EES og fullveldið

Rétt fyrir þinglok samþykkti Alþingi frumvarp mitt um ný persónuverndarlög sem innleiða reglugerð ESB um sama efni (skammstöfuð GDPR). GDPR kom til framkvæmda 25. maí í ESB. Þingmenn höfðu sumir á orði að frumvarpið hefði komið of seint fram og því gæfist þeim lítill tími til að ræða það efnislega. Ég benti hins vegar á að í raun hefði ég lagt málið fram of snemma en tók undir að æskilegt hefði verið að málið hefði fengið lengri tíma hjá þinginu. Þessi málsmeðferð á sér hins vegar skýringu. Síðan þá hefur borið á gagnrýni á form innleiðingarinnar, þ.e. að ekki hafi verið stuðst við svokallað tveggja stoða kerfi EES-samningsins. Sú gagnrýni er ekki ný af nálinni og kann að eiga rétt á sér en það er þó ekki einhlítt. Innleiðingin gaf mér hins vegar tilefni til þess að íhuga stöðu íslenskrar löggjafar í því alþjóðasamstarfi sem við eigum.MálsmeðferðinÞað er óvenjulegt að frumvarp til laga sem ætlað er að innleiða löggjöf ESB á grundvelli EES-samningsins sé lagt fram á Alþingi áður en viðkomandi löggjöf er formlega tekin upp í EES-samninginn. Það var ekki fyrr en 6. júlí sl. sem GDPR var tekin upp í EES-samninginn. Ólíkt flestum gerðum ESB sem Ísland þarf að taka upp á vettvangi EES kveður GDPR á um háar sektir á fyrirtæki sem ekki hlíta gerðinni og miðla persónuupplýsingum til ríkja sem annaðhvort hafa ekki innleitt GDPR (í tilviki ríkja á EES-svæðinu) eða hafa fengið sérstaka vottun er lýtur að persónuvernd (Bandaríkin eru dæmi um slíkt ríki en Kína ekki). Evrópskir aðilar hefðu því þurft að hugsa sig tvisvar um áður en persónuupplýsingum var miðlað til m.a. íslenskra aðila eftir að GDPR var tekin upp í EES-samninginn í júlí ef gerðin hefði þá ekki samhliða verið komin inn í landslög. Af þessum sökum taldi ég nauðsynlegt að tryggja að frumvarpið yrði að lögum ekki síðar en þegar GDPR yrði tekin upp í EES.En hefði frumvarpið getað komið fyrr fram? Nei, ekki svo nokkru nemi, því að forsenda framlagningar þess var að fyrir lægi með hvaða hætti og hvenær GDPR yrði tekin upp í EES-samninginn. Í þeim efnum var það skýr afstaða Íslands að reyna til þrautar með samkomulagi við samstarfsríki okkar í EES að byggja á hefðbundnum aðferðum EES-samningsins, tveggja stoða kerfinu. Það lá ekki fyrir fyrr en um áramót að ekki var samstaða um það, hvorki af hálfu EFTA-ríkjanna né ESB. Það var svo ekki fyrr en í apríl að drög að texta fyrir upptöku GDPR í EES-samninginn lá fyrir. Í kjölfarið lagði utanríkisráðherra fram þingsályktunartillögu um heimild til þess að taka GDPR upp í EES-samninginn. Í forföllum utanríkisráðherra mælti ég fyrir tillögunni samhliða framsögu um frumvarp mitt. Það hefði verið enn undarlegra fyrir Alþingi að fjalla um frumvarp mitt áður en tillaga utanríkisráðherra var kynnt.EES-samningurinnEES-samningurinn einkennist af því að vera tveggja stoða kerfi þar sem EFTA-stoðin er látin spegla samsvarandi stofnanir Evrópusambandsins. Þannig höfum við tryggt forræði á ákvörðunum okkar í samhengi við EES-samninginn eins og hægt er og því hafa íslensk stjórnvöld ætíð lagt mikla áherslu á að viðhalda því kerfi. Með upptöku GDPR í EES-samninginn var vikið frá tveggja stoða aðferðinni og þess í stað er það evrópska persónuverndarráðið sem getur tekið ákvarðanir er lúta að túlkun persónuverndarreglugerðarinnar og sem binda Persónuvernd á Íslandi. Evrópska persónuverndarráðið er nefnd forstjóra allra persónuverndarstofnana EES-ríkjanna auk þess sem fulltrúar Evrópsku persónuverndarstofnunarinnar og framkvæmdastjórnar ESB eiga þar seturétt. Við umfjöllun um hið nýja persónuverndarfrumvarp komu fram efasemdir um að sú einnar stoðar nálgun sem valin var stæðist stjórnarskrá og því er nauðsynlegt að skýra þetta mál nánar.StjórnarskráinUpp úr aldamótum hófst þróun í ESB þar sem aukin áhersla var lögð á að koma á fót sameiginlegum stofnunum sem höfðu það markmið að aðstoða framkvæmdastjórn ESB við framkvæmd og þróun Evrópulöggjafar á ýmsum sérsviðum. Fyrst þessara stofnana var Matvælastofnun Evrópu (EFSA), þá Siglingamálastofnun Evrópu (EMSA) og Flugöryggisstofnun Evrópu (EASA). Þessar stofnanir hafa fremur takmarkaðar valdheimildir en þó getur EASA tekið ákvarðanir sem eru bindandi fyrir aðildarríki og lögaðila í aðildarríkjunum, svo sem flugvélaframleiðendur og flugrekstraraðila. Í kjölfar 2008-kreppunnar var svo komið á fót stofnunum á sviði fjármálaréttar sem hafa ýmiss konar heimildir til að binda stjórnvöld og lögaðila, þ. á m. fjármálafyrirtæki á Íslandi.Íslensk stjórnvöld hafa alltaf lagt mikla áherslu á að tryggja að vald til ákvarðana á sviði EES-mála fari ekki til stofnana ESB heldur haldist innan stofnana í samstarfi okkar, sem eru helstar EFTA-skrifstofan, Eftirlitsstofnun EFTA og EFTA-dómstóllinn. Þetta er tveggja stoða kerfið í hnotskurn. Rétt er þó að hafa í huga að EES-samningurinn bannar ekki að vikið sé frá tveggja stoða kerfinu í einstaka málum, enda hefur það verið gert nokkrum sinnum og stofnunum ESB þannig falið að setja reglur sem gilda á öllu EES-svæðinu.Þegar GDPR kom til umræðu fór fram ítarleg greining á möguleikum okkar til aðildar að regluverki ESB. Þar sem slíkar lausnir þurfa að vera ákveðnar í samráði við samstarfsríki okkar lagði EFTA-skrifstofan fram fjórar mismunandi leiðir til að tryggja aðild okkar að evrópska persónuverndarráðinu. Fyrsta leiðin, sem á endanum varð fyrir valinu, var að við ættum aðild að ráðinu og hlytum úrskurðum þess án sérstakrar aðlögunar á grundvelli EES-samningsins. Önnur leiðin fól í sér hina hefðbundnu tveggja stoða lausn þar sem Eftirlitsstofnun EFTA tæki hina bindandi ákvörðun samhliða ákvörðun evrópska persónuverndarráðsins og þær yrðu samhljóða. Sú þriðja var að evrópska persónuverndarráðið gæti tekið ákvarðanir sem væru ekki bindandi heldur myndi stjórnvald EFTA-ríkisins sjálft taka ákvörðun sem hefði hliðsjón af ákvörðun ráðsins. Og að lokum var sá kostur að EFTA myndi spegla evrópska persónuverndarráðið með sínu eigin ráði. Í ljósi afdráttarlausrar afstöðu ESB var það bara fyrsti kosturinn sem kom raunverulega til álita.Hér er um flókið samspil Evrópuréttar og íslenskrar stjórnskipunar að ræða. Stefán Már Stefánsson prófessor emeritus var fenginn til að kanna þá kosti sem í boði voru. Álitsgerð hans, sem byggði að verulegu leyti á fyrri rannsóknum hans og Bjargar Thorarensen prófessors frá árinu 2012, sagði að sennilega væri tveggja stoða leiðin heppilegust en fyrsta leiðin sem valin var gæfi ekki gott fordæmi. Þó gætu allar þær leiðir sem skoðaðar voru staðist íslenska stjórnskipan. Að sömu niðurstöðu komust aðrir sérfræðingar á sviði EES-réttar sem leitað var til.Þegar kom að samráði innan EFTA-ríkjanna kom í ljós að Norðmenn vildu hafa náið samstarf við Evrópska persónuverndarráðið um túlkun persónuverndarreglugerðar ESB og því hugnaðist þeim í raun bara fyrsti kosturinn. Róðurinn við að tryggja tveggja stoða kerfið var því þungur og niðurstaða samningaviðræðna samstarfsríkja okkar og ESB varð fyrsta leiðin sem lýst var hér á undan. Það er þó tekið skýrt fram af öllum samningsaðilum EES-samningsins með sérstakri yfirlýsingu að hér sé ekki um fordæmi að ræða. Að sjálfsögðu er yfirlýsing sem þessi ekki bindandi. Hún skiptir hins vegar máli í samstarfi okkar í EES, sem er í stöðugri þróun. Þá er rétt að geta þess að komið var til móts við Ísland að nokkru leyti með því að við höfum rýmri heimildir til að koma sjónarmiðum okkar á framfæri innan stjórnar Evrópska persónuverndarráðsins við ákvarðanatöku en venjan er í sambærilegum ráðum.Þetta ferli, sem var á forræði utanríkisráðuneytisins sem EES-mál en dómsmálaráðuneytis sem persónuverndarmál, var unnið í nánu samráði við Alþingi og í mars 2018 samþykkti utanríkismálanefnd Alþingis þá leið sem valin hafði verið eftir nákvæma skoðun á kostum okkar og álitsgerðum helstu sérfræðinga. Fyrir liggur einnig einróma álit stjórnskipunar- og eftirlitsnefndar Alþingis um að það framsal valds til Evrópska persónuverndarráðsins sem GDPR kvæði á við um væri vel afmarkað og hvorki íþyngjandi fyrir ríki né einstaklinga.Hvers eðlis er framsalið?Staða Íslands gagnvart ákvörðunum Evrópska persónuverndarráðsins skiptir miklu máli. Íslensk stjórnvöld hafa seturétt í ráðinu með tillögurétt en án atkvæðisréttar. Hins vegar er afstaða landsins færð til bókar í fundargerð og við töku ákvarðana. Heimildir Evrópska persónuverndarráðsins til töku ákvarðana lúta eingöngu að því hvernig túlka beri efnisákvæði GDPR. Að þessu leyti er niðurstaðan í reynd ekki svo ólík því sem gildir á tilteknum öðrum sviðum þar sem íslensk stjórnvöld hafa fallist á að alþjóðlegir dómstólar og stofnanir geti túlkað tiltekna alþjóðlega sáttmála sem Ísland á aðild að. Það myndi sennilega ekki hvarfla að íslenskum dómara að túlka Mannréttindasáttmála Evrópu með öðru lagi en talið er heimilt og skylt samkvæmt dómaframkvæmd Mannréttindadómstóls Evrópu.Eitt þeirra meginákvæða sem Ísland hefur undirgengist er hollusturegla 3. gr. EES-samningsins, sem felur í sér að samningsaðilar, þ. ám. Ísland, skuli gera allar viðeigandi almennar eða sérstakar ráðstafanir til að tryggja að staðið verði við þær skuldbindingar sem af samningnum leiðir. Aðilar samningsins skulu varast ráðstafanir sem teflt geta því í tvísýnu að markmiðum samningsins verði náð. Í næstum öllum tilvikum ber því íslenskum stjórnvöldum að fara að túlkun Evrópska persónuverndarráðsins án tillits til þess hvaða útfærsla af hinum fjórum mögulegu hefði orðið fyrir valinu til að tryggja aðild okkar að persónuverndarregluverki ESB og hvort heldur bindandi ákvörðun væri tekin af EFTA, Eftirlitsstofnun EFTA eða Persónuvernd. Hér er því enn sem komið er um formlegt álitamál að ræða fremur en efnislegt.Framhald EESMeð persónuvernd er leitast við að tryggja þau grundvallarmannréttindi sem friðhelgi einkalífs er. Það er mikilvægt að Íslendingum sé búin sama réttarvernd og borgurum ESB-ríkja. Um leið er mikilvægt að tryggja að íslensk fyrirtæki hafi sömu möguleika á að vinna með og miðla persónuupplýsingum og önnur fyrirtæki á EES-svæðinu. Þessi sjónarmið vógu þyngst við úrlausn þessa máls, bæði af hálfu utanríkisráðherra og mín.Á hinn bóginn er ekki óeðlilegt að rædd sé framtíð EES í ljósi þróunar ESB sem hér hefur verið lýst. ESB hefur reyndar frá upphafi tekið sífelldum breytingum. Þeir sem skuldbundu Ísland á vettvangi EESmáttu hafa gert sér grein fyrir því og þá um leið að sú stöðuga þróun kynni að hafa áhrif á samstarfið við EES-ríkin. Þá hafa stjórnskipunarleg álitaefni blasað við Íslandi frá því að EES-samningurinn öðlaðist lagagildi hér árið 1993, bæði almennt og í einstökum tilvikum. Alþingi tók hins vegar ákvörðun um þátttöku okkar í EES og við höfum svarað einstökum álitaefnum einnig með ákvörðunum Alþingis. Það breytir því ekki að það er sjálfsagt og eðlilegt að velta fyrir sér á hverjum tíma hvort það gjald sem Ísland greiðir fyrir þátttöku í EES, m.a. í því formi að sætta sig við úrskurðarvald utan Íslands fremur en að reka sjálft enn eina ríkisstofnunina, skilar árangri fyrir þjóðina. Það sama á reyndar við um allt það alþjóðasamstarf sem Ísland á í.

Það er mikilvægt að Íslendingum sé búin sama réttarvernd og borgurum ESB-ríkja. Um leið er mikilvægt að tryggja að íslensk fyrirtæki hafi sömu möguleika á að vinna með og miðla persónuupplýsingum og önnur fyrirtæki á EES-svæðinu.

Greinin birtist í Morgunblaðinu 16. ágúst 2018.