Dei internasjonale rettslege instrumenta og
det internasjonale samarbeidet på personvernområdet blir stadig
viktigare. Fordi opplysningar i aukande grad kryssar landegrensene
i samband med ulik tenesteutøving, blir òg personvernutfordringar
og usemjer i større grad grenseoverskridande. Det krevst internasjonalt
samarbeid både for å førebyggje og for å løyse slike usemjer. Regjeringa
meiner det derfor er viktig at Noreg prioriterer å ta del i dei
ulike internasjonale foruma der personvern er på saklista, og i så
stor grad som mogleg freistar påverke utviklinga.
I kapittel 6 i rapporten frå Personvernkommisjonen
er det gjort greie for ulike internasjonale regelsett og kva dei
har å seie for personvernet. I meldinga blir det gjort greie for
nokre viktige utviklingstrekk på det internasjonale området etter at
Personvernkommisjonen avslutta arbeidet sitt.
EUs direktiv 95/46/EF (heretter omtala som personverndirektivet)
vart vedteke i 1995 og er EØS-relevant og bindande for Noreg.
Personverndirektivet er i all hovudsak gjennomført
i norsk rett gjennom personopplysningslova frå 2000. I meldinga
blir det vist til at viktige element i direktivet er prinsippet
om ei uavhengig tilsynsstyremakt, krav til rettsleg grunnlag for behandling
av personopplysningar, aktiv informasjonsplikt for den behandlingsansvarlege overfor
dei registrerte, særlege rettar for dei registrerte ved behandling
av personopplysningar i automatiserte avgjerdsprosessar og meldeplikt til
tilsynsstyremakta ved behandling av personopplysningar. Det er likevel
opna for store unntak, mange av dei tufta på skjønsvurderingar, frå
dei fleste prinsippa som er nedfelte i direktivet.
Personverndirektivet er eit minimumsdirektiv.
I mange av føresegnene ligg det dessutan eit stort og skjønsprega
handlingsrom. Medlemsstatane kan gjere ei rad meir eller mindre
vidfemnande unntak frå det som er hovudregelen i direktivet. I meldinga
blir det peikt på at dette fører med seg at den ønskte harmoniseringa,
som ligg bak direktivet, likevel ikkje blir heilt nådd. Dette er noko
av årsaka til at EU-kommisjonen i lengre tid har arbeidd med ein
revisjon av det gjeldande personverndirektivet. Revisjonen blir
omtala i kapittel 3.2.3 i meldinga.
Jamvel om reglane i personopplysningslova i
all hovudsak er ei gjennomføring av personverndirektivet, er nokre
av reglane i lova likevel norske spesialreglar. Dette gjeld særleg
reglane i personopplysningslova om kameraovervaking. I samband med
revisjonen av personverndirektivet som er i gang, har EU-kommisjonen
likevel gjort framlegg om at det nye regelverket skal innehalde
reglar om kameraovervaking. Dessutan inneheld personopplysningsforskrifta
nokre reglar som ikkje beint er å finne i direktivet. Dette er mellom
anna spesialreglar om informasjonstryggleik, om fritak frå melde-
og konsesjonsplikt, om kredittopplysningsverksemd og om innsynet
arbeidsgivaren har i e-posten til tilsette.
Personopplysningslova og -forskrifta inneheld føresegner
om korleis norske styremakter og behandlingsansvarlege skal te seg
når dei overfører personopplysningar til tredjeland, og om tilhøvet til
avgjerder EU-kommisjonen tek om personvernnivået i desse landa.
Desse avgjerdene om personvernnivået i tredjeland er EØS-relevante, og
Noreg har til no lagt avgjerdene frå EU-kommisjonen til grunn i
saker som gjeld overføring av personopplysningar til desse landa.
Personverndirektivet er generelt. Det gjeld derfor for all behandling
av personopplysningar så framt det ikkje er gjort unntak. Det går
fram av direktivet at landa kan fråvike prinsippa i direktivet dersom dette
er nødvendig til dømes av omsyn til den nasjonale tryggleiken, for
kriminalitetsførebygging eller for å ta vare på særlege økonomiske interesser
for eit land. At det av slike grunnar er mogleg å fråvike prinsippa
i direktivet, er det teke omsyn til i personopplysningslova.
Direktiv 2002/58/EF (kommunikasjonsverndirektivet)
inneheld personvernføresegner som gjeld generelt for elektronisk
kommunikasjon. Direktivet er implementert i lov 4. juli 2003 nr. 83
om elektronisk kommunikasjon med forskrifter. Dessutan regulerer
direktiv 2006/24/EF (datalagringsdirektivet) plikta ekomtilbydarane har
til å lagre trafikk- og kommunikasjonsdata for kriminalitetsmotverkande
føremål. Dette direktivet vart vedteke gjennomført i norsk rett
i 2011, men reglane har enno ikkje teke til å gjelde.
Det finst to samarbeidsforum på personvernområdet
i EU. Dei blir omtala som Article 29 Data Protection Working Party
(Artikkel 29-gruppa) og Article 31 Working Party (Artikkel 31-gruppa).
Artikkel 29-gruppa er samarbeidsforum for tilsynsstyremaktene i
medlemslanda, medan Artikkel 31-gruppa er ein komité på departementsnivå.
Denne gruppa har avgjerdsmakt når personverndirektivet krev samtykke
frå medlemslanda til ei gitt handling. Dette gjeld til dømes vedtak
om personvernnivået i tredjeland. EFTA-landa er ikkje med i Artikkel
31-gruppa. Noreg, representert ved Datatilsynet, har likevel vore
med i Artikkel 29-samarbeidet sidan 1996. Det følgjer av EØS-avtala
at Noreg skal ha observatørstatus, men ikkje røysterett i denne
arbeidsgruppa. Gruppa gir EU-kommisjonen råd i spørsmål om personvern
og informasjonstryggleik og kjem saman seks gonger i året.
Noreg er fullverdig medlem av The Schengen Joint
Supervisory Authority (JSA), et uavhengig kontrollorgan som er samansett
av medlemer frå datatilsynsstyremakter i statar tilknytte Schengen-avtala.
Working Party Police and Justice (WPPJ) har mandatet
sitt frå Den europeiske konferansen for datatilsynsstyremakter og
har jamlege møte. Oppgåva er å følgje med på utviklinga på politi-
og justisområdet når det gjeld behandlinga av personopplysningar.
Berlin-gruppa arbeider med personvern innan elektronisk
kommunikasjon i utvida forstand. Datatilsynet er fullverdig medlem
av arbeidsgruppa, som har brei deltaking frå alle delar av verda.
Internasjonalt saksbehandlarmøte er eit årleg
arrangement der Datatilsynet deltek for å få innspel om kva styremaktene
i andre land er opptekne av, og for å utveksle røynsler.
Fordi Noreg ikkje er medlem av EU, er Datatilsynet
særleg oppteke av å ha eit tett og forpliktande samarbeid med dei
andre nordiske landa. For å halde dette samarbeidet ved like har
dei nordiske datatilsynsstyremaktene organisert et nordisk møte
ein gong i året for leiarane for dei nordiske datatilsynsstyremaktene.
Regjeringa meiner det er både bra og viktig
at Datatilsynet prioriterer det internasjonale samarbeidet høgt.
EUs gjeldande personverndirektiv (95/46/EF) har
vore, og er framleis, eit viktig regelsett. Likevel er det liten
tvil om at direktivet er moge for revisjon. Det har vore ei rivande
utvikling i åra sidan direktivet vart vedteke.
25. januar 2012 la EU-kommisjonen fram utkast til
revidert personvernregelverk. Eit ønske om betre harmonisering av
personvernregelverka i dei europeiske landa har stått sentralt i
arbeidet med å førebu regelverksrevisjonen. Tydelegare plikter for
dei behandlingsansvarlege og klårare rettar for dei registrerte
står sentralt i revisjonen. Det er gjort framlegg om å fjerne den
relativt vidfemnande meldeplikta som gjeld i dag, og det er føreslått
ei ordning der behandlingsansvarlege som er etablerte i fleire medlemsstatar,
skal kunne halde seg til personvernstyremakta i berre eitt av desse
landa. Det er òg framlegg om å harmonisere reglane om sanksjonering
av brot på personvernregelverket. Tanken med framlegga er å lette
dei administrative byrdene for dei behandlingsansvarlege.
Når det gjeld rettar, har fokus særleg vore
retta mot omgrepet «right to be forgotten», som inneber ein rett
til å bli gløymd når personopplysningane ikkje lenger er nødvendige
for innsamlingsføremålet. Ein rett til å ta med seg personopplysningar
frå eitt sosialt nettverk til eit anna er òg eitt av framlegga som
skal betre personvernet på nett. Det er dessutan gjort framlegg om
strammare reglar for samtykke som skal danne grunnlag for behandling
av personopplysningar. Eit samtykke må vere konkret, informert og
eksplisitt. Samstundes er det gjort framlegg om at berre foreldre
eller føresette kan samtykke på vegne av barn under 13 år som får tilbod
om informasjonssamfunnstenester. Eit tydelegare fokus på personvernfremjande
bruk av teknologi står sentralt i revisjonsarbeidet. Auka bruk av
innebygd personvern, eller «privacy by design» som er det mest kjende
omgrepet, inneber at IKT-løysingar blir utvikla med dei personvernvenlege
alternativa som innebygde førsteval. Den som skal bruke systemet,
må gjere eit aktivt val dersom han eller ho ønsker å nytte mindre
personvernvenlege alternativ. Det er vidare framlegg om klarare
reglar om bruk av personvernombod (data protection officer) og oppgåvene
deira, og reglar om obligatoriske personvernkonsekvensutgreiingar
og internkontrollsystem. I forlenginga av dette blir det òg gjort
framlegg om ei sertifiseringsordning som skal dokumentere at den
behandlingsansvarlege sikrar eit tilfredsstillande personvernnivå.
I håp om å leggje til rette for ei betre europeisk harmonisering
av personvernretten er regelutkastet presentert som ei forordning.
Ei forordning må gjennomførast av landa etter ordlyden. Medlemslanda
har derfor lite rom for nasjonale tilpassingar dersom det blir vedteke
ei forordning om vern av personopplysningar. I tillegg til ei forordning
om behandling av personopplysningar generelt har EU-kommisjonen
lagt fram utkast til eit direktiv om behandling av personopplysningar
for kriminalitetsførebygging. Dette direktivutkastet er i all hovudsak
ei direktivfesting av rammeavgjerd 2008/977/JHA om vern av personopplysningar
som blir behandla i politi- og justissamarbeid i Europa. Rammeavgjerda
gjeld ved utveksling av personopplysningar mellom dei samarbeidande
landa. Direktivutkastet legg opp til at dei same reglane òg langt
på veg skal gjelde for korleis politiet nasjonalt behandlar personopplysningar
i samband med avdekking, gransking, oppklaring og straffeforfølging
av strafflagde handlingar. Når lov 28. mai 2010 nr. 16 om behandling
av personopplysningar i politiet (politiregisterlova) med forskrifter
tek til å gjelde, gjennomfører ho langt på veg reglane i rammeavgjerda
som gjeld korleis norsk politi skal behandle personopplysningar
nasjonalt. Lova kjem til å leggje til rette for god ivaretaking
av personvern i viktige delar av justissektoren. Slik direktivutkastet
frå EU no ser ut, er det derfor ingen grunn til å tru at dette fører
til store behov for endringar i det norske regelverket.
Regelframlegga er til behandling i Rådet og
EU-parlamentet. Regjeringa er positiv til mange av dei prinsippa
som ligg til grunn for regelframlegga frå EU. Dersom regelverket
blir vedteke slik EU kommisjonen har gjort framlegg om, vil det bli
nødvendig med endringar i det norske personvernregelverket. Fleire
av prinsippa og framlegga frå EU blir nærmare omtala i meldinga.
OECD vedtok retningsliner for vern og utveksling
av personopplysningar over landegrensene i 1980 (Guidelines Governing
the Protection of Privacy and Transborder Flows of Personal Data).
Desse retningslinene er ikkje rettsleg bindande for medlemsstatane.
Dei har likevel vore viktige for utviklinga av personvernregelverk
i ei rekkje land, særleg utanfor Europa. OECD er ein viktig arena
for internasjonalt personvernsamarbeid ut over det europeiske. Det
blir i meldinga vist til at det er nyttig å diskutere handteringa
av aktuelle personvernutfordringar innanfor OECD, fordi det gir
eit innsyn i korleis styremaktene i andre land vurderer ulike personvernspørsmål.
Røynsla er uansett at hovudproblemstillingane og utfordringane er
felles for dei fleste landa, endå om landa har litt ulik tilnærming
til korleis ein bør handtere utfordringane.
For det norske personvernregelverket har OECDs
retningsliner om personvern og overføring av personopplysningar
over landegrensene dei seinare åra likevel hatt lite å seie konkret
og direkte.
OECDs personvernarbeid er lagt til arbeidsgruppa
for informasjonstrygging og personvern (Working Party on Information
Security and Privacy – WPISP), som så er organisert under komiteen
for IKT (Committee for Information, Computer and Communications
Policy – ICCP). OECDs retningsliner for personvern og flyt av personopplysningar
over landegrensene har eit klårt personvernfokus. Ivaretaking av
personvernomsyn, kanskje særleg i den forstand at personopplysningar
ikkje skal kome uvedkomande i hende, er viktig ut frå OECDs perspektiv
om økonomisk vekst og utvikling.
I 2010 vart det, i høve 30-årsjubileet for OECDs personvernretningsliner,
sett i gang eit arbeid med sikte på å revidere retningslinene. For
dei OECD-landa som òg er EU-/EØS-medlemer, er det sentralt å sjå
regelsettet i dei to organisasjonane i samanheng.
Noreg deltek med representantar på departementsnivå
både i OECDs IKT-komité og i arbeidsgruppa for personvern og informasjonstryggleik
(WPISP). Regjeringa erfarer at deltaking i OECD-arbeidet er til
stor nytte.
Europarådskonvensjon 28. januar 1981 nr. 108 om
personvern i samband med elektronisk databehandling av personopplysningar
(personvernkonvensjonen) vart ratifisert av Noreg 20. februar 1984
og tok til å gjelde 1. oktober 1985. Så langt har 43 land ratifisert
konvensjonen.
Føremålet med personvernkonvensjonen er å tryggje
respekten for fridom og andre grunnleggjande rettar i samband med
lagring og handtering av personopplysningar ved hjelp av elektronisk
databehandling. Konvensjonen inneheld minimumsreglar, og dei ulike
landa står fritt til å gi personvernrettar som går ut over det som
følgjer av konvensjonen. Konvensjonen er gjennomført i norsk rett
gjennom personopplysningslova. Personvernkonvensjonen er seinare
følgd opp med ulike rekommandasjonar (tilrådingar) som gir utfyllande
retningsliner for behandling av personopplysningar på nærmare avgrensa
område. Det er oppretta ein konsultativ komité i samsvar med personvernkonvensjonen artikkel
18 (T-PD). Noreg stiller normalt med ein representant på dei årlege
møta i komiteen.
Det er nyleg sett i gang ein prosess i Europarådet som
skal modernisere personvernkonvensjonen. Eit viktig omsyn er å tryggje
samsvar mellom personvernregelverket som er under utarbeiding i
EU, og Europarådskonvensjonen.
Personopplysningslova set krav som må vere oppfylte
før ein behandlingsansvarleg som er etablert i Noreg, kan eksportere
personopplysningar ut av landet, jf. lova §§ 29 og 30. Så lenge personopplysningane
skal eksporterast til statar i EØS-området, er det ingen restriksjonar.
Overføring av personopplysningar kan òg skje fritt til aktørar
i tredjeland som EU-kommisjonen ved ei formell avgjerd har funne
å ha eit tilfredsstillande vernenivå. Med mindre Noreg reserverer seg,
gjeld avgjerdene kommisjonen tek på dette området òg for Noreg.
I alle andre tilfelle der den behandlingsansvarlege
ønskjer å overføre personopplysningar til utlandet, må anten eitt
eller fleire av unntaka i personopplysningslova § 30 første leddet
vere oppfylte, eller Datatilsynet kan godkjenne overføringane som
skal gjerast. Bruksområdet for dei nemnde unntaka er likevel nokså
snevert, ifølgje Artikkel 29-gruppa. Den offisielle tilrådinga frå Datatilsynet
er derfor at den behandlingsansvarlege anten nyttar standardkontraktane
som EU-kommisjonen har laga for dette føremålet, eller at det blir
utforma såkalla Binding Corporate Rules, ofte omtala som BCR. Sjå
meldinga for ei nærare omtale av standardkontrakter og BCR, og om
rolla til Datatilsynet i dette arbeidet.
Noreg skal vere ein
relevant bidragsytar i internasjonalt personvernarbeid.
Noreg vil arbeide for deltaking i eit eventuelt nytt
europeisk datatilsyn og deltaking i avgjerdsprosessen i EU-kommisjonen
der denne får kompetanse etter EØS-relevant personvernregelverk.
Regjeringa vil arbeide for god nasjonal
samordning av Noregs internasjonale personvernarbeid.
Komiteen viser til
at det någjeldende EU-direktiv (95/46/EF) er under revisjon og skal
erstattes av en forordning som vil få betydelig innvirkning på EØS-området.
Det er uklart når forslaget ferdigbehandles i EU, men Norge må arbeide
for deltagelse i beslutningsprosessen.
Selv om personverndirektivet er bindende for Norge,
er det likevel et nasjonalt handlingsrom, som komiteen forventer
blir utnyttet hvis nasjonale behov tilsier strengere personvern.
Komiteen har merket seg Norges
brede deltakelse, i første rekke gjennom Datatilsynet i internasjonalt
personvernarbeid, og legger vekt på at Norge gjør sin innflytelse
gjeldende, særlig overfor EU-systemet.
Komiteens medlemmer fra Fremskrittspartiet,
Høyre og Kristelig Folkeparti mener det er nødvendig å innføre
«Privacy by Design» i alle offentlige IKT-prosjekter.
Disse medlemmer mener det er
skuffende at regjeringen i denne meldingen ikke signaliserer at
man vil ta opp forholdene rundt den svenske FRA-loven (Lag om ändring
i lagen om försvarsunderrättelseverksamhet), en lov som gir en sivil
etat, under det svenske forsvarsdepartementet, rett til å bedrive
kommunikasjonsetterretningsvirksomhet på kabelbåren trafikk som passerer
svenske grenser, hvilket altså innbefatter telefoni og en betydelig
andel av internettrafikken. Disse medlemmer viser
til at Datatilsynet og Post- og teletilsynet uttrykte sterk bekymring
da denne loven i 2011 ble utvidet til å gi tilgang til kommunikasjonsetterretninger
for de særskilte politiorganene Rikskriminalpolisen og Säkerhetspolisen.
Selv om den svenske regjeringen i svar på skriftlig spørsmål fra
stortingsrepresentant Hans Frode Asmyhr gjennom Nordisk råd, jf.
E3/2012 (http://www.norden.org/da/nordisk-raad/sager/spoergsmaal-og-svar/2012/e-3-2012),
betoner at den formen for informasjonsinnhenting som er hjemlet
i FRA-loven, innebærer en domstols godkjennelse, åpner denne muligheten
for å drive etterretningsinnhenting for utvidede fullmakter til
at sivile svenske myndigheter kan overvåke 80 pst. av data- og teletrafikk
inn og ut av Norge. Disse medlemmer er urolige for
at de begrensninger som ligger i denne loven når det gjelder kontroll
av borgere, ikke innbefatter andre enn svenske borgere.
På denne bakgrunn fremmer disse medlemmer følgende
forslag:
«Stortinget ber regjeringen gjennomgå implikasjonene
av utvidelsene av den svenske FRA-loven og fremme en sak til Stortinget
om hvordan man kan sikre at innbyggere i Norge får bedre beskyttelse
i sin tele- og datakommunikasjon.»