KOMMISJONENS GJENNOMFØRINGSBESLUTNING (EU) 2021/1772 av 28. juni 2021
om tilstrekkelig beskyttelsesnivå for personopplysninger i Det forente kongerike i henhold til europaparlaments- og rådsforordning (EU) 2016/679
[meddelt under nummer C(2021) 4800]
EUROPAKOMMISJONEN HAR
under henvisning til traktaten om Den europeiske unions virkemåte,
under henvisning til europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning)(1), særlig artikkel 45 nr. 3, og
ut fra følgende betraktninger:
1. INNLEDNING
1) Forordning (EU) 2016/679 fastsetter regler for overføring av personopplysninger fra behandlingsansvarlige eller databehandlere i Den europeiske union til tredjeland og internasjonale organisasjoner i den grad slike overføringer omfattes av forordningens virkeområde. Reglene for internasjonal overføring av opplysninger er fastsatt i kapittel V i nevnte forordning, nærmere bestemt i artikkel 44–50. Strømmen av personopplysninger til og fra land utenfor Den europeiske union er avgjørende for å kunne utvide det internasjonale samarbeidet og handelen over landegrensene, men beskyttelsesnivået for personopplysninger i Den europeiske union må ikke undergraves av overføringer til tredjeland(2).
2) I henhold til artikkel 45 nr. 3 i forordning (EU) 2016/679 kan Kommisjonen ved hjelp av gjennomføringsrettsakter beslutte at et tredjeland, et territorium eller en eller flere angitte sektorer i et tredjeland eller en internasjonal organisasjon sikrer et tilstrekkelig beskyttelsesnivå. På slike vilkår kan personopplysninger overføres til et tredjeland uten at det er nødvendig å innhente ytterligere godkjenning, som fastsatt i nevnte forordnings artikkel 45 nr. 1 og betraktning 103.
3) Som angitt i artikkel 45 nr. 2 i forordning (EU) 2016/679 må en beslutning om tilstrekkelig beskyttelsesnivå treffes på grunnlag av en omfattende analyse av tredjelandets rettsorden, med hensyn til både de reglene som gjelder for dataimportørene og de begrensningene og garantiene som gjelder offentlige myndigheters tilgang til personopplysninger. I sin vurdering må Kommisjonen fastslå om det aktuelle tredjelandet sikrer et beskyttelsesnivå som
«i det vesentlige tilsvarer» det som sikres i Den europeiske union (betraktning 104 i forordning (EU) 2016/679).
Standarden som dette kriteriet om «i det vesentlige tilsvarer» vurderes mot, er den som er fastsatt i Den europeiske unions regelverk, særlig forordning (EU) 2016/679, samt i rettspraksis fra Den europeiske unions domstol(3). Det europeiske personvernråds (EDPB) referanse for tilstrekkelig beskyttelsesnivå er også av betydning i denne forbindelse(4).
(1) EUT L 119 av 4.5. 2016, s. 1.
(2) Se betraktning 101 i forordning (EU) 2016/679.
(3) Se senest sak C-311/18, Facebook Ireland and Schrems («Schrems II») ECLI:EU:C:2020:559.
(4) Det europeiske personvernråd, Adequacy Referential, WP 254 rev. 01, som finnes på følgende nettadresse:
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108
4) Den europeiske unions domstol har presisert at dette ikke krever et identisk beskyttelsesnivå(5). Særlig kan midlene som det aktuelle tredjelandet benytter seg av ved vern av personopplysninger, avvike fra de som benyttes i Den europeiske union, så lenge de i praksis viser at de er effektive for å sikre et tilstrekkelig beskyttelsesnivå(6). Standarden for hva som er et tilstrekkelig beskyttelsesnivå, krever derfor ikke at unionsreglene kopieres punkt for punkt. Det gjelder snarere å avgjøre om det utenlandske systemet som helhet sikrer det beskyttelsesnivået som kreves med hensyn til substansen i personvernrettighetene og den faktiske gjennomføringen av, tilsynet med og håndhevingen av disse(7).
5) Kommisjonen har foretatt en grundig analyse av Det forente kongerikes rett og praksis. På grunnlag av det som framgår av betraktning 8–270, konkluderer Kommisjonen med at Det forente kongerike sikrer tilstrekkelig beskyttelsesnivå for personopplysninger som innenfor virkeområdet for forordning (EU) 2016/679 overføres fra Den europeiske union til Det forente kongerike.
6) Denne konklusjonen gjelder ikke personopplysninger som overføres i forbindelse med Det forente kongerikes innvandringskontroll, eller som på annen måte omfattes av unntaket fra visse registrertes rettigheter når det gjelder å opprettholde effektiv innvandringskontroll («innvandringsunntaket») i henhold til nr. 4 punkt 1 i vedlegg 2 til UK Data Protection Act- Gyldigheten og fortolkningen av innvandringsunntaket i henhold til Det forente kongerikes lovgivning er ikke fastsatt som følge av en avgjørelse fra ankedomstolen (Court of Appeal) i England og Wales 26. mai 2021. Selv om ankedomstolen anerkjenner at registrertes rettigheter i prinsippet kan begrenses i forbindelse med innvandringskontroll som «et viktig aspekt i allmennhetens interesse», slår den også fast at innvandringsunntaket i sin nåværende form er uforenlig med Det forente kongerikes lovgivning ettersom det lovgivningsmessige tiltaket mangler særlige bestemmelser som fastsetter de garantiene som er oppført i artikkel 23 nr. 2 i Det forente kongerikes generelle personvernforordning (UK GDPR)(8). Under disse omstendighetene bør denne beslutningens virkeområde ikke omfatte overføring fra Unionen til Det forente kongerike av personopplysninger som innvandringsunntaket kan anvendes på(9).
Så snart innvandringsunntaket er blitt forenlig med Det forente kongerikes lovgivning, bør det vurderes på nytt sammen med behovet for å opprettholde begrensningen av denne beslutningens virkeområde.
7) Denne beslutningen bør ikke berøre den direkte anvendelsen av forordning (EU) 2016/679 på organisasjoner som er etablert i Det forente kongerike, dersom vilkårene for nevnte forordnings geografiske virkeområde, fastsatt i forordningens artikkel 3, er oppfylt.
2. REGLER FOR BEHANDLING AV PERSONOPPLYSNINGER
2.1. Forfatningsmessig ramme
8) Det forente kongerike er et parlamentarisk demokrati som har en konstitusjonell monark som statsoverhode. Det har et suverent parlament, som er øverste instans for alle andre statlige institusjoner, en utøvende makt som er utvalgt fra og ansvarlig overfor parlamentet, og et uavhengig rettsvesen. Den utøvende makt får sin myndighet fra evnen til å opprettholde det valgte Underhusets tillit og er ansvarlig overfor begge kamrene i parlamentet, som har ansvar for å kontrollere regjeringen samt drøfte og vedta lover.
(5) Sak C-362/14, Schrems («Schrems I»), ECLI:EU:C:2015:650, nr. 73.
(6) Schrems I, nr. 74.
(7) Se kommisjonsmelding til Europaparlamentet og Rådet, «Exchanging and Protecting Personal Data in a Globalised World», COM(2017) 7 av 10.1.2017, avsnitt 3.1, s. 6-7, som finnes på følgende nettadresse: https://eur-lex.europa.eu/legal- content/EN/TXT/PDF/?uri=CELEX:52017DC0007&from=EN
(8) Court of Appeal (Civil Division), Open Rights Group mot Secretary of State for the Home Department and Secretary of State for Digital, Culture, Media and Sport, [2021] EWCA Civ 800, nr. 53–56. Ankedomstolen (Court of Appeal) opphevet avgjørelsen fra den øverste domstolen (High Court of Justice) som tidligere har vurdert unntaket på bakgrunn av forordning (EU) 2016/679 (særlig artikkel 23) og Den europeiske unions pakt om grunnleggende rettigheter, og anser unntaket for å være lovlig (Open Rights Group & Anor, R (On the Application Of) mot Secretary of State for the Home Department & Anor [2019] EWHC 2562).
(9) Forutsatt at de gjeldende vilkårene er oppfylt, kan overføringer i forbindelse med innvandringskontroll i Det forente kongerike foretas på grunnlag av overføringsordningene fastsatt i artikkel 46–49 i forordning (EU) 2016/679.
9) Det forente kongerikes parlament har gitt det skotske parlamentet, det walisiske parlamentet (Senedd Cymru) og Nord- Irlands forsamling ansvaret for lovgivning om nasjonale spørsmål i Skottland, Wales og Nord-Irland, som Det forente kongerikes parlament ikke har forbeholdt seg selv. Vern av personopplysninger er forbeholdt, det vil si at den samme lovgivningen gjelder i hele landet, mens andre politikkområder som er relevante for denne beslutningen, er delegert. For eksempel er de strafferettslige systemene, herunder politiarbeidet, for Skottland og Nord-Irland delegert til henholdsvis det skotske parlamentet og Nord-Irlands forsamling. Det forente kongerike har ingen kodifisert forfatning i form av et grunnleggende konstituerende dokument. Forfatningsmessige prinsipper har oppstått over tid, særlig på grunnlag av rettspraksis og konvensjoner. Domstolene har anerkjent den konstitusjonelle verdien av visse lover, for eksempel Magna Carta, Bill of Rights 1689 (lov om rettigheter) og Human Rights Act 1998 (lov om menneskerettigheter).
Privatpersoners grunnleggende rettigheter er utviklet som en del av forfatningen gjennom sedvanerett, ovennevnte lover og internasjonale traktater, særlig Den europeiske menneskerettighetskonvensjon som Det forente kongerike ratifiserte i 1951. I 1987 ratifiserte Det forente kongerike også Europarådets konvensjon om personvern i forbindelse med elektronisk databehandling av personopplysninger (konvensjon 108)(10).
10) Gjennom Human Rights Act 1998 ble rettighetene i Den europeiske menneskerettighetskonvensjon innarbeidet i Det forente kongerikes lovgivning. Human Rights Act gir hver privatperson de grunnleggende rettighetene og frihetene som er fastsatt i artikkel 2–12 og 14 i Den europeiske menneskerettighetskonvensjon, artikkel 1, 2 og 3 i dens første protokoll og artikkel 1 i dens trettende protokoll, sammenholdt med artikkel 16, 17 og 18 i nevnte konvensjon. Dette omfatter retten til respekt for privatliv og familieliv (og retten til vern av personopplysninger som en del av denne retten) og retten til rettferdig rettergang(11). Særlig kan en offentlig myndighet i henhold til artikkel 8 i nevnte konvensjon gripe inn i retten til personvern i samsvar med loven bare dersom det er nødvendig i et demokratisk samfunn av hensyn til nasjonal sikkerhet, offentlig sikkerhet eller landets økonomiske velferd, for å opprettholde orden eller forebygge kriminalitet, for å beskytte helse eller moral eller verne andres rettigheter og friheter.
11) I samsvar med Human Rights Act 1998 skal alle tiltak som treffes av offentlige myndigheter, være forenlige med en konvensjonsrettighet(12). Dessuten skal primær- og sekundærlovgivning tolkes og gjennomføres på en måte som er forenlig med konvensjonens rettigheter(13).
2.2. Det forente kongerikes ramme for vern av personopplysninger
12) Det forente kongerike meldte seg ut av Den europeiske union 31. januar 2020. På grunnlag av avtalen om Det forente kongerike Storbritannia og Nord-Irlands utmelding av Den europeiske union og Det europeiske atomenergifellesskap(14) gjaldt unionsretten fortsatt i Det forente kongerike i overgangsperioden fram til 31. desember 2020. Før utmeldingen og i overgangsperioden bestod den rettslige rammen for vern av personopplysninger i Det forente kongerike av det relevante EU-regelverket (særlig forordning (EU) 2016/679 og europaparlaments- og rådsdirektiv (EU) 2016/680(15)) og nasjonal lovgivning, særlig Data Protection Act 2018 (DPA 2018)(16) som i den grad det var tillatt i henhold til forordning (EU) 2016/679, fastsatte nasjonale regler som presiserer og begrenser anvendelsen av reglene i forordning (EU) 2016/679, og innarbeidet direktiv (EU) 2016/680.
(10) Prinsippene i konvensjon 108 ble opprinnelig innarbeidet i Det forente kongerikes lovgivning gjennom Data Protection Act 1984, som ble erstattet av DPA 1998 og deretter av DPA 2018 (sammenholdt med UK GDPR). Det forente kongerike undertegnet også i 2018 protokollen om endring av konvensjonen om personvern i forbindelse med elektronisk databehandling av personopplysninger («konvensjon 108+») og arbeider for tiden med ratifisering av konvensjonen.
(11) Artikkel 6 og 8 i Den europeiske menneskerettighetskonvensjon (se også vedlegg 1 til Human Rights Act 1998).
(12) Artikkel 6 i Human Rights Act 1998.
(13) Artikkel 3 i Human Rights Act 1998.
(14) Avtale om Det forente kongerike Storbritannia og Nord-Irlands utmelding av Den europeiske union og Det europeiske atomener- gifellesskap 2019/C 384 I/01, XT/21054/2019/INIT (EUT C 384I av 12.11.2019, s. 1), som finnes på følgende nettadresse: https://eur- lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:12019W/TXT(02)&from=EN
(15) Europaparlaments- og rådsdirektiv (EU) 2016/680 av 27. april 2016 om vern av fysiske personer i forbindelse med vedkommende myndigheters behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, om fri utveksling av slike opplysninger og om oppheving av Rådets rammebeslutning 2008/977/JIS (EUT L 119 av 4.5.2016, s. 89), som finnes på følgende nettadresse: https://eur-lex.europa.eu/legal- content/EN/TXT/PDF/?uri=CELEX:32016L0680&from=EN
(16) Data Protection Act 2018, som finnes på følgende nettadresse: https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted
13) For å forberede seg på utmeldingen fra Den europeiske union vedtok Det forente kongerikes regjering European Union (Withdrawal) Act 2018 (lov om utmelding av Den europeiske union)(17), som innarbeider unionsregelverk som kommer direkte til anvendelse, i Det forente kongerikes lovgivning(18). Såkalt «opprettholdt EU-rett» omfatter forordning (EU) 2016/679 i sin helhet (herunder betraktningene)(19). I samsvar med nevnte rettsakt skal Det forente kongerikes domstoler tolke den uendrede EU-retten som opprettholdes, i samsvar med relevant rettspraksis fra Den europeiske unions domstol og allmenne prinsipper i unionsretten ettersom de får virkning umiddelbart før utløpet av overgangsperioden (henholdsvis «opprettholdt EU-rettspraksis» og «opprettholdte allmenne prinsipper i EU-retten»)(20).
14) I henhold til European Union (Withdrawal) Act 2018 har Det forente kongerikes ministre myndighet til å innføre avledet regelverk gjennom rettsakter for å gjøre de nødvendige endringene av opprettholdt EU-rett som følge av Det forente kongerikes utmelding av Den europeiske union. De har utøvd denne myndigheten ved å vedta Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (regler om vern av personopplysninger, personvern og elektronisk kommunikasjon (DPPEC-reglene)(21). DPPEC-reglene endrer forordning (EU) 2016/679 slik den er innarbeidet i Det forente kongerikes lovgivning gjennom European Union (Withdrawal) Act 2018, DPA 2018 og annen personvernlovgivning, for at den skal passe i en nasjonal sammenheng(22).
15) Etter utløpet av overgangsperioden består derfor den rettslige rammen for vern av personopplysninger i Det forente kongerike av
— UK GDPR, som innarbeidet i Det forente kongerikes lovgivning i henhold til European Union (Withdrawal) Act 2018 og endret ved DPPEC-reglene(23), og
— DPA 2018(24), som endret ved DPPEC-reglene.
16) Ettersom UK GDPR bygger på EUs regelverk, gjenspeiler personvernreglene i Det forente kongerike på mange måter de tilsvarende reglene som gjelder i Den europeiske union.
17) I tillegg til den myndigheten som den ansvarlige ministeren har i henhold til European Union (Withdrawal) Act 2018, gir flere bestemmelser i DPA 2018 ministeren myndighet til å vedta avledet regelverk for å endre visse bestemmelser i loven eller fastsette utfyllende regler og tilleggsregler(25). Den ansvarlige ministeren har hittil bare (17) European Union Withdrawal Act 2018, som finnes på følgende nettadresse: https://www.legislation.gov.uk/ukpga/2018/16/contents (18) Hensikten med og virkningen av European Union (Withdrawal) Act 2018 er at alt direkte unionsregelverk som ble innarbeidet i Det forente
kongerikes lovgivning ved utløpet av overgangsperioden, innarbeides i Det forente kongerikes lovgivning ettersom den får virkning i EU- retten umiddelbart før utløpet av overgangsperioden, se artikkel 3 i European Union (Withdrawal) Act 2018.
(19) I de forklarende merknadene til European Union (Withdrawal) Act 2018 presiseres følgende: «Når lovgivning omgjøres i henhold til denne artikkelen, er det selve lovteksten som skal utgjøre en del av den nasjonale lovgivningen. Dette vil omfatte den fullstendige teksten til alle EU-dokumenter (herunder betraktningene)». (Explanatory Notes to the European Union (Withdrawal) Act 2018, nr. 83, som finnes på følgende nettadresse: https://www.legislation.gov.uk/ukpga/2018/16/pdfs/ukpgaen_20180016_en.pdf). I samsvar med opplysninger fra Det forente kongerikes myndigheter var det ikke nødvendig å endre betraktningene på samme måte som artiklene i forordning (EU) 2016/679 er blitt endret ved DPPEC-reglene, ettersom betraktningene ikke har status som bindende rettsregler.
(20) Artikkel 6 i European Union (Withdrawal) Act 2018.
(21) Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019, som finnes på følgende nettadresse: https://www.legislation.gov.uk/uksi/2019/419/contents/made, som endret ved DPPEC Regulations 2020, som finnes på følgende nettadresse: https://www.legislation.gov.uk/ukdsi/2020/9780348213522
(22) Disse endringene av UK GDPR og DPA 2018 er hovedsakelig av teknisk art, for eksempel sletting av henvisninger til «medlemsstater»
eller tilpasning av terminologien, f.eks. ved å erstatte henvisninger til forordning (EU) 2016/679 med henvisninger til UK GDPR. I noen tilfeller var det behov for endringer for å gjenspeile bestemmelsenes rent nasjonale sammenheng, for eksempel med hensyn til «hvem» som vedtar «bestemmelser om tilstrekkelig beskyttelsesnivå» med henblikk på Det forente kongerikes rettslige ramme for personvern (se artikkel 17A i DPA 2018), dvs. den ansvarlige ministeren (Secretary of State) i stedet for Europakommisjonen.
(23) General Data Protection Regulation, Keeling Schedule, som finnes på følgende nettadresse:
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/946117/20201102_-_GDPR_- __MASTER__Keeling_Schedule__with_changes_highlighted__V3.pdf
(24) Data Protection Act 2018, Keeling Schedule, som finnes på følgende nettadresse:
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/946100/20201102_-_DPA_- __MASTER__Keeling_Schedule__with_changes_highlighted__V3.pdf
(25) Slik myndighet finnes for eksempel i artikkel 16 (myndighet til i særlige, snevert avgrensede tilfeller å gjøre ytterligere unntak fra særlige bestemmelser i UK GDPR), 17A (myndighet til å vedta bestemmelser om tilstrekkelig beskyttelsesnivå), 212 og 213 (myndighet til å iverksette lovgivning og fastsette overgangsbestemmelser) og 211 (myndighet til å foreta mindre endringer og konsekvensendringer) i DPA 2018.
utøvd sin myndighet i henhold til artikkel 137 i DPA 2018 ved å vedta Data Protection (Charges and Information) (Amendment) Regulations 2019 som fastsetter under hvilke omstendigheter behandlingsansvarlige skal betale en årlig avgift til Det forente kongerikes uavhengige personvernmyndighet, Information Commissioner.
18) Endelig finnes det ytterligere veiledning om Det forente kongerikes personvernlovgivning i reglene for god praksis og annen veiledning som er vedtatt av Information Commissioner. Selv om denne veiledningen ikke formelt er rettslig bindende, har den fortolkningsmessig betydning og viser hvordan personvernlovgivningen får anvendelse og håndheves av Information Commissioner i praksis. I henhold til artikkel 121–125 i DPA 2018 skal Information Commissioner utarbeide regler for god praksis for datadeling, direkte markedsføring, alderstilpasset utforming samt personvern og journalistikk.
19) I struktur og hovedkomponenter er derfor Det forente kongerikes rettslige ramme som får anvendelse på opplysninger som overføres i henhold til denne beslutningen, svært lik den som gjelder i Den europeiske union. Dette omfatter det faktum at en slik ramme ikke bare er basert på forpliktelser som er fastsatt i nasjonal rett og formet av EU-retten, men også på forpliktelser som er nedfelt i folkeretten, særlig gjennom Det forente kongerikes tilslutning til Den europeiske menneskerettighetskonvensjon og konvensjon 108 samt anerkjennelsen av Den europeiske menneskerettighetsdomstols domsmyndighet. Disse forpliktelsene som følger av rettslig bindende internasjonale virkemidler, særlig når det gjelder vern av personopplysninger, er derfor et særlig viktig element i den rettslige rammen som vurderes i denne beslutningen.
2.3. Saklig og geografisk virkeområde
20) I likhet med forordning (EU) 2016/679 får UK GDPR anvendelse på helt eller delvis automatisert behandling av personopplysninger, eller på annen behandling dersom personopplysningene inngår i et register(26). Definisjonene av
«personopplysninger», «den registrerte» og «behandling» i UK GDPR er de samme som i forordning (EU) 2016/679(27). Dessuten får UK GDPR anvendelse på manuell ustrukturert behandling av personopplysninger(28) som oppbevares av visse offentlige myndigheter i Det forente kongerike(29), selv om prinsipper og rettigheter i UK GDPR som ikke er relevante for slike personopplysninger, ikke anvendes i henhold til artikkel 24 og 25 i DPA 2018. I likhet med det som er fastsatt i forordning (EU) 2016/679, får UK GDPR ikke anvendelse på behandling av personopplysninger som en privatperson utfører i forbindelse med rent personlige eller familiemessige aktiviteter(30).
21) UK GDPR utvider sitt virkeområde til også å omfatte behandling som ledd i en aktivitet som umiddelbart før utløpet av overgangsperioden ikke var omfattet av EU-rettens virkeområde (f.eks. nasjonal sikkerhet)(31), eller var omfattet av virkeområdet for avdeling 5 kapittel 2 i traktaten om Den europeiske union (felles utenriks- og sikkerhetspolitikk)(32).
Som i Den europeiske unions system får UK GDPR ikke anvendelse på behandling av personopplysninger som utføres av en vedkommende myndighet med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller
(26) Artikkel 2 nr. 1 og 5 i UK GDPR.
(27) Artikkel 4 nr. 1 og 2 i UK GDPR.
(28) Manuell, ustrukturert behandling av personopplysninger defineres i artikkel 2 nr. 5 bokstav b) som behandling av personopplysninger som ikke er automatisert eller strukturert behandling av personopplysninger.
(29) I artikkel 2 nr.1A i UK GDPR er det fastsatt at forordningen også får anvendelse på manuell, ustrukturert behandling av personopplysninger som oppbevares av en offentlig myndighet som omfattes av loven om informasjonsfrihet. Med offentlige myndigheter som omfattes av loven om informasjonsfrihet, menes alle offentlige myndigheter som definert i Freedom of Information Act 2000, eller alle skotske offentlige myndigheter som definert i Freedom of Information (Scotland) Act 2002 (asp 13). Artikkel 21 nr. 5 i DPA 2018.
(30) Artikkel 2 nr. 2 bokstav a) i UK GDPR.
(31) Aktiviteter som gjelder nasjonal sikkerhet, omfattes bare av virkeområdet for UK GDPR i den grad de ikke utføres av en vedkommende myndighet for rettshåndhevingsformål, i så fall får del 3 i DPA 2018 anvendelse, eller av eller på vegne av en etterretningstjeneste med aktiviteter som ikke inngår i virkeområdet for UK GDPR og omfattes av del 4 i DPA 2018 i henhold til artikkel 2 nr. 2 bokstav c) i UK GDPR. En politistyrke kan for eksempel utføre sikkerhetskontroll av en ansatt for å sikre at vedkommende er pålitelig nok til å få tilgang til nasjonalt sikkerhetsmateriale. Til tross for at politiet er vedkommende myndighet for rettshåndhevingsformål, er den aktuelle behandlingen ikke et rettshåndhevingsformål og UK GDPR får anvendelse. Se UK Explanatory Framework for Adequacy Discussions, avsnitt H: National Security Data Protection and Investigatory Powers Framework, side 8, som finnes på følgende nettadresse:
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/872239/H_-_National_Security.pdf (32) Artikkel 2 nr. 1 bokstav a) og b) i UK GDPR.
iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet (såkalt
«rettshåndhevingsformål») – slik behandling er i stedet regulert av del 3 i DPA 2018, slik tilfellet er for direktiv (EU) 2016/680 i henhold til EU-retten – eller på behandling av personopplysninger som utføres av etterretningstjenestene (Security Service, Secret Intelligence Service og Government Communications Headquarters) som omfattes av del 4 i DPA 2018(33).
22) Det geografiske virkeområdet for UK GDPR er beskrevet i artikkel 3 i UK GDPR(34) og omfatter behandling av personopplysninger (uansett hvor den finner sted) i forbindelse med aktiviteter i en behandlingsansvarligs eller en databehandlers virksomhet i Det forente kongerike samt behandling av personopplysninger om registrerte som befinner seg i Det forente kongerike, der behandlingen gjelder tilbud av varer eller tjenester til slike registrerte eller overvåking av atferden deres(35). Dette gjenspeiler tilnærmingen i artikkel 3 i forordning (EU) 2016/679.
2.4. Definisjoner av personopplysninger og begrepene behandlingsansvarlig og databehandler
23) Definisjonene av personopplysninger, behandling, behandlingsansvarlig og databehandler samt definisjonen av pseudonymisering fastsatt i forordning (EU) 2016/679 opprettholdes uten vesentlige endringer i UK GDPR(36). Videre defineres særlige kategorier av opplysninger i artikkel 9 nr. 1 i UK GDPR på samme måte som i forordning (EU) 2016/679 («personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering»). I artikkel 205 i DPA 2018 defineres «biometriske opplysninger»(37),
«helseopplysninger»(38) og «genetiske opplysninger»(39).
2.5. Garantier, rettigheter og forpliktelser
2.5.1. Lovlig og rettferdig behandling
24) Personopplysninger bør behandles på en lovlig og rettferdig måte.
25) Prinsippene om lovlighet, rettferdighet og åpenhet samt grunnlaget for lovlig behandling er sikret i Det forente kongerikes lovgivning ved artikkel 5 nr. 1 bokstav a) og artikkel 6 nr. 1 i UK GDPR, som er identiske med de respektive bestemmelsene i forordning (EU) 2016/679(40). Artikkel 8 i DPA 2018 utfyller artikkel 6 nr. 1 bokstav e) ved å fastsette (33) Artikkel 2 nr. 2 bokstav b) og c) i UK GDPR.
(34) Samme geografiske virkeområde gjelder for behandling av personopplysninger i henhold til del 2 i DPA 2018 som utfyller UK GDPR (artikkel 207 nr. 1A).
(35) Dette betyr særlig at DPA 2018 og dermed denne beslutningen ikke får anvendelse på Det forente kongerikets kronbesittelser (Jersey, Guernsey og Isle of Man) og Det forente kongerikets oversjøiske territorier, for eksempel Falklandsøyene og Gibraltars territorium.
(36) Artikkel 4 nr. 1, 2, 5, 7 og 8 i UK GDPR.
(37) «Biometriske opplysninger» personopplysninger som stammer fra en særskilt teknisk behandling knyttet til en persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av personen, for eksempel ansiktsbilder eller fingeravtrykksopplysninger.
(38) «Helseopplysninger» personopplysninger om en persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand.
(39) «Genetiske opplysninger» personopplysninger om en persons nedarvede eller ervervede genetiske egenskaper som gir unik informasjon om nevnte persons fysiologi eller helse, og som særlig er framkommet etter analysering av en biologisk prøve fra den aktuelle personen.
(40) I henhold til artikkel 6 nr. 1 i UK GDPR er behandling lovlig bare dersom og i den utstrekning a) den registrerte har gitt samtykke til behandling av personopplysningene sine for ett eller flere særskilte formål, b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å treffe tiltak på anmodning fra den registrerte før en avtale inngås, c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige; d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser, e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, eller f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.
at behandling av personopplysninger i henhold til artikkel 6 nr. 1 bokstav e) i UK GDPR (som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve den behandlingsansvarliges offentlige myndighet) omfatter behandling av personopplysninger som er nødvendig for rettspleie, utøvelse av en funksjon i et av parlamentets kamre, utøvelse av en funksjon som er tillagt en person ved en lovbestemmelse eller rettsregel, utøvelse av Kronens funksjoner, en av Kronens ministre eller en statlig myndighet, eller en aktivitet som støtter eller fremmer demokratisk engasjement.
26) Når det gjelder samtykke (som er ett av grunnlagene for lovlig behandling), opprettholdes vilkårene fastsatt i artikkel 7 i forordning (EU) 2016/679 også uendret i UK GDPR, det vil si at den behandlingsansvarlige må kunne påvise at den registrerte har gitt sitt samtykke, at en skriftlig anmodning om samtykke skal framlegges på et klart og enkelt språk, den registrerte skal til enhver tid ha rett til å trekke tilbake samtykket, og ved vurdering av om samtykket er gitt frivillig bør det tas hensyn til om oppfyllelsen av en avtale er betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle avtalen. I henhold til artikkel 8 i UK GDPR er dessuten et barns samtykke i forbindelse med yting av informasjonssamfunnstjenester lovlig bare dersom barnet er minst 13 år. Dette faller inn under aldersgruppen som er fastsatt i artikkel 8 i forordning (EU) 2016/679.
2.5.2. Behandling av særlige kategorier av personopplysninger
27) Det bør foreligge særlige garantier ved behandling av «særlige kategorier» av opplysninger.
28) UK GDPR og DPA 2018 inneholder særlige regler for behandling av særlige kategorier av personopplysninger som er definert i artikkel 9 nr. 1 i UK GDPR på samme måte som i henhold til forordning (EU) 2016/679 (se betraktning 23 ovenfor). I samsvar med artikkel 9 i UK GDPR er behandling av særlige kategorier av opplysninger i prinsippet forbudt, med mindre et særlig unntak gjelder.
29) Disse unntakene (som er oppført i artikkel 9 nr. 2 og 3 i UK GDPR) endrer ikke innholdet i artikkel 9 nr. 2 og 3 i forordning (EU) 2016/679. Med mindre den registrerte uttrykkelig har gitt sitt samtykke til behandling av disse personopplysningene, er behandling av særlige kategorier av personopplysninger bare tillatt i særlige og begrensede tilfeller. I de fleste tilfeller skal behandling av sensitive opplysninger være nødvendig for et særskilt formål som er definert i den relevante bestemmelsen (se artikkel 9 nr. 2 bokstav b), c), f), g), h), i) og j)).
30) Dersom et unntak i henhold til artikkel 9 nr. 2 i UK GDPR krever godkjenning ved lov eller viser til allmennhetens interesse, presiseres dessuten i artikkel 10 i DPA 2018 sammen med vedlegg 1 til DPA 2018 hvilke vilkår som må være oppfylt for at unntakene skal kunne påberopes. Når det for eksempel gjelder behandling av sensitive opplysninger for å verne «folkehelsen» (artikkel 9 nr. 2 bokstav i) i UK GDPR), kreves det i del 1 nr. 3 bokstav b) i vedlegg 1 i tillegg til nødvendighetskriteriet at slik behandling utføres «av helsepersonell eller på dennes ansvar» eller «av en annen person som har taushetsplikt i henhold til en lovbestemmelse eller rettsregel», herunder i henhold til veletablert sedvanerettslig taushetsplikt.
31) Dersom sensitive opplysninger behandles av hensyn til viktige allmenne interesser (artikkel 9 nr. 2 bokstav g) i UK GDPR), inneholder del 2 i vedlegg 1 til DPA 2018 en uttømmende liste over formål som kan anses å være av viktig allmenn interesse, og fastsetter særlige tilleggsvilkår for hvert av disse formålene. For eksempel anerkjennes fremme av rasemessig og etnisk mangfold på ledelsesnivå i organisasjoner som en viktig allmenn interesse. Behandling av sensitive opplysninger for dette særskilte formålet omfattes av detaljerte krav, herunder at behandlingen utføres som en del av en prosess for å identifisere personer som er egnet for ledende stillinger, er nødvendig for å fremme rasemessig og etnisk mangfold og sannsynligvis ikke vil påføre den registrerte betydelig skade eller lidelse.
32) I artikkel 11 nr. 1 i DPA 2018 er det fastsatt vilkår for behandling av personopplysninger under de omstendighetene som er beskrevet i artikkel 9 nr. 3 i UK GDPR, når det gjelder taushetsplikt. Dette omfatter omstendigheter der behandlingen utføres av helsepersonell eller sosialarbeidere, eller av andre personer som under omstendighetene har taushetsplikt i henhold til en lovbestemmelse eller rettsregel, eller på deres ansvar.
33) Dessuten krever mange av unntakene som er nevnt i artikkel 9 nr. 2 i UK GDPR, egnede og særskilte garantier for at de skal kunne anvendes. Avhengig av behandlingens art og risikonivået for de registrertes rettigheter og friheter fastsettes ulike garantier i vilkårene for behandling i henhold til vedlegg 1 til DPA 2018. I vedlegg 1 fastsettes videre vilkårene for hver behandlingssituasjon.
34) I noen tilfeller regulerer og begrenser DPA 2018 typen sensitive opplysninger som kan behandles for at et bestemt rettslig grunnlag skal overholdes. I henhold til nr. 8 i vedlegg 1 er det for eksempel tillatt å behandle sensitive opplysninger med sikte på å fremme like muligheter eller likebehandling. Dette vilkåret for behandling kan anvendes bare dersom opplysningene avdekker rasemessig eller etnisk opprinnelse, religiøs eller filosofisk overbevisning eller seksuell legning, eller dersom det er helseopplysninger.
35) I noen tilfeller begrenser DPA 2018 hvilken type behandlingsansvarlig som kan anvende vilkåret for behandling. Nr. 23 i vedlegg 1 inneholder for eksempel bestemmelser om behandling av sensitive opplysninger i forbindelse med valgte representanters svar til allmennheten. Dette vilkåret for behandling kan anvendes bare dersom den behandlingsansvarlige er den valgte representanten eller handler i henhold til dennes myndighet.
36) I andre tilfeller er det i DPA 2018 fastsatt grenser for hvilke kategorier av registrerte som vilkåret for behandling kan anvendes for. I nr. 21 i vedlegg 1 reguleres for eksempel behandlingen av sensitive opplysninger om tjenestepensjonsordninger. Dette vilkåret kan anvendes bare dersom den registrerte er søsken, forelder, besteforelder eller oldeforelder til brukeren av ordningen.
37) Når den behandlingsansvarlige påberoper seg unntakene i artikkel 9 nr. 2 i UK GDPR som er nærmere angitt i artikkel 10 i DPA 2018, sammen med vedlegg 1 til DPA 2018, må vedkommende dessuten i de fleste tilfeller lage et utkast til «Appropriate Policy Document». Dokumentet skal beskrive den behandlingsansvarliges framgangsmåter for å sikre samsvar med prinsippene i artikkel 5 i UK GDPR. Det skal også inneholde retningslinjer for lagring og sletting samt angi den sannsynlige lagringsperioden. Behandlingsansvarlige skal ved behov gjennomgå og oppdatere dokumentet. Den behandlingsansvarlige skal oppbevare dokumentet i seks måneder etter at behandlingen er avsluttet og skal på anmodning gjøre det tilgjengelig for Information Commissioner(41).
38) I henhold til nr. 41 vedlegg 1 til DPA 2018 skal ovennevnte dokument alltid være vedlagt utvidet dokumentasjon om behandlingen. Denne dokumentasjonen skal spore oppfyllelsen av forpliktelsene i dokumentet, dvs. om opplysningene slettes eller lagres i samsvar med retningslinjene. Dersom retningslinjene ikke er fulgt, skal årsakene til dette registreres i loggen. I dokumentasjonen skal det også beskrives hvordan behandlingen oppfyller kravene i artikkel 6 i UK GDPR (lovlig behandling) og det særlige vilkåret i vedlegg 1 til DPA 2018 som påberopes.
39) I likhet med forordning (EU) 2016/679 gir UK GDPR også generelle garantier for visse typer behandling av særlige kategorier av opplysninger. I henhold til artikkel 35 i UK GDPR skal det foretas en vurdering av personvernkonsekvenser dersom særlige kategorier av opplysninger behandles i stor skala. I henhold til artikkel 37 i UK GDPR skal en behandlingsansvarlig eller databehandler utpeke et personvernombud dersom vedkommendes kjernevirksomhet består av behandling i stor skala av særlige kategorier av opplysninger
40) Når det gjelder personopplysninger om straffedommer og lovovertredelser, er artikkel 10 i UK GDPR identisk med artikkel 10 i forordning (EU) 2016/679. Den tillater behandling av personopplysninger om straffedommer og lovovertredelser bare under tilsyn av en offentlig myndighet eller dersom behandlingen er godkjent i henhold til nasjonal rett som gir nødvendige garantier for de registrertes rettigheter og friheter.
41) Dersom behandlingen av opplysninger om straffedommer og lovovertredelser ikke utføres under en offentlig myndighets kontroll, fastsettes det i artikkel 10 nr. 5 i DPA 2018 at slik behandling bare kan finne sted for de særskilte formålene / i de særskilte situasjonene angitt i del 1, 2 og 3 i vedlegg 1 til DPA 2018, og omfattes av de særlige kravene som er fastsatt for hvert av disse formålene / hver av disse situasjonene. For eksempel kan opplysninger om straffedommer behandles av ideelle organer dersom behandlingen utføres av a) som ledd i organets berettigede virksomhet og med nødvendige garantier fra en stiftelse, sammenslutning eller en annen ideell organisasjon hvis mål er av politisk, religiøs eller fagforeningsmessig art, b) under forutsetning av at i) behandlingen bare gjelder organets medlemmer eller tidligere medlemmer eller personer som på grunn av organets mål har regelmessig kontakt med det, og ii) personopplysningene ikke utleveres til andre enn nevnte organ uten de registrertes samtykke.
(41) Nr. 38-40 i vedlegg 1 til DPA 2018.
42) I del 3 i vedlegg 1 til DPA 2018 beskrives dessuten ytterligere omstendigheter der opplysninger om straffedommer kan brukes, som tilsvarer det rettslige grunnlaget for behandling av sensitive opplysninger i artikkel 9 nr. 2 i forordning (EU) 2016/679 og UK GDPR (f.eks. den registrertes samtykke, en persons vitale interesser dersom den registrerte er rettslig eller fysisk ute av stand til å gi samtykke, dersom det allerede er åpenbart at den registrerte har offentliggjort opplysningene, dersom behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav osv.).
2.5.3. Formålsbegrensning, riktighet, dataminimering, lagringsbegrensning og datasikkerhet
43) Personopplysninger bør behandles for et særskilt formål og deretter brukes bare dersom dette er forenlig med formålet med behandlingen.
44) Dette prinsippet er fastsatt i artikkel 5 nr. 1 bokstav b) i forordning (EU) 2016/679 og opprettholdes uten endringer i artikkel 5 nr. 1 bokstav b) i UK GDPR. Vilkårene for forenlig viderebehandling i henhold til artikkel 6 nr. 4 i forordning (EU) 2016/679 opprettholdes også uten vesentlige endringer i artikkel 6 nr. 4 bokstav a)–e) i UK GDPR.
45) Opplysningene bør dessuten være korrekte og om nødvendig oppdaterte. De bør også være adekvate, relevante og ikke omfatte mer enn det som er nødvendig for formålene som de behandles for, og bør i prinsippet ikke oppbevares lenger enn det som er nødvendig for formålene som personopplysningene behandles for.
46) Disse prinsippene om dataminimering, riktighet og lagringsbegrensning er fastsatt i artikkel 5 nr. 1 bokstav c)–e) i forordning (EU) 2016/679 og opprettholdes uten endringer i artikkel 5 nr. 1 bokstav c)–e) i UK GDPR.
47) Personopplysninger bør behandles på en måte som gjør at de er sikre, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade. For dette formålet bør virksomheter treffe egnede tekniske eller organisatoriske tiltak for å verne personopplysninger mot mulige trusler. Disse tiltakene bør vurderes idet det tas hensyn til det teknikkens stand og tilknyttede kostnader.
48) Datasikkerhet er nedfelt i Det forente kongerikes lovgivning gjennom prinsippet om integritet og konfidensialitet i artikkel 5 nr. 1 bokstav f) i UK GDPR og i artikkel 32 i UK GDPR om sikkerhet ved behandling. Disse bestemmelsene er identiske med de respektive bestemmelsene i forordning (EU) 2016/679. På samme vilkår som angitt i artikkel 33 og 34 i forordning (EU) 2016/679 krever dessuten UK GDPR at tilsynsmyndigheten underrettes om brudd på personopplysningssikkerheten (artikkel 33 i UK GDPR), og at den registrerte underrettes om brudd på personopplysningssikkerheten (artikkel 34 i UK GDPR).
2.5.4. ÅPENHET
49) Registrerte bør underrettes om hovedtrekkene i behandlingen av personopplysningene deres.
50) Dette sikres ved artikkel 13 og 14 i UK GDPR som i tillegg til et generelt prinsipp om åpenhet fastsetter regler for hvilke opplysninger som skal gis til den registrerte(42). UK GDPR innebærer ingen vesentlige endringer av disse reglene sammenlignet med tilsvarende artikler i forordning (EU) 2016/679. I likhet med i forordning (EU) 2016/679 omfattes imidlertid åpenhetskravene i disse artiklene av flere unntak som er fastsatt i DPA 2018 (se betraktning 55–72).
(42) I artikkel 13 nr. 1 bokstav f) og artikkel 14 nr. 1 bokstav f) er henvisninger til Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå erstattet med henvisninger til tilsvarende virkemiddel i Det forente kongerike, dvs. bestemmelser om tilstrekkelig beskyttelsesnivå i henhold til DPA 2018. I tillegg er henvisningene til EU-rett eller medlemsstatenes nasjonale rett i artikkel 14 nr. 5 bokstav c)–d) erstattet med en henvisning til nasjonal rett (som eksempler på slik nasjonal rett som kan omfattes av artikkel 14 nr. 5 bokstav c), har Det forente kongerike nevnt artikkel 7 i Scrap Metal Dealers Act 2013 som inneholder regler for registrering av lisenser for skrapmetall, eller del 35 i Companies Act 2006 som inneholder regler for registrering av selskaper). På samme måte kan et eksempel på nasjonal rett som kan omfattes av artikkel 14 nr. 5 bokstav d), være lovgivning som fastsetter regler for taushetsplikt, eller forpliktelser som gjenspeiles i arbeidsavtaler eller sedvanerettslig taushetsplikt (for eksempel personopplysninger som behandles av helsepersonell, personalmedarbeidere, sosialarbeidere osv.).
2.5.5. Individuelle rettigheter
51) Registrerte bør ha visse rettigheter som kan gjøres gjeldende overfor den behandlingsansvarlige eller databehandleren, særlig rett til innsyn i opplysninger, rett til å protestere mot behandlingen og rett til å få opplysninger rettet og slettet.
Samtidig kan slike rettigheter være underlagt begrensninger, i den grad disse begrensningene er nødvendige og forholdsmessige for å verne den offentlige sikkerheten eller andre viktige mål av allmenn interesse.
2.5.5.1. Materielle rettigheter
52) UK GDPR gir privatpersoner de samme håndhevbare rettighetene som forordning (EU) 2016/679. Bestemmelsene om privatpersoners rettigheter opprettholdes i UK GDPR uten vesentlige endringer.
53) Rettighetene omfatter den registrertes rett til innsyn (artikkel 15 i UK GDPR), retten til å få opplysninger rettet (artikkel 16 i UK GDPR), retten til å få opplysninger slettet (artikkel 17 i UK GDPR), retten til begrensning av behandlingen (artikkel 18 i UK GDPR), underretningsplikt med hensyn til retting eller sletting av personopplysninger eller begrensning av behandling (artikkel 19 i UK GDPR), retten til dataportabilitet (artikkel 20 i UK GDPR) og retten til å protestere (artikkel 21 i UK GDPR)(43) Sistnevnte omfatter også den registrertes rett til å protestere mot behandling av personopplysninger med henblikk på direkte markedsføring som fastsatt i artikkel 21 nr. 2 og 3 i forordning (EU) 2016/679. I henhold til artikkel 122 i DPA 2018 skal dessuten Information Commissioner utarbeide regler for god praksis i forbindelse med direkte markedsføring i samsvar med kravene i personvernlovgivningen (og bestemmelsene om personvern og elektronisk kommunikasjon (EF-direktiv) fra 2003) og annen veiledning for å fremme god praksis ved direkte markedsføring som Information Commissioner anser som passende. Information Commissioner’s Office er i gang med å utarbeide regelverket for direkte markedsføring(44).
54) Den registrertes rett til ikke å omfattes av en beslutning som utelukkende er basert på automatisert behandling som har rettsvirkninger for eller på tilsvarende måte påvirker vedkommende i betydelig grad, som fastsatt i artikkel 22 i GDPR, opprettholdes også i UK GDPR uten vesentlige endringer. Nytt nr. 3A er imidlertid tilføyd for å vise til at artikkel 14 i DPA 2018 fastsetter garantier for registrertes rettigheter, friheter og rettmessige interesser når behandlingen utføres i henhold til artikkel 22 nr. 2 bokstav b) i UK GDPR. Dette gjelder bare når grunnlaget for en slik beslutning er en godkjenning eller et krav i henhold til Det forente kongerikes lovgivning, og gjelder ikke dersom beslutningen er nødvendig i henhold til en avtale eller er truffet med den registrertes uttrykkelige samtykke. Dersom artikkel 14 i DPA 2018 får anvendelse, skal den behandlingsansvarlige så snart det er praktisk mulig skriftlig underrette den registrerte om at det er truffet en beslutning utelukkende basert på automatisert behandling. Den registrerte har rett til å be om at den behandlingsansvarlige – innen én måned etter at underretningen er mottatt – vurderer beslutningen på nytt eller treffer en ny beslutning som ikke utelukkende er basert på automatisert behandling. Den ansvarlige ministeren har myndighet til å vedta ytterligere garantier når det gjelder automatiserte avgjørelser. Denne myndigheten er ennå ikke utøvd.
2.5.5.2. Begrensninger i individuelle rettigheter og andre bestemmelser
55) I DPA 2018 fastsettes flere begrensninger i individuelle rettigheter i samsvar med artikkel 23 i UK GDPR. Det innføres ingen begrensninger innenfor denne rammen når det gjelder retten til å protestere mot direkte markedsføring, som fastsatt i artikkel 21 nr. 2 og 3 i UK GDPR, eller retten til ikke å omfattes av automatiserte avgjørelser, som fastsatt i artikkel 22 i UK GDPR.
56) Begrensningene er nærmere beskrevet i vedlegg 2–4 til DPA 2018. Myndighetene i Det forente kongerike har forklart at de følger to prinsipper: spesialitetsprinsippet (en detaljert tilnærming med oppdeling av omfattende begrensninger i flere, mer spesifikke bestemmelser) og vilkårsprinsippet (hver bestemmelse suppleres med garantier i form av begrensninger eller vilkår for å hindre misbruk)(45).
(43) I artikkel 17 nr. 1 bokstav e) og artikkel 17 nr. 3 bokstav b) er henvisningene til EU-rett eller medlemsstatenes nasjonale rett erstattet med en henvisning til nasjonal rett (som eksempler på slik nasjonal rett i henhold til artikkel 17 nr. 1 bokstav e) har Det forente kongerike nevnt Education (Pupil Information) (England) Regulations 2006 der det kreves at elevenes navn slettes fra skoleregistrene etter at de er ferdige på skolen, eller Medical Act 1983, artikkel 34F, som inneholder regler for sletting av navn fra registeret over allmennpraktiserende leger (General Practitioner Register) og registeret over spesialister (Specialist Register)).
(44) Utkastet til regler for god praksis finnes på følgende nettadresse: https://ico.org.uk/media/about-the-ico/consultations/2616882/direct- marketing-code-draft-guidance.pdf
(45) UK Explanatory Framework for Adequacy Discussions, avsnitt E: Restrictions, side 1, som finnes på følgende nettadresse:
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/872232/E_- _Narrative_on_Restrictions.pdf
57) Begrensningene som er beskrevet i artikkel 23 nr. 1 i UK GDPR, er utformet for å sikre at de får anvendelse bare under nærmere angitte omstendigheter der det er nødvendig i et demokratisk samfunn, og at de står i forhold til det berettigede målet som søkes oppnådd. I samsvar med etablert rettspraksis med hensyn til fortolkning av begrensninger kan dessuten et unntak fra personvernordningen anvendes i alle særlige tilfeller bare dersom det er nødvendig og forholdsmessig å gjøre det(46). Nødvendighetskriteriet skal være «streng, noe som krever at ethvert inngrep i den registrertes rettigheter står i rimelig forhold til hvor alvorlig trusselen mot allmennhetens interesse er. Det dreier seg derfor om en klassisk forholdsmessighetsanalyse(47).»
58) Målene med disse begrensningene tilsvarer dem som er oppført i artikkel 23 i forordning (EU) 2016/679, bortsett fra begrensningene for nasjonal sikkerhet og forsvar som i stedet reguleres gjennom artikkel 26 i DPA 2018, men som er omfattet av de samme kravene til nødvendighet og forholdsmessighet (se betraktning 63–66).
59) Noen av begrensningene, for eksempel knyttet til forebygging eller avsløring av lovbrudd, pågripelse eller straffeforfølgning av lovbrytere og fastsettelse eller innkreving av skatter eller avgifter(48), gir mulighet for å begrense alle individuelle rettigheter og forpliktelser om åpenhet (unntatt rettigheter i henhold til artikkel 21 nr. 2 og artikkel 22).
Virkeområdet for andre begrensninger er begrenset til forpliktelser om åpenhet og rett til innsyn, for eksempel begrensninger knyttet til advokaters taushetsplikt(49), retten til fritak fra et krav om å gi opplysninger som vil føre til selvinkriminering(50), og foretaksfinansiering, særlig forebygging av innsidehandel(51). Bare få av begrensningene gjør det mulig å begrense den behandlingsansvarliges plikt til å underrette den registrerte om brudd på personopplysningssikkerheten og prinsippene om formålsbegrensning samt om behandlingens lovlighet, rettferdighet og åpenhet(52).
60) Noen av begrensningene gjelder automatisk «i sin helhet» for en bestemt type behandling av personopplysninger (for eksempel er anvendelse av forpliktelser om åpenhet og individuelle rettigheter utelukket når personopplysninger behandles med sikte på å vurdere en persons egnethet for et dommerembete eller når personopplysninger behandles av en domstol eller en privatperson som utøver dømmende myndighet).
61) I de fleste tilfeller angis det imidlertid i det relevante nummeret i vedlegg 2 til DPA 2018 at begrensningen bare gjelder når (og i den grad) anvendelsen av bestemmelsene «trolig vil kunne skade» det berettigede formålet med begrensningen:
For eksempel får bestemmelsene i UK GDPR ikke anvendelse på personopplysninger som behandles for å forebygge eller avsløre lovbrudd, pågripe eller straffeforfølge lovbrytere eller fastsette eller innkreve skatter eller avgifter «i den grad anvendelsen av disse bestemmelsene trolig vil kunne skade» et av disse forholdene(53).
62) Britiske domstoler har konsekvent tolket ordlyden «trolig vil kunne skade» som «en svært betydelig og tungtveiende risiko for å skade de utpekte allmenne interessene»(54). En begrensning som omfattes av skadekriteriet, kan den derfor bare påberopes dersom og i den grad det foreligger en svært betydelig og tungtveiende risiko for at tildelingen av en viss rettighet vil skade den aktuelle allmenne interessen. Den behandlingsansvarlige har i hvert enkelt tilfelle ansvar for å vurdere om disse vilkårene er oppfylt(55).
63) I tillegg til begrensningene i vedlegg 2 til DPA 2018 er det i artikkel 26 i DPA 2018 fastsatt et unntak som kan få anvendelse på visse bestemmelser i UK GDPR og DPA 2018, dersom dette unntaket er nødvendig for å ivareta nasjonal sikkerhet eller for forsvarsformål. Dette unntaket får anvendelse på (46) Open Rights Group & Anor, R (On the Application Of) mot Secretary of State for the Home Department & Anor [2019] EWHC 2562
(Admin), nr. 40 og 41.
(47) Guriev mot Community Safety Development (United Kingdom) Ltd [2016] EWHC 643 (QB), nr. 43. Se også Lin mot Commissioner of Police for the Metropolis [2015] EWHC 2484 (QB), nr. 80.
(48) Nr. 2 i vedlegg 2 til DPA 2018.
(49) Nr. 19 i vedlegg 2 til DPA 2018.
(50) Nr. 20 i vedlegg 2 til DPA 2018.
(51) Nr. 21 i vedlegg 2 til DPA 2018.
(52) Begrensninger av retten til underretning om brudd på personopplysningssikkerheten er for eksempel tillatt bare i forbindelse med kriminalitet og beskatning (nr. 2 i vedlegg 2 til DPA 2018), parlamentariske privilegier (nr. 13 i vedlegg 2 tili DPA 2018) og behandling for journalistiske, akademiske, kunstneriske og litterære formål (nr. 26 i vedlegg 2 til DPA 2018).
(53) Nr. 2 i vedlegg 2 til DPA 2018.
(54) R (Lord) mot Secretary of State for the Home Department [2003] EWHC 2073 (Admin), nr. 100, og Guriev mot Community Safety Devel- opment (United Kingdom) Ltd [2016] EWHC 643 (QB), nr. 43.
(55) Open Rights Group & Anor, R (On the Application Of) mot Secretary of State for the Home Department & Anor, nr. 31.
personvernprinsippene (unntatt prinsippet om lovlighet), forpliktelsene om åpenhet, den registrertes rettigheter, plikten til å melde om brudd på personopplysningssikkerheten, reglene for internasjonale overføringer, deler av pliktene og myndigheten til Information Commissioner samt reglene for rettsmidler, ansvar og sanksjoner, unntatt bestemmelsen om de generelle vilkårene for å ilegge overtredelsesgebyrer fastsatt i artikkel 83 i UK GDPR og bestemmelsen om sanksjoner i artikkel 84 i UK GDPR. Videre endrer artikkel 28 i DPA 2018 anvendelsen av artikkel 9 nr. 1 for å gjøre det mulig å behandle særlige kategorier av opplysninger i artikkel 9 nr. 1 i UK GDPR, i den grad behandlingen utføres for å ivareta nasjonal sikkerhet eller for forsvarsformål, og med nødvendige garantier for de registrertes rettigheter og friheter(56).
64) Unntaket kan anvendes bare i den grad det er nødvendig for å ivareta nasjonal sikkerhet eller forsvar. Som for de andre unntakene fastsatt i DPA 2018, skal dette vurderes og påberopes av den behandlingsansvarlige i hvert enkelt tilfelle.
Enhver anvendelse av unntaket skal dessuten være i samsvar med standardene for menneskerettigheter (underbygget av Human Rights Act 1998), som fastsetter at ethvert inngrep i personvernrettighetene skal være nødvendig og forholdsmessig i et demokratisk samfunn(57).
65) Denne fortolkningen av unntaket bekreftes av den ICO som har utarbeidet detaljert veiledning om anvendelsen av unntaket når det gjelder nasjonal sikkerhet og forsvar, og har gjort det klart at den behandlingsansvarlige må vurdere og anvende unntaket fra sak til sak(58). I veiledningen understrekes det særlig at «dette ikke er et generelt unntak», og at det for påberopelse av unntaket «ikke er tilstrekkelig at opplysningene behandles for formål knyttet til nasjonal sikkerhet».
Derimot må den behandlingsansvarlige som påberoper seg unntaket, «vise at det er en reell risiko for negative virkninger for nasjonal sikkerhet», og den behandlingsansvarlige forventes ved behov å «framlegge [for ICO]
dokumentasjon på hvorfor [den] anvendte dette unntaket». Veiledningen inneholder en sjekkliste og en rekke eksempler for ytterligere å klargjøre vilkårene for påberopelse av unntaket.
66) Det faktum at opplysningene behandles for formål som gjelder nasjonal sikkerhet og forsvar, er derfor ikke tilstrekkelig i seg selv til at unntaket kan anvendes. En behandlingsansvarlig skal vurdere de faktiske konsekvensene for nasjonal sikkerhet dersom den særskilte bestemmelsen om personvern måtte overholdes. Unntak kan anvendes bare på de særlige bestemmelsene som anses å utgjøre en risiko, og skal anvendes så restriktivt som mulig(59).
67) Denne tilnærmingen er bekreftet av Information Tribunal(60). I saken Baker mot Secretary of State for the Home Department («Baker mot Secretary of State») fastslo domstolen at det var ulovlig å anvende unntaket for nasjonal sikkerhet som et generelt unntak ved anmodninger om innsyn som etterretningstjenestene mottar. I stedet skulle unntaket vurderes fra sak til sak ved å behandle hver enkelt anmodning særskilt og med hensyn til privatpersoners rett til respekt for sitt privatliv(61.
(56) I samsvar med opplysningene fra britiske myndigheter vil behandlingsansvarlige, dersom behandlingen gjelder nasjonal sikkerhet, normalt anvende strengere beskyttelsestiltak og sikkerhetstiltak på behandlingen, noe som gjenspeiler behandlingens følsomme art. Hvilke beskyttelsestiltak som er hensiktsmessige, vil avhenge av risikoen forbundet med behandlingen som utføres. Dette kan omfatte begrensninger i innsyn i opplysningene slik at de bare er tilgjengelige for godkjente personer med tilstrekkelig sikkerhetsklarering, strenge restriksjoner for utveksling av opplysninger og en høy sikkerhetsstandard for lagrings- og håndteringsprosedyrene.
(57) Se også Guriev mot Community Safety Development (United Kingdom) Ltd [2016] EWHC 643 (QB), nr. 45; Lin mot Commissioner of the Police for the Metropolis [2015] EWHC 2484 (QB), nr. 80.
(58) Se ICOs veiledning om unntak som gjelder nasjonal sikkerhet og forsvar, som finnes på følgende nettadresse: https://ico.org.uk/for- organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/national-security-and-defence/.
(59) Et eksempel fra britiske myndigheter viser at dersom en mistenkt terrorist som er under etterforskning av MI5, anmoder innenriksdepartementet (Home Office) om innsyn (for eksempel fordi vedkommende er involvert i en tvist med innenriksdepartementet om innvandringsspørsmål), vil det være nødvendig å holde tilbake fra den registrerte alle opplysninger som MI5 kan ha utvekslet med innenriksdepartementet om pågående etterforskning som kan være til skade for sensitive kilder, metoder eller teknikker, og/eller føre til at den berørte privatpersonen utgjør en økt trussel. Under slike omstendigheter er det sannsynlig at vilkårene for anvendelse av unntaket i artikkel 26 ville være oppfylt, og at et unntak fra plikten til å utlevere opplysningene ville være nødvendig for å ivareta nasjonal sikkerhet.
Dersom innenriksdepartementet også oppbevarte personopplysninger om privatpersonen som ikke gjaldt MI5-etterforskningen, og disse opplysningene kunne utleveres uten risiko for skade på nasjonal sikkerhet, ville unntaket for nasjonal sikkerhet ikke få anvendelse ved vurderingen av om opplysningene skulle utleveres til privatpersonen. ICO er nå i ferd med å utarbeide en veiledning om hvordan behandlingsansvarlige bør anvende unntaket i artikkel 26. Veiledningen forventes å bli offentliggjort innen utgangen av mars 2021.
(60) Information Tribunal ble opprettet for å behandle klager vedrørende personvern i henhold til Data Protection Act 1984. Information Tribunal ble i 2010 en del av General Regulatory Chamber of the First Tier Tribunal som en del av reformen av oppbyggingen av Det forente kongerikes domstolssystem.
(61) Se Baker mot Secretary of State for the Home Department [2001] UKIT NSA2 («Baker mot Secretary of State»).
2.5.6. Begrensninger for personopplysninger som behandles for journalistiske, kunstneriske, akademiske og litterære formål samt for arkivering og forskning
68) I henhold til artikkel 85 nr. 2 i UK GDPR kan personopplysninger som behandles for journalistiske, kunstneriske, akademiske og litterære formål, unntas fra flere bestemmelser i UK GDPR. I del 5 i vedlegg 2 til DPA 2018 er det fastsatt unntak for behandling for disse formålene. Den inneholder unntak fra personvernprinsippene (unntatt prinsippet om integritet og konfidensialitet), det rettslige grunnlaget for behandling (herunder særlige kategorier av opplysninger, opplysninger om straffedommer osv.), vilkårene for samtykke, forpliktelsene om åpenhet, de registrertes rettigheter, plikten til å melde om brudd på personopplysningssikkerheten og kravet om å rådføre seg med Information Commissioner før behandling som innebærer høy risiko, samt reglene for internasjonale overføringer(62). I denne forbindelse avviker ikke UK GDPR vesentlig fra forordning (EU) 2016/679, som i artikkel 85 også gir mulighet for å unnta behandling som finner sted i journalistisk øyemed eller med henblikk på akademiske, kunstneriske eller litterære ytringer, fra en rekke krav i forordning (EU) 2016/679. Bestemmelsene i DPA 2018, særlig vedlegg 2 del 5, er forenlige med UK GDPR.
69) Den sentrale avveiningen som skal foretas i henhold til artikkel 85 i UK GDPR, gjelder spørsmålet om hvorvidt et unntak fra personvernreglene nevnt i betraktning 68 er «nødvendig for å bringe retten til vern av personopplysninger i samsvar med ytrings- og informasjonsfriheten»(63). I samsvar med nr. 26 punkt 2 og 3 i vedlegg 2 til DPA 2018 anvender Det forente kongerike ved denne avveiningen kriteriet «rimelig grunn til å anta». For at et unntak skal være berettiget må den behandlingsansvarlige ha rimelig grunn til å anta i) at offentliggjøringen er i allmennhetens interesse, og ii) at anvendelsen av den relevante bestemmelsen i GDPR vil være uforenlig med journalistiske, akademiske, kunstneriske eller litterære formål. I henhold til rettspraksis(64) har kriteriet «rimelig grunn til å anta» både et subjektivt og et objektivt element: det er ikke tilstrekkelig at den behandlingsansvarlige kan vise at han eller hun selv antok at kravene ikke var oppfylt. Antakelsen må også være rimelig, det vil si at en fornuftig person med kjennskap til de relevante forholdene ville være enig i den. Den behandlingsansvarlige må derfor utvise behørig aktsomhet når vedkommende gjør en antakelse, for å kunne vise at den er rimelig. Ifølge forklaringene fra Det forente kongerikes myndigheter må kriteriet «rimelig grunn til å anta» anvendes for hvert enkelt unntak(65). Dersom vilkårene er oppfylt, anses unntaket som nødvendig og forholdsmessig i henhold til Det forente kongerikes lovgivning.
70) I samsvar med artikkel 124 i DPA 2018 skal ICO utarbeide regler for god praksis for personvern og journalistikk.
Arbeidet med disse reglene pågår. Det er i henhold til Data Protection Act 1998 utarbeidet en veiledning om dette der det særlig understrekes at det for påberopelse av dette unntaket ikke er tilstrekkelig å anføre at overholdelse ville være en ulempe for journalistisk virksomhet det må også foreligge en klar begrunnelse for at den aktuelle (62) Se artikkel 85 i UK GDPR og del 5 nr. 26 punkt 9 i vedlegg 2 til DPA 2018.
(63) I samsvar med del 5 nr. 26 punkt 2 i vedlegg 2 til DPA 2018 får unntaket anvendelse på behandling av personopplysninger som utføres for særlige formål (journalistiske, akademiske, kunstneriske og litterære formål), dersom behandlingen utføres med sikte på at en person skal offentliggjøre journalistisk, akademisk, kunstnerisk eller litterært materiale, og den behandlingsansvarlige har rimelig grunn til å anta at of- fentliggjøring av dette materialet vil være i allmennhetens interesse. Ved vurderingen av om en offentliggjøring vil være i allmennhetens interesse, må den behandlingsansvarlige ta hensyn til den allmenne interessens særlige betydning for ytrings- og informasjonsfriheten.
Videre må den behandlingsansvarlige ta hensyn til regler for god praksis eller retningslinjer som er relevante for den aktuelle offentliggjøringen (BBC Editorial Guidelines, Ofcom Broadcasting Code og Editors’ Code of Practice). For at et unntak skal få anvendelse må den behandlingsansvarlige dessuten ha rimelig grunn til å anta at det vil være uforenlig med de særlige formålene å overholde den relevante bestemmelsen (nr. 26 punkt 3 i vedlegg 2 til DPA 2018).
(64) I dommen i saken NT1 mot Google [2018] EWHC 799 (QB), nr. 102, ble det drøftet om den behandlingsansvarlige hadde rimelig grunn til å anta at offentliggjøringen var i allmennhetens interesse, og at overholdelse av de relevante bestemmelsene var uforenlig med de særlige formålene. Domstolen slo fast at artikkel 32 nr. 1 bokstav b) og c) i Data Protection Act 1998 har et subjektivt og et objektivt element: den behandlingsansvarlige må vise at han eller hun antok at offentliggjøring ville være i allmennhetens interesse, og at denne antakelsen objektivt sett var rimelig; vedkommende må godtgjøre den subjektive antakelsen at overholdelse av bestemmelsen som det søkes om unntak fra, ville være uforenlig med det aktuelle særlige formålet.
(65) Et eksempel på hvordan kriteriet «rimelig grunn til å anta» anvendes, er tatt med i ICOs beslutning om å ilegge True Visions Productions et overtredelsesgebyr i henhold til Data Protection Act 1998. ICO godtok at den behandlingsansvarlige hadde en subjektiv antakelse at overholdelse av det første personvernprinsippet (rettferdighet og lovlighet) var uforenlig med journalistiske formål. ICO godtok imidlertid ikke at denne antakelsen objektivt sett var rimelig. ICOs beslutning finnes på følgende nettadresse: https://ico.org.uk/media/action-weve- taken/mpns/2614746/true-visions-productions-20190408.pdf
