EUs personvernforordning (General Data Protection Regulation – GDPR) er et eksempel på EU-lovgivning som er så sentral i reguleringen av det indre marked at den ganske enkelt må tas inn i EØS-avtalen dersom avtalen skal ha en fremtid. Norske myndigheters motvilje mot å overføre dømmende makt til EU-domstolen gjør imidlertid at regjeringens ferske forslag til gjennomføring av GDPR i norsk rett etterlater flere ubesvarte spørsmål knyttet til norske databehandlere og privatpersoners rett til effektiv domstolskontroll.

Personvernrådet

Årsaken til de rettslige utfordringene er den omstendighet at GDPR etablerer et overnasjonalt tilsynssystem med et nytt, uavhengig EU-personvernråd på toppen (European Data Protection Board – EDPB). Personvernrådet består av lederne for de nasjonale tilsynsorganene, samt lederen for EUs eget datatilsyn. Rådet har blant annet myndighet til å treffe bindende vedtak i tilfeller hvor to eller flere nasjonale tilsynsmyndigheter er uenige om håndteringen av en grenseoverskridende sak, eller hvor det er uenighet om hvilken medlemsstats tilsynsmyndighet som har kompetanse til å gripe inn overfor en virksomhet som opererer i flere land. De nasjonale tilsynsmyndighetene er dessuten forpliktet til å innhente uttalelser fra Personvernrådet i en rekke typetilfeller, og Personvernrådet kan følge opp med bindende vedtak dersom disse pliktene ikke etterleves, eller dersom de mottatte uttalelsene ikke etterkommes. Alt i alt gir GDPR med dette Personvernrådet kraftfulle virkemidler til å sikre ensartet anvendelse av personvernreglene i hele EU.

For EFTA-statene er det etter hvert velkjente problemet at bindende vedtak fra uavhengige EU-ekspertorganer som Personvernrådet, bryter med EØS-avtalens to-pilar-struktur med egne kontrollorganer i EFTA-pilaren (EFTAs overvåkningsorgan og EFTA-domstolen), og skaper konstitusjonelle utfordringer knyttet til den nasjonale gjennomføringen av vedtakene (myndighetsoverføring til EU). Ved et par tidligere anledninger har man forsøkt å løse dette ved å koble inn EFTAs overvåkningsorgan som et mellomledd mellom EU-organene og EFTA-statenes tilsynsorganer: Både EFTA-statenes tilknytning til EUs finanstilsyn og EUs energibyrå (ACER) legger opp til at vedtak rettet mot EFTA-statene formelt sett skal treffes av EFTAs overvåkningsorgan, men at vedtakene forutsetningsvis skal være i tråd med utkast utarbeidet i EU-byråene («kopivedtak»).

Gjør unntak

I utkastet til EØS-komitébeslutning om GDPR har imidlertid EFTA-statene ved denne korsvei akseptert at det gjøres unntak fra to-pilar-strukturen. I henhold til utkastet til tilpasningstekst skal Personvernrådet også treffe bindende beslutninger overfor EFTA-statenes tilsynsorganer, uten noen rolle for EFTAs overvåkningsorgan. Begrunnelsen er todelt. For det første har EFTAs overvåkningsorgan ingen særskilt ekspertise innen personvernjuss, og for det annet fryktet EFTA-statene at en to-pilar-løsning skulle svekke EFTA-statenes tilsynsmyndigheters mulighet til å delta i Personvernrådet. Etter utkastet til EØS-komitébeslutning, vil EFTA-statenes tilsynsmyndigheter delta fullt ut i Personvernrådets arbeid, men uten stemmerett.

Både for Datatilsynet og databehandlere underlagt Datatilsynets myndighet har denne «én-pilar-løsningen» klare fordeler, men den etterlater samtidig ubesvarte spørsmål knyttet til domstolskontrollen med bindende vedtak fra Personvernrådet og nasjonale tilsynsmyndigheter. Disse spørsmålene drøftes ikke i proposisjonen som regjeringen like før påske la frem for Stortinget (Prop. 56 LS (2017–2018)).

Politisk sensitivt

Én følge av «én-pilar-løsningen» som underkommuniseres i proposisjonen, er Datatilsynets mulighet til å bringe Personvernrådets vedtak inn for EUs domstoler. Dette er en langt bedre løsning enn i kopivedtaktilfellene, hvor norske myndigheter er henvist til å angripe kopivedtakene fra EFTAs overvåkningsorgan for EFTA-domstolen og hvor det fremstår som usikkert om den vil kunne tilby fullgod domstolskontroll, blant annet i tilfeller hvor det er saksbehandlingen internt i EU-byråene som er mangelfull. Det kan nok likevel være politisk sensitivt at Norge på personvernområdet nå aksepterer EU-domstolen som øverste domsmyndighet, noe som kanskje er forklaringen på at departementet ikke gjør noe nummer ut av dette. Det hører med at Datatilsynet trolig «bare» blir folkerettslig bundet av EU-domstolens avgjørelser, slik at det neppe er snakk om myndighetsoverføring i grunnlovens forstand, men situasjonen er uansett at Datatilsynet må anerkjenne og etterleve dommer fra en domstol uten noen norsk dommer.

Også norske databehandlere eller privatpersoner som berøres umiddelbart og individuelt av et vedtak fra Personvernrådet, kan velge å ta saken til EUs domstoler. Særlig for større, profesjonelle aktører kan denne muligheten for direkte adgang til EU-domstolen være attraktiv. Andre vil trolig foretrekke å avvente Datatilsynets gjennomføring av Personvernrådets vedtak, for så å angripe dette i norske domstoler. Fortalen til GDPR (avsnitt 143) gjør det imidlertid klart at denne muligheten for nasjonal domstolsprøving ikke kan benyttes til indirekte overprøving av Personvernrådets vedtak dersom saksøker hadde mulighet til å angripe vedtaket direkte for EUs domstoler, men har unnlatt å gjøre det innen søksmålsfristen på to måneder. I proposisjonen drøfter ikke departementet om denne begrensningen vil gjelde tilsvarende for norske domstolers prøvelsesrett. Ettersom problematikken heller ikke er omtalt i utkastet til EØS-komitébeslutning, er det imidlertid grunn til å anta at EU forventer at denne begrensningen gjelder også i EFTA-pilaren. Det er i så fall snakk om myndighetsoverføring fra norske domstoler til EU-domstolen. Gitt departementets oppfatning av at myndighetsoverføringen til Personvernrådet kan passere som «lite inngripende» og derfor skjærer klar av Grunnloven § 115, må det imidlertid antas at det gjelder også for denne overføringen av domsmyndighet.

Tvunget til å velge

For databehandlere eller privatpersoner som «bare» berøres indirekte av et vedtak fra Personvernrådet, er GDPRs fortale klar på at domstolsprøving må skje i form av et søksmål i nasjonale domstoler rettet mot nasjonale tilsynsmyndigheters gjennomføringsvedtak (samme avsnitt 143). EUs behov for sentralisert kontroll med gyldigheten av Personvernrådets vedtak ivaretas imidlertid med en meget viktig begrensning av de nasjonale domstolenes kompetanse: Dersom en nasjonal domstol mener at det underliggende vedtaket fra Personvernrådet er ugyldig, plikter den å legge spørsmålet frem for EU-domstolen, som vil avgjøre spørsmålet med bindende virkning. I proposisjonen drøfter ikke departementet om dette vil gjelde tilsvarende for norske domstoler. EØS-avtalen artikkel 107 åpner for norske foreleggelser for EU-domstolen, men frem til nå har norske myndigheter av politiske grunner ikke ønsket å gjøre bruk av denne muligheten. En foreleggelse for EFTA-domstolen i henhold til domstolloven paragraf 51a/ODA artikkel 34 er ikke noe alternativ så lenge EFTA-domstolen hverken har kompetanse til selv å prøve gyldigheten av Personvernrådets vedtak, eller til å be EU-domstolen om å gjøre det. Resultatet er en rettstilstand hvor norske domstoler kan bli tvunget til å velge mellom «nasjonalisering» av domstolskontrollen med Personvernrådets vedtak, noe som vil være klart i strid med forutsetningene i GDPR, eller egenrådig bruk av EØS-avtalen artikkel 107, noe som vil være mildt sagt kontroversielt. Da er det langt å foretrekke at departementet selv åpner for foreleggelser for EU-domstolen i disse tilfellene. Det er rettslig uavklart om dette i seg selv vil innebære myndighetsoverføring fra norske domstoler til EU-domstolen, men så lenge muligheten begrenses til gyldighetsprøving av Personvernrådets vedtak, må det trolig uansett kunne passere som «lite inngripende» og dermed innenfor rammene av det Stortinget kan samtykke til etter Grunnloven § 26 annet ledd.

Unnlater å drøfte

Uavklarte spørsmål om effektiv domstolsprøving oppstår også i tilfellene hvor Kommisjonen treffer beslutninger om at en tredjestat ivaretar personvernet på tilfredsstillende vis, med den følge av personopplysninger lovlig kan overføres til denne. I utkastet til EØS-komitébeslutning er det lagt opp til at slike beslutninger skal anvendes samtidig i EFTA-landene som i EU-landene selv om beslutningen ikke er tatt inn i EØS-avtalen, med mindre den enkelte EFTA-stat reserverer seg mot dette. I proposisjonen uttaler departementet at man vil gjennomføre dette gjennom en forskrift som gir Kommisjonens vedtak direkte virkning, med mindre Norge reserverer seg mot anvendelsen. Dette er en pragmatisk løsning, som sørger for at man unngår at forsinkelser i EØS-komiteen eller i den nasjonale gjennomføringen fører til rettsulikhet mellom EU og EFTA-pilaren. Domstolsprøving tilsvarende den som finnes i EU, er imidlertid bare mulig dersom norske myndigheter samtidig åpner for at norske domstoler også i disse typetilfellene kan be EU-domstolen avgjøre om Kommisjonens beslutning er gyldig. Heller ikke dette spørsmålet drøftes i proposisjonen.

Når departementet unnlater å drøfte spørsmålene om hvordan den norske gjennomføringen av GDPR skal leve opp til kravet til effektiv domstolskontroll, gjenstår det bare å håpe at Stortingets justiskomité bidrar med de nødvendige avklaringene.