Personverndirektivet

Fra Wikipedia, den frie encyklopedi
Gå til: navigasjon, søk

Personverndirektivet er EU-direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. Direktivet er hjemlet i Romatraktaten artikkel 100A. EU-kommisjonen fremmet i januar 2012 forslag til revisjon av dette regelverksområdet, med en forordning for generelle personvernregler[1] og et nytt personverdirektiv om myndighetenes behandling av personopplysninger i forbindelse med kriminalitetsbekjempelse.[2][3]

Direktivet regulerer i utgangspunktet all elektronisk behandling av personopplysninger (definert i artikkel 2) og behandling av opplysninger som inngår i et personregister. Medlemsstatene må sikre at behandlingen skjer med det beskyttelsesnivå direktivet angir. Medlemsstatene kan ikke av personvernhensyn fastsette strengere regler som hindrer flyten av personopplysninger innen EØS-området (artikkel 1).

Direktivet er gjennomført i norsk rett ved personopplysningsloven.

Direktivets første del definerer virkeområdet og begreper som den personopplysninger, behandlingsansvarlig (dansk: registeransvarlig, engelsk: data controller) og databehandler (dansk: registerførere, engelsk: data processor).

Direktivets andre del setter betingelser for at behandlingen skal være lovlig, herunder krav til datakvalitet (artikkel 6) og krav til at behandlingen har et rettslig grunnlag (artikkel 7). Det er strengere krav til behandling av særlig følsomme opplysninger, som opplysninger om politisk eller religiøs overbevisning, helse eller seksuelle forhold (artikkel 8). Den registrerte har rett til opplysninger om behandlingen og kan kreve innsyn hos den behandlingsansvarlige (artikkel 10-13).

Direktivets fjerde del regulerer adgangen til å overføre opplysninger til tredjeland, dvs. stater utenfor EØS-området. Slik overføring kan blant annet skje når den registrerte har samtykket, tredjelandet anses å ha tilfredsstillende lovgivning eller den behandlingsansvarlige har garantert for behandlingen. Kommisjonen har erklært at noen stater (bl.a. Argentina, Canada og Sveits)[4] har et tilfredsstillende beskyttelsesnivå, og den har fastsatt eksempler på kontraktsbestemmelser som gir tilfredsstillende garantier ved overføring av opplysninger til tredjeland.[5]

Direktivets artikkel 29 slår fast at det skal opprettes en uavhengig og rådgivende gruppe som utpekes av medlemslandendes tilsynsmyndigheter. Datatilsynet er observatør i artikkel 29-gruppen. Gruppen har publisert en rekke uttalelser, hvor aktuelle problemstillinger drøftes og direktivet tolkes.

Kilder[rediger | rediger kilde]

Noter[rediger | rediger kilde]

  1. ^ COM/2012/011 Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)
  2. ^ COM/2012/010 Forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger
  3. ^ Kommisjonens pressemelding, 25.1.2012.
  4. ^ Commission decisions on the adequacy of the protection of personal data in third countries
  5. ^ Model Contracts for the transfer of personal data to third countries