Svar
Anders Anundsen: Personvernreformen
Europa-kommisjonen presenterte 25. januar 2012 en reform for modernisering av EUs personvernregler. Det rettslige grunnlaget for rettsakten er artikkel 16 i Traktaten om den europeiske unions virkemåte. Kommisjonen foreslår to nye regelverk: en forordning om beskyttelse av personopplysninger generelt og et direktiv for myndighetenes behandling av personopplysninger i politi- og straffesektoren. Forordningen skal erstatte gjeldende personverndirektiv 95/46/EF, som er inntatt i EØS-avtalen og som personopplysningsloven gjennomfører. Direktivet skal erstatte rammebeslutning 2008/977/JIS om personvern innen politisamarbeid og annet rettslig samarbeid i straffesaker, som er inntatt i Schengen-avtalen og gjennomført i politiregisterloven.
Arbeidet med personvernreformen i regjeringen
Justis- og beredskapsdepartementet er ansvarlig for å følge opp arbeidet med henholdsvis forordningen og direktivet.
Regelverksutkastet behandles i spesialutvalget for justis- og innenrikssaker. Det er også opprettet en egen referansegruppe som jobber med å utvikle norske posisjoner til forordningsutkastet, bestående av berørte departementer og Datatilsynet. Forordningsutkastet har vært på høring, med høringsfrist 15. juni 2012.
Innsats mot EU og medlemsland
For at forordningsutkastet skal kunne vedtas, må Rådet og Europaparlamentet vedta likelydende lovtekster. I Europaparlamentet behandles forordningsutkastet i fagkomiteen for menneskerettigheter, justis- og innenrikssaker (LIBE). Komiteen avga sin innstilling 21. oktober 2013, som avviker noe fra Kommisjonens forslag. Innstillingen ble vedtatt med stort flertall 12. mars 2014.
I Rådet behandles rettsakter i arbeidsgrupper bestående av eksperter fra medlemsstatene, i en ambassadørkomite (Coreper) og på ministernivå. Behandling av forordningsutkastet pågår fremdeles på alle nivåer. Etter EØS-avtalen har Norge ikke anledning til å delta i Rådets behandling av rettsakter. Norges tilslutningsavtale til Schengen-samarbeidet gir oss imidlertid rett til å delta i Rådets behandling av Schengen-relevante rettsakter. Utkastet til direktiv for politi- og straffesektoren er Schengen-relevant og behandles i fellesorgan i Rådet. Norge deltar derfor på alle nivåer i Rådets behandling av direktivforslaget. Rådets juridiske tjeneste har derimot kommet til at forordningsforslaget ikke er Schengen-relevant. I og med at regelverket har en viss betydning for våre Schengen-forpliktelser, deltar Norge likevel i Rådets forhandlinger på arbeidsgruppenivå, men ikke på ambassadør- og ministernivå. Norge har også møtt i «Friends of the Presidency Group».
Det har i tillegg vært noe nordisk samarbeid om forordningsutkastet, i første rekke gjennom et møte som ble avholdt i København i januar 2013 og hvor alle de nordiske landene deltok. Samarbeidet er i liten grad formalisert.
Det at Rådet og Europaparlamentet må vedta likelydende tekster, innebærer at det nye Europaparlamentet etter valget i mai 2014 igjen må ta stilling til forslaget til personvernforordning. Det arbeides for en snarlig vedtakelse av regelverket, trolig i løpet av 2015.
Norske myndigheters prioriteringer for å styrke personvernet
I forhandlingene om forordningsutkastet arbeider Norge for å sikre at den enkeltes personvern ikke svekkes. Justis- og beredskapsdepartementets vurdering er at forordningsutkastet i hovedsak gir rom for å videreføre de sentrale prinsippene i gjeldende norsk personvernlovgivning.
Det å erstatte det någjeldende direktivet med en forordning, vil innebære en større grad av harmonisering av personvernreglene i EØS-området enn etter det någjeldende personverndirektivet. Forordninger gir som utgangspunkt mindre adgang til å gi regler på nasjonalt nivå enn det direktiver gjør. Et mer enhetlig regelverk kan hindre uoversiktlig og ulik gjennomføring av personvernregler i de ulike land, og styrke norske borgeres rettigheter i møte med utenlandske aktører. For næringslivet vil det bli enklere å operere internasjonalt, da aktørene kun vil ha ett europeisk regelsett å forholde seg til.
Fra norsk side ser man positivt på en styrking av individets rettigheter på europeisk nivå og mener det er viktig å sikre den enkeltes rett til informasjon om behandling av egne personopplysninger og en mulighet til å få slettet uønskede personopplysninger på Internett. Rettighetene må imidlertid vurderes opp mot hensynet til effektivitet i både privat og offentlig sektor. Norge ønsker at regelverket ikke skal legge unødvendige byrder på næringslivet, særlig på små og mellomstore bedrifter. Det avgjørende er å sikre individets rettigheter samtidig som næringslivets behov for et praktisk anvendbart og kostnadseffektivt regelverk ivaretas.
Norge ønsker at det europeiske regelverket skal gi noe nasjonal fleksibilitet, både til å opprettholde norsk beskyttelse av personopplysninger og til å ivareta andre viktige hensyn. I forhandlingene arbeides det for å bevare offentlighetsprinsippet og adgangen til å opprettholde sektorlovgivning om behandling av personopplysninger, herunder i helsesektoren, samt unntak for behandling av personopplysninger i forskningssammenheng og for historiske formål.
Jeg mener det er viktig at regelverket er tilpasset dagens teknologiske virkelighet. I forhandlingen støtter Norge utgangspunktet om en teknologinøytral regulering, som sikrer at regelverket vil fungere godt også i møte med fremtidens teknologi.
Norge arbeider også for deltakelse i en eventuell europeisk personvernkomite og deltakelse i Kommisjonens beslutningsprosess der Kommisjonen gis kompetanse etter regelverket.
Når det gjelder direktivet stiller saken seg noe annerledes. Direktivet skal avløse rammebeslutning 2008/977/JIS om vern av personopplysninger i forbindelse med politisamarbeid og rettslig samarbeid i straffesaker, som ble vedtatt av Rådet 27. november 2008 og som skulle gjennomføres av medlemslandene innen 2010. Videre skulle Kommisjonen foreta en evaluering i 2011 med henblikk på å vurdere om medlemslandene har gjennomført rammebeslutningen i sin nasjonale lovgivning. Denne evalueringen har ikke funnet sted. Videre har flere land fortsatt ikke gjennomført rammebeslutningen. I Norge ble rammebeslutningen gjennomført i politiregisterloven, som trådte i kraft 1. juli 2014. Disse forholdene fører til at mange land, herunder Norge, mener at det var for tidlig å fremme en ny rettsakt om personvern i politisektoren.
Den mest markante forskjellen mellom rammebeslutningen og utkastet til direktivet er virkeområde. Rammebeslutningen regulerte i utgangspunktet kun personopplysninger som ble utvekslet mellom medlemslandene, mens direktivet også skal få anvendelse for den nasjonale behandlingen av opplysninger. Siden Norge har gjennomført rammebeslutningen også for nasjonal behandling av opplysninger, er vår prioritering at man i størst mulig grad viderefører innholdet i rammebeslutningen, slik at det ikke er nødvendig å endre politiregisterloven som trådte i kraft for noen måneder siden.