Bestemmelser om særlig tavshedspligt i international ret - forholdet til offentlighedsloven og forvaltningsloven
Der findes en række bestemmelser om særlig tavshedspligt i international ret, der har betydning for videregivelse af fortrolige oplysninger.
I det omfang sådanne bestemmelser findes i EU-forordninger, dvs. retsregler der er umiddelbart anvendelige, eller i EU-retsakter og folkeretlige traktater, der ved lovomskrivning eller lovhenvisning er gjort til en del af dansk ret, vil de være omfattet af begrebet "særlige bestemmelser fastsat ved lov" i offentlighedsloven. Oplysninger omfattet af sådanne bestemmelser om tavshedspligt vil derfor som hovedregel kunne undtages efter offentlighedsloven. Se OFL § 35.
Derimod vil sådanne bestemmelser som udgangspunkt ikke have betydning for afgørelser om aktindsigt efter forvaltningsloven, da hovedreglen i loven er, at tavshedspligt ikke begrænser parters ret til aktindsigt. Se FVL § 9, stk. 1. Det vil dog i disse tilfælde være nærliggende at overveje, om myndigheden er forpligtet til at begrænse aktindsigten ved hjælp af bestemmelsen om hensynet til fremmede stater. Se FVL § 15 a, stk. 1.
Databeskyttelsesforordningen
Databeskyttelsesforordningens kapitel V (artikel 44-50) indeholder særlige regler om overførsel af personoplysninger til tredjelande, dvs. lande uden for EU/EØS.
Såfremt den dataansvarlige ønsker at overføre personoplysninger til et tredjeland eller en international organisation, skal den dataansvarlige både overholde de almindelige behandlingsregler i databeskyttelsesforordningens kapitel II og de særlige regler i kapitel V.
Formålet med de særlige regler i databeskyttelsesforordningens kapitel V er at sikre, at den databeskyttelse, som de registrerede er sikret i EU efter forordningens regler, ikke bliver udvandet, blot fordi oplysningerne overføres til lande eller organisationer uden for EU’s grænser.
Der sondres mellem overførsel til sikre og usikre tredjelande. Det er Kommissionen, der fastlægger, hvilke lande og organisationer der kan anses som sikre, og som derfor af Kommissionen er godkendt som havende et tilstrækkeligt beskyttelsesniveau, som i det væsentlige svarer til det beskyttelsesniveau, der gælder i EU. Listen over sikre tredjelande offentliggøres i EU-Tidende og på deres hjemmeside.
De europæiske datatilsyn har opstillet fire essentielle europæiske garantier, der altid skal efterleves, uanset om personoplysningerne overføres til et sikkert eller et usikkert tredjeland. Garantierne har følgende indhold:
-
Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal ske på grundlag af klare, præcise og tilgængelige regler.
-
Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal være nødvendig og proportional. Det betyder, at der skal være balance mellem formålet (national sikkerhed) og indgrebet i de registreredes ret til beskyttelse af deres privatliv.
-
Der skal være en uafhængig og effektiv tilsynsmyndighed i tredjelandet.
-
Der skal være tilgængelige og effektive retsmidler for de registrerede i tredjelandet.
Når Kommissionen har truffet afgørelse om, at et tredjeland er sikkert, betyder det, at der kan ske overførsel af personoplysninger til en modtager i dette land eller international organisation, uden at der først skal søges om specifik godkendelse fra en kompetent tilsynsmyndighed eller lignende, dog under forudsætning af, at forordningens øvrige regler herunder behandlingsreglerne i kapitel II, samt de fire essentielle europæiske garantier overholdes.
En overførsel til et tredjeland, som Kommissionen har vurderet ikke har et tilstrækkeligt beskyttelsesniveau (usikkert tredjeland), kan kun ske, hvis dataeksportøren (den dataansvarlige eller databehandleren i EU) har givet de fornødne garantier for databeskyttelse. Det er også en betingelse, at der findes rettigheder, som kan håndhæves, og effektive retsmidler for de registrerede, som er tilgængelige. Fornødne garantier kan fx gives ved indgåelse af en kontrakt mellem dataeksportøren (i EU) og dataimportøren (i et tredjeland).
Én af de muligheder, som dataeksportøren har for at give de fornødne garantier i forbindelse med at overføre personoplysninger til en modtager i et usikkert tredjeland er et retligt bindende instrument, som kan håndhæves mellem offentlige myndigheder. Se databeskyttelsesforordningen artikel 46, stk. 2, litra a. Et sådant retligt bindende instrument kan bl.a. være et aftalememorandum eller en udvekslingsaftale på eksempelvis skatteområdet.
I den forbindelse er det vigtigt at få fastslået, om instrumentet er retligt bindende eller ej. Hvis instrumentet er retligt bindende, og dermed kan håndhæves parterne imellem, kræves der ikke en specifik godkendelse fra den kompetente tilsynsmyndighed (Datatilsynet, hvis overførslen sker fra Danmark). Derimod kræves der en specifik godkendelse fra tilsynsmyndigheden, hvis instrumentet ikke er retligt bindende.
Eksempel
Skatteministeriet har indgået dobbeltbeskatningsaftale med skattemyndighederne i USA. I denne aftale er der retligt bindende regler om, i hvilket omfang der kan ske udveksling af skatteoplysninger. Idet der er tale om et retligt bindende instrument, kan der ske overførsel af personoplysninger til skattemyndighederne i USA, uden at Skatteforvaltningen forudgående skal indhente en specifik godkendelse fra Datatilsynet.
I de tilfælde, hvor Kommissionen ikke har fastslået, at et tredjeland eller international organisation er sikkert (usikkert tredjeland), og der ikke på anden vis kan gives de fornødne garantier, kan overførsel af personoplysninger kun ske, hvis én af de særlige undtagelser i databeskyttelsesforordningens artikel 49 er opfyldt. Bemærk, at flere af undtagelserne ikke gælder for offentlige myndigheder, og at undtagelserne skal fortolkes restriktivt.
Efter databeskyttelsesforordningen artikel 49 kan overførsel til et usikkert tredjeland bl.a. ske, hvis overførslen er nødvendig af hensyn til vigtige samfundsinteresser, for at beskytte vitale interesser, eller for at et retskrav kan fastlægges, gøres gældende eller forsvares.
Datatilsynet har på sin hjemmeside www.datatilsynet.dk offentliggjort en vejledning om overførsel af personoplysninger til tredjelande.