionale- og lokale informasjonspunkter. Rådets forslag innebærer at interne tjenester (internal services) vil kunne være et kompetent organ.)

Dataformidlere og datadelingstjenester i privat sektor – kapittel III

Forslaget til forordning etablerer et regelverk for dataformidlere, og det fremheves at dette vil bli viktig bl.a. mht. EUs politikk med å etablere felles europeiske datarom (data spaces), som vil kunne trenge noen som kan strukturere og organisere slike datarom. Et overordnet mål er å lage et regelverk som skaper tillitt til dataformidling, og å sørge for at det blir enklere og tryggere for foretak og enkeltpersoner å frivillig gjøre dataene tilgjengelige for allmennheten under regulerte forhold (recognised data altruisme organisations). Disse dataformidlerne skal fungere som nøytrale og pålitelige tilretteleggere for deling av data mellom foretak (B2B) og mellom personer og foretak (C2B). Forordningen retter seg kun mot tjenester med formidling mellom et udefinert antall datasubjekter og dataholdere på den ene siden og databrukere på den andre siden. Aktører som begrenser seg til å fasiliterere bruk av data basert på dataaltruisme og som opererer på non-porift basis er ikke dekket av kapittel III siden denne aktiviteten støtter opp under mål av allmenn interesse ved å øke volumet av data tilgjengelig for slike formål.

Fortalens punkt 23 omtaler dataformidlere som tilbyr tjenester til datasubjekter som forstått i GDPR-forordningen som en særlig kategori av dataformidlere, pga. fokuset på at de skal assistere enkeltindivider med å håndheve sine rettigheter og å sikre at enkeltindivider ikke oppfordres til å gjøre mer data tilgjengelig for viderebruk enn det som er i deres egen interesse (informerte valg). Forslaget (punkt 23) tar til orde for at det i noen tilfeller kan være ønskelig å opprette datarom for personlige data, som kan sikre bruk av dataene uten at de overføres tredjeparter. (Rådet presiserer i punkt 23 at dette kan gjelde dynamiske data ved bruk av online tjenester eller objekter knyttet til IOT).

(Rådets forslag til endringer fremhever i punkt 22 at slike dataformidlere kan inkludere bilaterale eller multilaterale datadelinger eller å etablere plattfromer eller databaser som legger til rette for deling eller felles bruk av data, i tillegg til å etablere særlig infrastruktur for sammenkopling  av dataholdere og databrukere. Dette inkluderer også datakooperativer, som letter datadeling på vegne av f.eks. små og mellomstore bedrifter. Etableringen av slike markedsplasser hvor selskaper kan publisere informasjon om data de er villige til å lisensiere til andre og som er åpne for alle intereserte parter, vil eksludere tjenestelevrandører som agregerer, beriker eller endrer dataene og lisensierer bruken av slike data til databrukere uten å etablere en direkte link mellom datasubjekter og dataholdere på den ene siden og databrukere på den andre siden, eksempelvis datameglere og datakonsulenter. Det vil også utelukke lukkede grupper eller der tilgang til tjenesten er avhengig av godkjenning fra medlemmer i en gruppe.)

(Rådets forslag til endringer tar i punkt 22a til orde for at tilbudet av skyinfrastruktur eller datadelings software, eller tilbudet av web browsers/ browser plug ins eller epost tjenester ikke skal betraktes som dataformidler i denne forordningen da slike tjenester kun tilbyr tekniske hjelpemidler for datasubjektene eller dataholderne til å dele data med andre og ikke retter seg mot å etablere direkte juridisk- eller forretningsvirksomhet mellom dem og databrukerene.)

Dataformidlerne må oppfylle en rekke krav (art. 11), bl.a. kravet om å være nøytrale med hensyn til dataene som deles, som vil krever strukturelle endringer mellom slike tjenestser og andre tjenester for å forhindre interesskonflikter - vil nnebære at slike dataformidlingstjenester må tilbys gjennom et separat rettssubjekt. Videre så må nasjonale konkurranseregler overholdes. I praksis så kan dataformidlere ikke gjøre så mye mer med dataene enn å konvertere dataene til spesifikke formater eller gjøre andre grep som letter bruken av dataene for databruker. (Rådets forslag til endringer presiserer i punkt 26 et unntak ved at dataformidlere skal kunne bruke dataene til å som er gitt av dataholdere til å forbedre formidlingstjenesten, i tillegg til å at de skal kunne tilby særlige tjenester for å forbedre brukervenligheten og tilleggstjenester som fasiliterer deling, eksempelvis lagring, kuratering, pseudoanonymisering og anonymisering. Rådet omtaler også at spørmsål om erstatning for materielle og imaterielle skader i tillegg til skader som er et resulatet av ehnver bruk av dataene kan adresseres i relevante kontrakter basert på nasjonal erstatingsrett.) Formålet er å øke interoperabiliteteten innen eller på tvers av sektorer, eller for å sikre harmonisering med internasjonale eller europeiske standarder. Tjenestelverandører av kontoinformasjon som definert i artikle 4 i direktiv (EU) 2015/2366 er ikke omfattet.

(Rådet fremhever i sitt forslag i punkt 26a at dataformidlere skal ta rimelige tiltak for å sikre interoperabilitet innen en sektor og mellom sektorer for å sikre at markedet fungerer på en god måte. Og videre at Data Innovation Board skal fasilitere utviklingen av industristandarder der det er nødvendig.)

(Rådets forslag utdyper i punkt 22a og sier at dataplattformer som kun brukes av en dataholder for å tilby egne data og som er utviklet eksklusivt av produsenter av objekter og enheter koplet til IOT og som har som mål å sikre funksjonalitet for disse og som tillater verdiøkende tjenester vil ikke være omfattet. Rådet skriver i punkt 22a også at offentlige organer som tilbyr dataformidlingstjenester på ikke-kommersiell basis ikke er omfattet av kapitel III og videre at landene selv kan bestemme om offentlige organer kan tilby dataformidlingstjenester på kommersiell basis). 

Kravene inkluderer bl.a:

  • at dataformidlere ikke kan bruke data til formål enn å stille dem til rådighet for databrukere. Dette gjelder også metadata, som bare kan brukes for å forbedre tjenesten.
  • at dataformidlere må sikre lik, gjennomsiktig og ikke-diskriminerende tilgang for egne tjenester, også når det gjelder priser.
  • at dataformidlere bare kan konvertere dataformatet til de berørte personene hvis databrukeren anmoder om det, eller hvis det er en del av EU-lovgivningen eller innebærer harmonisering (interoperabilitet) med internasjonal eller europeisk standarder.
  • dataformidlere må ha et sett med prosedyrer som forhindrer, at uvedkommende får tilgang til data og som etablerer et høyt sikkerhetsnivå for lagring og overføring av andre data enn personlige data. Samtidig må det være mulig for partene i datautvekslingen å få tilgang til data i tilfelle insolvens hos en dataformidler. dataformidlere har prosedyrer for å sikre at nasjonale og Europeiske konkurranseregler overholdes.
  • at dataformidlere gir råd om potensiell bruk av oppgitte data til, samt standardbetingelser for denne bruken av data.
  • at dataformidlere når de gjør verktøy tilgjengelig for å skaffe seg samtykke til datadeling, spesifiserer under hvilken jurisdiksjon (er) dataanvendelsen må finne sted.

Det er en egen notifiseringsprosedyre (art. 10) til nasjonale kompetente myndigheter for slike dataformidlere. For dataformidlere i evt. tredjeland er det bl.a. tilleggskrav om representasjon i landet hvor datadelingen skjer fra.

Forslaget pålegger landene å etablere en (eller flere) nasjonal(e) kompetent(e) myndighet(er) (art. 12) – (competent authorities = vedkommende myndigheter) - som skal overvåke at reglene etter kaittel III om private dataformidlere følges. Den kompetente myndigheten som utpekes/opprettes kan utveksle opplysninger med datatilsynet, konkurransemyndighetene, myndigheter med ansvar for cyber sikkerhet og andre relevante myndigheter som er nødvendig for at de skal kunne utføre sine oppgaver. 

Nærmere krav følger av artikkel 23 – må være juridisk adskilt fra de som har med datafomidling av data å gjøre. Krav om at top-management i den kompentente myndigheten ikke kan være konstruktør, fabrikant, leverandør, montør, kjøper, eier, bruker eller reparatør av de tjenester, som de vurderer, eller representant eller bemyndiget representant for noen af disse partene.

Forordningen pålegger også landene å etablere sanksjoner der dataformidlere ikke oppfyller kravene i forordningen (art. 13). Kravet som stilles er at sanksjonene skal være effektive, forholdsmessige og avskrekkende, og det siktes til økonomisk straff og eller opphør/utsettelse av dataformidlingstjenesten

Daltaaltruisme – Kapittel IV

Et formål er at det skal bli enklere for enkeltpersoner og virksomheter å frivillig dele egne data til samfunnets beste (dataaltruisme). Her vil det utvikles et felles europeisk samtykkeformular slik at man minsker omkostningene ved å innhente samtykke og lette dataportabiliteten (i de tilfeller der data som skal stilles til rådighet ikke er i den fysiske personens bestittelse). Landene kan ha organisatoriske eller teknsike løsninger som birar til dataaltruisme, jf. fortalens punkt 35. Dette kan eksempelvis være enkle løsninger for datasubjekter og dataholdere til å gi samtykke til altruistisk bruk av dataene, eller informasjonskampanjer om hvordan offentlig sektor kan dra fordeler av dataaltrusime, eksempelvis bedre trafikkavikling, bedre offentlig helse eller bekjempelse av klimaendringer. 

For registrering som en dataaltruismeorganisasjon (notifisering) vil det være noen krav som må oppfylles, blant annet at man må være en juridisk enhet opprettet med formål om å oppfylle allmennnyttige formål, at de opererer på non-profit basis (art. 16 og 17). Notifiseringen skal kunne gjøres online og på tvers av landegrenser (single digital gateway, jf. fortalens punkt 43). 

En (eller flere) kompetent myndighet skal føre et register over anerkjente dataaltruismeorganisasjoner som skal rapporteres til kommisjonen. Forordningen stiller også en del transparenskrav, bl.a. at det føres oversikt over de som er gitt anledning til å prosessere dataene som holdes av en slik organisasjon, dato for når slik prosessering har skjedd og formålet med prosesseringen av dataene, og gebyrene som er betalt om det har skjedd betaling. Disse organisasjonene skal også årlig utarbeide en rapport om aktiviteten til den nasjonale kompetente myndigheten som opprettes.

Det er særregler for organiasjoner i tredjeland (eks. stedelig representasjon).

(Rådet foreslår i sitt forslag til endringer i punkt 37 at Kommisjonen gjennom en gjennomføringsbeslutninng og i tett kontakt med altruismeorganisasjoner og andre berørte skal etablere etiske retningslinjer. 

Det skal opprettes kompetent myndighet (competent authority = vedkommende myndighet) som skal overvåke og sørge for at dataltruismeorganisasjoner oprerer i tråd med vilkårene som er satt, jf. artikkel 21. Denne myndigheten skal ikke berøre den myndigheten som tilligger Datatilsynet etter GDPR. Den kompetente myndigheten skal utpekes på bakgrunn av sin kapasitet og ekspertie, og de skal være uavhengig av enhver dataaltruismeorganisasjon og skal være transparente og upartiske i sin utøvelse av rollen. 

Kravene til kompetente myndigher (competent authorities = vedkommende myndigheter) – Kapittel V

Kapitlet omhandler krav relatert til vedkommende myndigheter (competent authorities) og prosessuelle bestemmelser. Kravene fremkommer i artikkel 23, mens retten til klage omhandles i artikkel 24. Bl.a. fremkommer det i artikkel 23 nr. 3 at:

"Den øverste ledelsen og det personalet som har ansvar for å utføre de relevante oppgavene hos vedkommende myndigheter fastsatt i denne forordningen, kan ikke være designer, produsent, leverandør, installatør, kjøper, eier, bruker eller vedlikeholder av tjenestene de evaluerer, de kan heller ikke være representant for noen av disse partene eller representere dem. Dette utelukker ikke bruk av evaluerte tjenester som er nødvendige for vedkommende myndighets aktiviteter, eller bruk av slike tjenester for personlige formål."

Bestemmelsen vil innebære at aktuelle myndigheter som utpekes etter artikkel 12 (datadelingstjenester) og artikkel 20 (dataaltruisme) må gå gjennom sine roller og aktiviteter. Her vil det (i hvert fall teoretisk) kunne oppstå rollekonflikter. 

Ekspertgruppe for datainnovasjon – Kapittel VI

Forslaget legger også opp til at det etableres en en ekspertgruppe for datainnovasjon (Data innovation Board) som skal rådgi EU-Kommisjonen på en rekke spørsmål (art. 27), bl.a. slik at man sørger for konsistent praksis for prossesering av forespørsler om viderebruk og at de kompetente myndighetsorganene som utpekes har en lik praksis mht kravene som stilles i forordningen.

Se også punkt 26 om at de skal fasilitere arbeidet med industristandarder (også nevnt under omtalen av kapittel III). 

Her har vi tatt opp med EU at EØS-land som Norge, Island og Liechtenstein må kunne delta på lik linje med medlemsland siden vi implementerer forordningen på samme måte som Norge.

Gjennomføringsrettsakter – Kapittel VII

Omtalt i artikkel 28 og viser til art. 5 (11.)

Merknader
Rettslige konsekvenser

Forordningen må inntas som den er - henvisningslov.

Foreløpig gjennomgang har ikke sett hen til ev. behov for endringer i forvaltningslovens og offentlighetslovens regler om f.eks. taushetsplikt. Det antas imidlertid ikke at det vil være et slikt behov, men dette må sjekkes ut. Forordningen er i tråd med GDPR. Om Rådets endringer står, må det vurderes mht ev. utløsing av erstatningskrav dersom data feilaktig er utlevert til tredjeland. 

Økonomiske og administrative konsekvenser

Forslaget vil ha konsekvenser for Norge. Forslaget vil kunne ha budsjettmessige konsekvenser og påvirke organiseringen og styringen av norsk offentlig forvaltning, bl.a. ved at det stilles krav om å etablere et felles nasjonalt informasjonspunkt, at det må drives tilsynsvirksomhet med dataformidlere i privat sektor, og at det skal opprettes organ(er) som skal gi teknisk og juridisk støtte til datadeling i offentlig sektor.

Forslaget sier ikke noe om flere av disse rollene kan kombineres hos et offentlig organ, men kommisjonen har gitt signaler om at et felles informasjonspunkt vil kunne kombineres med det å være kompetent organ som skal bistå teknisk og juridisk. Mht personvern så overlates det til medlemsstatene å sørge for tekniske løsninger som tillater anonymisering. Vi har bedt kommisjonen om å komme med rådgiving rundt en slik praktisering, men uten at vi har fått mer info. Et organ som blir pekt ut som kompetent (vedkommende) myndighet til å drive tilsyn vil ikke kunne være tilbyder av datadelingstjenester under kapittel III. Det følger av forordningen også klare krav mht roller for personer og ledere hos vedkommende myndighet (norsk oversettelse av competent authority), jf. artikkel 23 nr. 3. Det må gjøres konkrete vurderinger for å hindre rollekonflikter.

Det offeuntlige skal gi bistand til de som ønsker å viderebruke data med å få samtykke fra enkeltpersoner eller tillatelse fra selskap hvis rettigheter og interesser som kan berøres av viderebruk - artikkel 5 (6). Det er riktignok lagt inn en reservasjon om at bistanden må være gjennomførbar og uten at det medfører uforholdsmessige kostnader for det offentlige.​ Etableringen av disse rollene og de kravene som stilles i de rollene de skal ha vil kunne ha ressurskonsekvenser, inkludert det å administrere et slikt samtykkeregime.

Norges posisjonsnotat tok opp dette med pseudonomyisering, da det var uklart om forordningen likestilte dette med anonymisering, jf. art. 5 (3), og det var også uklarhetheter mht behandlingsgrunnlag. Kommisjonen hra i møte presisert at DGA ikke gir behandlingsgrunnlag, og det er tydleliggjort også i rådets forslag til endringer. Behandlingsrgrunnlåg må således finnes andre steder. Det er også avklart at pseaudonomisering ikke er likestilt med anonymisering og kommisjonen har sagt at dette vil kreve flere "safeguards" (Kommisjonens begrep). Se for øvrig fortalens pkt. 6 og også art. 7 (2) b.

Prising av data/gebyrer: ODD åpner for at nasjonale regler kan gi innsyn i data som anonymiseres, og at det kan tas betalt etter nærmere regler. I Norge følger dette av offentlighetsloven. DGA, som avgrenser mot ODD, har også regler om betaling for anonymisering. Reglene er ikke like, noe som kan ha betydning siden det er forskjeller i regelverkene mellom hva som kan hensyntas ved utarbeidelse av gebyrer. Teoretisk kan man dermed ende opp med at hvilken hjemmel man søker viderebruk etter avgjør hvilket gebyr som skal betales. Kommisjonen uttalte i møte med oss at siden anonymisering vil kunen være dyrt, så kan en avvises innsyn etter ODD, og viderebruker må da be om innsyn etter DGA der en kan ta større gebyrer. Dette er muligens et svar som vi må gå litt nærmere inn i

Rådets (presidentskapets) forslag til endringer og EPs forslag til enringer vil for øvrig kunne påvirke vurderingene over. Dette arbeides det med. 

Sakkyndige instansers merknader

Vurdering

Andre opplysninger

Nøkkelinformasjon

Institusjon: Parlament og Råd
Type rettsakt: Forordning
KOM-nr.:
Basis rettsaktnr.:

Norsk regelverk

Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Lenker