Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

2. Personvern i eit internasjonalt perspektiv

Dei internasjonale rettslege instrumenta og det internasjonale samarbeidet på personvernområdet blir stadig viktigare. Fordi opplysningar i aukande grad kryssar landegrensene i samband med ulik tenesteutøving, blir òg personvernutfordringar og usemjer i større grad grenseoverskridande. Det krevst internasjonalt samarbeid både for å førebyggje og for å løyse slike usemjer. Regjeringa meiner det derfor er viktig at Noreg prioriterer å ta del i dei ulike internasjonale foruma der personvern er på saklista, og i så stor grad som mogleg freistar påverke utviklinga.

I kapittel 6 i rapporten frå Personvernkommisjonen er det gjort greie for ulike internasjonale regelsett og kva dei har å seie for personvernet. I meldinga blir det gjort greie for nokre viktige utviklingstrekk på det internasjonale området etter at Personvernkommisjonen avslutta arbeidet sitt.

EUs direktiv 95/46/EF (heretter omtala som personverndirektivet) vart vedteke i 1995 og er EØS-relevant og bindande for Noreg.

Personverndirektivet er i all hovudsak gjennomført i norsk rett gjennom personopplysningslova frå 2000. I meldinga blir det vist til at viktige element i direktivet er prinsippet om ei uavhengig tilsynsstyremakt, krav til rettsleg grunnlag for behandling av personopplysningar, aktiv informasjonsplikt for den behandlingsansvarlege overfor dei registrerte, særlege rettar for dei registrerte ved behandling av personopplysningar i automatiserte avgjerdsprosessar og meldeplikt til tilsynsstyremakta ved behandling av personopplysningar. Det er likevel opna for store unntak, mange av dei tufta på skjønsvurderingar, frå dei fleste prinsippa som er nedfelte i direktivet.

Personverndirektivet er eit minimumsdirektiv. I mange av føresegnene ligg det dessutan eit stort og skjønsprega handlingsrom. Medlemsstatane kan gjere ei rad meir eller mindre vidfemnande unntak frå det som er hovudregelen i direktivet. I meldinga blir det peikt på at dette fører med seg at den ønskte harmoniseringa, som ligg bak direktivet, likevel ikkje blir heilt nådd. Dette er noko av årsaka til at EU-kommisjonen i lengre tid har arbeidd med ein revisjon av det gjeldande personverndirektivet. Revisjonen blir omtala i kapittel 3.2.3 i meldinga.

Jamvel om reglane i personopplysningslova i all hovudsak er ei gjennomføring av personverndirektivet, er nokre av reglane i lova likevel norske spesialreglar. Dette gjeld særleg reglane i personopplysningslova om kameraovervaking. I samband med revisjonen av personverndirektivet som er i gang, har EU-kommisjonen likevel gjort framlegg om at det nye regelverket skal innehalde reglar om kameraovervaking. Dessutan inneheld personopplysningsforskrifta nokre reglar som ikkje beint er å finne i direktivet. Dette er mellom anna spesialreglar om informasjonstryggleik, om fritak frå melde- og konsesjonsplikt, om kredittopplysningsverksemd og om innsynet arbeidsgivaren har i e-posten til tilsette.

Personopplysningslova og -forskrifta inneheld føresegner om korleis norske styremakter og behandlingsansvarlege skal te seg når dei overfører personopplysningar til tredjeland, og om tilhøvet til avgjerder EU-kommisjonen tek om personvernnivået i desse landa. Desse avgjerdene om personvernnivået i tredjeland er EØS-relevante, og Noreg har til no lagt avgjerdene frå EU-kommisjonen til grunn i saker som gjeld overføring av personopplysningar til desse landa. Personverndirektivet er generelt. Det gjeld derfor for all behandling av personopplysningar så framt det ikkje er gjort unntak. Det går fram av direktivet at landa kan fråvike prinsippa i direktivet dersom dette er nødvendig til dømes av omsyn til den nasjonale tryggleiken, for kriminalitetsførebygging eller for å ta vare på særlege økonomiske interesser for eit land. At det av slike grunnar er mogleg å fråvike prinsippa i direktivet, er det teke omsyn til i personopplysningslova.

Direktiv 2002/58/EF (kommunikasjonsverndirektivet) inneheld personvernføresegner som gjeld generelt for elektronisk kommunikasjon. Direktivet er implementert i lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon med forskrifter. Dessutan regulerer direktiv 2006/24/EF (datalagringsdirektivet) plikta ekomtilbydarane har til å lagre trafikk- og kommunikasjonsdata for kriminalitetsmotverkande føremål. Dette direktivet vart vedteke gjennomført i norsk rett i 2011, men reglane har enno ikkje teke til å gjelde.

Det finst to samarbeidsforum på personvernområdet i EU. Dei blir omtala som Article 29 Data Protection Working Party (Artikkel 29-gruppa) og Article 31 Working Party (Artikkel 31-gruppa). Artikkel 29-gruppa er samarbeidsforum for tilsynsstyremaktene i medlemslanda, medan Artikkel 31-gruppa er ein komité på departementsnivå. Denne gruppa har avgjerdsmakt når personverndirektivet krev samtykke frå medlemslanda til ei gitt handling. Dette gjeld til dømes vedtak om personvernnivået i tredjeland. EFTA-landa er ikkje med i Artikkel 31-gruppa. Noreg, representert ved Datatilsynet, har likevel vore med i Artikkel 29-samarbeidet sidan 1996. Det følgjer av EØS-avtala at Noreg skal ha observatørstatus, men ikkje røysterett i denne arbeidsgruppa. Gruppa gir EU-kommisjonen råd i spørsmål om personvern og informasjonstryggleik og kjem saman seks gonger i året.

Noreg er fullverdig medlem av The Schengen Joint Supervisory Authority (JSA), et uavhengig kontrollorgan som er samansett av medlemer frå datatilsynsstyremakter i statar tilknytte Schengen-avtala.

Working Party Police and Justice (WPPJ) har mandatet sitt frå Den europeiske konferansen for datatilsynsstyremakter og har jamlege møte. Oppgåva er å følgje med på utviklinga på politi- og justisområdet når det gjeld behandlinga av personopplysningar.

Berlin-gruppa arbeider med personvern innan elektronisk kommunikasjon i utvida forstand. Datatilsynet er fullverdig medlem av arbeidsgruppa, som har brei deltaking frå alle delar av verda.

Internasjonalt saksbehandlarmøte er eit årleg arrangement der Datatilsynet deltek for å få innspel om kva styremaktene i andre land er opptekne av, og for å utveksle røynsler.

Fordi Noreg ikkje er medlem av EU, er Datatilsynet særleg oppteke av å ha eit tett og forpliktande samarbeid med dei andre nordiske landa. For å halde dette samarbeidet ved like har dei nordiske datatilsynsstyremaktene organisert et nordisk møte ein gong i året for leiarane for dei nordiske datatilsynsstyremaktene.

Regjeringa meiner det er både bra og viktig at Datatilsynet prioriterer det internasjonale samarbeidet høgt.

EUs gjeldande personverndirektiv (95/46/EF) har vore, og er framleis, eit viktig regelsett. Likevel er det liten tvil om at direktivet er moge for revisjon. Det har vore ei rivande utvikling i åra sidan direktivet vart vedteke.

25. januar 2012 la EU-kommisjonen fram utkast til revidert personvernregelverk. Eit ønske om betre harmonisering av personvernregelverka i dei europeiske landa har stått sentralt i arbeidet med å førebu regelverksrevisjonen. Tydelegare plikter for dei behandlingsansvarlege og klårare rettar for dei registrerte står sentralt i revisjonen. Det er gjort framlegg om å fjerne den relativt vidfemnande meldeplikta som gjeld i dag, og det er føreslått ei ordning der behandlingsansvarlege som er etablerte i fleire medlemsstatar, skal kunne halde seg til personvernstyremakta i berre eitt av desse landa. Det er òg framlegg om å harmonisere reglane om sanksjonering av brot på personvernregelverket. Tanken med framlegga er å lette dei administrative byrdene for dei behandlingsansvarlege.

Når det gjeld rettar, har fokus særleg vore retta mot omgrepet «right to be forgotten», som inneber ein rett til å bli gløymd når personopplysningane ikkje lenger er nødvendige for innsamlingsføremålet. Ein rett til å ta med seg personopplysningar frå eitt sosialt nettverk til eit anna er òg eitt av framlegga som skal betre personvernet på nett. Det er dessutan gjort framlegg om strammare reglar for samtykke som skal danne grunnlag for behandling av personopplysningar. Eit samtykke må vere konkret, informert og eksplisitt. Samstundes er det gjort framlegg om at berre foreldre eller føresette kan samtykke på vegne av barn under 13 år som får tilbod om informasjonssamfunnstenester. Eit tydelegare fokus på personvernfremjande bruk av teknologi står sentralt i revisjonsarbeidet. Auka bruk av innebygd personvern, eller «privacy by design» som er det mest kjende omgrepet, inneber at IKT-løysingar blir utvikla med dei personvernvenlege alternativa som innebygde førsteval. Den som skal bruke systemet, må gjere eit aktivt val dersom han eller ho ønsker å nytte mindre personvernvenlege alternativ. Det er vidare framlegg om klarare reglar om bruk av personvernombod (data protection officer) og oppgåvene deira, og reglar om obligatoriske personvernkonsekvensutgreiingar og internkontrollsystem. I forlenginga av dette blir det òg gjort framlegg om ei sertifiseringsordning som skal dokumentere at den behandlingsansvarlege sikrar eit tilfredsstillande personvernnivå.

I håp om å leggje til rette for ei betre europeisk harmonisering av personvernretten er regelutkastet presentert som ei forordning. Ei forordning må gjennomførast av landa etter ordlyden. Medlemslanda har derfor lite rom for nasjonale tilpassingar dersom det blir vedteke ei forordning om vern av personopplysningar. I tillegg til ei forordning om behandling av personopplysningar generelt har EU-kommisjonen lagt fram utkast til eit direktiv om behandling av personopplysningar for kriminalitetsførebygging. Dette direktivutkastet er i all hovudsak ei direktivfesting av rammeavgjerd 2008/977/JHA om vern av personopplysningar som blir behandla i politi- og justissamarbeid i Europa. Rammeavgjerda gjeld ved utveksling av personopplysningar mellom dei samarbeidande landa. Direktivutkastet legg opp til at dei same reglane òg langt på veg skal gjelde for korleis politiet nasjonalt behandlar personopplysningar i samband med avdekking, gransking, oppklaring og straffeforfølging av strafflagde handlingar. Når lov 28. mai 2010 nr. 16 om behandling av personopplysningar i politiet (politiregisterlova) med forskrifter tek til å gjelde, gjennomfører ho langt på veg reglane i rammeavgjerda som gjeld korleis norsk politi skal behandle personopplysningar nasjonalt. Lova kjem til å leggje til rette for god ivaretaking av personvern i viktige delar av justissektoren. Slik direktivutkastet frå EU no ser ut, er det derfor ingen grunn til å tru at dette fører til store behov for endringar i det norske regelverket.

Regelframlegga er til behandling i Rådet og EU-parlamentet. Regjeringa er positiv til mange av dei prinsippa som ligg til grunn for regelframlegga frå EU. Dersom regelverket blir vedteke slik EU kommisjonen har gjort framlegg om, vil det bli nødvendig med endringar i det norske personvernregelverket. Fleire av prinsippa og framlegga frå EU blir nærmare omtala i meldinga.

OECD vedtok retningsliner for vern og utveksling av personopplysningar over landegrensene i 1980 (Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data). Desse retningslinene er ikkje rettsleg bindande for medlemsstatane. Dei har likevel vore viktige for utviklinga av personvernregelverk i ei rekkje land, særleg utanfor Europa. OECD er ein viktig arena for internasjonalt personvernsamarbeid ut over det europeiske. Det blir i meldinga vist til at det er nyttig å diskutere handteringa av aktuelle personvernutfordringar innanfor OECD, fordi det gir eit innsyn i korleis styremaktene i andre land vurderer ulike personvernspørsmål. Røynsla er uansett at hovudproblemstillingane og utfordringane er felles for dei fleste landa, endå om landa har litt ulik tilnærming til korleis ein bør handtere utfordringane.

For det norske personvernregelverket har OECDs retningsliner om personvern og overføring av personopplysningar over landegrensene dei seinare åra likevel hatt lite å seie konkret og direkte.

OECDs personvernarbeid er lagt til arbeidsgruppa for informasjonstrygging og personvern (Working Party on Information Security and Privacy – WPISP), som så er organisert under komiteen for IKT (Committee for Information, Computer and Communications Policy – ICCP). OECDs retningsliner for personvern og flyt av personopplysningar over landegrensene har eit klårt personvernfokus. Ivaretaking av personvernomsyn, kanskje særleg i den forstand at personopplysningar ikkje skal kome uvedkomande i hende, er viktig ut frå OECDs perspektiv om økonomisk vekst og utvikling.

I 2010 vart det, i høve 30-årsjubileet for OECDs personvernretningsliner, sett i gang eit arbeid med sikte på å revidere retningslinene. For dei OECD-landa som òg er EU-/EØS-medlemer, er det sentralt å sjå regelsettet i dei to organisasjonane i samanheng.

Noreg deltek med representantar på departementsnivå både i OECDs IKT-komité og i arbeidsgruppa for personvern og informasjonstryggleik (WPISP). Regjeringa erfarer at deltaking i OECD-arbeidet er til stor nytte.

Europarådskonvensjon 28. januar 1981 nr. 108 om personvern i samband med elektronisk databehandling av personopplysningar (personvernkonvensjonen) vart ratifisert av Noreg 20. februar 1984 og tok til å gjelde 1. oktober 1985. Så langt har 43 land ratifisert konvensjonen.

Føremålet med personvernkonvensjonen er å tryggje respekten for fridom og andre grunnleggjande rettar i samband med lagring og handtering av personopplysningar ved hjelp av elektronisk databehandling. Konvensjonen inneheld minimumsreglar, og dei ulike landa står fritt til å gi personvernrettar som går ut over det som følgjer av konvensjonen. Konvensjonen er gjennomført i norsk rett gjennom personopplysningslova. Personvernkonvensjonen er seinare følgd opp med ulike rekommandasjonar (tilrådingar) som gir utfyllande retningsliner for behandling av personopplysningar på nærmare avgrensa område. Det er oppretta ein konsultativ komité i samsvar med personvernkonvensjonen artikkel 18 (T-PD). Noreg stiller normalt med ein representant på dei årlege møta i komiteen.

Det er nyleg sett i gang ein prosess i Europarådet som skal modernisere personvernkonvensjonen. Eit viktig omsyn er å tryggje samsvar mellom personvernregelverket som er under utarbeiding i EU, og Europarådskonvensjonen.

Personopplysningslova set krav som må vere oppfylte før ein behandlingsansvarleg som er etablert i Noreg, kan eksportere personopplysningar ut av landet, jf. lova §§ 29 og 30. Så lenge personopplysningane skal eksporterast til statar i EØS-området, er det ingen restriksjonar. Overføring av personopplysningar kan òg skje fritt til aktørar i tredjeland som EU-kommisjonen ved ei formell avgjerd har funne å ha eit tilfredsstillande vernenivå. Med mindre Noreg reserverer seg, gjeld avgjerdene kommisjonen tek på dette området òg for Noreg.

I alle andre tilfelle der den behandlingsansvarlege ønskjer å overføre personopplysningar til utlandet, må anten eitt eller fleire av unntaka i personopplysningslova § 30 første leddet vere oppfylte, eller Datatilsynet kan godkjenne overføringane som skal gjerast. Bruksområdet for dei nemnde unntaka er likevel nokså snevert, ifølgje Artikkel 29-gruppa. Den offisielle tilrådinga frå Datatilsynet er derfor at den behandlingsansvarlege anten nyttar standardkontraktane som EU-kommisjonen har laga for dette føremålet, eller at det blir utforma såkalla Binding Corporate Rules, ofte omtala som BCR. Sjå meldinga for ei nærare omtale av standardkontrakter og BCR, og om rolla til Datatilsynet i dette arbeidet.

  • Noreg skal vere ein relevant bidragsytar i internasjonalt personvernarbeid.

  • Noreg vil arbeide for deltaking i eit eventuelt nytt europeisk datatilsyn og deltaking i avgjerdsprosessen i EU-kommisjonen der denne får kompetanse etter EØS-relevant personvernregelverk.

  • Regjeringa vil arbeide for god nasjonal samordning av Noregs internasjonale personvernarbeid.

Komiteen viser til at det någjeldende EU-direktiv (95/46/EF) er under revisjon og skal erstattes av en forordning som vil få betydelig innvirkning på EØS-området. Det er uklart når forslaget ferdigbehandles i EU, men Norge må arbeide for deltagelse i beslutningsprosessen.

Selv om personverndirektivet er bindende for Norge, er det likevel et nasjonalt handlingsrom, som komiteen forventer blir utnyttet hvis nasjonale behov tilsier strengere personvern.

Komiteen har merket seg Norges brede deltakelse, i første rekke gjennom Datatilsynet i internasjonalt personvernarbeid, og legger vekt på at Norge gjør sin innflytelse gjeldende, særlig overfor EU-systemet.

Komiteens medlemmer fra Fremskrittspartiet, Høyre og Kristelig Folkeparti mener det er nødvendig å innføre «Privacy by Design» i alle offentlige IKT-prosjekter.

Disse medlemmer mener det er skuffende at regjeringen i denne meldingen ikke signaliserer at man vil ta opp forholdene rundt den svenske FRA-loven (Lag om ändring i lagen om försvarsunderrättelseverksamhet), en lov som gir en sivil etat, under det svenske forsvarsdepartementet, rett til å bedrive kommunikasjonsetterretningsvirksomhet på kabelbåren trafikk som passerer svenske grenser, hvilket altså innbefatter telefoni og en betydelig andel av internettrafikken. Disse medlemmer viser til at Datatilsynet og Post- og teletilsynet uttrykte sterk bekymring da denne loven i 2011 ble utvidet til å gi tilgang til kommunikasjonsetterretninger for de særskilte politiorganene Rikskriminalpolisen og Säkerhetspolisen. Selv om den svenske regjeringen i svar på skriftlig spørsmål fra stortingsrepresentant Hans Frode Asmyhr gjennom Nordisk råd, jf. E3/2012 (http://www.norden.org/da/nordisk-raad/sager/spoergsmaal-og-svar/2012/e-3-2012), betoner at den formen for informasjonsinnhenting som er hjemlet i FRA-loven, innebærer en domstols godkjennelse, åpner denne muligheten for å drive etterretningsinnhenting for utvidede fullmakter til at sivile svenske myndigheter kan overvåke 80 pst. av data- og teletrafikk inn og ut av Norge. Disse medlemmer er urolige for at de begrensninger som ligger i denne loven når det gjelder kontroll av borgere, ikke innbefatter andre enn svenske borgere.

På denne bakgrunn fremmer disse medlemmer følgende forslag:

«Stortinget ber regjeringen gjennomgå implikasjonene av utvidelsene av den svenske FRA-loven og fremme en sak til Stortinget om hvordan man kan sikre at innbyggere i Norge får bedre beskyttelse i sin tele- og datakommunikasjon.»