70 likes | 183 Views
Personopplysningslovens saklige og geografiske virkeområde, samt spørsmålet om overføring av person-opplysninger til tredjeland. Dag Wiese Schartum, AFIN. Saklig virkeområde ( hva gjelder loven for?).
E N D
Personopplysningslovens saklige og geografiske virkeområde,samt spørsmålet om overføring av person-opplysninger til tredjeland Dag Wiese Schartum, AFIN
Saklig virkeområde (hva gjelder loven for?) Loven gjelder fora) behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, ogb) annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister. • Direktivet gjelder bl.a. ikke for: • behandling som gjelder offentlig sikkerhet, forsvar, statens sikkerhet • (herunder statens økonomiske interesser når behandlingen er forbundet • med spørsmål om statens sikkerhet) og statens virksomhet på det strafferettslige område. • Den norske loven inneholder ikke tilsvarende unntak i personopplysnings-loven, men unntar dels i forskrift (§ 1-3) og dels i særlovgivning (bl.a. som lex superior)
Viktige unntak • Behandling for rent personlige eller andre private formål er fullstendig unntatt • Jf. direktivet: ”rent personlige eller familiemessige aktiviteter” (art. 3(2)) • Jf. Lindqvist-dommen: ”tilgjengelige for et ubestemt antall personer” • Vesentlige unntak for å beskytte ytringsfrihet mv, se § 7 • ”utelukkende kunstneriske, litterære eller journalistiske, herunder opinionsdannende formål” (jf PVN-2010-11 (Bredskapshjem), PVN 2006-02 (debattinnlegg) og PVN 2005-03 (Psykopat.no) • Bare §§ 13 – 15, og kap. VII gjelder • Behandling av personopplysninger i rettspleien, jf pof § 1-3 • ”Personopplysningsloven gjelder ikke for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.).” • Dessuten enkelte begrensede unntak etter pof § 1-1 (Riksrevisjonen) og § 1-2 (Rikets sikkerhet)
Hva vil det si å være “etablert”? Stedlig virkeområde (hvor gjelder loven?) Loven gjelder for behandlingsansvarlige som er etablert i Norge Dersom behandlingsansvarlige ikke er etablert i Norge, men i et annet EØS-land, gjelder vedkommende lands lov (selv om behandlingen skjer i Norge) Loven gjelder også for behandlingsansvarlige som er etablert i staterutenfor EØS-området dersom den behandlingsansvarlige benytterhjelpemidler i Norge (men ikke ved ren overføring) • 1. Utøvelse av aktivitet, og • 2. gjennom fast organisatorisk infrastruktur, og • 3. over ubestemt tidsrom • EU-direktivet art. 28 (6) • Dersom et annet EU-lands rett gjelder for behandling som skjer i Norge, kan • Datatilsynet anvende vedkommende lands rett på tilfellet • Datatilsynet kan også anmode vedkommende lands tilsynsmyndighet om assistanse • Tilsynsmyndighetene innen EU kan utveksle relevant informasjon
Overføring av personopplysninger til utlandet • I den norske loven (§ 29) reguleres overføring til ”utlandet”, men dette må i praksis forstås som tredjeland, dvs. land utenfor EØS-området • Utgangspunktet om forbud mot overføring til utlandet gjelder land som ikke sikrer forsvarlig behandling av person-opplysninger • Hva er ”overføring”? • Den behandlingsansvarlige tar med lagringsmediet (neppe) • Opplysningene transmitteres via et tredjeland til et EØS-land (nei) • Opplysningene transmitteres mellom tredjeland via EØS-land (nei) • Opplysninger sendes en eller flere bestemte adressater i et tredjeland (ja) • Opplysninger gjøres allment tilgjengelig på Internett (kommer an på) • JD uttalte at det ikke er ”overføring” til utlandet dersom opplysningene fritt kan spres i medhold av §§ 8 og 9 (men justiskomiteen ser ikke ut til å ha vært enige)
Kommisjonens og Datatilsynets rett til å bestemme hva som er tilstrekkelig vernenivå • Kommisjonen kan beslutte at et tredjeland har tilstrekkelig vernenivå • Omfatter bl.a. Sveits, Ungarn, Argentina og Canada • Slike beslutning gjelder også for Norge (jf pof § 6-1), jf. direktivet art. 25 og 26 • Kommisjonen kan beslutte at enkelte behandlingsansvarlige i tredjeland har tilstrekkelig vernenivå • Safe Harbor (USA, mer enn 2000 selskaper) • Standard kontraktsvilkår for overføring av personopplysninger til databehandlere i land som mangler tilstrekkelig vern (jf. outsourcing) • Datatilsynet kan gjøre vurdering av vernenivået i et tredjeland og skal informere Kommisjonen og andre EØS-land dersom konklusjonen er negativ (pof § 6-2)
Vilkår for å tillate overføring etter pol § 30 • Dersom vernenivået ikke er tilstrekkelig og EU-kommisjonen ikke har avgjort saken, kan overføring likevel skje selv om vernenivået ikke er tilfredsstillende (§ 30) • Samtykke (bokstav a) • Nødvendig grunn (registrertes interesser: bokstavene c – e; behandlingsansvarliges interesser: bokstav f; og offentlige styringsinteresser: bokstavene b, g og h) • I enkeltsaker kan Datatilsynet dispensere og tillate overføring til et tredjeland selv om vernenivået ikke er tilfredsstillende og det ikke er anledning til å gjøre unntak etter bokstavene a - h. Kommisjonen og andre EØS-land skal varsles