Innstilling fra justiskomiteen om samtykke til godkjenning av EØS-komiteens beslutning nr. 83/1999 av 25. juni 1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI (telekommunikasjonstjenester)
Dette dokument
- Innst. S. nr. 114 (1999-2000)
- Kildedok: St.prp. nr. 34 (1999-2000)
- Dato: 22.02.2000
- Utgiver: Justiskomiteen
- Sidetall: 3
Tilhører sak
Alt om
Innhold
Til Stortinget
Ved EØS-komiteens beslutning av 25. juni 1999 ble europaparlaments- og rådsdirektiv om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet), tatt inn i EØS-avtalens vedlegg XI om telekommunikasjonstjenester. Samtidig ble EØS-avtalens protokoll 37 endret til også å omfatte EFTA-statenes deltakelse i den arbeidsgruppen som personverndirektivet oppretter for å gi råd til Kommisjonen i ulike spørsmål knyttet til behandling av personopplysninger.
Personverndirektivet har som siktemål å etablere felles reguleringsprinsipper og et ensartet vern for behandling av personopplysninger i hele EU-området. Direktivet skal sikre fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger. Samtidig har direktivet som formål å sikre fri utveksling av personopplysninger mellom medlemsstatene.
EØS-komiteens beslutning og direktivet i norsk oversettelse følger som trykte vedlegg til proposisjonen. Forslag til lovendringer for å gjennomføre beslutningen er forelagt Stortinget ved Ot.prp. nr. 92 (1998-1999) om lov om behandling av personopplysninger.
Etter artikkel 1 skal medlemsstatene i samsvar med direktivet sikre vern av fysiske personers grunnleggende rettigheter og friheter ved behandling av personopplysninger. Vernet av retten til privatlivets fred fremheves særskilt. Samtidig skal direktivet sikre fri utveksling av personopplysninger i det indre marked.
Artikkel 2 definerer begreper som benyttes i direktivet.
Artikkel 3 angir direktivets saklige virkeområde. Direktivet får i utgangspunktet anvendelse på enhver behandling av personopplysninger som helt eller delvis utføres ved hjelp av elektroniske hjelpemidler og på manuell behandling av personopplysninger der disse inngår eller skal inngå i et register.
Artikkel 4 angir forholdet mellom direktivet og nasjonal lovgivning. Hovedregelen er at behandling av personopplysninger innenfor fellesskapet skal følge reglene om personvern i den staten der den behandlingsansvarlige er etablert.
Artikkel 6 oppstiller enkelte grunnleggende prinsipper for opplysningenes kvalitet og krav til behandling av personopplysninger.
Artikkel 7 oppstiller uttømmende vilkår for at behandling av personopplysninger kan finne sted. Personopplysninger kan behandles når den registrerte har gitt sitt utvetydige samtykke, eller når behandlingen er nødvendig for å vareta nærmere definerte interesser.
Artikkel 8 oppstiller i utgangspunktet et forbud mot å behandle sensitive personopplysninger elektronisk eller som en del av et manuelt personregister, men det åpnes for å fastsette nærmere bestemte unntak fra forbudet.
Etter artikkel 9 skal det gjøres unntak fra de fleste av de alminnelige reglene i direktivet for behandling av personopplysninger som utelukkende finner sted i journalistisk øyemed eller i forbindelse med kunstnerisk eller litterær virksomhet, i den grad dette er nødvendig for å forene retten til privatlivets fred med reglene om ytringsfrihet.
Artiklene 10 og 11 inneholder regler om opplysningsplikt for den behandlingsansvarlige, både når personopplysninger samles inn direkte fra den registrerte, og når personopplysninger hentes fra andre kilder enn den registrerte selv.
Artikkel 12 gir den registrerte rett til å få innsyn i opplysninger. Enhver registrert har rett til å få opplyst hos den behandlingsansvarlige om det behandles personopplysninger om en selv, om formålet med behandlingen, hvilke opplysningstyper som brukes, kilden for og mottakerne av opplysningene, samt i visse tilfeller "logikken" bak disse behandlingene. Ulike unntak fra denne innsynsretten er hjemlet i artikkel 13. Begrensningene må gjøres ved lov, og må være nødvendige ut fra nærmere bestemte hensyn som nevnes i art. 13 bokstav a-g.
Artikkel 14 inneholder en bestemmelse som på nærmere angitte vilkår gir den enkelte rett til å motsette seg at visse særlige kategorier av personopplysninger blir behandlet. Det er anledning til å begrense denne retten i nasjonal lovgivning. Det oppstilles videre en rett til å motsette seg persondatabehandlinger som er ledd i markedsføring.
Artikkel 15 oppstiller som hovedregel en rett for den enkelte til å nekte å la seg undergi avgjørelser som har rettsvirkninger for ham eller henne eller som berører vedkommende i vesentlig grad, og som i sin helhet er truffet på grunnlag av elektronisk behandling av opplysninger med sikte på å vurdere visse personlige forhold.
Artikkel 17 pålegger bl.a. medlemsstatene å gi regler om den behandlingsansvarliges plikt til å iverksette tekniske og organisatoriske tiltak for å beskytte personopplysninger.
Direktivet etablerer en tilsynsordning der hovedregelen er meldeplikt til tilsynsmyndigheten for all elektronisk behandling av personopplysninger, jf. artikkel 18. For personopplysningsbehandlinger som kan innebære særlige farer for de registrertes friheter og rettigheter, krever artikkel 20 at det skal foretas en forhåndskontroll, f.eks. en konsesjonsplikt. Det forutsettes at antallet slike behandlinger bør være svært begrenset sett i forhold til det totale antallet behandlinger av personopplysninger i samfunnet.
Medlemsstatene skal iht. artikkel 21 sikre at behandlingene er offentlig tilgjengelige, bl.a. gjennom å gi regler om at tilsynsmyndigheten skal føre et register over behandlinger som er innmeldt etter artikkel 18.
Direktivets bestemmelser om klageadgang, ansvar og sanksjoner, jf. artikkel 22-24, oppstiller visse generelle krav, men overlater til medlemsstatene å utforme detaljene i gjennomføringen.
Det skal være fri utveksling av personopplysninger mellom medlemsstatene, mens det for overføring av personopplysninger til tredjestat oppstilles ulike grunnprinsipper som skal sikre at opplysninger som hovedregel bare overføres til stater som har et tilstrekkelig vernenivå når det gjelder personvern, jf. artikkel 25. Direktivet etablerer særlige prosedyrer for å sikre en enhetlig praktisering av overføringsreglene. Kommisjonen og medlemsstatene skal bl.a. holde hverandre orientert om tredjestater som de finner ikke har et tilstrekkelig vernenivå.
Medlemsstatene og Kommisjonen skal iht. artikkel 27 oppmuntre til utarbeidelse av såkalte atferdsregler (bransjevise atferdsnormer).
Hver medlemsstat skal utpeke minst en offentlig tilsynsmyndighet som skal påse at reglene som gis for å gjennomføre direktivet overholdes, jf. artikkel 28.
Det skal nedsettes en uavhengig arbeidsgruppe for personvern i forbindelse med behandlingen av personopplysninger, bestående av én representant fra tilsynsmyndighetene i hver medlemsstat, i tillegg til representanter fra EUs egne organer, jf. artikkel 29. Gruppen skal bl.a. gi Kommisjonen råd i spørsmål som gjelder personvern ved behandling av personopplysninger, jf. artikkel 30.
Hver EFTA-stat skal utpeke en representant til å delta som observatør i den arbeidsgruppen som direktivet oppretter for å gi råd til Kommisjonen i ulike spørsmål knyttet til behandling av personopplysninger Det er gitt visse særlige tilpasninger for EFTA-statenes vedkommende.
I forhold til reglene om overføring av personopplysninger til tredjestat er det gitt tilpasninger som skal sikre gjensidig informasjon om tredjestatsspørsmål og som medfører at EFTA-statene står fritt til å velge om de vil følge beslutninger fra Kommisjonen om f.eks. å nekte overføring av personopplysninger til bestemte tredjestater.
EFTA-statene skal innen seks måneder fra tidspunktet for beslutningen (som var 25. juni 1999), bekrefte overfor de øvrige EØS-stater at de forfatningsmessige krav er oppfylt, dvs. for Norges del at Stortingets samtykke er innhentet. Fristen for gjennomføring av direktivet i norsk rett er den samme.
Direktivet nødvendiggjør endringer i norsk personregisterlovgivning på en del punkter. De nødvendige endringene er foreslått gjennomført i Ot.prp. nr. 92 (1998-1999) om lov om behandling av personopplysninger.
Direktivet inneholder ikke noen uttrykkelig regulering av forholdet mellom behandlingsreglene i direktivet og innsynsregler som følger av offentlighets- og forvaltningslovgivningen, men det legges til grunn at direktivet ikke gjør det nødvendig å begrense den innsynsretten som følger av offentlighetsloven.
For dem som behandler personopplysninger vil utvidet innsynsrett og nye varslingsregler kunne medføre visse meromkostninger, uten at det er mulig å tallfeste disse konkret. Det vil også påløpe utgifter hos Datatilsynet.
Etter Justisdepartementets syn vil direktivet gjennom innlemmelse i EØS-avtalen sikre et styrket personvern, samtidig som man tar hensyn til behovet for en fleksibel og teknologiuavhengig regulering.
De tilpasningene som er fremforhandlet om prosedyrene knyttet til en enhetlig praktisering av reglene om overføring av personopplysninger til tredjestat, gir en tilfredsstillende sikring av EFTA-statenes mulighet til på selvstendig grunnlag å vurdere om de vil følge Kommisjonens beslutninger.
Komiteen viser til at formålet med personverndirektivet er å sikre enkeltpersoners grunnleggende rettigheter og friheter i forbindelse med behandling av personopplysninger, og samtidig sikre fri utveksling av personopplysninger innen EUs medlemsstater. Ved EØS-komiteens beslutning av 25. juni 1999 er direktivet tatt inn som en del av EØS-avtalen.
Komiteen støtter de hovedprinsipper som ligger til grunn for direktivet. Direktivet forutsetter en delvis omlegging av dagens regelverk på området, og det er i Ot.prp. nr. 92 (1998-1999) fremlagt forslag om at gjeldende personregisterlov skal avløses av en ny personopplysningslov i tråd med direktivet. Omleggingen vil bl.a. innebære en overgang fra forhåndskontroll ved konsesjonsbehandling til meldeplikt og større vekt på etterfølgende kontroll, med mindre det dreier seg om sensitive personopplysninger.
Komiteen mener dette er en riktig utvikling, og at direktivet totalt sett vil styrke personvernet for eksempel ved at det gis mer spesifikke lovregler om grunnleggende prinsipper for behandling av personopplysninger, jf. art. 6. Samtidig har man ivaretatt hensynet til ytringsfriheten ved et vidtgående unntak for journalistisk, kunstnerisk og litterær virksomhet, jf. art. 9.
Komiteen har merket seg at Regjeringen mener prosedyrene knyttet til reglene om overføring av personopplysninger til tredjestat gir en tilfredsstillende sikring av vår mulighet til på selvstendig grunnlag å vurdere om vi vil følge Kommisjonens beslutninger.
Komiteen viser for øvrig til Innst. O. nr. 51 (1999-2000) til Ot.prp. nr. 92 (1998-1999) der komiteens merknader til hovedprinsippene og de enkelte bestemmelsene i personopplysningsloven gjennomgås.
Komiteen slutter seg etter dette til forslaget om å godkjenne EØS-komiteens beslutning om å innta personverndirektivet som en del av EØS-avtalen.
Komiteens utkast til innstilling har vært forelagt utenrikskomiteen til uttalelse. Utenrikskomiteen uttaler i brev av 16. februar 2000:
«Under henvisning til justiskomiteens brev av 10. ds om ovennevnte meddeles at utenrikskomiteen ikke har merknader til utkastet.»
Komiteen viser til proposisjonen og rår Stortinget til å gjøre følgende
vedtak:
Stortinget samtykker i godkjenning av EØS-komiteens beslutning nr. 83/1999 av 25. juni 1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI (telekommunikasjonstjenester).
Oslo, i justiskomiteen, den 22. februar 2000
Kristin Krohn Devold leder |
Jan Petter Rasmussen ordfører |
Jan Simonsen sekretær |