EES og fullveldi
'}}

Sigríður Ásthildur Andersen, dómsmálaráðherra:

Rétt fyr­ir þinglok samþykkti Alþingi frum­varp mitt um ný per­sónu­vernd­ar­lög sem inn­leiða reglu­gerð ESB um sama efni (skamm­stöfuð GDPR). GDPR kom til fram­kvæmda 25. maí í ESB. Þing­menn höfðu sum­ir á orði að frum­varpið hefði komið of seint fram og því gæf­ist þeim lít­ill tími til að ræða það efn­is­lega. Ég benti hins veg­ar á að í raun hefði ég lagt málið fram of snemma en tók und­ir að æski­legt hefði verið að málið hefði fengið lengri tíma hjá þing­inu. Þessi málsmeðferð á sér hins veg­ar skýr­ingu. Síðan þá hef­ur borið á gagn­rýni á form inn­leiðing­ar­inn­ar, þ.e. að ekki hafi verið stuðst við svo­kallað tveggja stoða kerfi EES-samn­ings­ins. Sú gagn­rýni er ekki ný af nál­inni og kann að eiga rétt á sér en það er þó ekki ein­hlítt. Inn­leiðing­in gaf mér hins veg­ar til­efni til þess að íhuga stöðu ís­lenskr­ar lög­gjaf­ar í því alþjóðasam­starfi sem við eig­um.

Málsmeðferðin

Það er óvenju­legt að frum­varp til laga sem ætlað er að inn­leiða lög­gjöf ESB á grund­velli EES-samn­ings­ins sé lagt fram á Alþingi áður en viðkom­andi lög­gjöf er form­lega tek­in upp í EES-samn­ing­inn. Það var ekki fyrr en 6. júlí sl. sem GDPR var tek­in upp í EES-samn­ing­inn. Ólíkt flest­um gerðum ESB sem Ísland þarf að taka upp á vett­vangi EES kveður GDPR á um háar sekt­ir á fyr­ir­tæki sem ekki hlíta gerðinni og miðla per­sónu­upp­lýs­ing­um til ríkja sem annaðhvort hafa ekki inn­leitt GDPR (í til­viki ríkja á EES-svæðinu) eða hafa fengið sér­staka vott­un er lýt­ur að per­sónu­vernd (Banda­rík­in eru dæmi um slíkt ríki en Kína ekki). Evr­ópsk­ir aðilar hefðu því þurft að hugsa sig tvisvar um áður en per­sónu­upp­lýs­ing­um var miðlað til m.a. ís­lenskra aðila eft­ir að GDPR var tek­in upp í EES-samn­ing­inn í júlí ef gerðin hefði þá ekki sam­hliða verið kom­in inn í lands­lög. Af þess­um sök­um taldi ég nauðsyn­legt að tryggja að frum­varpið yrði að lög­um ekki síðar en þegar GDPR yrði tek­in upp í EES.

En hefði frum­varpið getað komið fyrr fram? Nei, ekki svo nokkru nemi, því að for­senda fram­lagn­ing­ar þess var að fyr­ir lægi með hvaða hætti og hvenær GDPR yrði tek­in upp í EES-samn­ing­inn. Í þeim efn­um var það skýr afstaða Íslands að reyna til þraut­ar með sam­komu­lagi við sam­starfs­ríki okk­ar í EES að byggja á hefðbundn­um aðferðum EES-samn­ings­ins, tveggja stoða kerf­inu. Það lá ekki fyr­ir fyrr en um ára­mót að ekki var samstaða um það, hvorki af hálfu EFTA-ríkj­anna né ESB. Það var svo ekki fyrr en í apríl að drög að texta fyr­ir upp­töku GDPR í EES-samn­ing­inn lá fyr­ir. Í kjöl­farið lagði ut­an­rík­is­ráðherra fram þings­álykt­un­ar­til­lögu um heim­ild til þess að taka GDPR upp í EES-samn­ing­inn. Í for­föll­um ut­an­rík­is­ráðherra mælti ég fyr­ir til­lög­unni sam­hliða fram­sögu um frum­varp mitt. Það hefði verið enn und­ar­legra fyr­ir Alþingi að fjalla um frum­varp mitt áður en til­laga ut­an­rík­is­ráðherra var kynnt.

EES-samn­ing­ur­inn

EES-samn­ing­ur­inn ein­kenn­ist af því að vera tveggja stoða kerfi þar sem EFTA-stoðin er lát­in spegla sam­svar­andi stofn­an­ir Evr­ópu­sam­bands­ins. Þannig höf­um við tryggt for­ræði á ákvörðunum okk­ar í sam­hengi við EES-samn­ing­inn eins og hægt er og því hafa ís­lensk stjórn­völd ætíð lagt mikla áherslu á að viðhalda því kerfi. Með upp­töku GDPR í EES-samn­ing­inn var vikið frá tveggja stoða aðferðinni og þess í stað er það evr­ópska per­sónu­vernd­ar­ráðið sem get­ur tekið ákv­arðanir er lúta að túlk­un per­sónu­vernd­ar­reglu­gerðar­inn­ar og sem binda Per­sónu­vernd á Íslandi. Evr­ópska per­sónu­vernd­ar­ráðið er nefnd for­stjóra allra per­sónu­vernd­ar­stofn­ana EES-ríkj­anna auk þess sem full­trú­ar Evr­ópsku per­sónu­vernd­ar­stofn­un­ar­inn­ar og fram­kvæmda­stjórn­ar ESB eiga þar setu­rétt. Við um­fjöll­un um hið nýja per­sónu­vernd­ar­frum­varp komu fram efa­semd­ir um að sú einn­ar stoðar nálg­un sem val­in var stæðist stjórn­ar­skrá og því er nauðsyn­legt að skýra þetta mál nán­ar.

Stjórn­ar­skrá­in

Upp úr alda­mót­um hófst þróun í ESB þar sem auk­in áhersla var lögð á að koma á fót sam­eig­in­leg­um stofn­un­um sem höfðu það mark­mið að aðstoða fram­kvæmda­stjórn ESB við fram­kvæmd og þróun Evr­ópu­lög­gjaf­ar á ýms­um sér­sviðum. Fyrst þess­ara stofn­ana var Mat­væla­stofn­un Evr­ópu (EFSA), þá Sigl­inga­mála­stofn­un Evr­ópu (EMSA) og Flu­gör­ygg­is­stofn­un Evr­ópu (EASA). Þess­ar stofn­an­ir hafa frem­ur tak­markaðar vald­heim­ild­ir en þó get­ur EASA tekið ákv­arðanir sem eru bind­andi fyr­ir aðild­ar­ríki og lögaðila í aðild­ar­ríkj­un­um, svo sem flug­véla­fram­leiðend­ur og flugrekstr­araðila. Í kjöl­far 2008-krepp­unn­ar var svo komið á fót stofn­un­um á sviði fjár­mála­rétt­ar sem hafa ým­iss kon­ar heim­ild­ir til að binda stjórn­völd og lögaðila, þ. á m. fjár­mála­fyr­ir­tæki á Íslandi.

Íslensk stjórn­völd hafa alltaf lagt mikla áherslu á að tryggja að vald til ákv­arðana á sviði EES-mála fari ekki til stofn­ana ESB held­ur hald­ist inn­an stofn­ana í sam­starfi okk­ar, sem eru helst­ar EFTA-skrif­stof­an, Eft­ir­lits­stofn­un EFTA og EFTA-dóm­stóll­inn. Þetta er tveggja stoða kerfið í hnot­skurn. Rétt er þó að hafa í huga að EES-samn­ing­ur­inn bann­ar ekki að vikið sé frá tveggja stoða kerf­inu í ein­staka mál­um, enda hef­ur það verið gert nokkr­um sinn­um og stofn­un­um ESB þannig falið að setja regl­ur sem gilda á öllu EES-svæðinu.

Þegar GDPR kom til umræðu fór fram ít­ar­leg grein­ing á mögu­leik­um okk­ar til aðild­ar að reglu­verki ESB. Þar sem slík­ar lausn­ir þurfa að vera ákveðnar í sam­ráði við sam­starfs­ríki okk­ar lagði EFTA-skrif­stof­an fram fjór­ar mis­mun­andi leiðir til að tryggja aðild okk­ar að evr­ópska per­sónu­vernd­ar­ráðinu. Fyrsta leiðin, sem á end­an­um varð fyr­ir val­inu, var að við ætt­um aðild að ráðinu og hlyt­um úr­sk­urðum þess án sér­stakr­ar aðlög­un­ar á grund­velli EES-samn­ings­ins. Önnur leiðin fól í sér hina hefðbundnu tveggja stoða lausn þar sem Eft­ir­lits­stofn­un EFTA tæki hina bind­andi ákvörðun sam­hliða ákvörðun evr­ópska per­sónu­vernd­ar­ráðsins og þær yrðu sam­hljóða. Sú þriðja var að evr­ópska per­sónu­vernd­ar­ráðið gæti tekið ákv­arðanir sem væru ekki bind­andi held­ur myndi stjórn­vald EFTA-rík­is­ins sjálft taka ákvörðun sem hefði hliðsjón af ákvörðun ráðsins. Og að lok­um var sá kost­ur að EFTA myndi spegla evr­ópska per­sónu­vernd­ar­ráðið með sínu eig­in ráði. Í ljósi af­drátt­ar­lausr­ar af­stöðu ESB var það bara fyrsti kost­ur­inn sem kom raun­veru­lega til álita.

Hér er um flókið sam­spil Evr­ópu­rétt­ar og ís­lenskr­ar stjórn­skip­un­ar að ræða. Stefán Már Stef­áns­son pró­fess­or emer­it­us var feng­inn til að kanna þá kosti sem í boði voru. Álits­gerð hans, sem byggði að veru­legu leyti á fyrri rann­sókn­um hans og Bjarg­ar Thor­ar­en­sen pró­fess­ors frá ár­inu 2012, sagði að senni­lega væri tveggja stoða leiðin heppi­leg­ust en fyrsta leiðin sem val­in var gæfi ekki gott for­dæmi. Þó gætu all­ar þær leiðir sem skoðaðar voru staðist ís­lenska stjórn­skip­an. Að sömu niður­stöðu komust aðrir sér­fræðing­ar á sviði EES-rétt­ar sem leitað var til.

Þegar kom að sam­ráði inn­an EFTA-ríkj­anna kom í ljós að Norðmenn vildu hafa náið sam­starf við Evr­ópska per­sónu­vernd­ar­ráðið um túlk­un per­sónu­vernd­ar­reglu­gerðar ESB og því hugnaðist þeim í raun bara fyrsti kost­ur­inn. Róður­inn við að tryggja tveggja stoða kerfið var því þung­ur og niðurstaða samn­ingaviðræðna sam­starfs­ríkja okk­ar og ESB varð fyrsta leiðin sem lýst var hér á und­an. Það er þó tekið skýrt fram af öll­um samn­ingsaðilum EES-samn­ings­ins með sér­stakri yf­ir­lýs­ingu að hér sé ekki um for­dæmi að ræða. Að sjálf­sögðu er yf­ir­lýs­ing sem þessi ekki bind­andi. Hún skipt­ir hins veg­ar máli í sam­starfi okk­ar í EES, sem er í stöðugri þróun. Þá er rétt að geta þess að komið var til móts við Ísland að nokkru leyti með því að við höf­um rýmri heim­ild­ir til að koma sjón­ar­miðum okk­ar á fram­færi inn­an stjórn­ar Evr­ópska per­sónu­vernd­ar­ráðsins við ákv­arðana­töku en venj­an er í sam­bæri­leg­um ráðum.

Þetta ferli, sem var á for­ræði ut­an­rík­is­ráðuneyt­is­ins sem EES-mál en dóms­málaráðuneyt­is sem per­sónu­vernd­ar­mál, var unnið í nánu sam­ráði við Alþingi og í mars 2018 samþykkti ut­an­rík­is­mála­nefnd Alþing­is þá leið sem val­in hafði verið eft­ir ná­kvæma skoðun á kost­um okk­ar og álits­gerðum helstu sér­fræðinga. Fyr­ir ligg­ur einnig ein­róma álit stjórn­skip­un­ar- og eft­ir­lits­nefnd­ar Alþing­is um að það framsal valds til Evr­ópska per­sónu­vernd­ar­ráðsins sem GDPR kvæði á við um væri vel af­markað og hvorki íþyngj­andi fyr­ir ríki né ein­stak­linga.

Hvers eðlis er framsalið?

Staða Íslands gagn­vart ákvörðunum Evr­ópska per­sónu­vernd­ar­ráðsins skipt­ir miklu máli. Íslensk stjórn­völd hafa setu­rétt í ráðinu með til­lögu­rétt en án at­kvæðis­rétt­ar. Hins veg­ar er afstaða lands­ins færð til bók­ar í fund­ar­gerð og við töku ákv­arðana. Heim­ild­ir Evr­ópska per­sónu­vernd­ar­ráðsins til töku ákv­arðana lúta ein­göngu að því hvernig túlka beri efnisákvæði GDPR. Að þessu leyti er niðurstaðan í reynd ekki svo ólík því sem gild­ir á til­tekn­um öðrum sviðum þar sem ís­lensk stjórn­völd hafa fall­ist á að alþjóðleg­ir dóm­stól­ar og stofn­an­ir geti túlkað til­tekna alþjóðlega sátt­mála sem Ísland á aðild að. Það myndi senni­lega ekki hvarfla að ís­lensk­um dóm­ara að túlka Mann­rétt­inda­sátt­mála Evr­ópu með öðru lagi en talið er heim­ilt og skylt sam­kvæmt dóma­fram­kvæmd Mann­rétt­inda­dóm­stóls Evr­ópu.

Eitt þeirra megin­á­kvæða sem Ísland hef­ur und­ir­geng­ist er holl­ust­u­r­egla 3. gr. EES-samn­ings­ins, sem fel­ur í sér að samn­ingsaðilar, þ. ám. Ísland, skuli gera all­ar viðeig­andi al­menn­ar eða sér­stak­ar ráðstaf­an­ir til að tryggja að staðið verði við þær skuld­bind­ing­ar sem af samn­ingn­um leiðir. Aðilar samn­ings­ins skulu var­ast ráðstaf­an­ir sem teflt geta því í tví­sýnu að mark­miðum samn­ings­ins verði náð. Í næst­um öll­um til­vik­um ber því ís­lensk­um stjórn­völd­um að fara að túlk­un Evr­ópska per­sónu­vernd­ar­ráðsins án til­lits til þess hvaða út­færsla af hinum fjór­um mögu­legu hefði orðið fyr­ir val­inu til að tryggja aðild okk­ar að per­sónu­vernd­ar­reglu­verki ESB og hvort held­ur bind­andi ákvörðun væri tek­in af EFTA, Eft­ir­lits­stofn­un EFTA eða Per­sónu­vernd. Hér er því enn sem komið er um form­legt álita­mál að ræða frem­ur en efn­is­legt.

Fram­hald EES

Með per­sónu­vernd er leit­ast við að tryggja þau grund­vall­ar­mann­rétt­indi sem friðhelgi einka­lífs er. Það er mik­il­vægt að Íslend­ing­um sé búin sama rétt­ar­vernd og borg­ur­um ESB-ríkja. Um leið er mik­il­vægt að tryggja að ís­lensk fyr­ir­tæki hafi sömu mögu­leika á að vinna með og miðla per­sónu­upp­lýs­ing­um og önn­ur fyr­ir­tæki á EES-svæðinu. Þessi sjón­ar­mið vógu þyngst við úr­lausn þessa máls, bæði af hálfu ut­an­rík­is­ráðherra og mín.

Á hinn bóg­inn er ekki óeðli­legt að rædd sé framtíð EES í ljósi þró­un­ar ESB sem hér hef­ur verið lýst. ESB hef­ur reynd­ar frá upp­hafi tekið sí­felld­um breyt­ing­um. Þeir sem skuld­bundu Ísland á vett­vangi EES máttu hafa gert sér grein fyr­ir því og þá um leið að sú stöðuga þróun kynni að hafa áhrif á sam­starfið við EES-rík­in. Þá hafa stjórn­skip­un­ar­leg álita­efni blasað við Íslandi frá því að EES-samn­ing­ur­inn öðlaðist laga­gildi hér árið 1993, bæði al­mennt og í ein­stök­um til­vik­um. Alþingi tók hins veg­ar ákvörðun um þátt­töku okk­ar í EES og við höf­um svarað ein­stök­um álita­efn­um einnig með ákvörðunum Alþing­is. Það breyt­ir því ekki að það er sjálfsagt og eðli­legt að velta fyr­ir sér á hverj­um tíma hvort það gjald sem Ísland greiðir fyr­ir þátt­töku í EES, m.a. í því formi að sætta sig við úr­sk­urðar­vald utan Íslands frem­ur en að reka sjálft enn eina rík­is­stofn­un­ina, skil­ar ár­angri fyr­ir þjóðina. Það sama á reynd­ar við um allt það alþjóðasam­starf sem Ísland á í.

Greinin birtist í Morgunblaðinu 16. ágúst 2018