Ved EØS-komiteens beslutning av 25.
juni 1999 ble europaparlaments- og rådsdirektiv om beskyttelse
av fysiske personer i forbindelse med behandling av personopplysninger
og om fri utveksling av slike opplysninger (personverndirektivet),
tatt inn i EØS-avtalens vedlegg XI om telekommunikasjonstjenester.
Samtidig ble EØS-avtalens protokoll 37 endret til også å omfatte
EFTA-statenes deltakelse i den arbeidsgruppen som personverndirektivet
oppretter for å gi råd til Kommisjonen i ulike
spørsmål knyttet til behandling av personopplysninger.
Personverndirektivet har som siktemål å etablere
felles reguleringsprinsipper og et ensartet vern for behandling
av personopplysninger i hele EU-området. Direktivet skal
sikre fysiske personers grunnleggende rettigheter og friheter i
forbindelse med behandling av personopplysninger. Samtidig har direktivet
som formål å sikre fri utveksling av personopplysninger
mellom medlemsstatene.
EØS-komiteens beslutning og direktivet
i norsk oversettelse følger som trykte vedlegg til proposisjonen.
Forslag til lovendringer for å gjennomføre beslutningen
er forelagt Stortinget ved Ot.prp. nr. 92 (1998-1999) om lov om
behandling av personopplysninger.
Etter artikkel 1 skal medlemsstatene i samsvar
med direktivet sikre vern av fysiske personers grunnleggende rettigheter
og friheter ved behandling av personopplysninger. Vernet av retten
til privatlivets fred fremheves særskilt. Samtidig skal
direktivet sikre fri utveksling av personopplysninger i det indre
marked.
Artikkel 2 definerer begreper som benyttes i
direktivet.
Artikkel 3 angir direktivets saklige virkeområde. Direktivet
får i utgangspunktet anvendelse på enhver behandling
av personopplysninger som helt eller delvis utføres ved
hjelp av elektroniske hjelpemidler og på manuell behandling
av personopplysninger der disse inngår eller skal inngå i
et register.
Artikkel 4 angir forholdet mellom direktivet
og nasjonal lovgivning. Hovedregelen er at behandling av personopplysninger
innenfor fellesskapet skal følge reglene om personvern
i den staten der den behandlingsansvarlige er etablert.
Artikkel 6 oppstiller enkelte grunnleggende
prinsipper for opplysningenes kvalitet og krav til behandling av
personopplysninger.
Artikkel 7 oppstiller uttømmende vilkår
for at behandling av personopplysninger kan finne sted. Personopplysninger
kan behandles når den registrerte har gitt sitt utvetydige
samtykke, eller når behandlingen er nødvendig
for å vareta nærmere definerte interesser.
Artikkel 8 oppstiller i utgangspunktet et forbud
mot å behandle sensitive personopplysninger elektronisk eller
som en del av et manuelt personregister, men det åpnes
for å fastsette nærmere bestemte unntak fra forbudet.
Etter artikkel 9 skal det gjøres unntak
fra de fleste av de alminnelige reglene i direktivet for behandling
av personopplysninger som utelukkende finner sted i journalistisk øyemed
eller i forbindelse med kunstnerisk eller litterær virksomhet,
i den grad dette er nødvendig for å forene retten
til privatlivets fred med reglene om ytringsfrihet.
Artiklene 10 og 11 inneholder regler om opplysningsplikt
for den behandlingsansvarlige, både når personopplysninger
samles inn direkte fra den registrerte, og når personopplysninger
hentes fra andre kilder enn den registrerte selv.
Artikkel 12 gir den registrerte rett til å få innsyn
i opplysninger. Enhver registrert har rett til å få opplyst hos
den behandlingsansvarlige om det behandles personopplysninger om
en selv, om formålet med behandlingen, hvilke opplysningstyper
som brukes, kilden for og mottakerne av opplysningene, samt i visse
tilfeller "logikken" bak disse behandlingene. Ulike unntak fra denne
innsynsretten er hjemlet i artikkel 13. Begrensningene må gjøres
ved lov, og må være nødvendige ut fra
nærmere bestemte hensyn som nevnes i art. 13 bokstav a-g.
Artikkel 14 inneholder en bestemmelse som på nærmere
angitte vilkår gir den enkelte rett til å motsette
seg at visse særlige kategorier av personopplysninger blir behandlet.
Det er anledning til å begrense denne retten i nasjonal
lovgivning. Det oppstilles videre en rett til å motsette
seg persondatabehandlinger som er ledd i markedsføring.
Artikkel 15 oppstiller som hovedregel en rett
for den enkelte til å nekte å la seg undergi avgjørelser
som har rettsvirkninger for ham eller henne eller som berører vedkommende
i vesentlig grad, og som i sin helhet er truffet på grunnlag
av elektronisk behandling av opplysninger med sikte på å vurdere
visse personlige forhold.
Artikkel 17 pålegger bl.a. medlemsstatene å gi
regler om den behandlingsansvarliges plikt til å iverksette tekniske
og organisatoriske tiltak for å beskytte personopplysninger.
Direktivet etablerer en tilsynsordning der hovedregelen
er meldeplikt til tilsynsmyndigheten for all elektronisk behandling
av personopplysninger, jf. artikkel 18. For personopplysningsbehandlinger
som kan innebære særlige farer for de registrertes
friheter og rettigheter, krever artikkel 20 at det skal foretas
en forhåndskontroll, f.eks. en konsesjonsplikt.
Det forutsettes at antallet slike behandlinger bør være
svært begrenset sett i forhold til det totale antallet
behandlinger av personopplysninger i samfunnet.
Medlemsstatene skal iht. artikkel 21 sikre at
behandlingene er offentlig tilgjengelige, bl.a. gjennom å gi regler
om at tilsynsmyndigheten skal føre et register over behandlinger
som er innmeldt etter artikkel 18.
Direktivets bestemmelser om klageadgang, ansvar og
sanksjoner, jf. artikkel 22-24, oppstiller visse generelle krav,
men overlater til medlemsstatene å utforme detaljene i
gjennomføringen.
Det skal være fri utveksling av personopplysninger mellom
medlemsstatene, mens det for overføring av personopplysninger
til tredjestat oppstilles ulike grunnprinsipper som skal sikre at
opplysninger som hovedregel bare overføres til stater som
har et tilstrekkelig vernenivå når det gjelder
personvern, jf. artikkel 25. Direktivet etablerer særlige
prosedyrer for å sikre en enhetlig praktisering av overføringsreglene.
Kommisjonen og medlemsstatene skal bl.a. holde hverandre orientert
om tredjestater som de finner ikke har et tilstrekkelig vernenivå.
Medlemsstatene og Kommisjonen skal iht. artikkel 27
oppmuntre til utarbeidelse av såkalte atferdsregler (bransjevise
atferdsnormer).
Hver medlemsstat skal utpeke minst en offentlig
tilsynsmyndighet som skal påse at reglene som gis for å gjennomføre
direktivet overholdes, jf. artikkel 28.
Det skal nedsettes en uavhengig arbeidsgruppe
for personvern i forbindelse med behandlingen av personopplysninger,
bestående av én representant fra tilsynsmyndighetene
i hver medlemsstat, i tillegg til representanter fra EUs egne organer,
jf. artikkel 29. Gruppen skal bl.a. gi Kommisjonen råd
i spørsmål som gjelder personvern ved behandling
av personopplysninger, jf. artikkel 30.
Hver EFTA-stat skal utpeke en representant til å delta som
observatør i den arbeidsgruppen som direktivet oppretter
for å gi råd til Kommisjonen i ulike spørsmål knyttet
til behandling av personopplysninger Det er gitt visse særlige
tilpasninger for EFTA-statenes vedkommende.
I forhold til reglene om overføring
av personopplysninger til tredjestat er det gitt tilpasninger som
skal sikre gjensidig informasjon om tredjestatsspørsmål
og som medfører at EFTA-statene står fritt til å velge
om de vil følge beslutninger fra Kommisjonen om f.eks. å nekte
overføring av personopplysninger til bestemte tredjestater.
EFTA-statene skal innen seks måneder
fra tidspunktet for beslutningen (som var 25. juni 1999), bekrefte overfor
de øvrige EØS-stater at de forfatningsmessige krav
er oppfylt, dvs. for Norges del at Stortingets samtykke er innhentet.
Fristen for gjennomføring av direktivet i norsk rett er
den samme.
Direktivet nødvendiggjør endringer
i norsk personregisterlovgivning på en del punkter. De
nødvendige endringene er foreslått gjennomført
i Ot.prp. nr. 92 (1998-1999) om lov om behandling av personopplysninger.
Direktivet inneholder ikke noen uttrykkelig
regulering av forholdet mellom behandlingsreglene i direktivet
og innsynsregler som følger av offentlighets- og forvaltningslovgivningen,
men det legges til grunn at direktivet ikke gjør det nødvendig å begrense
den innsynsretten som følger av offentlighetsloven.
For dem som behandler personopplysninger vil utvidet
innsynsrett og nye varslingsregler kunne medføre visse
meromkostninger, uten at det er mulig å tallfeste disse
konkret. Det vil også påløpe utgifter
hos Datatilsynet.
Etter Justisdepartementets syn vil direktivet
gjennom innlemmelse i EØS-avtalen sikre et styrket personvern,
samtidig som man tar hensyn til behovet for en fleksibel og teknologiuavhengig
regulering.
De tilpasningene som er fremforhandlet om prosedyrene
knyttet til en enhetlig praktisering av reglene om overføring
av personopplysninger til tredjestat, gir en tilfredsstillende sikring
av EFTA-statenes mulighet til på selvstendig grunnlag å vurdere
om de vil følge Kommisjonens beslutninger.
Komiteen viser til
at formålet med personverndirektivet er å sikre
enkeltpersoners grunnleggende rettigheter og friheter i forbindelse
med behandling av personopplysninger, og samtidig sikre fri utveksling
av personopplysninger innen EUs medlemsstater. Ved EØS-komiteens
beslutning av 25. juni 1999 er direktivet tatt inn som en del av
EØS-avtalen.
Komiteen støtter de
hovedprinsipper som ligger til grunn for direktivet. Direktivet
forutsetter en delvis omlegging av dagens regelverk på området,
og det er i Ot.prp. nr. 92 (1998-1999) fremlagt forslag om at gjeldende
personregisterlov skal avløses av en ny personopplysningslov
i tråd med direktivet. Omleggingen vil bl.a. innebære
en overgang fra forhåndskontroll ved konsesjonsbehandling
til meldeplikt og større vekt på etterfølgende
kontroll, med mindre det dreier seg om sensitive personopplysninger.
Komiteen mener dette er en riktig
utvikling, og at direktivet totalt sett vil styrke personvernet
for eksempel ved at det gis mer spesifikke lovregler om grunnleggende
prinsipper for behandling av personopplysninger, jf. art. 6. Samtidig
har man ivaretatt hensynet til ytringsfriheten ved et vidtgående
unntak for journalistisk, kunstnerisk og litterær virksomhet,
jf. art. 9.
Komiteen har merket seg at Regjeringen
mener prosedyrene knyttet til reglene om overføring av
personopplysninger til tredjestat gir en tilfredsstillende sikring
av vår mulighet til på selvstendig grunnlag å vurdere
om vi vil følge Kommisjonens beslutninger.
Komiteen viser for øvrig
til Innst. O. nr. 51 (1999-2000) til Ot.prp. nr. 92 (1998-1999)
der komiteens merknader til hovedprinsippene og de enkelte bestemmelsene
i personopplysningsloven gjennomgås.
Komiteen slutter seg etter dette
til forslaget om å godkjenne EØS-komiteens beslutning
om å innta personverndirektivet som en del av EØS-avtalen.
Komiteens utkast til
innstilling har vært forelagt utenrikskomiteen til uttalelse.
Utenrikskomiteen uttaler i brev av 16. februar 2000:
«Under henvisning til justiskomiteens brev av 10.
ds om ovennevnte meddeles at utenrikskomiteen ikke har merknader
til utkastet.»
Komiteen viser til
proposisjonen og rår Stortinget til å gjøre
følgende
vedtak:
Stortinget samtykker i godkjenning av EØS-komiteens
beslutning nr. 83/1999 av 25. juni 1999 om endring av EØS-avtalens
protokoll 37 og vedlegg XI (telekommunikasjonstjenester).
Oslo, i justiskomiteen, den 22. februar 2000
Kristin Krohn Devold
leder |
Jan Petter Rasmussen
ordfører |
Jan Simonsen
sekretær |