Høring - Forordning for fri flyt av andre opplysninger enn personopplysninger i EU (FFD-forordningen)
Høring | Dato: 12.04.2019 | Digitaliserings- og forvaltningsdepartementet
Opprinnelig utgitt av: Kommunal- og moderniseringsdepartementet
Kommunal- og moderniseringsdepartementet sender med dette Forordning for fri flyt av andre opplysninger enn personopplysninger i EU på alminnelig høring. Departementet forbereder innlemmelse av forordningen i EØS-avtalen. Som et ledd i arbeidet vurderer vi også behovet for regelverksendringer som er nødvendige for å gjennomføre forordningen i norsk lov.
Høringsnotatet redegjør for innholdet i forordningen og departementets foreløpige vurderinger av behovet for endringer i nasjonalt regelverk som følge av forordningen.
Bakgrunn
EU-parlamentet og Rådet vedtok den 14. november 2018 en forordning om fri flyt av andre opplysninger enn personopplysninger i EU (Regulation (EU) 2018/1807 of the European Parliament and of the Council on a framework for the free flow of non-personal data in the European Union, forkortet FFD). Forordningen ble ikke sendt på nasjonal høring i Norge i forkant av dette. Forordningen er vurdert å være EØS-relevant.
Det rettslige grunnlaget for forordningen er artikkel 114 i TFEU, som gir hjemmel til å vedta rettsakter som vedrører det indre markeds opprettelse og funksjon. De generelle hjemlene i EU-traktaten om etableringsfriheten (TFEU artikkel 49) og friheten til å tilby tjenester (TFEU artikkel 56) har vist seg å ikke være tilstrekkelig for å skape et digitalt indre marked. En viktig barriere er manglende datamobilitet. Regulatoriske og administrative krav og praksiser som begrenser muligheten til å lagre og behandle data utenfor det enkelte medlemslands grenser er blant de største hindre for et digitalt indre marked. Formålet med forordningen er å fjerne nasjonale hindringer for fri flyt av andre opplysninger enn personopplysninger i EU/EØS.
Kommunal- og moderniseringsdepartementet sender med dette Regulation(EU) 2018/1807 of the European Parliament and of the Council on a framework for the free flow of non-personal data in the European Union (PDF) på høring.
Posisjonsnotat om forordningen er publisert i EØS-notatbasen.
Nærmere om FFD-forordningen
Bakgrunn
Forordningsforslaget introduserer prinsippet om fri flyt av andre opplysninger enn personopplysninger i EU. Forordningen gjelder alle typer teknologisk behandling og lagring av data i vid forstand. Forordningen gjelder kun for andre opplysninger enn personopplysninger og griper således ikke inn i personvernforordningen (GDPR), e-Privacy directive eller Police directive. Sammen skal FFD-forordningen og EUs personvernforordning skape et omfattende og sammenhengende rettslig rammeverk som skal sikre fri fly av data i hele EU/EØS-området.
Mange EU-land har nasjonale regler som begrenser muligheten til å lagre og behandle data utenfor landets grenser, også innenfor EØS-området. Kommisjonens forundersøkelser (impact asessment) viser at regulatoriske og administrative krav i medlemslandene er blant de største hindre for utviklingen av et digitalt indre marked. Det å kunne utveksle data fritt i EØS-området, innenfor rammene av et felles europeisk regelverk, er viktig for å sikre handel på tvers av landegrensene. Regelverket skal også bidra til å gjøre det lettere å bytte tjenesteleverandører i EU. Det er antatt at reglene fører til reduserte utgifter for bedrifter.
Et viktig prinsipp i forordningen er å sikre fri flyt av data uten at dette griper inn i myndighetens tilgang til data som er nødvendig for å utføre deres oppgaver, selv om dataene er lagret i et annet land. Forordningen skal sikre at data gjøres tilgjengelig for myndigheters legitime behov, også når de er lagret i et annet medlemsland.
Hovedtrekk ved bestemmelsene
Artikkel 1 viser at formålet med forordningen er å sikre fri flyt av andre opplysninger enn personopplysninger i EU gjennom å regulere medlemslandenes mulighet til å ha nasjonale lokaliseringskrav, regulere adgangen til data for kompetente myndigheter, og sikre muligheten for dataoverføring mellom profesjonelle brukere.
Artikkel 2 regulerer virkeområdet til forordningen. Forordningen gjelder for lagring og behandling av elektroniske data som ikke anses som personopplysninger. Bestemmelsen regulerer videre forholdet mellom GDPR og FFD-forordningen. Det er avklart at for datasett som inneholder både personopplysninger og andre opplysninger, og der disse dataene er uløselig knyttet sammen, så gjelder GDPR for data som er personopplysninger.
Kommisjonen skal lage retningslinjer for forholdet mellom GDPR og FFD-forordningen, se artikkel 8(3). Sammen skal FFD-forordningen og EUs personvernforordning skape et omfattende og sammenhengende rettslig rammeverk som skal sikre fri flyt av data i EU.
Forordningen gjelder ikke for aktivitet som faller utenfor virkeområdet til EU-retten, jf. art 2(2).
Artikkel 3 definerer de ulike begrepene i lovforslaget.
Artikkel 4 introduserer prinsippet om fri flyt av andre opplysninger enn personopplysninger. Nasjonale lover, forskrifter og administrative krav i medlemslandene som begrenser muligheten til å lagre og behandle data utenfor landets grenser blir forbudt, med mindre de kan begrunnes i hensynet til offentlig sikkerhet ("justified on grounds of public security").
Unntak må være berettiget av hensyn til offentlig sikkerhet, slik dette hensynet er definert i EU-retten og særlig TFEU artikkel 52. Tilfeller som kan berettige unntaket er nærmere beskrevet i fortalens avsnitt (19). Unntaket kan begrunnes i trusler mot både indre og ytre sikkerhet, som er tilstrekkelig alvorlige og som truer grunnleggende samfunnsinteresser. Eksemplene gitt indikerer at terskelen skal ligge høyt. Lokaliseringskrav begrunnet i offentlig sikkerhet må være egnet for å oppnå formålet og ikke gå lenger enn det som er nødvendig (proporsjonalitet).
Etter art 4(2) skal medlemslandene umiddelbart meddele Kommisjonen alle lovforslag som introduserer nye lokaliseringskrav eller ved endringer knyttet til lokaliseringskrav i eksisterende regelverk, i henhold til prosedyren i artikkel 5, 6 og 7 i Direktiv (EU) 2015/1535 fra Europaparlamentet og rådet om en informasjonsprosedyre for tekniske regler og informasjonssamfunnstjenester (kodifisering).
Innen 30. mai 2021 skal medlemslandene sørge for at lokaliseringskrav som ikke kan begrunnes i unntaket, oppheves, jf. artikkel 4(3). Innen samme frist skal medlemsland som mener å ha berettigede unntak, meddele dette til Kommisjonen med en begrunnelse. Innen seks måneder skal Kommisjonen vurdere unntaket. I de tilfellene Kommisjonen mener det er passende, kan de treffe en beslutning hvor de ber vedkommende medlemsland om å endre eller oppheve unntaket.
Medlemslandene må lage en oversikt over datalokaliseringskrav og publisere og vedlikeholde denne på et sentralt nettsted ("national online single information point") og informere Kommisjonen om dette. Alle nasjonale restriksjoner skal av hensyn til åpenhet og forutsigbarhet publiseres, og Kommisjonen vil offentliggjøre lenkene til medlemslandenes informasjonssteder.
Artikkel 5 stadfester at rettsakten ikke skal gripe inn i myndighetens tilgang til data, f.eks. til kontrollformål. Myndighetene kan ikke nektes adgang til data med den begrunnelsen at data er lagret i et annet medlemsland, jf. art. 5(1).
Hvis en anmodning om bistand innebærer at man må ha tilgang til en juridisk eller fysisk persons lokaler, datautstyr eller databehandlingsmetoder skal adgangen være i overenstemmelse med Unionsretten eller medlemslandets prosessregler.
Dersom anmodningen gjelder bistand til å få tilgang til lokaler til en juridisk eller fysisk person, inkludert databehandlingsutstyr/midler, må slik tilgang være i overenstemmelse med EU-retten og i tråd med nasjonal prosesslovgivning i landet hvor utstyret er plassert, jf. art 5(3). 5(4) åpner for sanksjoner dersom anmodning om tilgang til data ikke imøtekommes.
Artikkel 6 viser til at Kommisjonen skal oppmuntre og lette utviklingen av selvregulerende bransjenormer ("codes of conduct") på Unionsnivå. Disse skal dekke forhold som beste praksis for bytte av tjenesteleverandør, minimumskrav til informasjon om databehandling, herunder tekniske krav, tidsfrister og kostnader ved bytte av tilbyder.
Slike bransjenormer skal utvikles i nært samarbeid med alle relevante interessenter. Det er ønskelig at de er ferdigstilt innen 29. november 2019 og implementert innen 29. mai 2020.
Artikkel 7 regulerer samarbeidsmekanismen for utlevering av data mellom myndigheter. Medlemslandene skal opprette et nasjonalt kontaktpunkt med tilstrekkelig ressurser for å håndtere henvendelser fra andre medlemsland. Medlemsland som ber om tilgang til data, skal skriftlig begrunne forespørselen med henvisning det til rettslige grunnlaget for anmodningen.
Nasjonalt kontaktpunkt skal identifisere relevant instans nasjonalt og sende anmodningen dit. Relevant myndighet skal behandle forespørselen uten unødig opphold, jf. art 7(4).
Informasjon som utleveres i henhold til artikkel 7 kan kun brukes til det formålet som er angitt i anmodningen, jf. 7(5).
Kontaktpunktene skal også være kilde til informasjon om forordningen, inkludert om bransjenormer (jf. artikkel 6)
Artikkel 8 slår fast at Kommisjonen innen 29. november 2022 skal rapportere til EU-parlamentet om hvordan forordningen har fungert, hvordan den er implementert i medlemslandene, og hvor effektive de foreslåtte bransjenormene har vært.
Innen 29. mai 2019 skal Kommisjonen publisere en veileder om forholdet mellom FFD-forordningen og personvernforordningen.
Artikkel 9: Forordningen trer i kraft 20 dager etter at den er publisert i EU-tidene. Forordningen skal gjelde fra 6 måneder etter publikasjon.
Regelverk som påvirkes av forordningen
En interdepartemental arbeidsgruppe gjennomførte i 2015 en kartlegging av regulatoriske hindringer for bruk av skytjenester. Kartleggingen fokuserte spesielt på lokaliseringskrav. Basert på dette har KMD foreløpig vurdert det slik at FFD-forordningen vil kreve endringer i følgende regelverk:
- Bokføringsloven med tilhørende forskrift. Utgangspunktet etter bokføringslovens § 13 annet ledd er at regnskapsmateriale skal oppbevares i Norge. Det følger av bestemmelsens femte ledd at det kan gjøres unntak fra kravet om "oppbevaringssted og oppbevaringstid" i forskrift eller enkeltvedtak. Det er gitt to forskrifter om unntak fra oppbevaringssted. I forskrift er det åpnet opp for å oppbevare elektronisk regnskapsmateriell i andre EØS-stater på visse vilkår, jf. § 7-5. Det er skattedirektoratet som fastsetter i forskrift hvilke land som oppfyller vilkårene for lagring i utlandet. Adgangen er p.t. begrenset til Norden. I tillegg stiller § 5-3-15 krav om at kassasystem og elektronisk journal må oppbevares i Norge.
- Skattebetalingsforskriften. I §5-11-2, tiende ledd står det: "Dokumentasjonen skal oppbevares i Norge i fem år etter inntektsårets slutt."
- Arkivloven. Lovens §9 b angir at "utan etter særskilt samtykke frå Riksarkivaren, kan ikkje arkivmateriale…" "… førast ut or landet, dersom dette ikkje representerer ein naudsynt del av den forvaltningsmessige eller rettslege bruken av dokumenta."
Forslag til endringer i regelverk som blir påvirket av forordningen vil sendes på høring i egne prosesser.
Nærmere om status og informasjon om lovgivningsprosessen
Forordningen er publisert i EurLex.
Informasjon om lovforslaget, bakgrunnsdokumentasjon og konsekvensutredning av tiltaket finnes på https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data.
Om høringen
Alle kan avgi høringsuttalelse. Høringsuttalelser skal avgis digitalt nederst på denne siden.
Høringsfristen er 31. mai. Høringsuttalelser er offentlige etter offentlighetsloven og vil bli publisert på departementets nettsider sammen med øvrige høringsuttalelser.
Spørsmål kan rettes til Christine Hafskjold.
Med hilsen
Katarina de Brisis (e.f.) |
Christine Hafskjold |
Se høringsbrevet.
Uoffisiell norsk oversettelse: Europaparlaments- og rådsforordning (eu) 2018/1807 av 14. november 2018 om en ramme for fri flyt av andre opplysninger enn personopplysninger i den europeiske union (PDF)
Departementene
Fylkesmennene
Abelia
Arbeids- og velferdsdirektoratet
Arkivverket
Atea
Basefarm
Brønnøysundregisterne
Crayon
Datatilsynet
Direktoratet for e-helse
Direktoratet for forvaltning og IKT (Difi)
Direktoratet for sikkerhet og beredskap
DSS
EVRY
Finans Norge
Finanstilsynet
Forbrukerrådet
Forbrukertilsynet
Helsedirektoratet
IBM Norge
IKT-Norge
Kartverket
Konkurransetilsynet
KS
Microsoft Norge
Moss kommune
Nasjonal kommunikasjonsmyndighet
Nasjonal sikkerhetsmyndighet
NHO
OBOS
Personvernnemnda
Politidirektoratet
Regelrådet
Regnskap Norge
Skattedirektoratet
Sopra Steria
Statistisk sentralbyrå
Teknologirådet
Telenor
Tieto
Utdanningsdirektoratet
Virke
Visma