Prop. 135 L

(2019–2020)
Proposisjon til Stortinget (forslag til lovvedtak)

Endringer i arbeids- og velferdsforvaltningsloven, sosialtjenesteloven, lov om Statens pensjonskasse og enkelte andre lover (behandling av personopplysninger)

Tilråding fra Arbeids- og sosialdepartementet 19. juni 2020, godkjent i statsråd samme dag. (Regjeringen Solberg)

1 Proposisjonens hovedinnhold og bakgrunn

Arbeids- og sosialdepartementet foreslår i denne proposisjonen endringer i

Bakgrunnen for forslaget er den nye personvernforordningen i EU (Europaparlaments- og rådsforordning (EU) 2016/679), heretter personvernforordningen eller forordningen, som også er innlemmet i EØS-avtalen. Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven), som trådte i kraft 20. juli 2018, gjør forordningen til norsk rett ved inkorporasjon, det vil si at forordningen gjøres gjeldende som norsk rett gjennom en henvisningsbestemmelse i loven.

Forordningen erstatter EUs personverndirektiv 95/46/EC, som var implementert i norsk rett gjennom tidligere personopplysningslov av 2000.

Forordningen er omfattende og inneholder blant annet

Personvernforordningens formål, systematikk, terminologi og grunnprinsipper, samt materielle regler, er i betydelig grad en videreføring av personverndirektivet fra 1995. Samtidig innebærer reglene en del endringer, både på detaljnivå og av mer grunnleggende karakter. På flere punkter innebærer de nye reglene en styrking av personvernet til de registrerte. Utover å inkorporere forordningen, gir den nye personopplysningsloven også en rekke bestemmelser som supplerer reglene i forordningen.

Departementet foreslår i proposisjonen her

For at arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn, Garantikassen for fiskere skal kunne utbetale riktige ytelser eller gi riktige tjenester til riktig tid, og for at fylkesmannsembetene og Statens helsetilsyn skal kunne behandle klager og føre tilsyn, er det nødvendig å behandle personopplysninger. Det samme vil gjelde KLP ved behandling av saker om sykepleierpleierpensjon.

Det rettslige grunnlaget for å behandle personopplysninger følger av de lovbestemte oppgaver som de nevnte myndighetene skal utføre. Arbeids- og velferdsforvaltningsloven, sosialtjenesteloven, lov om Statens pensjonskasse, lov om pensjonsordning for arbeidstakere til sjøs, lov om pensjonstrygd for fiskere, lov om pensjonsordning for sykepleiere og lov om pensjonsordning for ledsagere i utenrikstjeneste legger rammene for hvilke og i hvilken utstrekning opplysningene kan behandles.

Arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn, Garantikassen for fiskere og KLP behandler en stor mengde opplysninger om et stort antall borgere. Departementet foreslår derfor en uttrykkelig hjemmel i de enkelte lovene for behandling av personopplysninger, i tråd med forordningens anbefaling om tydelighet og forutsigbarhet. En slik generell bestemmelse om behandling av personopplysninger medfører ikke at hjemmelsgrunnlaget utvides, men innebærer kun en tydeliggjøring.

Etter forordningen er helautomatisert saksbehandling og avgjørelse tillatt dersom slik behandling er hjemlet i nasjonal rett, og det er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Arbeids- og velferdsetaten, Statens pensjonskasse, Pensjonstrygden for sjømenn og KLP foretar en økende andel automatiserte avgjørelser. Automatisering av beslutningsprosesser kan gi store effektivitetsgevinster, særlig når saksmengden er stor. Automatisering kan også bidra til økt likebehandling, siden alle som etter systemets kriterier er i samme situasjon, automatisk behandles likt. Departementet foreslår på denne bakgrunn en lovbestemmelse i arbeids- og velferdsforvaltningsloven, lov om Statens pensjonskasse, lov om pensjonsordning for arbeidstakere til sjøs, lov om pensjonstrygd for fiskere og lov om pensjonsordning for sykepleiere om at det skal kunne treffes avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger. I lovforslaget presiseres det at behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. I tillegg foreslås det at den helautomatiserte avgjørelsen ikke kan bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom.

For at helautomatiserte avgjørelser skal være tillatt, stiller personvernforordningen artikkel 22 nr. 2 bokstav b krav om at det fastsettes egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Utformingen av tiltakene må være basert på en konkret vurdering av den aktuelle behandlingen. Forvaltningslovens regler om veiledningsplikt, kontradiksjon, innsyn, begrunnelse og klage må i utgangspunktet anses å være et vesentlig bidrag til å oppfylle forordningens krav om egnede tiltak. Garantiene i forvaltningsloven er minimumsgarantier, og i tillegg kan det derfor måtte kreves andre tiltak som er egnet til å redusere den økte risiko en automatisert behandling antas å medføre. Departementet forutsetter at det må foreligge tilstrekkelige kvalitetssikringsmekanismer for å sikre at opplysninger som ligger til grunn for avgjørelsen er riktige og dekkende. Hva som kreves av egnede tiltak, må vurderes i lys av betydningen som behandlingen har for den enkelte, holdt opp imot samfunnets og forvaltningens behov.

Personopplysninger kan etter forordningen viderebehandles til andre formål som er forenlig med formålet opplysningene opprinnelig er samlet inn for, men de kan i utgangspunktet ikke viderebehandles til andre uforenlige formål. Slik viderebehandling krever særskilt hjemmel i lov. Hvorvidt det nye formålet er forenlig med det opprinnelige formålet vil avhenge av en konkret vurdering i det enkelte tilfelle. Departementet foreslår derfor at det for Statens pensjonskasse, Pensjonstrygden for sjømenn, Garantikassen for fiskere og KLP tas inn uttrykkelige bestemmelser om at personopplysninger som er innhentet for å vurdere om vilkårene for ytelser mv. er til stede, også skal kunne behandles til bruk for å forbedre informasjonen til medlemmene, statistikk og analyse, samt for testing og utvikling av IT-systemer. Opplysningenes omfang og art i arbeids- og velferdsforvaltningen krever en annen og bredere tilnærming, og viderebehandling av opplysninger på dette området vil derfor bli behandlet i et eget høringsnotat på et senere tidspunkt.

Departementet mener det kan være behov for ytterligere og mer detaljerte regler om behandling av personopplysninger som det ikke er naturlig å regulere i lov. Det foreslås derfor at departementet kan gi nærmere regler i forskrift om behandling av opplysninger, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, adgangen til viderebehandling til andre formål, utlevering, registerføring og tilgang til registre. Slike utdypende bestemmelser egner seg etter departementets syn best i forskrifts form da utformingen kan bli både detaljert og omfangsrik.

Opplysningene er imidlertid helt nødvendige for at de aktuelle myndighetene skal kunne behandle krav om ytelser og tjenester, og for at den enkelte sikres disse i samsvar med de respektive lovene. Departementet forutsetter at de aktuelle myndighetene sørger for at personopplysningene er korrekte og oppdaterte, at de underlegges tilstrekkelig informasjonssikkerhet og at de slettes når formålet er oppfylt. Arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn, Garantikassen for fiskere og KLP må ha strenge og detaljerte retningslinjer for behandling av personopplysninger som ivaretar kravene i personvernforordningen ettersom de behandler en stor mengde opplysninger.

Ved å etablere tydelige lovhjemler avskjæres eventuelle tvils- og tolkningsspørsmål som følger av dagens rettslige utgangspunkt, og slik sett vil forslaget bidra til effektivisering. Det er imidlertid vanskelig å anslå ressursbruk og besparelser nærmere, men det legges til grunn at forslaget ikke vil ha vesentlige økonomiske konsekvenser og vil kunne gjennomføres innenfor gjeldende rammer.

2 Personvernforordningen og personopplysningsloven

2.1 Generelt

Forordningen skal verne fysiske personers grunnleggende rettigheter og friheter ved behandlingen av personopplysninger, samtidig som den skal sikre fri flyt av personopplysninger mellom medlemsstatene. Personopplysningsloven av 2018 gjør forordningen til norsk rett ved inkorporasjon, og den utfyller bestemmelsene i forordningen. Det er i tillegg adgang til å utfylle det generelle personopplysningsregelverket i særlovgivning med mer spesifikke regler, jf. forordningen artikkel 6 nr. 2.

Personopplysninger defineres i forordningen som enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. forordningen artikkel 4 nr. 1.

Med «behandle» menes enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger – automatisert eller ikke – som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. forordningens artikkel 4 nr. 2.

2.2 Grunnprinsipper for behandling av personopplysninger

Forordningen fastsetter i artikkel 5 sju grunnprinsipper for behandling av personopplysninger. Prinsippene henger sammen, og angir rammer og krav som må følges ved enhver behandling av personopplysninger. Det følger av artikkelen at den behandlingsansvarlige må kunne dokumentere at disse prinsippene overholdes. All behandling av personopplysninger må være lovlig, rettferdig og åpen. Det betyr blant annet at det må foreligge et gyldig rettslig grunnlag før behandling av personopplysninger kan skje, et såkalt behandlingsgrunnlag.

Personopplysninger kan kun samles inn til spesifikke, uttrykkelig angitte og berettigete formål. Konkrete formålsangivelser er særlig viktig da det er forbud mot å behandle opplysninger videre for formål som er å regne som uforenlige med det opprinnelige formålet. Forenlighetsvurderingen vil vanskeliggjøres dersom formålet er for vidt angitt. Med et uttrykkelig angitt og konkret formål vil det i større grad være enkelt å angi hvilke personopplysninger som er adekvate, nødvendige og relevante for å oppfylle formålet (prinsippet om dataminimering).

Tilsvarende gjelder prinsippet om lagringsbegrensing, som krever at opplysninger skal slettes når formålet er oppfylt. For øvrig fremgår det av artikkel 5 at personopplysningene skal være korrekte og oppdaterte, og at de skal underlegges tilstrekkelig informasjonssikkerhet.

Det følger av artikkel 5 nr. 2 at den behandlingsansvarlige er ansvarlig for og må kunne påvise at disse prinsippene overholdes. Dette omtales gjerne som ansvarlighetsprinsippet.

2.3 Behandlingsgrunnlag

2.3.1 Generelt

For å kunne behandle personopplysninger kreves det et behandlingsgrunnlag.

Reglene om behandlingsgrunnlag følger av forordningen artikkel 6, som sier at behandlingen bare er lovlig dersom ett av vilkårene i nr. 1 bokstav a til f er oppfylt, hvorav bokstav c og e er mest aktuelle, se nedenfor.

Som tidligere personopplysningslov, gir forordningen artikkel 6 nr. 1 bokstav c grunnlag for behandling som er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige. Artikkel 6 nr. 1 bokstav e gir adgang til behandling når dette er «nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt».

Artikkel 6 nr. 3 har følgende ordlyd:

«3. Grunnlaget for behandlingen nevnt i nr. 1 bokstav c) og e) skal fastsettes i
  • a) unionsretten eller

  • b) medlemsstatens nasjonale rett som den behandlingsansvarlige er underlagt.

Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandlingen nevnt i nr. 1 bokstav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Nevnte rettslige grunnlag kan inneholde særlige bestemmelser for å tilpasse anvendelsen av reglene i denne forordning, blant annet de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og framgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling, slik som dem fastsatt med henblikk på andre særlige behandlingssituasjoner som nevnt i kapittel IX. Unionsretten eller medlemsstatenes nasjonale rett skal oppfylle et mål i allmennhetens interesse og stå i et rimelig forhold til det berettigede målet som søkes oppnådd.»

Det følger altså av artikkel 6 nr. 3 at grunnlaget for «behandlingen» nevnt i nr. 1 bokstav c og e «skal fastsettes» i unionsretten eller i medlemsstatenes nasjonale rett. Dette innebærer at artikkel 6 nr. 1 bokstav c eller e ikke alene kan utgjøre behandlingsgrunnlaget, men at den behandlingsansvarlige i tillegg må kunne vise til et supplerende rettsgrunnlag for behandlingen i unionsretten eller nasjonal rett som den behandlingsansvarlige er underlagt. Forordningen skiller seg på dette punktet fra kravene i tidligere personopplysningslov, som ikke stilte et uttrykkelig krav om et slikt supplerende rettsgrunnlag.

Det følger videre av legalitetsprinsippet og EMK artikkel 8 at det rettslige grunnlaget må oppfylle kravet til klarhet, nødvendighet og forholdsmessighet i artikkel 5 nr. 1 bokstav a og b, og fortalepunkt 39. Det fremgår også av forordningens fortalepunkt 41 at det rettslige grunnlaget bør være tydelig og presist, og anvendelsen bør være forutsigbar for personer som omfattes av det.

Forordningen artikkel 9 har reglene om behandling av såkalt særlige kategorier av personopplysninger. Særlige kategorier av personopplysninger er opplysninger om

  • rasemessig eller etnisk opprinnelse,

  • politisk oppfatning,

  • religion,

  • filosofisk overbevisning,

  • fagforeningsmedlemskap

  • genetiske og biometriske kjennetegn som entydig identifiserer en fysisk person,

  • helseopplysninger, og

  • en fysisk persons seksuelle forhold eller seksuelle orientering

Disse personopplysningskategoriene er av natur særlig sensitive og er derfor gitt et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risiko for den enkeltes grunnleggende rettigheter og friheter. Forordningen har derfor tilleggsvilkår for behandling av slike opplysninger. I henhold til artikkel 9 nr. 1 er behandling av slike personopplysninger i utgangspunktet forbudt, med mindre én av unntaksbestemmelsene i artikkel 9 nr. 2 kommer til anvendelse. I tillegg til de særlige kravene i artikkel 9 nr. 2 må det også foreligge et behandlingsgrunnlag etter artikkel 6, jf. fortalepunkt 51.

Det følger av artikkel 9 nr. 2 at nr. 1 ikke får anvendelse dersom et av vilkårene i bokstav a til j er oppfylt. Særlig aktuelt her er bokstav b, hvoretter behandlingen må være «… nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett». Behandlingen må dessuten være tillatt i unionsretten, nasjonal rett eller tariffavtale som gir «… nødvendige garantier for den registrertes grunnleggende rettigheter og interesser».

2.3.2 Særlig om nødvendighetskravet

Artikkel 6 nr. 1 bokstav e oppstiller et nødvendighetskrav:

  • «e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,»

En naturlig språklig forståelse av begrepet «nødvendig» tilsier at det avskjærer vilkårlig behandling uten relevans for saken. Dette innebærer blant annet at det ikke skal innhentes eller på annen måte behandles flere opplysninger enn det som trengs for formålene. Opplysningene skal ha saklig sammenheng med formålet eller formålene som søkes oppnådd ved behandlingen. Det er ikke tilstrekkelig at opplysningene kan være nyttige. Opplysningene må enten alene, eller sett i sammenheng med andre opplysninger, ha betydning i arbeidet eller for å utøve myndighet.

2.3.3 Helautomatiserte avgjørelser

Forordningen artikkel 22 gir særskilte regler for noen behandling av personopplysninger ved helautomatiserte avgjørelser. Den enkelte har i utgangspunktet rett til å ikke være gjenstand for avgjørelser som utelukkende baserer seg på automatisert saksbehandling og som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende, med mindre en av unntaksbestemmelsene kommer til anvendelse, jf. artikkel 22 nr. 1 og 2.

For at en automatisert avgjørelse skal omfattes av artikkel 22, må det for det første skje en behandling av personopplysninger. For det andre må avgjørelsen «utelukkende være basert» på automatisert behandling. Det betyr at delvis automatiserte avgjørelser ikke omfattes. For det tredje må avgjørelsen ha «rettsvirkning» eller «på tilsvarende måte betydelig påvirke» vedkommende. For eksempel vil enkeltvedtak ha slik virkning for den enkelte.

Etter artikkel 22 nr. 2 bokstav b kan det gjøres unntak fra artikkel 22 nr. 1 dersom avgjørelsen er tillatt i henhold til medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, såfremt det er fastsatt «egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser». I henhold til fortalepunkt 71 bør slike garantier omfatte spesifikk informasjon til den registrerte og rett til menneskelig inngripen, til å uttrykke synspunkter, til å få en forklaring på avgjørelser truffet etter automatisert behandling og til å klage over avgjørelsen.

Etter artikkel 22 nr. 4 kan automatiserte avgjørelser ikke bygge på «særlige kategorier personopplysninger», med mindre behandlingen er nødvendig av hensyn til «viktige allmenne interesser» etter artikkel 9 nr. 2 bokstav g og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.

2.3.4 Særskilt om behandling av personopplysninger om barn

Som etter tidligere personvernregler, er utgangspunktet etter forordningen at barn og voksne har samme rettigheter i forbindelse med behandling av personopplysninger. Forordningen inneholder enkelte spredte artikler og fortalepunkter om behandling av barns personopplysninger, men gir ingen samlet enhetlig regulering av temaet.

Fortalepunkt 38 fastslår at barns personopplysninger på generelt grunnlag fortjener et særlig vern, ettersom barn kan være mindre bevisst på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandling av personopplysninger.

Reglene om automatisering i artikkel 22 skiller ikke mellom voksne og barn. I fortalepunkt 71 gis det imidlertid uttrykk for at helautomatiserte avgjørelser ikke bør gjelde barn. Da denne formuleringen ikke er avspeilet i selve artikkelen, antas derfor ikke dette å utgjøre et absolutt forbud mot denne form for behandling i forbindelse med barn, se Artikkel 29-gruppens

Artikkel 29-gruppen er EUs tidligere rådgivende organ i personvernspørsmål, etablert med hjemmel i artikkel 29 i direktiv 95/46/EF om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger.

uttalelse WP251rev.01 avsnitt V Børn og profilering. Artikkel 29-gruppen anbefaler på denne bakgrunn at behandlingsansvarlige som hovedregel ikke bør påberope seg unntakene i artikkel 22 nr. 2 for barn.

Artikkel 29-gruppen gir videre uttrykk for at det kan være visse situasjoner hvor det er nødvendig å treffe helautomatiserte avgjørelser som har rettsvirkning for eller på tilsvarende måte betydelig påvirker barn, for eksempel for å beskytte deres velferd. I så fall kan behandlingen foretas blant annet etter unntaket i artikkel 22 nr. 2 bokstav b. I disse tilfeller må den behandlingsansvarlige fastsette egnede tiltak som effektivt beskytter rettighetene og de legitime interessene til barnet.

3 Høring

Arbeids- og sosialdepartementet sendte 1. november 2019 på høring forslag til endringer i arbeids- og velferdsforvaltningsloven, lov om Statens pensjonskasse, sosialtjenesteloven, lov om pensjonsordning for arbeidstakere til sjøs og lov om pensjonstrygd for fiskere.

Departementet foreslo at Arbeids- og velferdsetaten, Statens pensjonskasse, kommunen i arbeids- og velferdsforvaltningen, Pensjonstrygden for sjømenn og Garantikassen for fiskere gis en uttrykkelig hjemmel for behandling av personopplysninger. I dag behandler myndighetene personopplysninger på grunnlag av de lovbestemte oppgaver som de skal utføre. Formålet med lovforslaget er å tydeliggjøre denne adgangen. Et annet sentralt forslag er en uttrykkelig lovbestemmelse om at det skal kunne treffes helautomatiserte avgjørelser. Slik behandling må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. Avgjørelsen skal ikke kunne bygge på skjønnsmessige vilkår, med mindre avgjørelsen er utvilsom.

For Statens pensjonskasse, Pensjonstrygden for sjømenn og Garantikassen for fiskere ble det dessuten foreslått en lovfestet adgang til å gjenbruke personopplysninger til enkelte andre formål enn det de ble innhentet for, blant annet til statistikk og analyse.

Endelig foreslo departementet at det skal kunne gis nærmere regler i forskrift om behandling av opplysninger, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, og om adgangen til viderebehandling og utlevering.

Høringen ble offentliggjort på departementets hjemmesider og fristen for merknader ble satt til 14. januar 2020. Høringsnotatet ble sendt direkte til følgende instanser:

Følgende instanser har hatt realitetsmerknader til forslagene som ble sendt på høring:

Disse har uttalt at de ikke har merknader til forslaget:

Hovedsynspunktene i sentrale høringsuttalelser gjengis i proposisjonen her. For detaljer i høringsinstansenes uttalelser, vises det til at alle høringsuttalelsene er tilgjengelige på regjeringenes nettsider. Departementet viser til omtalen av høringsinstansenes merknader under behandlingen av de ulike forslagene i proposisjonen.

4 Behovet for et supplerende rettsgrunnlag for behandling av personopplysninger – generelt

4.1 Høringsnotatet

Personvernforordningens artikkel 6 nr. 1 bokstav e gir adgang til behandling av personopplysninger når det er nødvendig for å «utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Dette vilkåret må anses oppfylt da oppgavene til de myndighetene som omfattes av forslaget her, i all hovedsak er pålagt gjennom lov eller forskrift. Departementet antok i høringsnotatet at også vedtak fattet i medhold av lov eller forskrift vil være tilstrekkelig rettsgrunnlag, ettersom det også i disse tilfellene foreligger lov eller forskriftsgrunnlag.

I høringsnotatet ble det vist til at det for behandling hjemlet i forordningens artikkel 6 nr. 1 bokstav e stilles krav om at det må foreligge et supplerende rettsgrunnlag, jf. artikkel 6 nr. 3. Det må følge av det supplerende rettsgrunnlaget at den behandlingsansvarlige er pålagt den offentlige myndigheten som fordrer behandling av personopplysninger. Det følger av fortalepunkt 41 at «når det i denne forordning vises til et rettslig grunnlag eller et lovgivningsmessig tiltak, krever dette ikke nødvendigvis en regelverksakt vedtatt av et parlament». Departementet la til grunn at lov- og forskriftsbestemmelser kan utgjøre supplerende rettsgrunnlag.

I høringsnotatet ble det videre uttalt:

«Justis- og beredskapsdepartementet har, for utøvelse av offentlig myndighet etter utlendingsloven, lagt til grunn at kravet om supplerende rettsgrunnlag etter forordningens artikkel 6 nr. 3 synes oppfylt dersom behandlingen forutsetningsvis fremgår av lov, og at det ikke er nødvendig at det supplerende rettsgrunnlaget uttrykkelig regulerer behandling av personopplysninger, se Prop. 59 L (2017–2018) om endringer i utlendingsloven punkt 4.1.3.1. Arbeids- og sosialdepartementet legger den samme vurderingen til grunn for utøvelse av offentlig myndighet etter lov om pensjonstrygden for sjømenn, lov om statens pensjonskasse, lov om pensjonstrygden for fiskere, lov om arbeids- og velferdsforvaltningen og lov om sosiale tjenester i arbeids- og velferdsforvaltningen.
Justis- og beredskapsdepartementet påpeker imidlertid at forordningen på dette punktet må tolkes og anvendes i lys av Grunnloven § 102 og EMK artikkel 8, noe som kan innebære strengere krav til spesifikt rettsgrunnlag enn det ordlyden i forordningen kan tilsi. Etter Grunnloven § 102 og EMK artikkel 8 beror kravene til rettsgrunnlag på en nærmere vurdering av blant annet hvor inngripende behandlingen er.
Justis- og beredskapsdepartementet uttaler:
«Behandling av saker etter utlendingsregelverket omfatter personopplysninger av et stort omfang, og opplysningene vil ofte være av sensitiv art. Myndighetene vil som regel også ha behov for at opplysningene lagres over lang tid. Departementet mener derfor at behandlingens omfang og varighet, og opplysningens karakter, innebærer at inngrepet er betydelig, noe som tilsier at behandlingen bør hjemles i lov. Dette gjelder særlig for behandling av særlige kategorier av personopplysninger. En uttrykkelig bestemmelse som foreslås her vil etter departementets syn være bedre i tråd med forordningens henstilling om tydelighet og forutsigbarhet, jf. fortalepunkt 41.»
Justis- og beredskapsdepartementet foreslo på denne bakgrunn en overordnet hjemmel for behandling av personopplysninger i utlendingsloven. Forslaget ble vedtatt ved lov 15. juni 2018 nr. 36.
Arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn og Garantikassen for fiskere behandler personopplysninger av et stort omfang, herunder særlige kategorier av personopplysninger. Arbeids- og sosialdepartementet mener derfor at behandlingen bør lovreguleres.
Hjemmel for behandling av personopplysninger i arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn og pensjonstrygden for fiskere følger i dag av de oppgavene som myndighetene i dag er tildelt ved lov eller med hjemmel i lov. Lovgivningen gir rammer og detaljer for hvilke personopplysninger som det vil være nødvendig å behandle for den enkelte sakstype. Når det gjelder Statens pensjonskasse, benyttes i tillegg samtykke eller avtale som grunnlag for behandling av personopplysninger, for eksempel for boliglån og enkelte erstatningsordninger.»

Departementet foreslo etter dette at de nevnte myndighetene gis en uttrykkelig hjemmel for behandling av personopplysninger i de respektive lovene. Formålet er å tydeliggjøre behandlingsgrunnlaget og å gi større forutberegnelighet for allmenheten. Det ble understreket at personvernforordningens grunnprinsipper gjelder. Dette gjelder blant annet kravet til at opplysningene skal innhentes til et bestemt formål, at opplysningene skal være nødvendige for at forvaltningsorganet skal utøve oppgaver det er pålagt, at opplysningene skal være riktige mv. Prinsippene vil ivaretas gjennom de rammene som er nedfelt i den loven som er grunnlag for behandlingen av personopplysningene i den enkelte saken.

4.2 Høringsinstansenes syn

Justis- og beredskapsdepartementet uttaler

«Rettsgrunnlag for behandling av «innhentede» personopplysninger
Flere av bestemmelsene i forslaget skal gi supplerende rettsgrunnlag for å behandle «innhentede» personopplysninger, jf. § 21 a første ledd i sjømannspensjonsloven, § 45 b første ledd i lov om Statens pensjonskasse, § 29 a første ledd i fiskerpensjonsloven og § 4 a første ledd i arbeids- og velferdsforvaltningsloven. Bestemmelsene er ikke ment å gi grunnlag for å innhente personopplysninger, og forutsetter at andre lovbestemmelser vil gi tilstrekkelig supplerende rettsgrunnlag for selve innhentingen. Vi forstår bestemmelsene slik at de skal åpne for behandling av personopplysningene for de formålene de er innhentet for, og ikke nye formål. Etter Justis- og beredskapsdepartementets vurdering er disse bestemmelsene unødvendige, og de vil kunne skape misforståelser.
Når det forutsettes at en offentlig myndighet har tilstrekkelig rettsgrunnlag for å innhente personopplysninger for et bestemt formål, må det som et klart utgangspunkt antas at organet også har grunnlag for videre behandlingsaktiviteter for samme formål, for eksempel lagring, saksbehandling osv. Bestemmelser som åpner for å «innhente» personopplysninger, må i mangel av holdepunkter for det motsatte forstås slik at opplysningene også skal kunne brukes. Ellers vil bestemmelsene bli nokså meningsløse. Ved vurderingen av om det foreligger supplerende rettsgrunnlag etter personvernforordningen, må slike bestemmelser for øvrig sees i sammenheng med øvrige bestemmelser om organets oppgaver, myndighet mv., som også bidrar til å gi supplerende rettsgrunnlag.
Å fastsette særskilte bestemmelser om hvilke formål «innhentede» personopplysninger kan behandles for, vil på denne bakgrunn normalt bare være nødvendig dersom det er tale om andre formål enn det som lå til grunn for innsamlingen, med andre ord ved viderebehandling. Av denne grunn vil det også være nærliggende å lese bestemmelser om «innhentede personopplysninger» slik at de dreier seg om nettopp viderebehandling. Skatteforvaltningsloven § 5-11 første ledd er et eksempel på en slik bestemmelse. Her brukes ordlyden «innhentede personopplysninger» for å signalisere at bestemmelsen gir grunnlag for viderebehandling.
Bestemmelsene om «innhentede» opplysninger som ikke er ment å gi grunnlag for viderebehandling, vil altså lett kunne misforstås og leses slik at de åpner for viderebehandling i svært vid utstrekning. Dette gjelder ikke minst dersom ordlyden «innhentede personopplysninger» brukes i øvrige ledd i de samme bestemmelsene for å regulere viderebehandling, se for eksempel fjerde og femte ledd i forslaget til § 21 a i sjømannspensjonsloven. På denne bakgrunn bør bestemmelsene om behandling av «innhentede personopplysninger» for samme formål som de er innhentet for, utgå.»

KLP uttaler

«KLP vil bemerke at departementet ved endringer av de øvrige pensjonslovene normalt også gjør tilsvarende endringer i Lov om pensjonsordning for sykepleiere. Departementet peker i høringsnotatets punkt 2.4 på SPKs behov for hjemmel for behandling av personopplysninger og behov for å kunne fatte automatiserte avgjørelser. KLP kan vanskelig se at ikke de samme behov og hensyn tilsvarende gjør seg gjeldende for behandling av personopplysninger og automatiserte avgjørelser i forbindelse med administrasjon av Pensjonsordningen for sykepleiere. Tilsvarende gjelder også for senere gjenbruk av personopplysninger for statistiske formål.
KLP ber derfor Arbeids- og sosialdepartementet å foreslå tilsvarende endringer i Lov om pensjonsordning for sykepleiere som de som er foreslått i Lov om Statens pensjonskasse.»

Utenriksdepartementet uttaler

«Blant de pensjonsordningene som Statens pensjonskasse administrerer, er en nettoordning med hjemmel i lov om pensjonsordning for ledsagere i utenrikstjenesten. Det er Utenriksdepartementet som rapporterer inn ledsagertiden til Statens pensjonskasse. Ledsagerne er i begrenset grad selv ansatte i departementet. Loven har ingen bestemmelser om behandling av personopplysninger. Med henvisning til personvernforordningen artikkel 6 nr. 3, jf. nr. 1 bokstav e, bør det vurderes om det er behov for en bestemmelse i loven for Utenriksdepartementet og Statens pensjonskasse til å behandle personopplysninger som er nødvendige for å behandle saker som gjelder pensjon etter nevnte lov.»

Pensjonskasseforeningen uttaler

«Etter GDPR-forordningen, 2016/679, er helautomatisert saksbehandling og avgjørelse tillatt dersom slik behandling er hjemlet i nasjonal rett, og det er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Pensjonsinnretninger foretar en økende andel automatiserte avgjørelser. Automatisering av beslutningsprosesser kan gi store effektivitets-gevinster, særlig der saksmengden er stor. Dette kan også bidra til økt likebehandling, da alle som etter systemets kriterier er i samme situasjon, automatisk behandles likt. Departementet foreslår på denne bakgrunn en lovbestemmelse for nevnte enheter om at det skal kunne treffes avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger. I lovforslaget presiseres det at behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. I tillegg foreslås det at den helautomatiserte avgjørelsen ikke kan bygge på skjønnsmessige vilkår, med mindre avgjørelsen er utvilsom.
En tilsvarende hjemmel er ikke foreslått for øvrige tjenestepensjonsleverandører, herunder offentlige og private pensjonskasser. En slik forskjellsbehandling fremstår ikke som rasjonelt begrunnet, da pensjonsproduktene, arbeidsoppgavene, utfordringene og behovene i meget stor utstrekning er identiske relatert til personvern.
Departementet uttaler i høringsnotatet;
Ved å etablere tydelige lovhjemler avskjæres eventuelle tvils- og tolkningsspørsmål som følger av dagens rettslige utgangspunkt, og slik sett vil forslaget bidra til effektivisering.
Det er vanskelig å se at de samme hensyn ikke vil gjøre seg gjeldende for øvrige pensjonsinnretninger.
Pensjonskasseforeningen anmoder departementet om å påse at også pensjonskassene får et tilsvarende hjemmelsgrunnlag som særlovsorganene, all den tid behovet og argumentasjonen for regelverksendringer er identiske. En eventuell begrunnelse for ulik behandling av tjenestepensjonsleverandørene er ikke lett tilgjengelig. Videre vil en fragmentarisk regulering av disse aspektene, kunne bidra til mer forvirring enn rettsavklaring.
Det legges til grunn at hjemmel kan etableres gjennom forsikringsvirksomhetsloven.»

4.3 Departementets vurdering og forslag

Hjemmel for behandling av personopplysninger i arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn og pensjonstrygden for fiskere følger i dag forutsetningsvis av de oppgavene som disse myndighetene er tildelt i de respektive lovene. Ettersom de nevnte myndighetene behandler personopplysninger om et stort antall borgere, og opplysningene ofte er sensitiv art, er det viktig at behandlingen skjer på grunnlag av en uttrykkelig hjemmel i tråd med forordningens anbefaling om tydelighet og forutsigbarhet.

Departementet foreslår på denne bakgrunn at det gis en overordnet hjemmel for behandling av personopplysninger i ny § 4 a andre ledd i arbeids- og velferdsforvaltningsloven, ny § 45 b andre ledd i lov om Statens pensjonskasse, ny § 21 a andre ledd lov om Pensjonstrygden for sjømenn, ny § 29 a andre ledd i lov om pensjonstrygd for fiskere. Se nærmere om forslagene i punkt 6.2.3, 7.4, 8.4.3, 9.4 og 10.4. Det skal understrekes at dette ikke utvider adgangen til å behandle opplysninger, men kun er en tydeliggjøring av gjeldende rett.

Departementet foreslo i høringsnotatet å innta bestemmelser om at aktuell myndighet «kan behandle innhentede personopplysninger (…)». Dette for å klargjøre at bestemmelsene i seg selv ikke gir hjemmel til å innhente opplysninger. Det ble vist til at hjemler for innhenting av opplysninger følger av særlovgivningen. Justis- og beredskapsdepartementet bemerket i sin høringsuttalelse at bestemmelser som åpner for å innhente personopplysninger, i mangel av holdepunkter for det motsatte, må forstås slik at opplysningene også skal kunne brukes. Justis- og beredskapsdepartementet uttalte videre at det normalt bare er nødvendig å fastsette særskilte bestemmelser om hvilke formål «innhentede» personopplysninger kan behandles for dersom det er tale om andre formål enn de som lå til grunn for innsamlingen. Av den grunn vil det være nærliggende å misforstå de foreslåtte bestemmelsene, og tro at de åpner for viderebehandling i svært vid utstrekning. Justis- og beredskapsdepartementet ga på denne bakgrunn uttrykk for at de foreslåtte bestemmelsene burde utgå. Departementet følger opp merknadene for Justis- og beredskapsdepartementet, og foreslår at ordet «innhentede» tas ut av bestemmelsen.

Ved lov 22. juni 1962 nr. 12 ble det opprettet en egen pensjonsordning for sykepleiere. Sykepleierne var tidligere innlemmet i Statens pensjonskasse og kommunale pensjonskasser. Loven sorterer under Arbeids- og sosialdepartementet og ordningen administreres av KLP. Som nevnt kan KLP vanskelig se at ikke de samme behov og hensyn tilsvarende gjør seg gjeldende for behandling av personopplysninger og automatiserte avgjørelser i forbindelse med administrasjonen av pensjonsordningen for sykepleiere. Departementet slutter seg til synspunktene fra KLP og følger opp dette i proposisjonen her. Det foreslås etter dette at lov om pensjonsordning for sykepleiere suppleres med en bestemmelse om at § 45 b i lov om Statens pensjonskasse gis tilsvarende anvendelse.

KLP peker i tillegg peke på at selskapets virksomhet når det gjelder offentlig tjenestepensjon har store likhetstrekk med SPK. Det vises til at det er de samme produkter som tilbys med et regelverk som i stor grad er sammenfallende. Etter Overføringsavtalens regelverk er det den pensjonsinnretning pensjonisten sist var tilknyttet som skal utbetale samlet pensjon. KLP mener derfor det er nødvendig at pensjonsinnretninger som tilbyr samme pensjonsprodukt som SPK, får en tilsvarende hjemmel for behandling av personopplysninger og automatiserte avgjørelser. KLP ber derfor om at departementet tar initiativ til at et slikt lovarbeid blir iverksatt.

Departementet bemerker at spørsmålet om generell hjemmel for KLP til å behandle personopplysninger ikke var tema i høringsnotatet som behandles i proposisjonen her. Departementet vil videre nevne at KLP er underlagt finansforetaksloven som sorterer under Finansdepartementet. Departementet vil følge opp dette spørsmålet i samråd med Finansdepartementet.

Pensjonskasseforeningen viser til at en tilsvarende hjemmel for å behandle personopplysninger ikke er foreslått for de øvrige tjenestepensjonsleverandørene. Departementet bemerker at spørsmålet om generell hjemmel for private tjenestepensjonsleverandører til å behandle personopplysninger ikke var tema i høringsnotatet som behandles i proposisjonen her. Departementet vil videre nevne at leverandører av private tjenestepensjoner er underlagt finansforetaksloven som sorterer under Finansdepartementet. Departementet vil følge opp dette spørsmålet i samråd med Finansdepartementet.

Utenriksdepartementet mener det bør vurderes om det er behov for en bestemmelse i lov om pensjonsordning for ledsagere i utenrikstjenesten for Utenriksdepartementet og Statens pensjonskasse til å behandle personopplysninger som er nødvendige for å behandle saker som gjelder pensjon etter nevnte lov.

Departementet slutter seg til dette, og foreslår at lov om pensjonsordning for ledsagere i utenrikstjenesten suppleres med en bestemmelse om at § 45 b i lov om Statens pensjonskasse gis tilsvarende anvendelse. Departementet skal bemerke at etter forslaget til ny § 45 b i lov om Statens pensjonskasse kan Statens pensjonskasse behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for å forvalte de ordningene som Pensjonskassen administrerer. Dette vil da også gjelde ledsagerordningen. Den nye hjemmelen for å behandle personopplysninger vil derfor i realiteten kun gjelde for Utenriksdepartementet.

4.4 Behandling av personopplysninger om straffedommer og lovovertredelser

Etter forordningen omfattes ikke personopplysninger om straffbare forhold mv. av reglene om særlige kategorier av personopplysninger. I stedet er slike opplysninger særlig regulert i artikkel 10 (behandling av personopplysninger om straffedommer og lovovertredelser). Bestemmelsen gjelder i tillegg til reglene om behandlingsgrunnlag i artikkel 6 og fastsetter visse nærmere vilkår for behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak.

Hovedregelen er at behandling bare kan skje «under en offentlig myndighets kontroll». Forordningens artikkel 10 krever ikke at det fastsettes nasjonale lovbestemmelser for behandling av personopplysninger om straffbare forhold under en offentlig myndighets kontroll. I disse tilfellene stiller ikke artikkel 10 særlige krav utover det som følger av de alminnelige reglene om behandlingsgrunnlag, jf. artikkel 6 nr. 1.

Behandling av opplysninger om straffedommer og lovovertredelser trenger altså ingen nærmere regulering i loven etter forordningen. Det stilles heller ikke tilsvarende strenge krav til behandlingen som for behandling av særlige kategorier av personopplysninger. Departementet finner det imidlertid hensiktsmessig at bestemmelsene om behandling av personopplysninger suppleres med en henvisning til artikkel 10 for å unngå tvil om også slike opplysninger omfattes. Det gir også større forutberegnelighet for den registrerte. Det vises i den forbindelse til utlendingsloven § 83 a hvor dette er gjort.

5 Hjemmel for helautomatiserte avgjørelser

5.1 Høringsnotatet

I høringsnotatet ble det redegjort for at bruk av helautomatiserte avgjørelser i arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn og pensjonstrygden for fiskere krever et eksplisitt rettsgrunnlag i nasjonal rett.

Departementet pekte på at automatisering av beslutningsprosesser kan gi store effektivitetsgevinster og bidra til økt likebehandling. Automatisert saksbehandling kan videre sikre at prosessuelle krav til saksbehandlingen blir fulgt og kan gi økt implementering av rettigheter og plikter.

Departementet foreslo at det gis lovbestemmelser som tillater at det fattes avgjørelser, for eksempel vedtak om å innvilge eller avslå krav om ytelse, som utelukkende er basert på automatisert behandling av personopplysninger. Det ble foreslått at behandlingen i alle tilfeller må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger.

Departementet foreslo videre at særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 nr. 1, som blant annet helseopplysninger, kan inngå i avgjørelsen, se nærmere om dette i punkt 3.2.3.

Kravet om forsvarlighet innebærer at det må vurderes om de ulike bestemmelsene er egnet for helautomatisering. Videre må det legges inn mulighet for manuell korrigering der opplysningene som ligger til grunn for den automatiserte behandlingen er feil.

I høringsnotatet ble det vist til at kravet til forsvarlighet i dag vil sette grenser for bruk av helautomatiserte avgjørelser der skjønnet ikke lar seg operasjonalisere. Departementet ønsket likevel å ta inn et tilleggskrav om at den helautomatiserte avgjørelsen ikke skal kunne bygge på skjønnsmessige vilkår, med mindre avgjørelsen er utvilsom. Dette gjøres for å sikre at skjønnsmessige vilkår som ikke lar seg operasjonalisere, ikke underlegges helautomatisering, selv om den teknologiske utviklingen skulle komme så langt at det ville vært «forsvarlig».

For at helautomatiserte avgjørelser skal være tillatt, stiller personvernforordningen artikkel 22 nr. 2 bokstav b krav om at det fastsettes egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Dette kreves også etter artikkel 22 nr. 4 for behandling av særlige kategorier personopplysninger.

Det ble vist til fortalepunkt 71 hvor det framgår at den registrerte under alle omstendigheter skal ha rett til spesifikk informasjon, menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på avgjørelsen, og til å protestere mot avgjørelsen. Forordningen gir dessuten medlemmet rett til å få informasjon om det helautomatiserte beslutningssystemet, jf. artikkel 13 nr. 2 bokstav f.

Det ble forutsatt at det må foreligge tilstrekkelige kvalitetssikringsmekanismer for å sikre at opplysninger som ligger til grunn for avgjørelsen er riktige og dekkende. Hva som kreves av egnede tiltak, må vurderes i lys av betydningen som behandlingen har for den enkelte, holdt opp imot samfunnets og forvaltningens behov.

Departementet foreslo en forskriftshjemmel som muliggjør å regulere aktuelle tiltak nærmere i forskrift. Det ble lagt til grunn at det for eksempel kan være nødvendig å regulere krav til jevnlig kontroll og revisjon av de benyttede regler/algoritmer for å begrense faren for feil. Det ble videre vist til at det kan være aktuelt å gi nærmere regler om bestemte typer automatiserte avgjørelser, herunder med nærmere angivelse av formål, hvilke typer ytelser mv.

Automatiserte avgjørelser kan etter forordningen ikke bygge på særlige kategorier av personopplysninger med mindre behandlingen er nødvendig av hensyn til «viktige allmenne interesser» etter artikkel 9 nr. 2 bokstav g, jf. artikkel 22 nr. 4, og det er innført egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter, friheter og berettigede interesser.

Departementet la i høringsnotatet til grunn at effektiv saksbehandling i Arbeids- og velferdsetaten og Statens pensjonskasse omfattes av «viktige allmenne interesser».

Departementet foreslo at automatiserte avgjørelser også kan omfatte særlige kategorier av personopplysninger som nevnt i personvernforordningen artikkel 9, for eksempel helseopplysninger, under forutsetning av at det innføres egnede tiltak for å verne den registrertes grunnleggende rettigheter og interesser i den konkrete behandlingen.

5.2 Høringsinstansenes syn

Datatilsynet ønsker å påpeke at endringsforslagene fremstår som å være i tråd med andre lignende lovforslag, blant annet forslag til ny forvaltningsloven §§ 11 og 12 om automatiserte beslutningsprosesser. Datatilsynet registrerer at Arbeids- og sosialdepartementet i innledningen til høringsnotatet har drøftet retten til manuell behandling som følger av personvernforordningen art. 22, og dette anser de som positivt i forslaget.

Justis- og beredskapsdepartementet uttaler

«Vi er enige i at de foreslåtte generelle bestemmelsene om automatiserte avgjørelser ikke bør åpne for avgjørelser som bygger på skjønnsmessige vilkår med mindre avgjørelsen er utvilsom. For mer kompliserte automatiserte avgjørelser vil personvernforordningen artikkel 22 nr. 2 bokstav b trolig kreve nærmere regulering, herunder ytterligere garantier.
Det kan vurderes om det er mulig å justere ordlyden «bygge på skjønnsmessige vilkår» noe for å få helt klart frem at det siktes til vilkårene i de materielle reglene som gir rettsgrunnlag for avgjørelsen, og ikke «vilkårene» i dataprogrammet som operasjonaliserer de materielle reglene. Disse vil naturlig nok aldri være skjønnsmessige. Det kan for eksempel vurderes om det kan refereres til «vilkår i lov eller forskrift», eller om det i stedet for å vise til hva avgjørelsen «bygger på», kan vises til rettsgrunnlaget for avgjørelsen.
Bestemmelsene er ikke avgrenset til enkeltvedtak, og det forutsettes også i merknadene at automatiserte avgjørelser også skal kunne treffes i tilfeller der det ikke vil være noen formell klage- eller ankerett, jf. de særskilte merknadene til ny § 45 b i lov om Statens pensjonskasse. Samme sted legges det til grunn at søkeren vil kunne «be om» en ny vurdering av søknaden, som blir foretatt manuelt. Vi viser i denne forbindelse til kravet i personvernforordningen artikkel 22 nr. 2 bokstav b om «egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser». Etter fortalepunkt 71 skal den registrerte som minimum ha «rett til menneskelig inngripen». I den grad den registrerte ikke vil ha noen formell klage-/ankerett, bør det fastsettes i lov eller forskrift at den registrerte har rett til manuell overprøving.»

Som nevnt i punkt 4.2 foreslår KLP og Pensjonskasseforeningen at øvrige tjenestepensjonsleverandører gis tilsvarende hjemmel for automatiserte avgjørelser.

Akademikerne etterlyser en bredere vurdering av lovforslagene i lys av det alt pågående lovarbeidet med ny forvaltningslov (NOU 2019: 5). Dette gjelder særlig utvalgets forslag om helautomatisert saksbehandling og automatiserte saksbehandlingssystemer.

5.3 Departementets vurdering og forslag

5.3.1 Generelt

Bruk av helautomatiserte avgjørelser i arbeids- og velferdsforvaltningen, Statens pensjonskasse, KLP, Pensjonstrygden for sjømenn og Pensjonstrygden for fiskere krever et eksplisitt rettsgrunnlag i nasjonal rett.

Automatisering av beslutningsprosesser kan gi store effektivitetsgevinster, særlig når saksmengden er stor, og bidra til økt likebehandling, siden alle som etter systemets kriterier er i samme situasjon, automatisk behandles likt. Videre kan automatisering gi konsistent gjennomføring av regelverket og kan blant annet forhindre ulik praksis i forvaltningsenhetene.

Departementet foreslår at det gis lovbestemmelser som tillater at det fattes avgjørelser, for eksempel vedtak om å innvilge eller avslå krav om ytelse, som utelukkende er basert på automatisert behandling av personopplysninger. Den automatiserte avgjørelsen kan være både enkeltvedtak og andre beslutninger som «i betydelig grad påvirker» noen. Behandlingen må i alle tilfeller sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger.

Departementet foreslår videre at særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 nr. 1, som blant annet helseopplysninger, kan inngå i avgjørelsen.

Etter departementets syn er det ikke hensiktsmessig at den automatiserte behandlingen knyttes til spesifikke og angitte saksporteføljer, da dette vil kunne forhindre nødvendig fleksibilitet ettersom behovet varierer over tid. På den annen side er det ikke ønskelig å åpne for bruk av automatisering i alle typer saker. Det oppstilles derfor krav om at behandlingen må være «forsvarlig».

Kravet om forsvarlighet innebærer at det må vurderes om de ulike bestemmelsene er egnet for helautomatisering. I denne vurderingen vil det være relevant å se hen til bestemmelsens utforming, for eksempel hvor lett lovteksten er å fortolke, herunder hvor objektive og tydelige vilkårene i bestemmelsen er, og om mer skjønnspregede bestemmelser lar seg operasjonalisere. Videre må det legges inn mulighet for manuell korrigering der opplysningene som ligger til grunn for den automatiserte behandlingen er feil.

Kravet til forsvarlighet vil i dag sette grenser for bruk av helautomatiserte avgjørelser der skjønnet ikke lar seg operasjonalisere. Departementet ønsker likevel å ta inn et tilleggskrav om at den helautomatiserte avgjørelsen ikke kan bygge på skjønnsmessige vilkår, med mindre avgjørelsen er utvilsom.

Det er ikke på det nåværende tidspunkt aktuelt å underlegge et krav om en ytelse som inneholder kompliserte vilkår maskinell behandling med såkalt intelligent beslutningsevne, hvor det er større fare for urettmessig og utilsiktet diskriminering, noe bestemmelsen i artikkel 22 nr. 1 skal motvirke. Departementet ser ikke bort fra at det i fremtiden kan være aktuelt å underlegge slike mer kompliserte vurderinger helautomatisering basert på kunstig intelligens og maskinlære, men dette krever mer spesifikk og konkret regulering enn forslaget her legger opp til. I tillegg bør en slik eventuell omlegging av saksbehandlingen underlegges en mer helhetlig gjennomgang og konsekvensanalyse.

Departementet vil imidlertid påpeke at en skjønnsmessig bestemmelse ikke nødvendigvis medfører en skjønnsmessig vurdering i Arbeids- og velferdsetaten. Et eksempel på dette er folketrygdlovens regler om sykepenger som forutsetter at det vurderes konkret om vilkårene for rett til sykepenger er oppfylt. Når det foreligger en attest fra lege med gyldig diagnose, legger Arbeids- og velferdsetaten i kurante tilfeller til grunn at medlemmet fyller lovens vilkår om arbeidsuførhet som klart skyldes sykdom. Et annet eksempel er saker om uførepensjon i Statens pensjonskasse. Når det er innvilget arbeidsavklaringspenger eller uføretrygd fra Arbeids- og velferdsetaten, legger Statens pensjonskasse etatens medisinske vurdering til grunn. Departementet er av den oppfatning at nevnte typer avgjørelser bør kunne helautomatiseres. Departementet foreslår etter dette at slike utvilsomme/kurante avgjørelser kan helautomatiseres.

Selv om vilkårene er skjønnsmessige, kan altså avgjørelsen likevel automatiseres dersom det ville være enkelt å fastslå om det skjønnsmessige vilkåret er oppfylt eller ikke, og at dette kan operasjonaliseres gjennom automatisering. Kriteriet «utvilsom» knytter seg altså ikke til om datamaskinen som skal ta den automatiserte avgjørelsen, ville være i tvil. Vurderingstemaet er derimot om utfallet av den skjønnsmessige vurderingen av vilkåret ville vært utvilsomt dersom vurderingen ble foretatt av en person.

Forslaget til nye bestemmelser om behandling av personopplysninger gir myndighetene, under de forutsetninger som oppstilles, adgang til å behandle personopplysninger, også om barn. Som nevnt er utgangspunktet etter forordningen at barn og voksne har samme rettigheter i forbindelse med behandling av personopplysninger. I fortalen til personvernforordningen punkt 71 framgår det at barn skal ha et særskilt vern når det gjelder automatisert behandling av deres personopplysninger. Forordningen gir dermed uttrykk for at det bør utvises en viss varsomhet ved utformingen av rettsgrunnlaget dersom behandlingen retter seg mot barn. Slik departementet ser det, vil begrensningene i den foreslåtte bestemmelsen i seg selv tilsi at saker som berører barn, bør kunne underlegges automatisering. Aktuelle avgjørelser vil stort sett basere seg på objektive vilkår, hvor barn ikke er mer sårbare enn andre.

Departementet viser til de enkelte lovforslagene i punkt 6 til 10 nedenfor.

5.3.2 Egnede tiltak som ivaretar den registrertes rettigheter og friheter

For at helautomatiserte avgjørelser skal være tillatt, stiller personvernforordningen artikkel 22 nr. 2 bokstav b krav om at det fastsettes egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Dette kreves også etter artikkel 22 nr. 4 for behandling av særlige kategorier personopplysninger.

Det synes noe uklart hvilke krav artikkel 22 stiller til lovgivningen og hvilke tiltak som vil være nødvendige i de konkrete tilfellene hvor bruk av automatisert behandling vurderes.

Av fortalepunkt 71 framgår at den registrerte under alle omstendigheter skal ha rett til spesifikk informasjon, menneskelig inngripen, til å uttrykke sine synspunkter, til å få en forklaring på avgjørelsen, og til å protestere mot avgjørelsen.

Forordningen gir dessuten medlemmet rett til å få informasjon om det helautomatiserte beslutningssystemet, jf. artikkel 13 nr. 2 bokstav f.

Utformingen av tiltakene må være basert på en konkret vurdering av den aktuelle behandlingen. Forvaltningslovens regler om veiledningsplikt, kontradiksjon, innsyn, begrunnelse og klage må i utgangspunktet anses å være et vesentlig bidrag til å oppfylle forordningens krav om egnede tiltak. Garantiene i forvaltningsloven er minimumsgarantier, og i tillegg kan det derfor måtte kreves andre tiltak som er egnet til å redusere den økte risiko en automatisert behandling anses å medføre. På sikt kan det være aktuelt å forskriftsregulere dette.

Det forutsettes at det må foreligge tilstrekkelige kvalitetssikringsmekanismer for å sikre at opplysninger som ligger til grunn for avgjørelsen er riktige og dekkende. Hva som kreves av egnede tiltak, må vurderes i lys av betydningen som behandlingen har for den enkelte, holdt opp imot samfunnets og forvaltningens behov.

Departementet foreslår en forskriftshjemmel som muliggjør å regulere aktuelle tiltak nærmere i forskrift. Det kan for eksempel være nødvendig å regulere krav til jevnlig kontroll og revisjon av de benyttede regler/algoritmer for å begrense faren for feil. Det kan videre være aktuelt å gi nærmere regler om bestemte typer automatiserte avgjørelser, herunder med nærmere angivelse av formål, hvilke typer ytelser mv.

Departementet viser til de enkelte lovforslagene i punkt 6 til 10 nedenfor.

5.3.3 Automatiserte avgjørelser

Automatiserte avgjørelser kan etter forordningen ikke bygge på særlige kategorier av personopplysninger med mindre behandlingen er nødvendig av hensyn til «viktige allmenne interesser» etter artikkel 9 nr. 2 bokstav g, jf. artikkel 22 nr. 4, og det er innført egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter, friheter og berettigede interesser.

Departementet legger til grunn at effektiv saksbehandling i Arbeids- og velferdsetaten og Statens pensjonskasse omfattes av «viktige allmenne interesser».

Likevel må det i alle tilfeller der det tas i bruk automatiserte avgjørelser som innebærer bruk av særlige kategorier personopplysninger kunne godtgjøres at behandlingen er «nødvendig av hensyn til viktige allmenne interesser», og at behandlingen er forholdsmessig ut ifra formålet med behandlingen. Når det gjelder kravet i artikkel 22 nr. 4 om egnede tiltak for å verne den registrertes grunnleggende rettigheter og interesser, viser vi til omtale i punkt 3.2.2. Departementet legger til grunn at det kreves mer av de egnede tiltakene etter 22 nr. 4 enn egnede tiltak etter artikkel 22 nr. 2 b.

Departementet foreslår at automatiserte avgjørelser også kan omfatte særlige kategorier av personopplysninger som nevnt i personvernforordningen artikkel 9, for eksempel helseopplysninger, under forutsetning av at det innføres egnede tiltak for å verne den registrertes grunnleggende rettigheter og interesser i den konkrete behandlingen.

Departementet viderefører de foreslåtte bestemmelsene om adgangen til å helautomatisere avgjørelser som bygger på skjønnsmessige vilkår, med visse justeringer. Vi viser til at Justis- og beredskapsdepartementet i sin høringsuttalelse stilte spørsmål ved om det kom tilstrekkelig klart frem at det med «vilkår» siktes til vilkårene i de materielle reglene som gir rettsgrunnlag for avgjørelsene. Departementet følger opp dette, og foreslår at bestemmelsene om automatisering slår fast at helautomatiserte avgjørelser ikke kan bygge på skjønnsmessige vilkår «i lov eller forskrift».

For å gjøre det klart at den registrerte har rett til manuell overprøving i den grad det ikke foreligger formell klage-/ankerett, jf. fortalepunkt 71 i forordningen om «menneskelig inngripen», foreslås at dette kommer uttrykkelig frem av loven.

Departementet bemerker at spørsmålet om generell hjemmel for KLP og Pensjonskasseforeningen for automatiserte avgjørelser ikke var tema i høringsnotatet som behandles i proposisjonen her. Departementet vil videre nevne at KLP og de private tjenestepensjonsleverandørene er underlagt finansforetaksloven som sorterer under Finansdepartementet. Departementet vil følge opp dette spørsmålet i samråd med Finansdepartementet.

Akademikerne etterlyser bredere vurdering av lovforslagene i lys av det alt pågående lovarbeidet med ny forvaltningslov, særlig når det gjelder utvalgets forslag om helautomatisert saksbehandling og automatiserte saksbehandlingssystemer. Departementet vil nevne at det er tatt hensyn til synspunktene om automatisering som kommer frem i NOU 2019: 5 Ny forvaltningslov ved utarbeidelse av forslagene her.

Departementet viser til de enkelte lovforslagene i punkt 6 til 10 nedenfor.

6 Endringer i arbeids- og velferdsforvaltningsloven

6.1 Behandling av personopplysninger i Arbeids- og velferdsetaten – gjeldende rett

6.1.1 Oversikt over de ordningene Arbeids- og velferdsetaten administrerer

I tillegg til folketrygdloven forvalter Arbeids- og velferdsetaten en rekke andre lover. De viktigste lovene er:

  • Lov 28. juni 1957 nr. 12 om pensjonstrygd for fiskere

  • Lov 14. desember 1973 nr. 61 om statsgaranti for lønnskrav ved konkurs m.v.

  • Lov 8. april 1981 nr. 7 om barn og foreldre

  • Lov 17. februar 1989 nr. 2 om bidragsforskott

  • Lov 4. juli 1991 nr. 47 om ekteskap

  • Lov 17. juli 1992 nr. 100 om barneverntjenester

  • Lov 26. juni 1998 nr. 41 om kontantstøtte til småbarnsforeldre

  • Lov 8. mars 2002 nr. 4 om barnetrygd

  • Lov 10. desember 2004 nr. 76 om arbeidsmarkedstjenester

  • Lov 29. april 2005 nr. 21 om supplerande stønad til personar med kort butid i Noreg

  • Lov 19. februar 2010 nr. 5 om statstilskott til arbeidstakere som tar ut avtalefestet pensjon i privat sektor

  • Lov 25. juni 2010 nr. 28 om avtalefestet pensjon for medlemmer av Statens pensjonskasse

  • Lov 6. juni 2014 nr. 19 om stans i utbetalinga av offentlege ytingar og barnebidrag når ein av foreldra har bortført eit barn til utlandet

6.1.2 Adgangen til å behandle personopplysninger i Arbeids- og velferdsetaten

6.1.2.1 Generelt

Lov 16. juni 2006 nr. 20 om arbeids- og velferdsforvaltningen inneholder blant annet bestemmelser om Arbeids- og velferdsetaten og dens hovedoppgaver. Etter loven § 4 skal etaten forvalte arbeidsmarkedsloven, folketrygdloven, med unntak av kapittel 5 om helsetjenester, og andre lover hvor oppgaver er lagt til etaten, og sikre rett ytelse til den enkelte. Etaten har ansvaret for å følge opp og kontrollere tjenester, ytelser og utbetalinger. For å kunne utøve dette ansvaret trenger etaten en rekke personopplysninger om brukerne, slik som opplysninger om arbeidsforhold, lønnsinntekter, familiesituasjon, helseopplysninger mv.

Arbeids- og velferdsetatens grunnlag for behandling av personopplysninger ved forvaltning av ytelse- og tjenesteområdet følger av personvernforordningen artikkel 6 nr. 1 bokstav e («… utøve offentlig myndighet som den behandlingsansvarlige er pålagt») sammenholdt med et supplerende rettsgrunnlag, jf. artikkel 6 nr. 3 som har følgende ordlyd:

«3. Grunnlaget for behandlingen nevnt i nr. 1 bokstav c) og e) skal fastsettes i
  • a) unionsretten eller

  • b) medlemsstatens nasjonale rett som den behandlingsansvarlige er underlagt.

Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandlingen nevnt i nr. 1 bokstav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Nevnte rettslige grunnlag kan inneholde særlige bestemmelser for å tilpasse anvendelsen av reglene i denne forordning, blant annet de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og framgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling, slik som dem fastsatt med henblikk på andre særlige behandlingssituasjoner som nevnt i kapittel IX. Unionsretten eller medlemsstatenes nasjonale rett skal oppfylle et mål i allmennhetens interesse og stå i et rimelig forhold til det berettigede målet som søkes oppnådd.»

Det supplerende rettsgrunnlaget følger av lovreguleringen av de oppgavene som Arbeids- og velferdsetaten skal utføre. Lovreguleringen angir både formål og saksbehandlingsregler, og oppstiller rammer for behandlingen gjennom detaljerte beskrivelser av enkeltpersoners rettigheter, fastsettelse av vilkår, hvem personopplysninger kan innhentes fra mv.

6.1.2.2 Folketrygdloven

Lov 28. februar 1997 nr. 19 om folketrygd har som formål å gi økonomisk trygghet ved å sikre inntekt og kompensere for særlige utgifter ved arbeidsløshet, svangerskap og fødsel, aleneomsorg for barn, sykdom og skade, uførhet, alderdom og dødsfall. Folketrygden skal videre bidra til utjevning av inntekt og levekår over den enkeltes livsløp og mellom grupper av personer. Folketrygden skal også bidra til hjelp til selvhjelp.

Det enkelte stønadskapittelet i folketrygdloven angir formålet med den ytelsen som reguleres. Deretter følger vilkårene som må være oppfylt for at ytelsen kan innvilges (inngangsvilkårene), beregningsbestemmelser og opphørsbestemmelser. For behandling av krav om ytelser etter folketrygdloven gjelder de generelle saksbehandlingsreglene i forvaltningsloven med de særlige saksbehandlingsreglene som er gitt i folketrygdloven kapittel 21.

Etter folketrygdloven § 21-4 har Arbeids- og velferdsetaten rett til å innhente de opplysningene som er nødvendige for å kontrollere om vilkårene for en ytelse er oppfylt, vil kunne være oppfylt eller har vært oppfylt i tilbakelagte perioder, eller for å kontrollere utbetalinger etter en direkte oppgjørsordning. Opplysninger kan innhentes fra helsepersonell, andre som yter tjenester forutsatt at de gjør det for trygdens regning, arbeidsgiver, tidligere arbeidsgiver, tilbyder av posttjenester, utdanningsinstitusjon, barnetilsynsordning, offentlig virksomhet, Folkeregisteret, pensjonsinnretning, forsikringsselskap og annen finansinstitusjon og regnskapsfører.

Hvem det kan innhentes nødvendig informasjon fra er uttømmende regulert i bestemmelsen. Adgangen til å innhente opplysninger etter første og andre punktum omfatter også opplysninger om andre enn stønadsmottakeren. Bestemmelsen gjelder både ved behandlingen av ordinære krav om folketrygdytelser, men også for saker hvor det foreligger rimelig grunn til mistanke om feilutbetalinger og trygdemisbruk. I sistnevnte tilfelle gjelder også § 21-4 a, som gir en videre adgang til å innhente nødvendige opplysninger til kontrollformål. Hvilke opplysninger som er «nødvendige» å innhente i den enkelte stønadssak, er betinget av hvilket faktum som må sannsynliggjøres i vurderingen av om stønadsvilkårene i de respektive stønadskapitlene i folketrygdloven er oppfylt. Ofte vil det være behov for særlige kategorier personopplysninger, som for eksempel helseopplysninger.

Etter folketrygdloven § 21-3 første ledd plikter en person som krever en ytelse å gi de opplysninger og levere de dokumenter som er nødvendige for at Arbeids- og velferdsetaten, Helsedirektoratet eller det organ Helsedirektoratet bestemmer skal kunne vurdere om vedkommende har rett til ytelsen. Den som mottar en ytelse, plikter å underrette etaten om endringer i forhold som kan være avgjørende for om vedkommende fortsatt har rett til ytelsen eller for å kunne kontrollere ytelsens størrelse.

Opplysninger som Arbeids- og velferdsetaten kan be om fra arbeidsgiver etter folketrygdloven § 21-4 for å kunne behandle saker om ytelser etter kapitlene 8, 9 og 14, skal gis elektronisk til Arbeids- og velferdsetaten. Disse opplysningene skal ikke rapporteres gjennom rapporteringsordningen for ansettelses- og inntektsopplysninger fra arbeidsgivere og andre opplysningspliktige til Skatteetaten, Arbeids- og velferdsetaten og Statistisk sentralbyrå, a-ordningen.

6.1.2.3 Andre stønadslover med innhentingshjemler

Arbeidsmarkedsloven

Formålet med arbeidsmarkedsloven er å bidra til å oppnå et inkluderende arbeidsliv gjennom et velfungerende arbeidsmarked med høy deltakelse og lav arbeidsledighet. Lovgivningen omfatter også tjenester for arbeidssøkere, arbeidsrådgivning, veiledning/oppfølging og arbeidsrettede tiltak med hjemmel i forskrift om arbeidsmarkedstiltak. Gjennom EURES-samarbeidet tilbyr Arbeids- og velferdsetaten formidling i hele EØS-området. Hvilke opplysninger som er «nødvendige» å innhente, er betinget av hvilket faktum som må sannsynliggjøres. Ofte vil det være behov for særlige kategorier personopplysninger, som for eksempel helseopplysninger. Det følger av arbeidsmarkedsloven § 14 at forvaltningsloven og personopplysingsloven gjelder med de særregler som er fastsatt i arbeidsmarkedsloven. Hvem det kan innhentes nødvendig informasjon fra, er uttømmende regulert i arbeidsmarkedsloven § 19.

Barnetrygdloven

Formålet med barnetrygd er å bidra til å dekke utgifter til forsørgelse av barn. I utgangspunktet ytes barnetrygd for barn som fødes i Norge automatisk, uten at krav må settes fram. Krav om barnetrygd må likevel fremsettes i nærmere angitte tilfeller. Ved behandlingen av saker etter barnetrygdloven gjelder reglene i forvaltningsloven, likevel slik at reglene, blant annet i folketrygdloven § 21-4, gjelder så langt de passer. Det behandles alminnelige personopplysninger som for eksempel personalia og familierelasjoner. Det behandles ikke særlige kategorier personopplysninger.

Kontantstøtteloven

Formålet med kontantstøtte er blant annet å gi familiene reell valgfrihet med hensyn til omsorgsform for egne barn under to år. Søkeren plikter å gi de opplysningene og levere de erklæringene og attester som er nødvendige for at Arbeids- og velferdsetaten skal kunne avgjøre om vedkommende har rett til kontantstøtte, jf. kontantstøtteloven §§ 12 og 14. For behandlingen av saker om kontantstøtte gjelder reglene i forvaltningsloven, likevel slik at reglene, blant annet i folketrygdloven § 21-4, gjelder så langt de passer. Det innhentes alminnelige personopplysninger som for eksempel personalia, familierelasjoner og opplysninger om barnehageplass. Det behandles ikke særlige kategorier personopplysninger.

Barneloven kapittel 8 om fastsettelse av barnebidrag

Foreldres eller andre foresattes forsørgingsplikt er regulert i barneloven kapittel 8. Størrelsen på barnebidraget kan enten avtales mellom foreldrene, avgjøres av bidragsfogden (Arbeids- og velferdsetaten), eller i visse tilfeller av domstolene. Offentlig bidragsfastsettelse er ment å være et tilbud der foreldrene ikke blir enige. Arbeids- og velferdsetatens adgang til å innhente opplysninger ved fastsettelse av barnebidrag er regulert i barnelova § 70 sjuende ledd, som er begrenset til opplysninger om den økonomiske situasjonen til partene (foreldrene). Bestemmelsen oppstiller en plikt for foreldrene til å bidra til sakens opplysning. For tilfeller hvor det ikke er mulig å få opplyst saken gjennom foreldrenes medvirkning, har Arbeids- og velferdsetaten hjemmel til å innhente opplysninger også fra andre. Hvem det kan innhentes nødvendig informasjon fra er uttømmende regulert i bestemmelsen. Videre må opplysningene som innhentes, være nødvendige for å kunne fastsette barnebidraget. Arbeids- og velferdsetaten kan med hjemmel i henholdsvis arbeids- og velferdsforvaltningsloven § 7 a og a-opplysningsloven § 8, innhente opplysninger fra folkeregisteret og a-ordningen om inntektsforhold ved fastsetting av underholdsbidrag etter barnelova.

Forskotteringsloven

Formålet med bidragsforskott er å sikre at barn får utbetalt et månedlig underholdsbidrag fra det offentlige når den bidragspliktige ikke betaler, eller betaler sent. Det følger av forskotteringsloven § 9 første ledd at forvaltningslovens alminnelige regler om saksbehandling gjelder hvis ikke annet følger av bestemmelsen. Videre framgår det av tredje ledd at den som setter fram krav om eller får utbetalt bidragsforskott, plikter å opplyse bidragsfogden om alle forhold og endringer i forhold som har betydning for retten til bidragsforskott. Bidragsfogden (Arbeids- og velferdsetaten) kan innhente nødvendige opplysninger fra arbeidsgiver mv. i samsvar med bestemmelsen i barneloven § 70 sjuende ledd og folketrygdloven § 21-4 første ledd. Med hjemmel i arbeids- og velferdsforvaltningsloven § 7 a kan Arbeids- og velferdsetaten innhente opplysninger fra Folkeregisteret såfremt opplysningene er nødvendige for fastsettelsen av bidragsforskott og innhentingen ligger innenfor de rettslige rammene som forskotteringsloven § 9 oppstiller.

Lov om supplerende stønad til personer med kort botid i Norge

Formålet med supplerende stønad er å garantere en minste samlet inntekt for personer som har fylt 67 år, og som har liten eller ingen pensjon fra folketrygden på grunn av kort botid i Norge. Reglene i forvaltningsloven gjelder ved behandling av krav etter loven. Videre plikter en person som søker om supplerende stønad å gi de opplysningene og levere de dokumentene som er nødvendige for at Arbeids- og velferdsetaten skal kunne vurdere kravet, jf. §18. Arbeids- og velferdsetaten kan også kreve at Skatteetaten gir opplysninger om inntekts- og formuesforhold for en person som søker om eller har fått supplerende stønad. Arbeids- og velferdsetaten kan også kreve tilsvarende opplysninger fra og om søkerens ektefelle. Det behandles ikke særlige kategorier personopplysninger.

6.1.2.4 Særskilt om arbeids- og velferdsforvaltningsloven

Etter arbeids- og velferdsforvaltningsloven § 14 a har alle som henvender seg til et Nav-kontor, og som ønsker eller trenger bistand for å komme i arbeid, rett til å få vurdert sitt bistandsbehov. Arbeids- og velferdsetaten har ansvaret for at vurderingene blir gjennomført, og at aktivitetsplanene blir utarbeidet. Retten til behovs- og arbeidsevnevurderinger kan også få konsekvenser for retten til livsoppholdsytelse etter folketrygdloven kapittel 11 om arbeidsavklaringspoenger og kapittel 12 om uføretrygd. Arbeids- og velferdsforvaltningsloven § 14 a synes forutsetningsvis å gi arbeids- og velferdsforvaltningen behandlingsgrunnlag for å innhente og behandle en rekke opplysninger knyttet til brukers situasjon. Bestemmelsen gir ingen spesifikk anvisning med hensyn til hvilke personopplysninger arbeids- og velferdsforvaltningen har rett til å innhente og til hvilket formål personopplysningene kan brukes. Det innhentes også samtykke fra brukere som ønsker bistand til arbeidsformidling.

6.1.2.5 Særskilt om a-opplysningsloven

A-opplysningsloven §§ 2 og 3 regulerer hvem som har opplysningsplikt etter loven og hvilke opplysninger som skal gis. Arbeids- og velferdsetaten​ har tilgang til opplysninger om arbeidsforhold og inntekt i a-ordningen, jf. § 8. Disse opplysningene innhentes i forbindelse med forvaltning og beregning av ytelser etter folketrygdloven​ og andre lover som etaten administrerer. Etaten har også tilgang til opplysningene i a-ordningen i forbindelse med utredning og produksjon av statistikk på de områdene etaten administrerer.

6.1.3 Særskilt om automatiserte avgjørelser i Arbeids- og velferdsetaten

6.1.3.1 Bruk av automatiserte avgjørelser i dag

Saksbehandlingsprosessen i Arbeids- og velferdsetaten er på mange stønadsområder digitalisert og delvis automatisert. Graden av automatisering i slike prosesser kan være høyst ulik. Saksbehandlingsprosessen omfatter alt fra informasjonsinnhenting til det foreligger en endelig avgjørelse i en sak. I de fleste tilfeller vil dette være et enkeltvedtak etter forvaltningsloven, men det kan også være andre avgjørelser som i betydelig grad påvirker vedkommende, eksempelvis innkalling til dialogmøte og forespørsel om å levere oppfølgingsplan til Arbeids- og velferdsetaten.

I dag er det kun på noen få og begrensede områder hvor Arbeids- og velferdsetaten har helautomatisert saksbehandlingen. Det gjelder for følgende saksområder:

Barnetrygd

For barn som fødes i Norge ytes automatisk barnetrygd. Det fattes et vedtak om utbetaling av barnetrygd uten av bruker har søkt om det. Det fremgår uttrykkelig av lovteksten i barnetrygdloven § 14 første ledd at barnetrygd tilstås og ytes automatisk. Dette er den eneste loven som har en slik direkte bestemmelse om adgangen til automatisere avgjørelser. Etter barnetrygdloven § 15 er vedtak etter barnetrygdloven et enkeltvedtak som kan påklages.

Bidragsforskott

Saksbehandling ved revurdering av bidragsforskott er helautomatisert. Ved bidragsforskott etter lov om bidragsforskott kjøres årlig automatiske revurderinger av alle løpende saker for å sikre at mottakerens inntekt ikke er for høy for satsen som utbetales. Resultatet av den automatiske behandlingen er at satsen som utbetales, reduseres eller at ytelsen stanses. Enkeltvedtak treffes automatisk. Vedtak om bidragsforskott kan påklages.

Underholdsbidrag

For underholdsbidrag etter barneloven kjøres det automatiske aldersjusteringer. Justeringen gjøres for barn som går over i ny aldersklasse og dermed økning av underholdskostnaden. Resultatet av den automatiske behandlingen er at bidraget justeres på grunnlag av satsene for underholdskostnad for den gjeldende aldersgruppen og samværsfradrag. Et vedtak om automatisk justering er et enkeltvedtak etter forvaltningsloven, men i barneloven § 77 andre punktum er det fastslått at det ikke er klagerett på vedtakene. Bakgrunnen er at satsene som skal justeres er faste, og en eventuell klage på justeringen vil ikke få innvirkning på resultatet i noen tilfeller. Dersom partene ønsker en ny vurdering av størrelsen på barnebidraget, kan de søke om endring.

Engangsstønad ved fødsel og adopsjon og foreldrepenger

Engangsstønad og foreldrepenger utbetales etter reglene i folketrygdloven kapittel 14. På foreldrepengeområdet er det en digital løsning, hvor saker uten skjønn er gjenstand for helautomatisert saksbehandling. Saksbehandlingsprosessen er digitalisert og automatisert fra innhenting av personopplysninger, vilkårsvurdering, beregning og resultat i form av et enkeltvedtak og vurdering av resultatet fra den automatiserte behandlingen. Vedtak om engangsstønad og foreldrepenger kan påklages.

Alderspensjon og avtalefestet pensjon

Innenfor området alderspensjon er en rekke saksbehandlingsprosesser helautomatisert og som resulterer i et enkeltvedtak, for eksempel førstevedtak om alderspensjon og endring av pensjonsgrad. Felles for all helautomatisert behandling er at det gjelder saker hvor det ikke foreligger noen form for skjønnsutøvelse. Også innenfor privat og offentlig AFP er saksbehandlingen helautomatisert. Vedtak om alderspensjon og avtalefestet pensjon kan påklages.

Uføretrygd

Ved omregning av uføretrygd som følge av inntektsendring, og etteroppgjør av uføretrygd, er behandlingen og avgjørelsen helautomatisk. Vedtak kan påklages.

6.1.3.2 Bruk av automatiserte avgjørelser fremover

Arbeids- og velferdsdirektoratet vurderer løpende hvorvidt andre stønadsområder er egnet for hel eller delvis automatisering. Som skissert ovenfor er dagens helautomatiserte beslutningsprosesser av et relativt begrenset omfang. Videre automatisering forutsetter større prosesser knyttet til å vurdere ytterligere hjemler for å tillate helautomatiserte avgjørelser.

6.1.3.3 Midlertidig hjemmel for helautomatisk saksbehandling

Etter at saken var på høring ble landet rammet av covid-19-pandemien. Arbeids- og velferdsetaten fikk en svært stor økning i inngangen av saker, og det ble iverksatt flere tiltak for å effektivisere sakshåndteringen. Ett av tiltakene var hjemmel for helautomatisk saksbehandling. Det ble gitt en forskrift (FOR-2020-04-29-897 Midlertidig forskrift om tiltak for å effektivisere Arbeids- og velferdsetatens behandling av saker etter folketrygdloven med covid-19-pandemien) med hjemmel i folketrygdloven § 25-16 som i § 5 regulerer helautomatisk saksbehandling. Reguleringen er lagt opp tilsvarende lovforslaget nedenfor. Forskriften er midlertidig, og gjelder frem til 31. desember 2020.

6.2 Generell hjemmel for behandling av personopplysninger

6.2.1 Høringsnotatet

For en generell omtale av dette se punkt 4.1.

På bakgrunn av forordningens krav til supplerende rettsgrunnlag og de ytterligere kravene som stilles til behandling av særlige kategorier personopplysninger, mente departementet at rettsgrunnlaget for behandling av personopplysninger i Arbeids- og velferdsetaten bør tydeliggjøres gjennom uttrykkelig lovregulering. Denne tydeliggjøringen kommer i tillegg til at særlovgivningen i seg selv gir hjemmel for behandling av ulike typer personopplysninger.

Arbeids- og velferdsforvaltningsloven inneholder bestemmelser om Arbeids- og velferdsetaten og dens hovedoppgaver. Etter loven § 4 skal etaten forvalte arbeidsmarkedsloven, folketrygdloven, med unntak av kapittel 5, og andre lover hvor oppgaver er lagt til etaten, og sikre rett ytelse til den enkelte. Etaten har ansvaret for å følge opp og kontrollere tjenester, ytelser og utbetalinger.

Departementet mente på denne bakgrunn at det er mest hensiktsmessig at regler om behandling av personopplysninger tas inn i arbeids- og velferdsforvaltningsloven for alle de ordningene som Arbeids- og velferdsetaten administrerer.

Departementet foreslo at det tas inn en overordnet hjemmel som angir rammene for behandling av personopplysninger i ny § 4 a. Etter forslaget skal Arbeids- og velferdsetaten kunne behandle personopplysninger, herunder særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 og 10 (behandling av opplysninger om straffedommer og lovovertredelser mv.), når dette er nødvendig for forvaltning av ordningene som etaten administrerer.

I høringsnotatet ble det vist til at bestemmelsen viderefører gjeldende rett, slik at den verken innskrenker ellet utvider etatens rett til å behandle personopplysninger. Bestemmelsen forutsettes herunder å omfatte rett til å behandle personopplysninger for å fatte vedtak om ytelser og tjenester, beregne avgifter, følge opp brukere, samt til kontrollformål.

I tråd med prinsippet om «dataminimering» i forordningens artikkel 5 nr. 1 bokstav c og forordningens artikkel 6 nr. 1 bokstav e, som oppstiller et nødvendighetskriterium, ble det foreslått at det i den nye § 4 a slås fast at behandlingen kan skje der dette er «nødvendig».

6.2.2 Høringsinstansenes syn

Justis- og beredskapsdepartementet har uttalt seg generelt om behovet for supplerende rettsgrunnlag for å behandle personopplysninger, se punkt 4.2. Ingen andre høringsinstanser har uttalt seg om dette.

6.2.3 Departementets vurderinger og forslag

Vi viser til departementets vurderinger og forslag i punkt 4.3.

De samme hensynene gjør seg gjeldende når det gjelder behovet for supplerende rettsgrunnlag i arbeids- og velferdsforvaltningsloven.

I høringsnotatet ble det foreslått følgende bestemmelse

«Arbeids- og velferdsetaten kan behandle innhentede personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9, når dette er nødvendig for å forvalte de ordningene som etaten administrerer.»

Formuleringen omfatter alle oppgaver myndigheten utfører, uavhengig av om det foreligger krav eller søknad, eller om det skal treffes et vedtak. For eksempel vil forberedelse av en sak også være omfattet, selv om det saksforberedende organet ikke skal avgjøre saken. Behandling knyttet til oppfølging av et vedtak og rapportering til overordnet myndighet i forbindelse med sakshåndtering er også ment å være omfattet av formuleringen.

Departementet foreslår at det skal fremgå uttrykkelig av ny § 4 a første ledd at behandlingen av personopplysninger må være nødvendig for å «utøve myndighet eller utføre andre oppgaver etter de lovene som etaten administrerer». Dette vil erstatte uttrykket «forvalte de ordningene som etaten administrerer».

En henvisning til lovpålagte oppgaver bidrar først og fremst til å tydeliggjøre rammen for hva slags myndighet behandlingen kan knytte seg til. At behandlingen må knytte seg til lovpålagte oppgaver bidrar til å ivareta hensynene til forutsigbarhet og klarhet, da lovens nærmere bestemmelser blant annet vil gi veiledning om hvilke opplysninger som er relevante for en sak, eller hvilken personkrets som vil kunne omfattes.

6.3 Hjemmel for helautomatiserte avgjørelser i Arbeids- og velferdsetaten

6.3.1 Høringsnotatet

Departementet foreslo en uttrykkelig lovbestemmelse i arbeids- og velferdsforvaltningsloven ny § 4 a andre ledd, om at etaten skal kunne treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9. Behandlingen må sikre partens krav til forsvarlig saksbehandling, egnede tiltak som ivaretar den registrertes rettigheter og friheter, og for øvrig være forenlig med retten til vern av personopplysninger. I tillegg ble det foreslått at den helautomatiserte avgjørelsen ikke skal kunne bygge på skjønnsmessige kriterier, med mindre avgjørelsen må anses å være utvilsom. I § 4 a siste ledd ble det foreslått at departementet skal kunne gi forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, registerføring og tilgang til registre. Departementet presiserte at andre ledd ikke i seg selv gir adgang til å innhente opplysninger, men det forutsettes innhenting i medhold av andre regler, for eksempel folketrygdloven § 21-4.

6.3.2 Høringsinstansenes syn

Arbeids- og velferdsdirektoratet har uttalt seg om hjemmel for automatisert behandling av personopplysninger. De støtter departementets vurdering av behovet for en eksplisitt hjemmel for automatisert saksbehandling, men mener primært at den bør ligge i forvaltningsloven. Siden en slik hjemmel ikke finnes i forvaltningsloven, støtter de forslaget om hjemmel i arbeids- og velferdsforvaltningsloven.

Etter Arbeids- og velferdsdirektoratets vurdering bør automatisering avskjæres i alle tilfeller hvor det underliggende materielle regelverket er uegnet for automatisering, ikke bare der det underliggende regelverket inneholder skjønnsmessige vurderinger som ikke kan avgjøres maskinelt.

Direktoratet er videre av den oppfatning at begrensningen med at avgjørelsen ikke kan bygge på skjønnsmessige vilkår, med mindre avgjørelsen er utvilsom, er for snever. De mener at det i utgangspunktet ikke er nødvendig med denne uttrykkelige begrensingen i lovteksten, dersom premissene er tydelige.

Direktoratet mener også at «med mindre avgjørelsen er utvilsom» kan være vanskelig å forstå og egnet til å skape tvil om når Arbeids- og velferdsetaten kan automatisere saksbehandlingen. Etter deres oppfatning er det utfallet av den skjønnsmessige vurderingen som må være utvilsomt. En avgjørelse kan bestå av flere skjønnsmessige vurderinger, og de må alle vurderes særskilt for å avgjøre om en saksbehandlingsprosess kan helautomatiseres. Det kan også være vanskelig å avgjøre hva begrepet «utvilsom» innebærer i praksis.

Direktoratet viser til de garantier som må gis i medhold av personvernforordningen artikkel 22. De viser til at artikkel 22 omfatter også andre avgjørelser enn enkeltvedtak, når disse i betydelig grad påvirker den registrerte. Direktoratet påpeker at departementet ikke har beskrevet nærmere hvilke bestemmelser i forvaltningsloven som kan være aktuelle som garantier når avgjørelsen ikke er et enkeltvedtak.

Direktoratet mener at det er nødvendig å presisere enten i lovteksten eller premissene de nødvendige garantiene som går ut over forvaltningslovens saksbehandlingsregler. I tillegg bør det presiseres i lovteksten eller premissene at behovet for ytterligere tiltak må vurderes konkret.

6.3.3 Departementets vurderinger og forslag

For å ivareta kravene i personvernforordningen artikkel 22, foreslår departementet en uttrykkelig lovbestemmelse i Arbeids- og velferdsforvaltningsloven § 4 a, som gir Arbeids- og velferdsetaten adgang til å treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10. (Personvernforordningen artikkel 9 og 10 gjelder henholdsvis behandling av særlige kategorier personopplysninger og behandling av personopplysninger om straffedommer og lovovertredelser.) Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger.

Arbeids- og velferdsdirektoratet sier i sin høringsuttalelse at automatisering bør avskjæres i alle tilfeller hvor det underliggende materielle regelverket er uegnet for automatisering, ikke bare der hvor det underliggende regelverket inneholder skjønnsmessige vurderinger som ikke kan gjøres maskinelt.

Om en avgjørelse kan helautomatiseres må bero på en konkret vurdering. Kravet i lovforslaget til at behandlingen må sikre partens krav til «forsvarlig saksbehandling», mener departementet vil sette hindringer for automatisering av avgjørelser som er uegnet for automatisering. I vurderingen av om en avgjørelsen kan helautomatiseres vil det være relevant å se hen til bestemmelsenes utforming, for eksempel hvor objektive og tydelige vilkårene i bestemmelsen er, om nødvendig informasjon kan hentes elektronisk fra pålitelig kilde, og om mer skjønnspregede bestemmelser lar seg operasjonalisere.

I kravet til «forsvarlig saksbehandling» inngår videre at det for den enkelte behandling må være fastsatt egnede tiltak for å verne om den enkeltes rettigheter og friheter. Hvilke tiltak det dreier seg om må være basert på en konkret vurdering av den aktuelle behandlingen. Forvaltningslovens regler om veiledningsplikt, kontradiksjon, innsyn, begrunnelse og klage må i utgangspunktet anses å være et vesentlig bidrag til å oppfylle forordningens krav om egnede tiltak. Garantiene i forvaltningsloven er minimumsgarantier, og i tillegg kan det måtte kreves andre tiltak. Behovet for andre egnede tiltak vil også gjelde for tilfeller som ikke hører innunder forvaltningsloven. For ytterligere å ivareta kravet til egnede tiltak for å verne den enkeltes rettigheter og friheter foreslår departementet videre å ta inn en bestemmelse i loven om at den registrerte har rett til manuell overprøving av avgjørelsen.

Det foreslås en forskriftshjemmel som muliggjør nærmere regulering også av egnede tiltak for å verne om den enkeltes rettigheter og friheter.

Selv om kravet til forsvarlig saksbehandling setter grenser for hvilke avgjørelser som kan helautomatiseres, mener departementet det er hensiktsmessig med en uttrykkelig begrensning i lovteksten for å forhindre at saker som ikke er egnet til automatisert saksbehandling helautomatiseres. Dette er bakgrunnen for at man har tatt inn en presisering om at avgjørelsen ikke kan bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom.

Arbeids- og velferdsdirektoratet sier i sin høringsuttalelse at begrensningen med at avgjørelsen ikke kan bygge på skjønnsmessige vilkår med mindre avgjørelsen er utvilsom, er for snever. Videre mener direktoratet at ordlyden kan være vanskelig å forstå og er egnet til å skape tvil om når Arbeids- og velferdsetaten kan automatisere saksbehandlingen. Etter deres oppfatning er det utfallet av den skjønnsmessige avgjørelsen som må være utvilsom.

Formuleringen i personvernforordningen artikkel 22 tilsier en snever adgang til helautomatisert saksbehandling. Med kravet om at avgjørelsen skal være «utvilsom» for at helautomatisert behandling skal tillates, mener departementet at det konkrete tilfellet som skal avgjøres, ikke kan få et annet utfall. En manuell behandling av saken ville ikke gitt annet utfall. Dersom en avgjørelse består av flere skjønnsmessige vurderinger, må hver enkelt vurdering være utvilsom, for at helautomatisert behandling skal tillates.

Departementet viser til arbeids- og velferdsforvaltningsloven § 4 a i lovforslaget.

6.4 Viderebehandling av personopplysninger til andre formål

Personopplysninger kan lovlig viderebehandles til enkelte nye formål som er definert i personopplysningsloven, nemlig «… arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål», se personvernforordningen artikkel 5 nr. 1 bokstav b.

I henhold til forvaltningsloven § 13 b nr. 4 kan taushetsbelagte opplysninger også kan brukes til «statistisk bearbeiding, utrednings- og planleggingsoppgaver, eller i forbindelse med revisjon eller annen form for kontroll med forvaltningen».

Det ble i høringsnotatet ikke foreslått ytterligere regler om viderebehandling av opplysninger til andre formål for arbeids- og velferdsforvaltningen.

7 Endringer i sosialtjenesteloven

7.1 Behandling av personopplysninger – kommunen i arbeids- og velferdsforvaltningen

7.1.1 Gjeldende rett – adgangen til å behandle personopplysninger i kommunen i arbeids- og velferdsforvaltningen

Lov 18. desember 2009 nr. 131 om sosiale tjenester i arbeids- og velferdsforvaltningen (sosialtjenesteloven) har ikke nærmere bestemmelser om behandling av personopplysninger.

Grunnlaget for behandling av personopplysninger ved forvaltning av sosialtjenesteloven følger av personvernforordningen artikkel 6 nr. 1 bokstav e («… utøve offentlig myndighet som den behandlingsansvarlige er pålagt») sammenholdt med et supplerende rettsgrunnlag, jf. artikkel 6 nr. 3. Det supplerende rettsgrunnlaget følger av lovreguleringen av de oppgavene som kommunen, fylkesmannen, Statens helsetilsyn og arbeids- og velferdsforvaltningen skal utføre.

Sosialtjenesteloven har som formål å bedre levekårene for vanskeligstilte, bidra til sosial og økonomisk trygghet, herunder at den enkelte får mulighet til å leve og bo selvstendig, og fremme overgang til arbeid, sosial inkludering og aktiv deltakelse i samfunnet. Loven skal bidra til at utsatte barn og unge og deres familier får et helhetlig og samordnet tjenestetilbud. Loven skal bidra til likeverd og likestilling og forebygge sosiale problemer.

Sosialtjenesteloven inneholder bestemmelser om kommunens ansvar etter loven, jf. § 3. Kommunen er ansvarlig for å utføre oppgavene etter loven som ikke er lagt til et statlig organ, og å yte tjenester etter loven til alle som oppholder seg i kommunen. For den som oppholder seg i institusjon eller bolig med heldøgns omsorgstjenester, skal tjenestene likevel ytes av den kommunen som var oppholdskommune forut for inntaket i institusjon eller bolig med heldøgns omsorgstjenester. Kommunens myndighet etter sosialtjenesteloven kan etter reglene i kommuneloven​ delegeres til et interkommunalt organ eller en annen kommune. Loven inneholder bestemmelser om Fylkesmannens ansvar i §§ 9, 47, 48 og 49. Fylkesmannen utfører tilsyn, er klageinstans og avgjør tvister mellom kommuner. Loven inneholder bestemmelser om Statens helsetilsyns ansvar for overordnet faglig tilsyn i § 10. Departementet har delegert sitt ansvar etter lovens § 8 første ledd bokstav a, b og c og andre ledd til Arbeids- og velferdsdirektoratet. Det legges til grunn at § 8 andre ledd er tilstrekkelig rettsgrunnlag for departementet til å behandle personopplysninger som er nødvendige for at departementet skal kunne utføre sine oppgaver etter bestemmelsens første ledd.

Sosialtjenesteloven § 43 har bestemmelser om innhenting av opplysninger. Opplysninger skal så langt som mulig innhentes i samarbeid med tjenestemottaker eller slik at vedkommende har kjennskap til innhentingen. Bakgrunnen for denne bestemmelsen er tanken om at godt sosialt arbeid forutsetter tillit og samarbeid mellom den enkelte og tjenestene. I saker som gjelder tjenester etter loven, kan kommunen kreve opplysninger fra andre offentlige organer og organisasjoner og private som utfører oppgaver for stat, fylkeskommune eller kommune. Har tjenestemottaker ikke samtykket i at opplysningene blir innhentet, skal spørsmålet om opplysningene kan gis uten hinder av taushetsplikt, avgjøres etter de taushetsbestemmelser som gjelder for avgiverorganet. I saker som gjelder tjenester etter sosialtjenesteloven, skal kommunen, uten hinder av taushetsplikt, ha tilgang til nødvendige opplysninger i Folkeregisteret. ​Kommunen skal også ha tilgang til opplysningene i registeret i forbindelse med utredning og produksjon av statistikk.

Personopplysninger som innhentes i henhold til § 43 for å yte tjenester etter loven, kan benyttes for å yte de individuelle tjenestene loven regulerer. Dette gjelder opplysning, råd og veiledning, økonomisk stønad, midlertidig botilbud, kvalifiseringsprogram og individuell plan.

Alle disse tjenestene skal bidra til å oppfylle formålet om å bedre personens levekår, gi vedkommende sosial og økonomisk trygghet, og fremme overgang til arbeid, sosial inkludering og aktiv deltakelse i samfunnet.

7.2 Høringsnotatet

I høringsnotatet ble det vist til at behandling av personopplysninger følger forutsetningsvis av reguleringen av de oppgavene som kommunen i arbeids- og velferdsforvaltningen, Fylkesmannen, Statens helsetilsyn og Arbeids- og velferdsdirektoratet skal utføre. Disse instansene, og i særlig grad kommunene, behandler personopplysningene i vid utstrekning om brukernes liv, herunder særlige kategorier av personopplysninger (sensitive opplysninger) ved behandlingen av saker etter sosialtjenesteloven.

På bakgrunn av forordningens krav til supplerende rettsgrunnlag og de ytterligere kravene som stilles til behandling av særlige kategorier personopplysninger, mente departementet at kommunens, Fylkesmannens, Statens helsetilsyns og Arbeids- og velferdsdirektoratets behandling av personopplysninger i kommunen bør reguleres uttrykkelig i sosialtjenesteloven.

Departementet foreslo ikke å tillate at det treffes avgjørelser etter sosialtjenesteloven utelukkende basert på automatisert behandling av personopplysninger. I høringsnotatet ble det vist til at området fremstår som lite egnet for automatisert saksbehandling som følge av høy grad av skjønn og komplekse forhold.

Etter forslaget skal departementet kunne gi nærmere regler om behandlingen i forskrift, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, registerføring og tilgang til registre.

7.3 Høringsinstansenes syn

Ingen høringsinstanser har kommentert forslaget.

7.4 Departementets vurdering og forslag

Gjeldende rett vektlegger samarbeid også ved innhenting av personopplysninger. Samtykke er et lite egnet rettslig behandlingsgrunnlag for personopplysninger etter ikrafttredelsen av den nye personopplysningsloven. Det vises til fortalepunkt 43 hvor det blant annet heter

For å sikre at et samtykke gis frivillig bør det ikke utgjøre et gyldig rettslig grunnlag for behandling av personopplysninger i et bestemt tilfelle dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige.

Imidlertid bør samarbeid og tillit fortsatt vektlegges som viktige verdier i kommunens sosiale arbeid.

Saker etter sosialtjenesteloven dreier seg om enkeltmennesker som befinner seg i en sårbar situasjon, og styrkeforholdet mellom det offentlige og individet vil være skjevt.

Departementet ser ikke bort fra at det kan tenkes tilfeller der bruk av samtykke kan være egnet som behandlingsgrunnlag også i forbindelse med behandling av personopplysninger etter sosialtjenesteloven, men mener det likevel bør gis et utvetydig rettslig grunnlag som omfatter alle typer saker etter loven.

Departementet foreslår at det i sosialtjenesteloven ny § 43 a tas inn en overordnet hjemmel som angir rammene for behandling av personopplysninger. Da de fleste detaljene knyttet til behandling av personopplysninger kan utledes av særlovgivningen, mener departementet at det ikke er behov for et detaljert supplerende rettsgrunnlag. departementet foreslår at kommunen, Fylkesmannen, Statens helsetilsyn og Arbeids- og velferdsdirektoratet skal kunne behandle personopplysninger, herunder særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 og 10 (straffedommer mv.), som er nødvendig i visse saker etter loven.

De nevnte instansene mottar opplysninger på forskjellige måter. Noen opplysninger sendes inn uoppfordret av brukeren eller andre, og departementet forutsetter at også opplysninger avgitt på denne måten skal omfattes av adgangen til å behandle personopplysninger. Alle tjenestene i sosialtjenesteloven har samme formål, selv om det kan være behov for noen opplysninger knyttet til enkelte tjenester, som det ikke er nødvendig å ha ved vurdering av søknader om andre. For eksempel skal opplysninger som er innhentet i forbindelse med en søknad om økonomisk stønad, også kunne brukes for å gi vedkommende råd og veiledning uten at dette kommer i strid med forbudet mot viderebehandling til uforenlige formål. Det ble forutsatt at opplysningene som behandles er nødvendige i den konkrete saken.

Personvernforordningens definisjon av «behandling» av personopplysninger omfatter også «innhenting», se artikkel 4 nr. 2. Dette skulle tilsi at bestemmelser om innhenting og behandling av personopplysninger reguleres i tilknytning til hverandre. Av lovtekniske hensyn foreslår departementet likevel at reglene om innhenting beholdes i en egen bestemmelse (§ 43) slik det også er gjort i utlendingsloven §§ 83 a og 84. Forslaget til ny § 43 a, innebærer likevel ikke er utvidelse av adgangen til å innhente opplysninger.

Det vises til lovforslaget.

8 Endringer i lov om Statens pensjonskasse

8.1 Behandling av personopplysninger i Statens pensjonskasse – gjeldende rett

8.1.1 Pensjonsordninger

8.1.1.1 Oversikt over pensjonsordninger Statens pensjonskasse administrerer

  • Lov 28. juli 1949 nr. 26 om Statens pensjonskasse

  • Hovedtariffavtalen i staten punkt 4.2 avtalefestet pensjon og lov 25. juni 2010 nr. 28 om avtalefestet pensjon for medlemmer i Statens pensjonskasse

  • Lov 26. juni 1953 nr. 11 om pensjonsordning for apotekvirksomhet mv.

  • Lov 21. august 1998 nr. 65 om pensjonsordning for ballettdansere, sangsolister og korsangere ved Den Norske Opera & Ballett

  • Lov 15. januar 1999 nr. 1 om pensjonsordning for ledsagere i utenrikstjenesten

  • Lov 12. februar 2010 nr. 4 om pensjonsordningen for oppdragstakere i statlig beredskaps- eller familiehjem

  • Lov 16. desember 2011 nr. 60 om pensjonsordning for stortingsrepresentanter og regjeringsmedlemmer

  • Forskrift 23. august 2013 nr. 1006 om pensjonsordning for Sametinget

  • Lov 21. mai 1982 nr. 25 om tillegg til lov 28. juli 1949 om Statens pensjonskasse (høyesterettspensjonsloven)

  • Lov 6. mai 1966 om pensjonsordning for Stortingets ombudsmann for forvaltningen (tilleggslov til lov 28. juli 1949 om Statens pensjonskasse)

  • Lov 9. november 1966 om tillegg til lov om Statens pensjonskasse av 28. juli 1949 (Regjeringsadvokat og leder i Arbeidsretten)

  • Lov 9. november 1956 nr. 2 om pensjonsordning for åremålstilsatte, opphevet ved lov 21. mai 1982 nr. 29 for nye åremålstilsatte (omfattet: Generaldirektøren for NSB, rasjonaliseringsdirektøren, riksmeklingsmannen, direktøren i Forsvarets Forskningsinstitutt, generaldirektøren i NVE og riksteatersjefen)

  • Lov 7. mai 2004 nr. 21 om Riksrevisjonen §§ 6 og 6 a (pensjon leder riksrevisor)

  • Lov 17. mai 1814 Kongeriket Noregs Grunnlov § 75 bokstav i (pensjon av statskassen)

8.1.1.2 Nærmere om innhenting og behandling av personopplysninger i de mest sentrale pensjonsordningene

Lov om Statens pensjonskasse har ikke nærmere bestemmelser om behandling av personopplysninger.

Statens pensjonskasses grunnlag for behandling av personopplysninger følger av personvernforordningen artikkel 6 nr. 1 bokstav e («… utøve offentlig myndighet som den behandlingsansvarlige er pålagt») sammenholdt med et supplerende rettsgrunnlag, jf. artikkel 6 nr. 3. Det supplerende rettsgrunnlaget følger av lovreguleringen av de oppgavene som Statens pensjonskasse skal utføre, jf. formålsbestemmelsen § 1 og den nærmere reguleringen av ytelsene i kapittel 5 og 6.

Medlemmene i Statens pensjonskasse er i hovedsak ansatte i staten, kommunale og fylkeskommunale lærere samt ansatte i enkelte andre virksomheter. Etter lov om Statens pensjonskasse § 45 fjerde ledd plikter arbeidsgiver å gi de opplysningene Statens pensjonskasse trenger for å sikre riktig behandling av saker etter loven. Videre plikter folketrygdens organer å gi slike opplysninger. Medlemmet eller etterlatte av medlemmet plikter etter andre ledd å gi de opplysninger Statens pensjonskasse forlanger.

Arbeidsgiveren rapporterer hver måned inn stillingsopplysninger om sine arbeidstakere til Statens pensjonskasse. Dette gjelder fødselsdato, fødselsnummer, lønn og stillingsstørrelse. Opplysningene brukes blant annet til fortløpende å beregne og kreve inn pensjonspremie fra arbeidsgiver, foreta pensjonsberegninger for medlemmene og til å beregne pensjon ved pensjonering.

Statens pensjonskasse gir arbeidsgiver tilgang til de opplysningene som arbeidsgiveren tidligere har gitt om sine ansatte til Pensjonskassen. Arbeidsgiveren kan da kontrollere at opplysningene er korrekte og eventuelt rette uriktige eller mangelfulle opplysninger. Når arbeidsgiver ber om spesifisert faktura, gir Statens pensjonskasse dessuten opplysninger om premie på individnivå.

Statens pensjonskasse behandler personopplysninger ved forvaltningen av de pensjonene som etter lov om Statens pensjonskasse eller andre lover skal utbetales av Statens pensjonskasse, jf. loven § 1. Statens pensjonskasse administrerer en rekke ulike pensjonsordninger. En sentral slik ordning er pensjonsordningen for apotekvirksomhet, jf. lov 26. juni 1953 nr. 11, som omfatter apotekere og arbeidstakere tilsatt ved apotekene. Det følger av loven § 30 at pensjonsordningen administreres av Statens pensjonskasse. Hjemmel for innhenting av opplysninger er § 32 nr. 2 som er tilnærmet lik bestemmelsen i lov om Statens pensjonskasse § 45 fjerde ledd.

I flere av de andre pensjonsordningene som Statens pensjonskasse administrerer, er arbeidstakerne medlemmer i Statens pensjonskasse, men med enkelte unntak fra loven. Dette gjelder for eksempel arbeidstakere som er omfattet av lov 21. august 1998 nr. 65 om pensjonsordning for ballettdansere, sangsolister og korsangere ved Den Norske Opera & Ballett (operapensjonsloven) som har egne regler for rett til medlemskap, tjenestetid og aldersgrense. Et annet eksempel er lov 21. mai 1982 nr. 25 om tillegg til lov 28. juli 1949 om Statens pensjonskasse som gjelder medlem av Høyesterett med andre regler for beregning av tjenestetid, pensjonsprosent og pensjonsgrunnlag. Hjemmel for innhenting av opplysninger for disse ordningene er lov om Statens pensjonskasse § 45 fjerde ledd. For arbeidstakere etter operapensjonsloven vises det til lovens § 2 som slår fast at disse arbeidstakerne er medlemmer i Statens pensjonskasse med de rettigheter og plikter som følger av lov om Statens pensjonskasse.

Lov 15. januar 1999 nr. 1 om pensjonsordning for ledsagere i utenrikstjenesten administreres av Statens pensjonskasse, jf. § 4. Ledsagerne er ikke medlemmer i Statens pensjonskasse. Det er andre regler for opptjening og utbetaling av pensjon enn i lov om Statens pensjonskasse. Utenriksdepartementet rapporterer inn ledsagertiden til Statens pensjonskasse når pensjonen skal starte. Det er i loven ingen bestemmelser om innhenting av opplysninger.

Lov 16. desember 2011 nr. 60 om pensjonsordning for stortingsrepresentanter og regjeringsmedlemmer administreres av Statens pensjonskasse, jf. § 8-1 første ledd. Ordningen omfatter opptjening og beregning etter tidligere ordninger og etter ny ordning som begge avviker fra lov om Statens pensjonskasse. For midlertidig uførepensjon, uførepensjon og etterlattepensjon gjelder lov om States pensjonskasse så langt ikke annet følger av stortings- og regjeringspensjonsloven. Hjemmel for innhenting av opplysninger er loven §§ 8-3 og 8-4.

Forskrift 23. august 2013 nr. 1006 om pensjonsordning for sametingsrepresentanter administreres av Statens pensjonskasse, jf. § 6. Ordningen er tilnærmet lik pensjonsordningen for stortingsrepresentanter og regjeringsmedlemmer. Forskriften har ikke bestemmelser om innhenting av opplysninger, men forskriften § 7 viser til at stortings- og regjeringspensjonsloven gjelder tilsvarende.

8.1.2 Boliglån og gruppeliv

Statens pensjonskasse administrerer boliglånsordningen i staten etter hovedtariffavtalen i staten punkt 5.1. Kommunal- og moderniseringsdepartementet har gitt instruks for forvaltning av boliglånsordningen i Statens pensjonskasse 14. oktober 2013. Av instruksen § 1 bokstav a følger at lån kan gis til yrkesaktive medlemmer i Statens pensjonskasse i henhold til lov om Statens pensjonskasse med tilleggslover.

Statens pensjonskasse bruker samtykke for å behandle søknader om boliglån. Pensjonskassen kredittsjekker i dag ikke ektefelle/samboer, men ber om skattemelding og lønnslipper for samboer/ektefelle i søknaden.

Kommunale- og fylkeskommunale lærere utgjør omtrent en tredel av medlemmene i Statens pensjonskasse og er omfattet av kommunale tariffavtaler og ikke hovedtariffavtalen i staten. Videre har flere virksomheter utenfor staten pensjonsordning i Statens pensjonskasse etter lov om Statens pensjonskasse § 5 andre ledd. Dette er for eksempel enkelte forskningsvirksomheter og private grunn- og videregående skoler. Disse medlemmene omfattes også av låneordningen.

Statens pensjonskasse administrerer gruppelivsordningen i staten etter hovedtariffavtalen i staten punkt 3 § 23 (engangsutbetaling til etterlatte ved dødsfall). Grunnlag for å behandle personopplysninger har vært å utøve offentlig myndighet eller for å oppfylle en tariffavtale.

Kommunale- og fylkeskommunale lærere har ikke gruppelivsordning i Statens pensjonskasse. Enkelte virksomheter utenfor staten har gruppelivsordning i Statens pensjonskasse for sine ansatte.

Statens pensjonskasse mottar melding fra arbeidsgiver om dødsfallet for vurdering av etterlattepensjon og gruppelivsordningen. Videre innhenter Statens pensjonskasse opplysninger om dødsfall og familieforhold fra Folkeregisteret. Statens pensjonskasse innhenter kontonummer fra etterlatte for å utbetale etter gruppelivsordningen.

Nedenfor følger en oversikt over boliglån- og gruppelivsordninger Statens pensjonskasse administrerer:

  • Boliglån, Hovedtariffavtalen i staten

  • Boliglån, pensjonsordning for apotekvirksomhet mv.

  • Boliglån, Jernbanens pensjonskassefond

  • Gruppeliv, Hovedtariffavtalen i staten

  • Gruppeliv, lov om godtgjørelse for stortingsrepresentanter § 19 tredje ledd

  • Gruppeliv, statsråder (regjeringsmedlemmer), statssekretærer og politiske rådgivere, kongelig resolusjon av 28. mars 2003

8.1.3 Erstatningsordninger ved personskade

Nedenfor følger en oversikt over erstatningsordninger Statens pensjonskasse administrerer:

  • Lov 16. juni 1989 nr. 65 om yrkesskadeforsikring og Hovedtariffavtalen i staten punkt 3 § 24 – yrkesskade ansatte i staten

  • Lov 20. desember 2016 nr. 106 om godtgjørelse for stortingsrepresentanter § 19 fjerde ledd – yrkesskade stortingsrepresentanter

  • Lov 3. februar 1961 om ansvar for skade som motorvogner gjer (bilansvarslova) – bilansvar kun personskadedelen av oppgjøret

  • Forskrift 22. desember 2009 nr. 1768 om særskilt kompensasjonsordning for psykiske belastningsskader som følge av deltakelse i internasjonale operasjoner

  • Lov 12. august 2016 nr. 77 om verneplikt og tjeneste i Forsvaret m.m. (forsvarsloven)

  • Forskrift 16. juni 2017 nr. 779 om verneplikt og heimevernstjeneste (vernepliktforskriften)

  • Forskrift 2. desember 2004 nr. 1563 om billighetserstatning for psykiske belastningsskader som følge av deltakelse i internasjonale operasjoner mv.

  • Forskrift 24. juni 2017 nr. 997 om tjeneste for militært tilsatte og for sivilt tilsatte i Forsvarsdepartementet og underliggende etater (forsvarstilsatteforskriften)

  • Særavtale om dekning av utgifter til reise og kost innenlands § 12, se Statens personalhåndbok punkt 9.2.12

  • Særavtale om dekning av utgifter til reise og kost utenfor Norge § 13, se Statens personalhåndbok punkt 9.3.13

  • Særavtale om forsikrings- og erstatningsordninger for statsansatte på tjenestereise og ved stasjonering i utlandet, se Statens personalhåndbok punkt 9.24

  • Særavtale om godtgjørelse m.v. på tokt pkt. 7, se Statens personalhåndbok punkt 9.5.

  • Kongelig resolusjon av 9. august 2013 om ulykkesforsikring for medfølgende familiemedlemmer til embets- og tjenestemenn i utlandet, se Statens personalhåndbok punkt 10.26.

Statens pensjonskasse bruker samtykke for å behandle søknader om erstatning ved personskade. Statens pensjonskasse innhenter helseopplysninger for å få full oversikt over alle relevante opplysninger for å behandle søknaden som kan være av kompleks medisinsk art med utvikling over flere år. Søker trenger da ikke selv å hente inn dokumentasjon som er nødvendig for å sannsynliggjøre et erstatningskrav.

8.1.4 Særskilt om automatiserte avgjørelser i Statens pensjonskasse

Statens pensjonskasse har helt eller delvis automatisert saksbehandlingen for pensjon og boliglån. Automatiseringsarbeidet er i tråd med Digitaliseringsrundskrivet som forutsetter systematisk digitaliserings- og effektiviseringsarbeid i det offentlige.

For pensjon behandles omtrent 60 prosent av alle sakene helautomatisk gjennom datasystemet. Når det gjelder etteroppgjør av uførepensjon er mellom 90 og 95 prosent av sakene helautomatisert.

Pensjoneringsprosessen for uførepensjon kan deles inn i en vilkårsvurdering, beregning av pensjon og årlig etteroppgjør. Når et medlem har blitt innvilget arbeidsavklaringspenger eller uføretrygd fra Arbeids- og velferdsetaten legger Statens pensjonskasse det samme sykdomsbegrepet til grunn som i folketrygden, jf. lov om Statens pensjonskasse § 27 første ledd andre punktum. Statens pensjonskasse foretar i utgangspunktet ingen selvstendig medisinsk vurdering, men legger Arbeids- og velferdsetatens vurdering til grunn. Avgjørelsen om uførepensjon er ikke helautomatisert. Ved uføregrad under 50 prosent foretar Statens pensjonskasse en manuell selvstendig medisinsk vurdering. Videre fastsetter Statens pensjonskasse en inntektsgrense etter den nedsatte inntektsevnen, jf. lov om Statens pensjonskasse § 29.

I forbindelse med det årlige etteroppgjøret for uførepensjon foretar Statens pensjonskasse en maskinell kontroll av medlemmets pensjonsgivende inntekt opp mot medlemmets inntektsgrense, jf. lov om Statens pensjonskasse § 30 tredje ledd og § 29. Det foretas ingen automatisert vurdering av medlemmets helseopplysninger ved etteroppgjøret. Statens pensjonskasse foretar i dag helautomatiske behandlinger ved forlengelse av uførepensjon når Arbeids- og velferdsetaten forlenger arbeidsavklaringspenger, og hvor forlengelsen er innenfor perioden i det manuelt fastsatte uførevedtaket.

Statens pensjonskasse har som målsetting å øke automatiseringen av ikke-skjønnsmessige avgjørelser.

8.1.5 Særskilt om analyser, statistikk, datavarehus og testdata i Statens pensjonskasse

Statens pensjonskasse utarbeider mange ulike typer analyser og rapporter. Dette omfatter blant annet historiske analyser, analyser og prognoser om framtiden, statistikker, budsjettinnspill til statsbudsjettet, økonomiske rapporter, fakturaer med underlagsmateriale samt sikkerhets- og kontrollrapporter.

Statens pensjonskasse tester i dag på personopplysninger ved løpende systemforvaltning og -utvikling og ved mer omfattende regelendringer. Statens pensjonskasse har store utviklingsprosjekter i forbindelse med nye samordningsregler som er vedtatt og ny offentlig tjenestepensjon som vil tre i kraft fra 1. januar 2020. I Statens pensjonskasse vil personopplysninger som navn og adresse normalt bli avidentifisert/pseudonymisert/fjernet i interne testrutiner, mens personnummer og arbeidsgivernummer beholdes uendret. Ved begrunnet behov gis det tilgang til komplette personopplysninger. Datavarehus, det vil si en type databasesystem som søker å organisere data på en tematisk rettet måte, bruker personopplysninger til analyse- og rapporteringsformål.

Grunnlag for behandling av personopplysninger i Statens pensjonskasse følger av personvernforordningen artikkel 6 nr. 1 bokstav e («…utøve offentlig myndighet som den behandlingsansvarlige er pålagt») sammenholdt med et supplerende rettsgrunnlag, jf. artikkel 6 nr. 3. Det supplerende rettsgrunnlaget følger av lovreguleringen av de oppgavene som Pensjonskassen skal utføre.

8.2 Høringsnotatet

8.2.1 Innledning

Statens pensjonskasse administrerer flere ordninger innenfor pensjonsområdet, boliglån, gruppeliv og erstatning ved personskade. Ordningene er hjemlet i lov, forskrift, hovedtariffavtalen i staten og særavtaler. Behandling av personopplysninger følger forutsetningsvis av reguleringen av de oppgaver som Pensjonskassen skal utføre. Noen av de personopplysningene som behandles, er særlige kategorier personopplysninger (sensitive opplysninger), blant annet opplysninger om helse. Slike opplysninger vil kunne være av betydning ved behandlingen av en sak av vesentlig viktighet for den enkelte, for eksempel i forbindelse med vurdering av krav om uførepensjon eller erstatning ved personskade fra Statens pensjonskasse.

På bakgrunn av forordningens krav til supplerende rettsgrunnlag og de ytterligere kravene som stilles til behandling av særlige kategorier personopplysninger, ble det i høringsnotatet lagt til grunn at behandling av personopplysninger i Statens pensjonskasse bør reguleres uttrykkelig.

Statens pensjonskasse forvalter som nevnt en rekke ulike ordninger med ulike hjemmelsgrunnlag. Departementet mener det er mest hensiktsmessig at slike regler gis i lov om Statens pensjonskasse for alle de ordningene Statens pensjonskasse administrerer.

8.2.2 Formålsbestemmelse

I høringsnotatet ble det gitt uttrykk for at det ikke går klart fram av lov om Statens pensjonskasse hvilket formål Pensjonskassen har eller hvilke ordninger den administrerer utover pensjon. Personvernforordningen artikkel 5 nr. 1 bokstav b bestemmer at personopplysningene skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål. Departementet mente at en overordnet formålsbestemmelse for Statens pensjonskasse vil begrense hvilke personopplysninger Statens pensjonskasse kan innhente og behandle samt ha en viktig informasjonsverdi for de registrerte.

Departementet foreslo på denne bakgrunn at lov om Statens pensjonskasse § 1 endres slik at det framgår hvilke formål Statens pensjonskasses har og hvilke ordninger Pensjonskassen administrerer. Det ble foreslått å lovfeste at formålet med pensjonsordningen i Statens pensjonskasse er å sikre medlemmene tjenestepensjon ved alderdom og uførhet, samt å sikre pensjon til etterlatte. Videre ble det foreslått en bestemmelse om at Pensjonskassen i tillegg skal administrere andre pensjonsordninger, boliglånsordningen i staten, gruppelivsordningen i staten og andre ordninger, erstatningsordninger i staten og andre ordninger, når det er fastsatt ved lov eller bestemt av departementet.

8.2.3 Innhenting og behandling av personopplysninger – pensjon

Lov om Statens pensjonskasse § 45 har i dag bestemmelser om hvem som plikter å gi Statens pensjonskasse opplysninger. § 45 a gir Statens pensjonskasse tilgang til opplysninger i Folkeregisteret som er nødvendig for forvaltning og beregning av ytelser som Pensjonskassen administrerer.

I høringsnotatet vurderte departementet dette slik:

«Lovens bestemmelser om innhenting av personopplysninger dekker ikke fullt ut det behovet Pensjonskassen har for nødvendige opplysninger fra blant annet arbeidsgiver, andre offentlige myndigheter, helsepersonell og medlemmet. Dette skyldes at Statens pensjonskasse har overtatt administrasjonen av en rekke ulike ordninger etter at bestemmelsen ble gitt. Departementet foreslår at § 45 endres slik at Pensjonskassen har rett til å innhente de opplysningene som er nødvendige for å forvalte de ordningene Pensjonskassen administrerer. Paragrafen forutsettes å omfatte rett til å innhente opplysninger for å beregne pensjoner, beregne pensjonspremier og gi medlemmene opplysninger om hva forventet pensjon blir. Paragrafen er i det alt vesentlige utformet i tråd med folketrygdloven § 21-4 og lov om Statens pensjonskasse § 45 andre ledd.
Som tidligere personopplysningslov, gir forordningen artikkel 6 nr. 1 bokstav c grunnlag for behandling som er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige. Artikkel 6 nr. 1 bokstav e gir adgang til behandling når dette er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
Det følger imidlertid av artikkel 6 nr. 3 at grunnlaget for «behandlingen» nevnt i nr. 1 bokstav c og e «skal fastsettes» i unionsretten eller i medlemsstatenes nasjonale rett. Dette innebærer at artikkel 6 nr. 1 bokstav c eller e ikke alene kan utgjøre behandlingsgrunnlaget, men at den behandlingsansvarlige i tillegg må kunne vise til et supplerende grunnlag for behandlingen i unionsretten eller nasjonal rett som den behandlingsansvarlige er underlagt. Forordningen skiller seg på dette punktet fra kravene i tidligere personopplysningslov, som ikke stilte krav om et slikt supplerende rettsgrunnlag.
Dersom det skal behandles særlige kategorier personopplysninger må rettsgrunnlaget i tillegg oppfylle de betingelser som følger av artikkel 9 nr. 2. Det følger av artikkel 9 nr. 2 at nr. 1 ikke får anvendelse dersom et av vilkårene i bokstav a til j er oppfylt. Særlig aktuelt her er bokstav b, hvoretter behandlingen må være «… nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett». Behandlingen må dessuten være tillatt i unionsretten, nasjonal rett eller tariffavtale som gir «…nødvendige garantier for den registrertes grunnleggende rettigheter og interesser».»

Departementet la til grunn at når Statens pensjonskasse innhenter helseopplysninger i forbindelse med behandling av saker om uførepensjon direkte fra behandler, i stedet for at søker selv må sende disse inn, øker sannsynligheten for at Pensjonskassen får relevante, riktige og fullstendige opplysninger raskt. Dette fordi man slipper misforståelser med hensyn til hvilke opplysninger som er relevante og den ekstra tiden det vil ta for søker selv å samle og vurdere opplysningene.

Forslaget til § 45 første ledd i høringsnotatet vil hjemle adgang for Statens pensjonskasse til å innhente pasientjournaler, men med de begrensninger som følger av folketrygdloven § 21-4 c, jf. forslaget til § 45 fjerde ledd. Det ble lagt til grunn at Statens pensjonskasse vil ha taushetsplikt etter helsepersonelloven § 21 flg. ved behandling av journalopplysninger, jf. pasientjournalloven § 15 og helseregisterloven § 17.

I ny § 45 b første ledd foreslo departementet at det tas inn en overordnet hjemmel som angir rammene for behandling av personopplysninger. Det ble foreslått at Statens pensjonskasse kan behandle personopplysninger, herunder særlige kategorier av personopplysninger etter personvernforordningen artikkel 9, når dette er nødvendig for å forvalte de ordningene som Pensjonskassen administrerer. Bestemmelsen vil etter forslaget omfatte rett til å behandle opplysninger for å beregne pensjoner, beregne pensjonspremier og gi medlemmene opplysninger om hva forventet pensjon blir.

8.2.4 Innhenting og behandling av personopplysninger – boliglån

Etter forslaget til § 1 andre ledd bokstav b høringsnotatet, skal boliglånsordningen i staten administreres av Pensjonskassen når det er fastsatt av departementet. Departementet foreslo derfor at forslaget til § 45 første ledd som hjemler innhenting av personopplysninger og § 45 b første ledd som hjemler behandling av personopplysninger, også skal omfatte boliglånsordningen.

Etter forslaget i høringsnotatet vil § 45 hjemle innhenting av opplysninger også om andre enn den som krever en ytelse eller søker om lån. Ved at lovforslaget omfatter «kredittopplysningsvirksomhet» og «gjeldsinformasjonsforetak», vil innhenting av en kredittvurdering og innhenting av opplysninger fra et gjeldsinformasjonsregister omfatte lånesøker og eventuelt ektefelle eller samboer. Det ble pekt på at opplysninger fra et gjeldsinformasjonsregister vil være et viktig supplement til en kredittvurdering, og til den informasjon som medlemmet og eventuelt ektefelle eller samboer legger frem selv (for eksempel skattemelding). I tillegg til at Statens pensjonskasse vil informere om innhenting, sender kredittforetaket og gjeldsinformasjonsregisteret gjenpartsbrev til medlemmet.

8.2.5 Innhenting og behandling av personopplysninger – erstatning for personskade

I høringsnotatet ble det vist til at helseopplysninger er nødvendige for å behandle søknader om erstatning for personskade etter ulike ordninger. Statens pensjonskasse benytter samtykke som behandlingsgrunnlag for å innhente og behandle slike opplysninger. Ordningene med erstatning for personskade er hjemlet i lov, forskrift, hovedtariffavtalen i staten og flere særavtaler.

Etter forordningen vil samtykke ikke være gyldig som behandlingsgrunnlag dersom det foreligger en klar skjevhet mellom den registrerte og den behandlingsansvarlige. Dette gjelder særlig dersom den behandlingsansvarlige er en offentlig myndighet og det derfor kan stilles spørsmål ved om samtykket er gitt frivillig med hensyn til alle omstendigheter som kjennetegner den bestemte situasjonen, jf. forordningen fortalepunkt 43. Behandlingsgrunnlag må da framgå av lov.

Dersom det skal behandles særlige kategorier av personopplysninger må rettsgrunnlaget i tillegg oppfylle de betingelser som følger av artikkel 9 nr. 2, herunder krav til at behandlingen er omfattet av «nødvendige garantier» som sikrer vern av personopplysninger og andre grunnleggende rettigheter, samt at det må være fastsatt «egnede og særlige tiltak» som verner grunnleggende rettigheter og personopplysninger, jf. fortalepunkt 52 og 53. Departementet pekte her på at Statens pensjonskasse har taushetsplikt for slike opplysninger etter forvaltningsloven.

Departementet la til grunn at dersom Statens pensjonskasse innhenter helseopplysningene direkte fra behandler, i stedet for at søker selv må sende disse inn, øker sannsynligheten for at Pensjonskassen får relevante, riktige og fullstendige opplysninger raskt. Dette fordi man slipper misforståelser med hensyn til hvilke opplysninger som er relevante og den ekstra tiden det vil ta for søker selv å samle og vurdere opplysningene.

Departementet foreslo etter dette at Statens pensjonskasse gis hjemmel i lov til å innhente og behandle nødvendige helseopplysninger ved behandling av søknader om erstatning ved personskade.

8.2.6 Særskilt om tilgang til Folkeregisteret

Lov om Statens pensjonskasse § 45 a fastslår at Pensjonskassen, uten hinder av taushetsplikt, skal ha tilgang til opplysninger i Folkeregisteret som er nødvendig for «forvaltning og beregning av ytelser» som Pensjonskassen administrerer. For at tilgangen også skal omfatte boliglån og erstatningsordningene, foreslo departementet at § 45 a om tilgang til opplysninger i Folkeregisteret endres slik at Pensjonskassen skal ha tilgang til opplysninger i Folkeregisteret som er nødvendige for «å forvalte de ordningene som Pensjonskassen administrerer».

8.2.7 Helautomatiserte avgjørelser

Departementet foreslo en uttrykkelig lovbestemmelse i lov om Statens pensjonskasse ny § 45 b andre ledd, om at Pensjonskassen skal kunne treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9. Behandlingen må etter forslaget sikre partens krav til forsvarlig saksbehandling, egnede tiltak som ivaretar den registrertes rettigheter og friheter, og for øvrig være forenlig med retten til vern av personopplysninger. Det ble vist til punkt 3.2.1 til 3.2.3 i høringsnotatet.

I høringsnotatet viste departementet til at vedtak om pensjon kan ankes inn for Trygderetten og at Pensjonskassen da foretar en manuell vurdering av saken. For boliglån kan medlemmet be om en ny vurdering av lånesøknaden, og Pensjonskassen vil da foreta en manuell behandling. Det samme vil gjelde for eventuelt andre ordninger som blir automatisert hvor det ikke foreligger noen formell klage- eller ankerett. Søker kan be om en ny vurdering av søknaden, og behandlingen vil bli foretatt manuelt av Pensjonskassen.

I § 45 b siste ledd ble det foreslått en hjemmel for departementet til å gi forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, registerføring og tilgang til registre. Særskilt om helautomatisert behandling av saker om uførepensjon

8.2.8 Viderebehandling av personopplysninger

8.2.8.1 Generelt

I høringsnotatet ble det redegjort for at forordningens artikkel 5 nr. 1 bokstav b bestemmer at personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål (prinsippet om «formålsbegrensning»). Videre slår bestemmelsen fast at opplysningene ikke kan viderebehandles på en måte som er uforenlig med disse formålene. Forordningen artikkel 6 nr. 4 bokstav a til e viser til en skjønnsmessig vurdering av om den nye bruken av opplysningene er forenlig eller ikke med den opprinnelige behandlingen. Dersom det nye formålet er forenlig med det opprinnelige formålet, vil det ikke være behov for et nytt behandlingsgrunnlag eller supplerende rettsgrunnlag for det nye formålet. Viderebehandling til uforenlige formål er lovlig dersom det foreligger særskilt hjemmel i lov eller samtykke fra den registrerte, jf. artikkel 6 nr. 4. Det er videre krav om at bestemmelser som åpner for viderebehandling for uforenlige formål, må være nødvendige og forholdsmessige.

8.2.8.2 Statistikk, analyser, datavarehus og testdata

Departementet mente at utfordringen med forenlighetsvurderingen etter personvernforordningen artikkel 6 nr. 4 er at grensene er vage og skjønnsmessige, og at det alltid må foretas en konkret vurdering i det enkelte tilfellet. Det ble vist til at personopplysninger imidlertid lovlig kan viderebehandles til enkelte nye formål som er definert i personopplysningsloven § 8, nemlig til «…arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål».

Siden departementet foreslår bestemmelser om behandling av personopplysninger i lov om Statens pensjonskasse, synes det naturlig at også viderebehandling til statistikk mv. kommer klart til uttrykk i denne loven. Det følger av forslaget at behandling av personopplysninger bare kan skje dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger. Det vises til forslag til § 45 b femte ledd i lov om Statens pensjonskasse.

Det ble videre vist til at det er behov for bruk av personopplysninger til testing og utvikling av it-systemer. For å kontrollere om gjeldende regler og fakta er programmert riktig, kan det være behov for å anvende personopplysninger, selv om det tilstrebes å gjøre dette på anonymiserte opplysninger. Dette vil for eksempel gjelde når omfattende nye regler om offentlig tjenestepensjon trer i kraft fra 1. januar 2020.

Departementet mente at personvernhensyn taler for at det bør være klart for de registrerte hvordan personopplysningene deres blir brukt. I personvernforordningen artikkel 5 bokstav a kommer dette til uttrykk ved at personopplysninger skal behandles på en «åpen måte med hensyn til den registrerte» (prinsippet om åpenhet). Lovregulering av adgangen til å bruke personopplysninger bidrar etter departementets vurdering til å skape slik åpenhet.

Departementet foreslo på denne bakgrunn en ny bestemmelse som fastslår at Statens pensjonskasse kan bruke personopplysninger, herunder særlige kategorier personopplysninger, til utvikling og testing av IT-systemer. Med utvikling menes tradisjonelt det å lage eller oppgradere et IT-system slik at det er klart for testing. Med testing menes tradisjonelt det å foreta den siste kontrollen av at IT-systemet fungerer slik det skal.

Etter departementets vurdering bør Statens pensjonskasse også kunne benytte personopplysninger til testing og utvikling i en del tilfeller der det er praktisk mulig, men hvor det er uforholdsmessig krevende å bruke fiktive eller anonyme opplysninger. Pensjonskassen har store og komplekse IT-systemer som inneholder opplysninger om et betydelig antall personer. De utveksler dessuten i utstrakt grad opplysninger med andre offentlige og private aktører. Det gjør at kravene til utvikling og testing er større enn de ellers ville vært.

Departementet presiserte at en adgang for Statens pensjonskasse til å bruke personopplysninger når det er «uforholdsmessig vanskelig» å benytte anonyme eller fiktive opplysninger, ikke rokker ved det prinsipielle utgangspunktet om at Pensjonskassen skal bruke anonyme eller fiktive opplysninger i utviklings- og testarbeidet.

8.2.8.3 Informasjon for å gi bedre medlemsbetjening m.v.

Statens pensjonskasse har som målsetting å bidra til god medlems- og kundebetjening på pensjon, premie og forsikring. Det er viktig at medlemmene settes i stand til å ta valg basert på innsikt om hvilke konsekvenser valget vil ha for pensjonen. Et sentralt virkemiddel framover vil være å skreddersy informasjonen til det enkelte medlem ut fra hva de har behov for. Ved å sammenstille relevante data om medlemmene (altså data som har direkte påvirkninger på en pensjonsutbetaling), vil Statens pensjonskasse enkelt kunne gruppere medlemmene etter hvilken informasjon som er viktig at de får fra Statens pensjonskasse. En forutsetning er at Statens pensjonskasse har den relevante informasjon tilgjengelig for sammenstilling.

Departementet ga i høringsnotatet uttrykk for at det med et komplekst regelverk er behov for å gi mer målrettet informasjon tilpasset medlemmene, slik at denne treffer bedre enn generell informasjon. En profilering av medlemmene har som formål å gi medlemmene er bedre brukeropplevelse med hensyn til informasjon fra Statens pensjonskasse. For en nærmere generell omtale av automatisering og profilering, se veileder WP259 rev.01 fra Personvernrådet (tidligere Artikkel 29-gruppen). Departementet foreslo etter dette at Statens pensjonskasse gis lovhjemmel til å behandle innhentede personopplysninger til å forbedre informasjonen til medlemmene.

8.2.8.4 Beregning av forventet pensjon

For å kunne beregne forventet pensjon til medlemmet er det i tillegg til opplysninger om medlemskapet i Statens pensjonskasse, behov for å innhente opplysninger fra folketrygden og andre offentlige tjenestepensjonsordninger. Slike opplysninger kan med hjemmel i lov i dag først innhentes ved faktisk pensjonering. Medlemmet må i dag gi samtykke for at Pensjonskassen skal kunne beregne forventet pensjon.

Dersom opplysninger som Statens pensjonskasse allerede har innhentet til andre formål skal benyttes til å beregne forventet pensjon, kreves det imidlertid et nytt behandlingsgrunnlag dersom det nye formålet ikke er forenlig med det opprinnelige. Departementet foreslo derfor at Statens pensjonskasse i § 45 b tredje ledd gis hjemmel til å behandle innhentede personopplysninger til å beregne forventet pensjon og premie.

8.2.8.5 Arbeidsgivers kontroll av opplysninger

Som nevnt i punkt 8.1.1.2 gir Statens pensjonskasse arbeidsgiver tilgang til de opplysningene som arbeidsgiveren tidligere har gitt om sine ansatte til Pensjonskassen. Arbeidsgiveren kan da kontrollere at opplysningene er korrekte og eventuelt rette uriktige eller mangelfulle opplysninger. Når arbeidsgiver ber om spesifisert faktura, gir Statens pensjonskasse dessuten opplysninger om premie på individnivå.

Departementet foreslår at Pensjonskassens adgang til å utlevere innhentede opplysninger om medlemmene til arbeidsgiver for kontroll av at de gitte opplysningene er riktige, og for kontroll av grunnlaget for pensjonspremie, lovfestes.

8.3 Høringsinstansenes syn

Statens pensjonskasse er av den oppfatning at hjemmelen om innhenting av opplysninger som foreslås ikke dekker deres behov for innhenting av pasientjournaler i erstatningssaker og saker om uførepensjon.

Skattedirektoratet har følgende kommentar til forslaget

«1. Merknader på skatteområdet:
1.1 Nødvendighets- og forholdsmessighetsvurdering av utleveringen av opplysninger fra andre offentlige etater
Det foreslås relativt vide lovhjemler for innhenting av opplysninger, uavhengig av taushetsplikt, fra andre offentlige etater. Vi viser bl.a. til forslaget til SPK-lov § 45.
Skatteetaten har relativt strenge taushetspliktbestemmelser, jf. skatteforvaltningsloven § 3-1. Der mottaker har innhentingshjemmel i lov har imidlertid Skatteetaten adgang til å frita fra taushetsplikten etter skatteforvaltningsforskriften § 3-3-1 annet ledd bokstav h:
«Opplysninger kan uansett utleveres … h) til offentlige myndigheter ifølge lovbestemmelser som fastsetter eller klart forutsetter at taushetsplikten ikke skal være til hinder for å gi opplysningene».
En utlevering må i henhold til skatteforvaltningsloven § 3-3 være nødvendig og forholdsmessig. Forholdsmessighetsvurderingen må foretas opp mot «ulempene den medfører i form av inngrep i personvernet og fare for at opplysninger av konkurransemessig betydning kommer på avveie», jf. § 3-3 annet ledd. Dette er utdypet i skatteforvaltningsforskriften § 3-3-1 annet ledd:
«Ved vurderingen av om kravet til forholdsmessighet i skatteforvaltningsloven § 3-3 annet ledd er oppfylt, skal det legges vekt på om mottakerorganet vil settes i stand til å treffe en riktig avgjørelse, eller utføre en mer effektiv og hensiktsmessig tjeneste enn om det ikke hadde mottatt opplysningene. Det skal også legges vekt på formålet med behandlingen av opplysninger hos mottakeren, om mottakeren er underlagt taushetsplikt, hvilke opplysninger som skal utleveres og antallet personer som får tilgang til opplysningene.»
For å kunne frita fra taushetsplikten etter skatteforvaltningsforskriften § 3-3-1 bokstav h forutsettes det at det er foretatt en slik nødvendighets- og forholdsmessighetsvurdering ifm. arbeidet med innhentingsbestemmelsene. Dette innebærer at det kun er en begrenset vurdering som skal gjøres ved utleveringsanmodningene hjemlet i bestemmelsen, jf. Prop. 1 LS (2018–2019) punkt 17.5.3:
«Finansdepartementet bemerker at … forskriftsbestemmelsene som skal gis i medhold av § 3-3 tredje ledd, skal anses som en forhåndsvurdering av tilfeller der opplysningene alltid skal kunne utleveres. Når vilkårene i disse bestemmelsene er oppfylt, er det dermed ikke nødvendig å foreta de vurderingene som lovens § 3-3 første og annet ledd legger opp til.»
I arbeidet med de ulike innhentingshjemlene er det følgelig viktig å synliggjøre nødvendighets- og forholdsmessighetsvurderingene som er gjort slik at disse er tilgjengelig ved senere anmodninger om opplysninger basert på hjemlene. Det bør bl.a. synliggjøres hvilke opplysninger som skal utleveres, jf. omtalen av skatteforvaltningsforskriften § 3-3-1 annet ledd ovenfor. En slik vurdering av behandlingen vil bidra til å øke forutsigbarheten overfor den registrerte. Vi anbefaler at dette gjøres i det videre arbeidet med bestemmelsene.
1.2 Spesifisering av hvilke opplysninger som er nødvendige
Som vist til ovenfor forutsettes det at det er gjort en nødvendighetsvurdering ifm. lovarbeidet. I høringsnotatets innledning går det fram at departementet ikke ser det som hensiktsmessig å gi detaljerte reguleringer om behandling av personopplysninger. Skatteetaten har forståelse for at det kan være hensiktsmessig at dette reguleres i forskrift. Samtidig mener vi det ville vært ønskelig at forhold rundt behandlingen i større grad ble beskrevet i høringsnotatet. En slik beskrivelse vil også kunne redusere risikoen for utlevering av unødvendige opplysninger i forbindelse med den enkelte utleveringen, og bidra til økt forutsigbarhet for borgerne
1.3 Hvilke opplysninger er nødvendig for gjennomføring av etteroppgjøret
I høringsnotatet punkt 2.2.4 om automatiserte beslutningsprosesser vises det kun til behovet for pensjonsgivende inntekt:
«I forbindelse med det årlige etteroppgjøret for uførepensjon foretar Statens pensjonskasse en maskinell kontroll av medlemmets pensjonsgivende inntekt opp mot medlemmets inntektsgrense, jf. lov om Statens pensjonskasse § 30 tredje ledd og § 29.»
Det kan av dette se ut som man kun har behov for opplysninger som omfattes av folketrygdloven § 3-15 (jf. folketrygdloven §§ 30 tredje ledd og 29 tredje ledd), dvs. pensjonsgivende inntekt. For å sikre at opplysninger som utleveres er i samsvar med de opplysninger SPK har behov for i arbeidet med etteroppgjøret, anbefaler vi derfor at det klargjøres nærmere hvilke opplysninger som omfattes av begrepet «opplysninger om pensjonsgivende inntekt». Skatteetaten kan bistå med dette ved behov.
2. Merknader på folkeregisterområdet
2.1 Endring av ordlyd i lov om Statens pensjonskasse § 45 a
I høringsnotatet fremgår følgende (vår utheving):
«3.5.6 Særskilt om tilgang til Folkeregisteret
Lov om Statens pensjonskasse § 45 a fastslår at Pensjonskassen skal, uten hinder av taushetsplikt, ha tilgang til opplysninger i Folkeregisteret som er nødvendig for «forvaltning og beregning av ytelser» som Pensjonskassen administrerer. For at tilgangen også skal omfatte boliglån og erstatningsordningene foreslås at § 45 a om tilgang til opplysninger i Folkeregisteret endres slik at Pensjonskassen skal ha tilgang til opplysninger i Folkeregisteret som er nødvendige for «å forvalte de ordningene som Pensjonskassen administrerer.»
(…)
Til § 45 a
Statens pensjonskasse har i dag tilgang til opplysninger i Folkeregisteret som er nødvendig for «forvaltning og beregning av ytelser» som Pensjonskassen administrerer. Bestemmelsen er endret slik at Pensjonskassen skal ha tilgang til opplysninger i Folkeregisteret som er nødvendig for å forvalte «de ordningene» som Pensjonskassen administrerer, herunder også boliglånsordningen og erstatningsordningene.
(…)
§ 45 a skal lyde:
Statens pensjonskasse skal, uten hinder av taushetsplikt, ha tilgang til opplysninger i Folkeregisteret som er nødvendig for å forvalte de ordningene som Pensjonskassen administrerer. Pensjonskassen skal også ha tilgang til opplysninger i registeret til utredning og produksjon av statistikk.»
Ut i fra dette kan det synes som om lovendringen medfører at SPK får rett på ytterligere opplysninger sammenlignet med tidligere. Vi har ikke tilstrekkelig grunnlag i høringsnotatet til å vurdere om dette krever tilpasninger i våre løsninger for deling av opplysninger. Dette må utredes nærmere.
2.2. Bryter forslag til § 45 sjette ledd i lov om Statens pensjonskasse med once only-prinsippet som er fastsatt i Digital Agenda?
Forslaget til § 45 sjette ledd lyder:
«Når et medlem av Pensjonskassen inngår ekteskap, eller når ekteskapet oppløses ved død eller skilsmisse, plikter medlemmet, den gjenlevende ektefellen eller i tilfelle vergen å sende melding om det til Pensjonskassen.»
Regelen er for så vidt ikke ny og er i hovedsak en videreføring av gjeldende rett. Ut i fra en tankegang om at borgeren skal gi opplysning til det offentlige kun en gang, kan det i utgangspunktet foreligge gode grunner for at SPK i stedet utelukkende skulle forholdt seg til Folkeregisteret for uthenting av disse opplysningene. En første problemstilling som i så fall må avklares er om personkretsen som mottar tjenester fra SPK tilsvarer personkretsen som registreres i Folkeregisteret. Videre er det slik at det ikke nødvendigvis er meldeplikt til Folkeregisteret (overfor borgeren selv/eller offentlig myndighet) i alle aktuelle tilfeller. En løsning hvor SPK var forpliktet å forholde seg til Folkeregisteret ville imidlertid kunne ha hevet kvaliteten (ajourhold) på de aktuelle informasjonselementene i Folkeregisteret, og kanskje også saksbehandlingen i SPK da det er Folkeregistermyndigheten som har kompetanse og myndighet til vurdere og registre disse forholdene.
Det kan være hensiktsmessig om man kan vurdere gjenbruk av opplysninger fra Folkeregistret i stedet for å videreføre dagens varslingsplikt. Det er imidlertid ikke et en til en forhold mellom varslingsplikten i SPK-loven § 45 sjette ledd, og gjeldende meldeplikt(er) om vigsel, skilsmisse og død etter folkeregisterloven, kan det stilles spørsmål om man i stedet burde ha varslingsplikt til folkeregisteret.»

Datatilsynet uttaler

«Datatilsynet ser meget positivt på at innspillene fra oss som ble gitt i den tidligere prosessen er innarbeidet og i hovedsak tatt til følge. Personvernforordningen legger opp til en slik systematikk i artikkel 36 nr. 4.
Denne saken er et godt eksempel på hvordan man under utarbeidelsen av lovforslag kan rådføre seg med tilsynsmyndigheten for å sikre at forslagene som gis ikke er i strid med prinsippene i personvernregelverket. Resultatet av rådføringen er at våre tilbakemeldinger i den formelle høringsprosessen er avgrenset til noen få punkter.
Vi ønsker å påpeke at endringsforslagene fremstår som å være i tråd med andre lignende lovforslag, blant annet forslag til ny forvaltningslov §§ 11 og 12 om automatiserte beslutningsprosesser. Vi registrerer at ASD i innledningen til høringsnotatet har drøftet retten til manuell behandling som følger av personvernforordningen artikkel 22, og dette anser vi som positivt i forslaget.
Vi har ikke tidligere vurdert forslaget om endringer i Lov om Statens pensjonskasse § 45 b, femte ledd, som åpner opp for at data kan brukes til utvikling og testing av IT-systemer. Det er tatt et forbehold om at hjemmelen kun kan brukes dersom det er umulig eller uforholdsmessig vanskelig å bruke anonyme eller fiktive data for å oppnå formålet.
Datatilsynet vil påpeke at forslaget til hjemmel fremstår som overordnet og meget generell, og vi stiller spørsmål ved om den oppfyller personvernforordningens premisser for lovhjemler som rettslig grunnlag, se blant annet artikkel 6 nr. 3, annet ledd og fortalepunkt 45. Vi mener også at ordlyden i forslaget tilsier en betydelig utvidelse i de rettslige mulighetene for bruk av data til nye formål.
Datatilsynet mener at denne delen av endringsforslaget medfører en så utvidet mulighet for bruk av data at den bør underlegges en personvernkonsekvensvurdering.
Som eksempel peker vi på at «testformål» og «utviklingsformål» favner et betydelig spekter av behandlinger, uten krav til vurdering av hva som legges i begrepene, viktigheten av behandlingen eller nytten i den aktuelle konteksten.
Et annet eksempel er at det kun skilles mellom anonyme/fiktive og personopplysninger. Vi påpeker at det også kan gjøres begrensninger med andre former for identitetshåndtering (pseudonyme data, indirekte identifiserbare data) og datasettet kan også begrenses i for eksempel omfang av datakilder eller inkluderte.
Vi anbefaler at forslaget gjennomgås nærmere for å vurdere om den kan gi tilstrekkelig rettslig grunnlag for test- og utviklingsformål, og for å sikre at blant annet nødvendighetsprinsippet i personvernforordningen er tilstrekkelig vurdert.
Datatilsynet minner om muligheten til å rådføring med oss som tilsynsmyndighet, som følger av den nevnte personvernforordningen artikkel 36 nr. 4.»

Norsk Pensjon ønsker at departementet legger til rette for at Norsk Pensjon kan motta fullstendig pensjonsinformasjon fra Statens pensjonskasse slik at arbeidstakere med rettigheter fra offentlig tjenestepensjon også får tilgang til komplette pensjonsoversikter og pensjonsprognoser.

8.4 Departementets vurdering og forslag

8.4.1 Formålsbestemmelse

Departementet følger opp høringsnotatet og foreslår at lov om Statens pensjonskasse § 1 endres slik at det fremgår hvilke formål Statens pensjonskasses har og hvilke ordninger Pensjonskassen administrerer. Det foreslås å lovfeste at formålet med pensjonsordningen i Statens pensjonskasse er å sikre medlemmene tjenestepensjon ved alderdom og uførhet. Ordningen skal også sikre pensjon til etterlatte. Videre foreslås en bestemmelse om at Pensjonskassen i tillegg skal administrere andre pensjonsordninger, boliglånsordningen i staten, gruppelivsordningen i staten og andre ordninger, erstatningsordninger i staten og andre ordninger, når det er fastsatt ved lov eller bestemt av departementet. Det vises til § 1 andre og tredje ledd i lovforslaget.

8.4.2 Innhenting av personopplysninger

Som nevnt i høringsnotatet, dekker ikke § 45 i lov om Statens pensjonskasse det behovet Pensjonskassen har for nødvendige opplysninger fra blant annet arbeidsgiver, andre offentlige myndigheter, helsepersonell og medlemmet. Dette skyldes at Statens pensjonskasse har overtatt administrasjonen av en rekke ulike ordninger etter at bestemmelsen ble gitt.

På denne bakgrunn foreslår departementet i tråd med høringsnotatet at § 45 endres, slik at Pensjonskassen har rett til å innhente opplysninger som er nødvendige for å forvalte de ordningene Pensjonskassen administrerer. Bestemmelsen vil omfatte rett til å innhente opplysninger for å beregne pensjoner, pensjonspremier og forventet pensjon. Bestemmelsen vil også hjemle innhenting av personopplysninger ved søknader om boliglån, og nødvendige helseopplysninger ved søknad om erstatning ved personskade. Paragrafen er i det alt vesentlige utformet i tråd med folketrygdloven § 21-4 og lov om Statens pensjonskasse § 45 andre ledd.

Forslaget til § 45 første ledd vil hjemle adgang for Statens pensjonskasse til å innhente pasientjournaler, men med de begrensninger som følger av folketrygdloven § 21-4 c, jf. forslaget til § 45 fjerde ledd. Departementet legger til grunn at Statens pensjonskasse vil ha taushetsplikt etter helsepersonelloven § 21 flg. ved behandling av journalopplysninger, jf. pasientjournalloven § 15 og helseregisterloven § 17.

Statens pensjonskasse er av den oppfatning at hjemmelen om innhenting av opplysninger som foreslås ikke dekker deres behov for innhenting av pasientjournaler i erstatningssaker og saker om uførepensjon. Departementet vil bemerke at da en utvidelse av adgangen til å innhente pasientjournaler ikke var tema i høringsnotatet, vil dette derfor ikke bli behandlet nærmere her.

Skattedirektoratet mener at det i arbeidet med innhentingshjemler er viktig å synliggjøre nødvendighets- og forholdsmessighetsvurderingene som er gjort slik at disse er tilgjengelig ved senere anmodninger om opplysninger basert på hjemlene. Det bør synliggjøres hvilke opplysninger som skal utleveres. En slik vurdering av behandlingen vil bidra til å øke forutsigbarheten ovenfor den registrerte.

Etter forslaget til ny § 45 skal Statens pensjonskasse bare få tilgang til nødvendige opplysninger etter pålegg i den enkelte sak for å forvalte de ordninger som Pensjonskassen administrerer. Departementet legger imidlertid til grunn at denne bestemmelsen ikke gir Statens pensjonskasse adgang til å innhente løpende inntektsopplysninger fra Skatteetaten, kun til å innhente opplysninger etter pålegg i den enkelte sak.

Departementet viser til at personopplysninger kun kan samles inn til spesifikke, uttrykkelig angitte og berettigete formål, jf. artikkel 5 nr. 1 bokstav b. Med et uttrykkelig angitt og konkret formål vil det i større grad være enkelt å angi hvilke personopplysninger som er adekvate, nødvendige og relevante for å oppfylle formålet (prinsippet om dataminimering). Prinsippene her vil ivaretas gjennom de rammene som er nedfelt i lov om Statens pensjonskasse som er grunnlag for behandlingen av personopplysningene. Behovet for opplysninger vil variere med vilkårene som er fastsatt for den enkelte ytelse. For eksempel i saker om alderspensjon, vil nødvendige opplysninger hovedsakelig omfatte opplysninger om alder og inntekt mv. I saker om uførepensjon vil det være behov for en rekke opplysninger knyttet til vilkårsfastsettelsen, for eksempel helseopplysninger, opplysninger om nedsatt inntektsevne og gjennomgått hensiktsmessig behandling og arbeidsrettede tiltak mv.

Departementet finner det ikke hensiktsmessig å regulere i loven hvilke opplysninger som vil kunne være aktuelle i saksbehandlingen. Utformingen vil kunne bli både detaljert og omfangsrik. En eventuell regulering vil derfor egne seg best i forskrifts form, men departementet finner det ikke nødvendig å gjøre dette nå. Dette vil bli vurdert nærmere.

I forbindelse med det årlige etteroppgjøret for uførepensjon foretar Statens pensjonskasse en maskinell kontroll av medlemmets pensjonsgivende inntekt opp mot medlemmets inntektsgrense, jf. lov om Statens pensjonskasse § 29 og § 30 tredje ledd.

For å sikre at opplysninger som utleveres er i samsvar med de opplysninger Statens pensjonskasse har behov for i arbeidet med etteroppgjøret, anbefaler Skattedirektoratet at det klargjøres nærmere hvilke opplysninger som omfattes av begrepet opplysninger om pensjonsgivende inntekt. Departementet vil til dette bemerke at Statens pensjonskasse har behov for opplysninger om inntektsartene som inngår i personinntekt etter skatteloven § 12-2, som er grunnlaget for pensjonsgivende inntekt etter folketrygdloven § 3-15. Departementet viser i denne forbindelse til at Skatteetaten og Statens pensjonskasse er i dialog om hvilke opplysninger som inngår i «opplysninger om pensjonsgivende inntekt». Det vises også til dialog mellom Skatteetaten og Finansdepartementet om skatteforvaltningsloven § 3-6 andre ledd.

8.4.3 Behandling av personopplysninger

I tråd med høringsnotatet foreslår departementet at det i ny § 45 b første ledd tas inn en overordnet hjemmel som angir rammene for behandling av personopplysninger. Etter bestemmelsen skal Statens pensjonskasse kunne behandle personopplysninger, herunder personopplysninger etter personvernforordningen artikkel 9 og 10, når dette er nødvendig for å forvalte de ordningene som Pensjonskassen administrerer.

Bestemmelsen vil gjelde alle de oppgavene Statens pensjonskasse utfører, uavhengig av om det foreligger krav eller søknad, eller om det skal treffes et vedtak. For eksempel vil forberedelse av en sak også være omfattet, selv om det saksforberedende organet ikke skal avgjøre saken. Behandling knyttet til oppfølging av et vedtak og rapportering til overordnet myndighet i forbindelse med sakshåndtering er også ment å være omfattet.

Bestemmelsen hjemler rett til å behandle opplysninger for å beregne pensjoner, beregne pensjonspremier og gi medlemmene opplysninger om hva forventet pensjon blir. Videre hjemles behandling av personopplysninger ved søknader om boliglån og nødvendige helseopplysninger ved søknad om erstatning ved personskade.

Som nevnt i høringsnotatet mottar Pensjonskassen opplysninger på forskjellige måter. Noen opplysninger sendes inn uoppfordret fra medlemmet eller andre, og departementet forutsetter at opplysninger avgitt på denne måten skal omfattes av adgangen til å behandle innhentede opplysninger. Nærmere bestemmelser om hvilke opplysninger som kan behandles og adgangen til viderebehandling og utlevering, kan gis i medhold av forskriftshjemmelen som foreslås i § 45 b siste ledd dersom det skulle vise seg å være nødvendig.

8.4.4 Særskilt om tilgang til Folkeregisteret

Lov om Statens pensjonskasse § 45 a fastslår at Pensjonskassen, uten hinder av taushetsplikt, skal ha tilgang til opplysninger i Folkeregisteret som er nødvendig for «forvaltning og beregning av ytelser» som Pensjonskassen administrerer. For at tilgangen også skal omfatte boliglån og erstatningsordningene, foreslår departementet i tråd med høringsnotatet at § 45 a om tilgang til opplysninger i Folkeregisteret endres, slik at Pensjonskassen skal ha tilgang til opplysninger i Folkeregisteret som er nødvendige for «å forvalte de ordningene som Pensjonskassen administrerer».

Som Skattedirektoratet peker på i sitt høringssvar, vil lovendringen medføre at Statens pensjonskasse får rett på ytterligere opplysninger fra Folkeregisteret enn tidligere, og at det må vurderes nærmere om dette krever systemtekniske endringer hos Skatteetaten. Departementet viser til at Statens pensjonskasse har opplyst at den foreslåtte utvidede tilgangen til opplysninger fra Folkeregisteret ikke vil medføre systemtekniske endringer verken hos Skatteetaten eller for Statens pensjonskasse når det gjelder manuelle oppslag eller maskinelle spørringer mot Folkeregisteret.

Skattedirektoratet reiser videre spørsmål om det i stedet for meldeplikt for ektefeller mv. om endringer i sivil status til Statens pensjonskasse kan være hensiktsmessig å vurdere gjenbruk av opplysninger fra Folkeregisteret. Departementet har i forlengelsen av dette kontaktet Statens pensjonskasse, som har opplyst at det vil være en tilfredsstillende løsning å innhente opplysninger om sivilstatus mv. direkte fra Folkeregisteret. Departementet viser til dette, og foreslår at § 45 sjette ledd tas ut av lovforslaget.

8.4.5 Helautomatiserte avgjørelser

Departementet foreslår i tråd med høringsnotatet en uttrykkelig lovbestemmelse i lov om Statens pensjonskasse ny § 45 b andre ledd om at Pensjonskassen skal kunne treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10. Behandlingen må sikre partens krav til forsvarlig saksbehandling, egnede tiltak som ivaretar den registrertes rettigheter og friheter, og for øvrig være forenlig med retten til vern av personopplysninger. Det vises til punkt 5.3 hvor departementets vurdering framkommer.

På sikt vil det være mulig for Statens pensjonskasse å helautomatisere en del av uføresakene hvor Arbeids- og velferdsetatens vurdering av medisinske opplysninger legges til grunn. En opplysning om at et medlem mottar uførepensjon er en helseopplysning og dermed en «særlig kategori» personopplysning etter forordningen. Automatiserte avgjørelser kan ikke bygge på særlige kategorier personopplysninger med mindre behandlingen er nødvendig av hensyn til «viktige allmenne interesser». Det følger av loven at Statens pensjonskasse skal avgjøre og utbetale pensjoner, herunder uførepensjon, til et stort antall borgere. Departementet legger derfor til grunn at forordningens krav er oppfylt i saker som gjelder uførepensjon, forutsatt at det etableres egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser, se punkt 5.3.2.

Departementet følger opp Justis- og beredskapsdepartementets høringssvar, og foreslår at bestemmelsene om automatisering suppleres slik at helautomatiserte avgjørelser ikke kan bygge på skjønnsmessige vilkår «i lov eller forskrift». På den måten kommer det klart fram at det siktes til vilkårene i de materielle reglene som gir rettsgrunnlag for avgjørelsen, og ikke «vilkårene» i dataprogrammet som operasjonaliserer de materielle reglene.

For å gjøre det klart at den registrerte har rett til manuell overprøving i den grad det ikke foreligger formell klage-/ankerett, jf. fortalepunkt 71 i forordningen om «menneskelig inngripen», foreslås at dette kommer uttrykkelig frem av loven i tråd med Justis- og beredskapsdepartementets forslag.

Det vises til § 45 andre ledd i lovforslaget.

I § 45 b syvende ledd foreslås det, i tråd med høringsnotatet, at departementet kan gi forskrift om behandlingen, blant annet om automatiserte avgjørelser.

8.4.6 Viderebehandling av personopplysninger

8.4.6.1 Utvikling og testing av IT-systemer

Statens pensjonskasse utfører oppgaver som angår et stort antall personer, og oppgavene som utføres har stor betydning for de som berøres. Systemene skal håndtere en stor informasjonsmengde og systematisere denne på en hensiktsmessig og sikker måte. Konsekvensene av feil i IT-systemene kan dermed bli betydelige.

Prinsippene om riktighet, integritet og konfidensialitet, jf. forordningen artikkel 5 bokstav d og f, tilsier derfor at Pensjonskassen bør kunne benytte personopplysninger ved utvikling og testing av IT-systemer. Det samme gjør effektivitetshensyn. Personvernhensyn taler for at det bør være klart for de registrerte hvordan personopplysningene deres blir brukt. I personvernforordningen artikkel 5 bokstav a kommer dette til uttrykk ved at personopplysninger skal behandles på en «åpen måte med hensyn til den registrerte» (prinsippet om åpenhet). Lovregulering av adgangen til å bruke personopplysninger bidrar til å skape slik åpenhet.

Personvernforordningen artikkel 9 har egne regler om særlige kategorier av personopplysninger (opplysninger om helseforhold mv.). Det følger av artikkel 9 at det er forbudt å behandle personopplysninger som omfattes av de særlige kategoriene, med mindre det foreligger et unntak etter artikkel 9 nr. 2 bokstav a til h.

De delene av IT-systemene som skal behandle opplysninger som omfattes av personvernforordningen artikkel 9, må utvikles og testes på samme måte som de andre delene av IT-systemene. Etter departementets vurdering er vilkårene i personvernforordningen artikkel 9 nr. 2 bokstav g oppfylt ved at behandlingen er nødvendig for at Pensjonskassen skal kunne utføre sine lovpålagte oppgaver. Videre vil det bli utarbeidet retningslinjer som skal gjelde for Pensjonskassens utviklings- og testvirksomhet. Departementet legger til grunn at retningslinjene vil oppfylle kravet til «egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser».

Det følger av personvernforordningen artikkel 6 nr. 4 at lovbestemmelser som gir hjemmel for viderebehandling av personopplysninger til uforenlige formål, må utgjøre et «nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1». I artikkel 23 nr. 1 nevnes blant annet mål av generell allmenn interesse for en medlemsstat, særlig en medlemsstats viktige økonomiske eller finansielle interesser, herunder trygdespørsmål. Etter departementets vurdering oppfyller de foreslåtte bestemmelsene vilkåret i artikkel 6 nr. 4. Departementet viser til redegjørelsen for behovet for å bruke personopplysninger til utvikling og testing, samt at utviklings- og testvirksomheten som hovedregel skal foregå med anonyme eller fiktive opplysninger.

Departementet vil videre vise til at skatteforvaltningsloven ble tilføyd en ny § 5-11 ved endringslov 20. desember 2018 nr. 110:

Ǥ 5-11. Bruk av personopplysninger ved utvikling og testing av IT-systemer
(1) Skattemyndighetene kan behandle innhentede personopplysninger for å utvikle og teste IT-systemer dersom det vil være umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.
(2) Departementet kan i forskrift gi nærmere regler om behandling etter første ledd.»

Det vises til Prop. 1 LS (2018–2019) punkt 18.5 om Skatteetatens og Tolletatens bruk av personopplysninger til utvikling og testing av IT-systemer.

Departementet foreslår en ny bestemmelse som fastslår at Statens pensjonskasse kan bruke personopplysninger, herunder særlige kategorier personopplysninger, til utvikling og testing av IT-systemer. Forslaget omfatter både utvikling og testing av IT-systemer. Med utvikling menes tradisjonelt det å lage eller oppgradere et IT-system slik at det er klart for testing. Med testing menes tradisjonelt det å foreta den siste kontrollen av at IT-systemet fungerer slik det skal.

Etter departementets vurdering bør Statens pensjonskasse også kunne benytte personopplysninger til testing og utvikling i en del tilfeller der det er praktisk mulig, men hvor det er uforholdsmessig krevende å bruke fiktive eller anonyme opplysninger. Statens pensjonskasse har ca. 1 million medlemmer, og utfører oppgaver som har stor betydning for de som berøres og som skal ha pensjon. Regelverket er komplisert og omfattende. Konsekvensene av feil i IT-systemene kan dermed bli betydelige. Systemene skal håndtere en betydelig informasjonsmengde og foreta mange ulike beregninger for å sikre riktig premie og riktig pensjon til rett tid. De utveksler dessuten i utstrakt grad opplysninger med andre offentlige og private aktører. Det gjør at kravene til utvikling og testing er større enn de ellers ville vært.

Departementet presiserer at en adgang for Statens pensjonskasse til å bruke personopplysninger når det er «uforholdsmessig vanskelig» å benytte anonyme eller fiktive opplysninger, ikke rokker ved det prinsipielle utgangspunktet om at Pensjonskassen skal bruke anonyme eller fiktive opplysninger i utviklings- og testarbeidet.

Datatilsynet anbefaler at forslaget gjennomgås nærmere for å vurdere om den kan gi tilstrekkelig rettslig grunnlag for test- og utviklingsformål, og for å sikre at blant annet nødvendighetsprinsippet i personvernforordningen er tilstrekkelig vurdert. Datatilsynet påpeker at forslaget til hjemmel fremstår som overordnet og meget generell, og stiller spørsmål ved om den oppfyller personvernforordningens premisser for lovhjemler som rettslig grunnlag. Videre peker tilsynet på at det kun skilles mellom anonyme/fiktive og personopplysninger, og anbefaler at det også bør gjøres begrensninger med andre former for identitetshåndtering (pseudonyme data, indirekte identifiserbare data) og at datasettet også bør begrenses i for eksempel omfang av datakilder eller inkluderte.

Departementet viser til at Statens pensjonskasse i dag i all hovedsak benytter pseudonyme data i test- og utvikling av sine IT-systemer. Dagens praksis rundt benyttelse av data i test av it-systemer kan oppsummeres i tre hovedkategorier. Dette er pseudonyme, syntetiske, og skarpe data fra produksjon. Statens pensjonskasse deltar i et bredt, tverretatlig samarbeid for å etablere data som kan benyttes på tvers av etatene, og som skal bidra til at offentlig sektor prioriterer arbeidet med å lage datasett med anonyme og fiktive opplysninger. De foreslåtte bestemmelsene skal bare dekke det resterende behovet for å bruke personopplysninger.

I enkelte tilfeller vil det ikke være mulig, eller det vil være svært ressurskrevende, for Statens pensjonskasse å bruke pseudonyme eller syntetiske opplysninger for å gjennomføre utvikling og testing av Pensjonskassens IT-systemer. Det er i slike tilfeller tilgangsstyring, slik at kun personer med tjenestelig behov skal ha tilgang til utviklings- og testmiljøet.

Departementet viser videre til at utviklings- og testvirksomheten ikke skal ha større omfang enn det som er nødvendig for å oppnå formålet. Personopplysningene skal ikke lagres lenger enn det som er nødvendig for å gjennomføre arbeidet.

Departementet forutsetter at det utarbeides retningslinjer for behandling av henholdsvis personopplysninger og fiktive opplysninger ved utvikling og testen av IT-systemer, som ivaretar kravene i personvernforordningen. Når det gjelder personopplysninger legger departementet til grunn at det utarbeides særlig strenge og detaljerte retningslinjer.

Departementet har merket seg Datatilsynets synspunkt om at forslaget til hjemmel fremstår som overordnet og meget generell. Tilsynet reiser spørsmål om forslaget oppfyller personvernforordningens premisser for lovhjemler som rettslig grunnlag.

På denne bakgrunn foreslår departementet at det presiseres i loven at personopplysninger kun skal kunne benyttes til utvikling og testing av IT-systemer når dette er nødvendig for å sikre effektiv behandling av saker og riktige avgjørelser. Departementet anser etter dette at den registrertes personvernrettigheter etter forordningen er tilstrekkelig ivaretatt gjennom lovforslaget og tiltakene som er angitt ovenfor. Som nevnt i punkt 8.4.6.4 vil det kunne gis nærmere regler om bruk av peronsopplysninger til utvikling og testing av IT-systemer, dersom det skulle være behov for dette.

Det vises til lovforslaget § 45 b sjette ledd.

8.4.6.2 Statistikk og analyser mv.

Som nevnt i punkt 8.2.8.2 utarbeider Statens pensjonskasse mange ulike typer analyser og rapporter. Dette omfatter blant annet historiske analyser, analyser og prognoser om framtiden, statistikker, budsjettinnspill til statsbudsjettet, økonomiske rapporter, fakturaer med underlagsmateriale samt sikkerhets- og kontrollrapporter. Datavarehus, dvs. en type databasesystem som søker å organisere data på en tematisk rettet måte, bruker ikke-anonymiserte personopplysninger til analyse- og rapporteringsformål.

På bakgrunn av ovenstående foreslår departementet at høringsnotatet følges opp på dette punkt slik at Statens pensjonskasse gis en klar hjemmel i lov for viderebehandling av personopplysninger til statistikk og analyser. Behandling av personopplysninger kan bare skje dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.

Det vises til § 45 b femte ledd i lovforslaget.

8.4.6.3 Beregning av forventet pensjon

Medlemmer i Statens pensjonskasse ønsker ofte å få en prognose på forventet pensjon.

For å kunne beregne forventet pensjon til medlemmet er det i tillegg til opplysninger om medlemskapet i Statens pensjonskasse behov for å innhente opplysninger fra folketrygden og andre offentlige tjenestepensjonsordninger. Slike opplysninger kan med hjemmel i lov i dag først innhentes ved faktisk pensjonering. Medlemmet må i dag gi samtykke for at Pensjonskassen skal kunne beregne forventet pensjon.

Dersom formålet med innhentingen er å beregne forventet pensjon, vil dette hjemles i lovforslaget § 45 b første ledd. Dersom opplysninger som Statens pensjonskasse allerede har innhentet til andre formål skal benyttes til å beregne forventet pensjon, kreves det et nytt behandlingsgrunnlag dersom det nye formålet ikke er forenlig med det opprinnelige. Departementet legger til grunn at nevnte formål ikke vil være uforenelig med det opprinnelige, men forslår likevel en klar lovbestemmelse om at Statens pensjonskasse skal kunne behandle innhentede personopplysninger til å beregne forventet pensjon og premie.

Når det gjelder ønsket fra Norsk Pensjon om å kunne motta fullstendig pensjonsinformasjon fra Statens pensjonskasse blant annet for å kunne beregnet fremtidig pensjon, skal departementet bemerke at spørsmålet om utlevering av personopplysninger fra Statens pensjonskasse ikke var tema i høringsnotatet som behandles i proposisjonen her. Departementet kommer derfor ikke nærmere inn på dette, og vil følge opp dette spørsmålet i samråd med Finansdepartementet.

Det vises til lovforslaget § 45 b tredje ledd.

8.4.6.4 Forskriftshjemmel om viderebehandling

I høringsnotatet ble det foreslått at departementet kan gi nærmere regler i forskrift om behandlingen, blant annet adgangen til viderebehandling og utlevering. Departementet følger opp forslaget om slik forskriftshjemmel. Det vil blant annet kunne gis nærmere regler om bruk av personopplysninger til utvikling og testing av IT-systemer, dersom det skulle være behov for dette.

Et særlig aktuelt tilfelle av viderebehandling gjelder bruk av opplysninger Statens pensjonskasse har fra tidligere saksbehandling. I praksis vil det ikke være uvanlig at en person over tid har flere saker til behandling. I slike tilfeller vil Pensjonskassen ha et reelt behov for å behandle personopplysninger som er innhentet tidligere. Flere hensyn taler for at Pensjonskassen ser hen til opplysninger fra tidligere saksbehandling eller opplysninger innhentet fra en annen person i annen sak. Særlig ressurshensyn og hensynet til å opplyse saken best mulig er viktige hensyn, men også kontrollhensyn gjør seg sterkt gjeldende. Hvorvidt behandling av opplysninger som Statens pensjonskasse har fra tidligere saksbehandling vil være forenelig eller ikke med det opprinnelige formålet de ble samlet inn for, vil avhenge av en konkret vurdering i det enkelte tilfellet. Det vil derfor kunne være hensiktsmessig å regulere dette nærmere i en forskrift.

Det vises til lovforslaget § 45 b siste ledd.

9 Endringer i lov om pensjonsordning for arbeidstakere til sjøs

9.1 Behandling av personopplysninger – gjeldende rett

Pensjonstrygden for sjømenn er en offentlig og obligatorisk førtidspensjonsordning etablert ved lov 3. desember 1948 nr. 7 om pensjonstrygden for sjømenn. Ved lov 22. november 2019 nr. 72 ble lovens tittel, med virkning fra 1. januar 2020, endret til lov om pensjonsordning for arbeidstakere til sjøs. Navnet på institusjonen som administrerer ordningen er fortsatt «Pensjonstrygden for sjømenn».

Pensjonstrygden for sjømenn mottar og innhenter opplysninger om sine medlemmer og kunder for å kunne gi korrekte ytelser. Pensjonstrygden har ansvaret for å kreve inn premie fra arbeidstakere og arbeidsgivere samt å utbetale pensjonsytelser. For å kunne gi medlemmene korrekt pensjon er det nødvendig å ha tilgang til relevante personopplysninger. Pensjonstrygden for sjømenn henter nødvendig informasjon fra arbeidstakeren, arbeidsgiveren, pensjonsordninger og offentlige myndigheter.

Lov om pensjonsordning for arbeidstakere til sjøs har ikke nærmere bestemmelser om behandling av personopplysninger. Pensjonstrygdens grunnlag for behandling av personopplysninger følger av personvernforordningen artikkel 6 nr. 1 bokstav e («…utøve offentlig myndighet som den behandlingsansvarlige er pålagt») sammenholdt med et supplerende rettsgrunnlag, jf. artikkel 6 nr. 3. Det supplerende rettsgrunnlaget følger av lovreguleringen av de oppgavene som Pensjonstrygden for sjømenn skal utføre. Lovreguleringen angir blant annet saksbehandlingsregler, og oppstiller rammer for behandlingen gjennom detaljerte beskrivelser av medlemmenes rettigheter, fastsettelse av vilkår, hvem personopplysninger kan innhentes fra mv.

Lov om pensjonsordning for arbeidstakere til sjøs § 21 nr. 1 har bestemmelser om hvem som plikter å gi pensjonstrygden for sjømenn opplysninger. Fra 1. oktober 2018 fikk § 21 nr. 1 et nytt andre ledd som gir Pensjonstrygden tilgang til opplysninger fra Folkeregisteret som er nødvendig for forvaltning og beregning av ytelser som Pensjonstrygden administrerer.

Pensjonstrygden har stort sett automatisert all saksbehandling både for premieinnbetaling og pensjonssaker. Pensjonstrygden har videre et behov for å kunne teste på produksjonsdata.

9.2 Høringsnotatet

Etter gjeldende rett har Pensjonstrygden som nevnt hjemmel til å innhente opplysninger som er nødvendige for å sikre riktig behandling av saker etter loven, men loven har ikke nærmere bestemmelser om behandling av personopplysninger.

Personvernforordningens definisjon av «behandling» av personopplysninger omfatter også «innhenting», se artikkel 4 nr. 2. Dette skulle tilsi at bestemmelser om innhenting og behandling av personopplysninger reguleres i tilknytning til hverandre. Av lovtekniske hensyn foreslo departementet at reglene om innhenting likevel beholdes i en egen bestemmelse slik det også er gjort i utlendingsloven, se utlendingsloven §§ 83 a og 84.

Departementet foreslo at lov om pensjonsordning for arbeidstakere til sjøs § 21 nr. 1 første ledd om innhenting av opplysninger endres slik at den også omfatter beregning av forventet pensjon, jf. begrepet «å forvalte pensjonstrygden» i lovforslaget.

I ny § 21 a foreslo departementet på tilsvarende måte som for Statens pensjonskasse at det med nødvendige tilpasninger til Pensjonstrygden for sjømenn tas inn en overordnet hjemmel som angir rammene for behandling av personopplysninger.

Pensjonstrygden har stort sett automatisert all saksbehandling, både for premieinnbetaling og pensjonssaker. Departementet foreslo en uttrykkelig lovbestemmelse i lov om pensjonsordning for arbeidstakere til sjøs ny § 21 a andre ledd om at Pensjonstrygden skal kunne treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger. Behandlingen må sikre partens krav til forsvarlig saksbehandling, egnede tiltak som ivaretar den registrertes rettigheter og friheter, og for øvrig være forenlig med retten til vern av personopplysninger. Det ble vist til punkt 3.2.1 og 3.2.2 i høringsnotatet.

I høringsnotatet ble det redegjort for at vedtak om pensjon kan ankes inn for Trygderetten og at Pensjonstrygden da foretar en manuell vurdering av saken.

Det ble i høringsnotatet videre gitt uttrykk for at Pensjonstrygden for sjømenn har behov for viderebehandling av opplysninger til statistikk- og analyseformål, herunder premie og pensjon. Eksempler på statistikk er antall medlemmer som tar pensjon, blir uføre eller som tar ut pensjon og medlemmenes alder for start av en ytelse. Statistikker fremgår blant annet av årsrapporter. Arbeids- og sosialdepartementet bestiller ulike statistikker, herunder for å se trender og utvikling. Det utarbeides også statistikker og analyser til internt bruk for å identifisere «flaskehalser», forbedringstiltak og oppfølging av saksbehandlingen. Pensjonstrygden for sjømenn gir også estimater til Arbeids- og sosialdepartementet om inntekter og utgifter til bruk i statsbudsjettet.

Det ble videre vist til at det er behov for bruk av personopplysninger til testing og utvikling av it-systemer. For å kontrollere om gjeldende regler og fakta er programmert riktig, kan det være behov for å anvende personopplysninger, selv om det tilstrebes å gjøre dette på anonymiserte opplysninger. Dette vil for eksempel gjelde når ordningen får nye regler.

På denne bakgrunn foreslo departementet tilsvarende hjemler for viderebehandling av opplysninger for Pensjonstrygden for sjømenn som for Statens pensjonskasse.

9.3 Høringsinstansenes syn

Ingen av høringsinstansene har hatt merknader direkte til forslagene til endringer i lov om pensjonsordning for arbeidstakere til sjøs. Det vises til punkt 4.2 og 5.2 hvor generelle synspunkter på høringsnotatet er omtalt, samt punkt 8.3 hvor det er redegjort for høringsinstansenes syn på forslagene til endringene i lov om Statens pensjonskasse. Departementet legger til grunn at synspunktene vil gjelde tilsvarende for endringene i lov om pensjonsordning for arbeidstakere til sjøs.

9.4 Departementets vurdering og forslag

Departementet viser til punkt 8.4.2 (innhenting av personopplysninger), 8.4.3 (behandling av personopplysninger), 8.4.4 (tilgang til Folkeregisteret), 8.4.5 (helautomatiserte avgjørelser) og 8.4.6 (viderebehandling av personopplysninger).

10 Endringer i lov om pensjonstrygd for fiskere

10.1 Behandling av personopplysninger i pensjonstrygden for fiskere – gjeldende rett

Pensjonstrygden for fiskere er en pliktig førtids pensjonsordning som omfatter alle som har fiske som hovedyrke. Fiskerpensjon skal muliggjøre en viss nedtrapping av arbeidsinnsatsen noen år før det ytes alderspensjon fra folketrygden. Fiskerpensjon ytes i dag som en førtidspensjon mellom 60 og 67 år. Ordningen er hjemlet i lov 28 juni 1957 nr. 12 om pensjonstrygd for fiskere.

Garantikassen for fiskere har den daglige administrasjonen av pensjonstrygden for fiskere, jf. § 1 i forskrift 1. mars 2002 nr. 211 om administrasjonsansvaret for pensjonstrygden for fiskere. Administrasjonsansvaret er nærmere regulert i forskrift 1. mars 2002 nr. 215 om administrasjon av pensjonstrygden for fiskere. Etter forskriften § 1 skal garantikassen:

  • kreve inn medlemspremie

  • avgjøre krav om å bli unntatt fra trygden eller om å bli opptatt som frivillig medlem

  • avgjøre krav om ytelser etter lov om pensjonstrygd for fiskere, herunder foreta beregning og samordning av pensjoner

  • utbetale ytelser

  • føre rettighetsregister (sentralregister)

  • informere om pensjonstrygden for fiskere.

Garantikassen mottar og innhenter opplysninger om sine medlemmer for å kunne gi korrekte ytelser. Garantikassen har ansvaret for å kreve inn premie fra medlemmene samt å utbetale pensjonsytelser. For å kunne gi medlemmene korrekt pensjon er det nødvendig å ha tilgang til relevante personopplysninger. Garantikassen henter nødvendig informasjon fra medlemmene, pensjons- og trygdeordninger og andre offentlige myndigheter.

Lov om pensjonstrygden for fiskere har ikke nærmere bestemmelser om behandling av personopplysninger. Garantikassens grunnlag for behandling av personopplysninger følger av personvernforordningen artikkel 6 nr. 1 bokstav e («…utøve offentlig myndighet som den behandlingsansvarlige er pålagt») sammenholdt med et supplerende rettsgrunnlag, jf. artikkel 6 nr. 3. Det supplerende rettsgrunnlaget følger av lovreguleringen av de oppgavene som Garantikassen skal utføre. Lovreguleringen angir blant annet saksbehandlingsregler, og oppstiller rammer for behandlingen gjennom detaljerte beskrivelser av medlemmenes rettigheter, fastsettelse av vilkår, hvem personopplysninger kan innhentes fra mv.

Lov om pensjonstrygd for fiskere § 29 har i dag bestemmelser om hvem som plikter å gi Garantikassen for fiskere opplysninger. Fra 1. oktober 2018 fikk paragrafen et nytt annet ledd som gir Garantikassen tilgang til opplysninger i Folkeregisteret som er nødvendig for forvaltning og beregning av ytelser som Garantikassen administrerer.

Garantikassen har i liten grad automatisert saksbehandlingen av fiskerpensjon.

10.2 Høringsnotatet

Lov om pensjonstrygd for fiskere § 29 har i dag bestemmelser om hvem som plikter å gi Garantikassen for fiskere opplysninger. Bestemmelsens andre ledd gir Garantikassen tilgang til opplysninger i Folkeregisteret som er nødvendige for å utføre oppgaver etter loven.

Personvernforordningens definisjon av «behandling» av personopplysninger omfatter også «innhenting», se artikkel 4 nr. 2. Dette skulle tilsi at bestemmelser om innhenting og behandling av personopplysninger reguleres i tilknytning til hverandre. Av lovtekniske hensyn foreslo departementet at reglene om innhenting likevel beholdes i en egen bestemmelse slik det også er gjort i utlendingsloven, se §§ 83 a og 84.

I høringsnotatet foreslo departementet at lov om pensjonstrygd for fiskere § 29 første ledd om innhenting av opplysninger endres slik at den også omfatter beregning av forventet pensjon.

I ny § 29 a foreslo departementet på tilsvarende måte som for Statens pensjonskasse og Pensjonstrygden for sjømenn at det med nødvendige tilpasninger til pensjonstrygden for fiskere, tas inn en overordnet hjemmel som angir rammene for behandling av innhentede personopplysninger i ordningen.

Garantikassen har i liten grad automatisert saksbehandlingen av fiskerpensjon. Departementet foreslår en uttrykkelig lovbestemmelse i lov om pensjonstrygd for fiskere ny § 29 a andre ledd, om at Garantikassen skal kunne treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger. Behandlingen må sikre partens krav til forsvarlig saksbehandling, egnede tiltak som ivaretar den registrertes rettigheter og friheter, og for øvrig være forenlig med retten til vern av personopplysninger. Det ble vist til punkt 3.2.1 og 3.2.2 i høringsnotatet.

Det ble videre redegjort for at vedtak om pensjon kan ankes inn for Trygderetten og Garantikassen da foretar en manuell vurdering av saken.

Det ble i høringsnotatet videre gitt uttrykk for at Garantikassen har behov for viderebehandling av opplysninger til statistikk- og analyseformål, herunder premie og pensjon. Opplysningene benyttes i Garantikassens årsrapport, som gir nærmere oversikt over statistiske data vedrørende pensjonstrygden for fiskere, for eksempel om antall pensjonister, innbetalt medlemspremie, antall utbetalinger og totalt utbetalt pensjon i kalenderåret. Garantikassen for fiskere utarbeider videre prognoser over forventet utbetalt pensjon, antall pensjonister, pensjonstrygden for fiskere sine forventede inntekter og behov for tilleggsfinansiering. Nytt fra og med 2020 er at slike prognoser er gitt til Arbeids- og sosialdepartementet i forbindelse med Statsbudsjettet for 2020, og de kommende tre år. Garantikassen for fiskere kan videre ha behov for tilgang til personopplysninger fra offentlige registre i forbindelse med testing/utvikling av IT-systemer.

Departementet foreslo etter dette tilsvarende hjemler for viderebehandling av opplysninger som for Statens pensjonskasse og Pensjonstrygden for sjømenn.

10.3 Høringsinstansenes syn

Ingen av høringsinstansene har hatt merknader direkte til forslagene til endringer i lov om pensjonstrygd for fiskere. Det vises til punkt 4.2 og 5.2 hvor generelle synspunkter på høringsnotatet gjelder, samt punkt 8.3 hvor det er redegjort for høringsinstansenes syn på forslagene til endringene i lov om Statens pensjonskasse. Departementet legger til grunn at synspunktene vil gjelde tilsvarende for endringene i lov om pensjonsordning for arbeidstakere til sjøs.

10.4 Departementets vurdering og forslag

Departementet viser til punkt 8.4.2 (innhenting av personopplysninger), 8.4.3 (behandling av personopplysninger), 8.4.4 (tilgang til Folkeregisteret), 8.4.5 (helautomatiserte avgjørelser) og 8.4.6 (viderebehandling av personopplysninger).

11 Personvernkonsekvenser

Arbeids- og velferdsforvaltningen, Statens pensjonskasse og pensjonstrygdene for sjømenn og fiskere behandler en stor mengde personopplysninger om et stort antall borgere. Mange av opplysningene som behandles er særlige kategorier personopplysninger, som opplysninger om helseforhold. Også opplysninger som ikke regnes som særlige kategorier personopplysninger, kan oppleves private og personlige.

Behandling av personopplysninger, som ikke er basert på samtykke, innebærer et inngrep i personvernet til borgerne i den forstand at de selv ikke kan bestemme over behandlingen av egne personopplysninger. Opplysningene som forslaget gjelder, er imidlertid helt nødvendige for at de aktuelle myndighetene skal kunne behandle krav om ytelser og tjenester, og for at den enkelte sikres disse i samsvar med de respektive lovene.

Personopplysninger kan kun samles inn til spesifikke, uttrykkelig angitte og berettigete formål, jf. artikkel 5 nr. 1 bokstav b. Med et uttrykkelig angitt og konkret formål vil det i større grad være enkelt å angi hvilke personopplysninger som er adekvate, nødvendige og relevante for å oppfylle formålet (prinsippet om dataminimering). Prinsippene her vil ivaretas gjennom de rammene som er nedfelt i de respektive lovene som er grunnlag for behandlingen av personopplysningene. Behovet for opplysninger vil variere med vilkårene som er fastsatt for den enkelte ytelse. For eksempel i saker om barnetrygd, vil nødvendige opplysninger hovedsakelig omfatte fødselsdato og bosted, som er registrert i folkeregisteret. I saker om uføretrygd/uførepensjon vil det være behov for en rekke opplysninger knyttet til vilkårsfastsettelsen, for eksempel helseopplysninger, opplysninger om nedsatt inntektsevne og gjennomgått hensiktsmessig behandling og arbeidsrettede tiltak mv.

Personvernforordningen artikkel 5 nr. 1 bokstav f fastsetter at personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling, og mot utilsiktet tap, ødeleggelse eller skade ved bruk av egnede tekniske eller organisatoriske tiltak (prinsippet om integritet og konfidensialitet).

Det er videre forbudt å oppbevare personopplysninger lenger enn det som er nødvendig for formålet de ble samlet inn for.

Departementet forutsetter at de aktuelle myndighetene sørger for at personopplysningene er korrekte og oppdaterte, at de underlegges tilstrekkelig informasjonssikkerhet og at de slettes når formålet er oppfylt. Myndighetene må videre sørge for å iverksette tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger. Arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn og Garantikassen for fiskere må ha strenge og detaljerte retningslinjer for behandling av personopplysninger som ivaretar kravene i personvernforordningen. Departementet vil dessuten peke på at de nevnte myndighetene har taushetsplikt, noe som er viktig for borgernes rettssikkerhet og personvern.

Forslaget om en uttrykkelig generell hjemmel for behandling av personopplysninger medfører ikke noen større konsekvenser for personvernet enn det som følger av gjeldende rett, fordi myndighetene ikke gis utvidet adgang til å behandle personopplysninger. Et slikt klart rettsgrunnlag vil imidlertid bidra til økt åpenhet og forutsigbarhet for de registrerte.

For at helautomatiserte avgjørelser skal være tillatt, stiller personvernforordningen artikkel 22 nr. 2 bokstav b krav om at det fastsettes egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Dette kreves også etter artikkel 22 nr. 4 for behandling av særlige kategorier personopplysninger.

Utformingen av tiltakene må være basert på en konkret vurdering av den aktuelle behandlingen. Forvaltningslovens regler om veiledningsplikt, kontradiksjon, innsyn, begrunnelse og klage må i utgangspunktet anses å være et vesentlig bidrag til å oppfylle forordningens krav om egnede tiltak. Garantiene i forvaltningsloven er imidlertid minimumsgarantier, og i tillegg kan det derfor måtte kreves at den behandlingsansvarlige iverksetter andre tiltak som er egnet til å redusere den økte risiko en automatisert behandling anses å medføre. Eksempler på hva som forøvrig kan være egnede tiltak, fremkommer blant annet av fortalepunkt 71 og av EDPBs veileder om automatiserte avgjørelser.

https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053

Det kan for eksempel være nødvendig å regulere krav til jevnlig kontroll og revisjon av de benyttede regler/algoritmer for å begrense faren for feil.

Departementet anser at den registrertes personvernrettigheter etter forordningen er tilstrekkelig ivaretatt gjennom lovforslaget her og tiltakene som er angitt ovenfor.

12 Økonomiske og administrative konsekvenser

Forslaget legger opp til at det gis en klar lovhjemmel for når behandling av personopplysninger er tillatt, med enkelte ytterligere presiseringer i forskrift. Dette vil kunne avskjære noen tvils- og tolkningsspørsmål som følger av dagens rettslige utgangspunkt, og slik sett bidrar forslaget til effektivisering. Det er imidlertid svært utfordrende å anslå ressursbruk og besparelser nærmere. Det legges imidlertid til grunn at forslaget vil kunne gjennomføres innenfor etatenes gjeldende rammer.

13 Merknader til de enkelte bestemmelsene i lovforslaget

13.1 Endringer i lov om pensjonsordning for arbeidstakere til sjøs

Til § 21 nr. 1 første ledd

Etter nåværende § 21 nr. 1 første ledd plikter blant annet offentlig myndighet uten hinder av eventuell taushetsplikt å gi de opplysningene som pensjonstrygden trenger for å «sikre riktig behandling av saker» etter loven her. Bestemmelsen endres slik at Pensjonstrygden for sjømenn har rett til å innhente de opplysningene som er nødvendige for å utføre oppgaver som følger av loven. Det legges til grunn at bestemmelsen da vil omfatte rett til å innhente opplysninger for å gi medlemmene informasjon om forventet pensjon. Det er i tillegg gjort en mindre språklig endring.

Til ny § 21 a

Det følger av første ledd at Pensjonstrygden for sjømenn kan behandle personopplysninger som er nødvendig for å utføre oppgaver som følger av loven.

Bestemmelsen forutsettes å omfatte rett til å behandle opplysninger for å beregne pensjoner og beregne avgifter. Videre vil bestemmelsen omfatte å gi medlemmene opplysninger om hva forventet pensjon blir (simulering), dersom dette var formålet med innhentingen av opplysningene (primærformålet). Om viderebehandling til simuleringsformål, se merknaden til tredje ledd.

Behandlingen begrenses gjennom et krav om at den må være nødvendig.

Etter andre ledd første punktum kan Pensjonstrygden treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger.

Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger, jf. andre ledd andre punktum. Bestemmelsen innebærer en henvisning til at grunnleggende krav til forsvarlig saksbehandling må være oppfylt, jf. forordningen artikkel 22 nr. 2 om at det må være fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Slike tiltak gjelder blant annet plikten til å innhente informasjon, veiledningsplikten, kontradiksjon, innsyn og begrunnelse, samt regler om nødvendige personverngarantier. Det innebærer også at det ikke kan legges opplysninger til grunn for avgjørelsen uten at det foreligger tilstrekkelige kvalitetssikringsmekanismer for at de er riktige og dekkende. Hva som kreves, må vurderes i lys av betydningen som behandlingen har for den enkelte, holdt opp imot samfunnets og forvaltningens behov.

Det følger av andre ledd tredje punktum at den helautomatiserte avgjørelsen ikke kan bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom. Etter fortalepunkt 71 i forordningen skal den registrerte som minimum ha rett til «menneskelig inngripen». Etter andre ledd fjerde punktum skal den registrerte ha rett til manuell overprøving av avgjørelsen uavhengig av klage- eller ankeadgang. Det forutsettes at klagebehandlingen er manuell.

Tredje til sjette ledd regulerer retten til å bruke personopplysninger til andre formål enn det de opprinnelig ble samlet inn for (viderebehandling).

Tredje ledd slår fast at Pensjonstrygden kan behandle innhentede personopplysninger for å beregne forventet pensjon og premie, og for å forbedre informasjonen til arbeidstakerne.

Etter fjerde ledd kan Pensjonstrygden gi opplysninger om arbeidstakerne til rederiet for kontroll av om de gitte opplysningene er riktige, og for kontroll av grunnlaget for avgiftene.

Femte ledd slår fast at personopplysninger kan behandles når det er nødvendig til utredning og produksjon av statistikk og analyse. Dette gjelder bare dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.

Etter sjette ledd kan Pensjonstrygden behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når det er nødvendig for å utvikle og teste it-systemer. Etter første punktum skal personopplysninger kunne benyttes til utvikling og testing av IT-systemer når dette er nødvendig for å sikre effektiv behandling av saker og riktige avgjørelser. Personopplysninger skal bare kunne benyttes til utvikling og testing når det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger, jf. andre punktum.

Det følger av syvende ledd at departementet kan gi nærmere regler i forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, adgangen til viderebehandling, utlevering, registerføring og tilgang til registre. Bestemmelsen åpner for forskrifter om viderebehandling for uforenelige formål.

13.2 Endringer i lov om Statens pensjonskasse

Til § 1

Nytt andre ledd bestemmer at formålet med pensjonsordningen i Statens pensjonskasse er å sikre medlemmene tjenestepensjon ved alderdom og uførhet. Ordningen skal også sikre pensjon til etterlatte.

Av nytt tredje ledd framgår det at Statens pensjonskasse også skal administrere andre pensjonsordninger, boliglånsordningen i staten, gruppelivsordningen i staten og andre ordninger, erstatningsordninger i staten og andre ordninger, når det er fastsatt ved lov eller av departementet.

Til § 45

Paragrafen omhandler innhenting av opplysninger og er i det alt vesentlige utformet i tråd med folketrygdloven §§ 21-4 og 21-4 c og lov om Statens pensjonskasse § 45.

Første ledd første punktum slår fast at Statens pensjonskasse har rett til å innhente de opplysningene som er nødvendig for å forvalte de ordningene Pensjonskassen administrerer. Bestemmelsen vil omfatte rett til å innhente opplysninger for å beregne pensjoner, beregne pensjonspremier og gi medlemmene opplysninger om forventet pensjon.

Etter første ledd andre punktum kan opplysninger innhentes fra arbeidsgiver, tidligere arbeidsgiver, offentlig myndighet, annen pensjons- eller trygdeordning, helsepersonell, kredittopplysningsvirksomhet, gjeldsinformasjonsforetak, forsikringsselskap og annen finansinstitusjon.

Adgangen til å innhente opplysninger omfatter etter første ledd tredje punktum også opplysninger om andre enn medlemmet eller den som kan ha rett til en ytelse. Dette vil f.eks. gjelde søkerens ektefelle og barn.

Andre ledd er utformet i tråd med folketrygdloven § 21-4 andre ledd første punktum, og pålegger helsepersonell å gi de erklæringene og uttalelsene som er nødvendige for å kunne vurdere rettigheter og plikter etter loven her og etter andre ordninger som Pensjonskassen administrerer. Slike erklæringer og uttalelser vil kunne være nødvendige ved behandling av søknader om uførepensjon og erstatning for personskade.

Tredje ledd første punktum bestemmer at den som blir pålagt å gi opplysninger, erklæringer og uttalelser etter første og andre ledd, plikter å gjøre dette uten hinder av taushetsplikt. Tredje ledd andre punktum slår fast at den som blir pålagt å gi opplysninger, plikter å gjøre dette uten godtgjørelse.

Fjerde ledd bestemmer at folketrygdloven § 21-4 c første og andre ledd om innhenting av pasientjournal og tredje ledd om fremgangsmåten ved innhenting av opplysninger gjelder tilsvarende.

Femte ledd pålegger en person som setter fram krav om eller mottar en ytelse å gi de opplysningene, meldingene og attestene som Pensjonskassen trenger for å kunne vurdere vedkommendes rettigheter og plikter. Dette gjelder også boliglån. Bestemmelsen er en videreføring av gjeldende § 45 andre ledd første punktum. Bestemmelsen om plikten til å gi opplysninger for et medlems ektefelle og livsarvinger og i tilfelle vergen, er en videreføring av gjeldende § 45 andre ledd andre punktum.

Sjette ledd om straffeansvar er, med unntak av en mindre språklig endring, en videreføring av gjeldende tredje ledd.

Til § 45 a

Statens pensjonskasse har i dag tilgang til opplysninger i Folkeregisteret​ som er nødvendig for «forvaltning og beregning av ytelser» som Pensjonskassen administrerer. Bestemmelsen er endret slik at Pensjonskassen skal ha tilgang til opplysninger i Folkeregisteret​ som er nødvendig for å forvalte «de ordningene» som Pensjonskassen administrerer, herunder også boliglånsordningen og erstatningsordningene.

Til ny § 45 b

Det følger av første ledd at Statens pensjonskasse kan behandle personopplysninger, herunder særlige kategorier av personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for å forvalte de ordningene som Pensjonskassen administrerer. Personvernforordningen artikkel 9 og 10 gjelder henholdsvis behandling av særlige kategorier personopplysninger og personopplysninger om straffedommer og lovovertredelser.

Bestemmelsen forutsettes å omfatte rett til å behandle opplysninger for å beregne pensjoner og pensjonspremier. Videre vil bestemmelsen omfatte å gi medlemmene opplysninger om hva forventet pensjon blir (simulering), dersom dette var formålet med innhentingen av opplysningene (primærformålet). Om viderebehandling til simuleringsformål, se merknaden til tredje ledd.

Behandlingen etter første ledd begrenses gjennom et krav om at den må være nødvendig.

Etter andre ledd første punktum kan Pensjonskassen treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger, herunder særlige kategorier av personopplysninger som nevnt i personvernforordningen artikkel 9 og 10.

Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger, jf. andre ledd andre punktum. Bestemmelsen innebærer en henvisning til at grunnleggende krav til forsvarlig saksbehandling må være oppfylt, jf. forordningen artikkel 22 nr. 2 om at det må være fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Slike tiltak gjelder blant annet plikten til å innhente informasjon, veiledningsplikten, kontradiksjon, innsyn, begrunnelse og klage, samt regler om nødvendige personverngarantier. Det innebærer også at det ikke kan legges opplysninger til grunn for avgjørelsen uten at det foreligger tilstrekkelige kvalitetssikringsmekanismer for at de er riktige og dekkende. Hva som kreves av egnede tiltak, må vurderes i lys av betydningen som behandlingen har for den enkelte, holdt opp imot samfunnets og forvaltningens behov.

Det følger av andre ledd tredje punktum at den helautomatiserte avgjørelsen ikke kan bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom. Det vises til omtalen i punkt 5.3.

Etter fortalepunkt 71 i forordningen skal den registrerte som minimum ha rett til «menneskelig inngripen». Ved klage foretas manuell behandling. Vedtak om pensjon kan ankes inn for Trygderetten, og Pensjonskassen foretar da en manuell vurdering av saken. For boliglån kan medlemmet be om en ny vurdering av lånesøknaden, og Pensjonskassen vil da foreta en manuell behandling. Det samme vil gjelde for eventuelt andre ordninger som blir automatisert hvor det ikke foreligger noen formell klage- eller ankerett. Søker kan be om en ny vurdering av søknaden, og behandlingen vil bli foretatt manuelt av Pensjonskassen. Departementet tydeliggjør i andre ledd fjerde punktum at den registrerte har rett til manuell overprøving av avgjørelsen uavhengig av klage- eller ankeadgang. Det forutsettes at klagebehandlingen er manuell.

Tredje til sjette ledd regulerer retten til å bruke personopplysninger til andre formål enn det de opprinnelig ble samlet inn for (viderebehandling).

Tredje ledd slår fast at Pensjonskassen kan behandle personopplysninger for å beregne forventet pensjon og innskott, og for å forbedre informasjonen til medlemmene.

Etter fjerde ledd kan Pensjonskassen gi opplysninger om medlemmene til arbeidsgiver for kontroll av at de gitte opplysningene er riktige, og for kontroll av grunnlaget for pensjonspremie.

Femte ledd slår fast at Pensjonskassen kan behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig til utredning og produksjon av statistikk og analyse. Dette gjelder bare dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.

Etter sjette ledd kan Pensjonskassen behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når det er nødvendig for å utvikle og teste it-systemer. Etter første punktum skal personopplysninger kunne benyttes til utvikling og testing av IT-systemer når dette er nødvendig for å sikre effektiv behandling av saker og riktige avgjørelser. Personopplysninger skal bare kunne benyttes til utvikling og testing når det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger, jf. andre punktum.

Det følger av syvende ledd at departementet kan gi nærmere regler i forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, adgangen til viderebehandling, utlevering, registerføring og tilgang til registre. Bestemmelsen åpner for forskrifter om viderebehandling for uforenlige formål.

Til ny § 45 c

Bestemmelsen om gjensidig opplysningsplikt mellom Statens pensjonskasse og annen pensjons- eller trygdeordning viderefører gjeldende § 45 fjerde ledd tredje punktum.

13.3 Endringer i lov om pensjonstrygd for fiskere

Til § 29

Etter gjeldende første ledd plikter blant annet offentlig myndighet uten hinder av eventuell taushetsplikt å gi de opplysninger som trygdens organer trenger for å «sikre riktig behandling av saker» etter loven her. Bestemmelsen endres slik at trygdens organer har rett til å innhente de opplysninger som er nødvendig for å utføre oppgaver som følger av loven. Det legges til grunn at bestemmelsen da vil omfatte rett til å innhente opplysninger for å gi medlemmene informasjon om forventet pensjon.

I andre ledd endres «Garantikassen» til «Garantikassen for fiskere».

Til ny § 29 a

Det følger av første ledd at trygdens organer kan behandle personopplysninger når dette er nødvendig for forvaltning av pensjonsordningen for fiskere.

Bestemmelsen vil omfatte rett til å behandle opplysninger for å beregne pensjoner. Videre vil bestemmelsen forutsetningsvis omfatte å gi medlemmene opplysninger om forventet pensjon (simulering), dersom dette var formålet med innhentingen av opplysningene (primærformålet). Om viderebehandling til simuleringsformål, se merknadene til tredje ledd. Behandlingen etter første ledd begrenses gjennom et krav om at den må være nødvendig.

Etter andre ledd første punktum kan trygdens organer treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger.

Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger, jf. andre ledd andre punktum. Bestemmelsen innebærer en henvisning til at grunnleggende krav til forsvarlig saksbehandling må være oppfylt, jf. forordningen artikkel 22 nr. 2 om at det må være fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Slike tiltak gjelder blant annet plikten til å innhente informasjon, veiledningsplikten, kontradiksjon, innsyn og begrunnelse, samt regler om nødvendige personverngarantier. Det innebærer også at det ikke kan legges opplysninger til grunn for avgjørelsen uten at det foreligger tilstrekkelige kvalitetssikringsmekanismer for at de er riktige og dekkende. Hva som kreves, må vurderes i lys av betydningen som behandlingen har for den enkelte, holdt opp imot samfunnets og forvaltningens behov.

Det følger av andre ledd tredje punktum at den helautomatiserte avgjørelsen ikke kan bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom. Etter fortalepunkt 71 i forordningen skal den registrerte som minimum ha rett til «menneskelig inngripen». Departementet tydeliggjør i fjerde punktum at den registrerte har rett til manuell overprøving av avgjørelsen uavhengig av klage- eller ankeadgang. Det forutsettes at klagebehandlingen er manuell.

Tredje til femte ledd regulerer retten til å bruke personopplysninger til andre formål enn det de opprinnelig ble samlet inn for (viderebehandling).

Tredje ledd slår fast at trygdens organer kan behandle personopplysninger for å beregne forventet pensjon og premie, og for å forbedre informasjonen til medlemmene.

Fjerde ledd fastslår at trygdens organer kan behandle personopplysninger når det er nødvendig til utredning og produksjon av statistikk og analyse. Dette gjelder bare dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.

Etter femte ledd kan trygdens organer behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når det er nødvendig for å utvikle og teste it-systemer. Etter første punktum skal personopplysninger kunne benyttes til utvikling og testing av IT-systemer når dette er nødvendig for å sikre effektiv behandling av saker og riktige avgjørelser. Personopplysninger skal bare kunne benyttes til utvikling og testing når det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger, jf. andre punktum.

Det følger av sjette ledd at departementet kan gi nærmere regler i forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, adgangen til viderebehandling, utlevering, registerføring og tilgang til registre.

13.4 Endringer i lov om pensjonsordning for sykepleiere

I § 36 nytt fjerde ledd gis bestemmelsene i lov om Statens pensjonskasse § 45 b om behandling av personopplysninger tilsvarende anvendelse ved KLPs forvaltning av pensjonsordningen for sykepleiere. Se merknadene til § 45 b i punkt 13.2.

13.5 Endringer i arbeids- og velferdsforvaltningsloven

Til ny § 4 a

Første ledd bestemmer at Arbeids- og velferdsetaten kan behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for å utøve myndighet eller utføre andre oppgaver etter de lovene som etaten administrerer. Behandlingen må knytte seg til myndighetsutøvelse eller andre oppgaver som følger av lovene som etaten administrerer. Personvernforordningen artikkel 9 og 10 gjelder henholdsvis behandling av særlige kategorier personopplysninger og personopplysninger om straffedommer og lovovertredelser.

Første ledd forutsettes å omfatte rett til å behandle personopplysninger for å beregne ytelser og avgifter. Videre vil bestemmelsen omfatte å gi medlemmene opplysninger om hva forventet ytelse blir (simulering), dersom dette var formålet med innhentingen av opplysningene (primærformålet).

Behandlingen etter første ledd begrenses gjennom kravet om at den må være nødvendig.

Hjemler for innhenting av personopplysninger følger av særlovgivningen.

Etter andre ledd første punktum kan Arbeids- og velferdsetaten treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10. Etter andre punktum må behandlingen sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. Det følger av tredje punktum at den helautomatiserte avgjørelsen ikke kan bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom, se punkt 5.3.

Etter fortalepunkt 71 i forordningen skal den registrerte som minimum ha rett til «menneskelig inngripen». Ved klage foretas manuell behandling. Departementet tydeliggjør i fjerde punktum at den registrerte har rett til manuell overprøving av avgjørelsen i den grad det ikke foreligger formell klage- eller ankerett.

Det følger av tredje ledd at departementet kan gi nærmere regler i forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, registerføring og tilgang til registre.

13.6 Endringer i lov om pensjonsordning for ledsagere i utenrikstjenesten

I ny § 3 a gis bestemmelsene i lov om Statens pensjonskasse § 45 b om behandling av personopplysninger tilsvarende anvendelse ved Utenriksdepartementets og Statens pensjonskasses forvaltning av pensjonsordningen for ledsagere i utenrikstjenesten. Se omtalen i punkt 4.3.

13.7 Endringer i sosialtjenesteloven

Til ny § 43 a

Det følger av første ledd at kommunen, Fylkesmannen, Statens helsetilsyn og Arbeids- og velferdsdirektoratet kan behandle innhentede personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for å behandle saker som gjelder alle de tjenestene kommunen administrerer med hjemmel i denne loven. Dette vil også gjelde i tilfeller der kommunen mottar opplysninger fra Arbeids- og velferdsetaten med hjemmel i arbeids- og velferdsforvaltningsloven §§ 8 og 16, som for eksempel gir grunnlag for å tilby økonomisk veiledning til en person som mottar statlige ytelser og ikke har søkt særskilt om kommunale tjenester. Opplysning, råd og veiledning er grunnleggende i de kommunale sosiale tjenestene, også for personer som ikke mottar andre sosiale tjenester fra kommunen. Personvernforordningen artikkel 9 og 10 gjelder henholdsvis behandling av særlige kategorier personopplysninger og personopplysninger om straffedommer og lovovertredelser.

Behandling etter første ledd begrenses gjennom kravet om at behandlingen må være nødvendig.

Det følger av andre ledd at departementet kan gi nærmere regler i forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, registerføring og tilgang til registre.

Tilråding

Arbeids- og sosialdepartementet

tilrår:

At Deres Majestet godkjenner og skriver under et framlagt forslag til proposisjon til Stortinget om endringer i arbeids- og velferdsforvaltningsloven, sosialtjenesteloven, lov om Statens pensjonskasse og enkelte andre lover (behandling av personopplysninger).

Vi HARALD, Norges Konge,

stadfester:

Stortinget blir bedt om å gjøre vedtak til lov om endringer i arbeids- og velferdsforvaltningsloven, sosialtjenesteloven, lov om Statens pensjonskasse og enkelte andre lover (behandling av personopplysninger) i samsvar med et vedlagt forslag.

Forslag
til lov om endringer i arbeids- og velferdsforvaltningsloven, sosialtjenesteloven, lov om Statens pensjonskasse og enkelte andre lover (behandling av personopplysninger)

I

I lov 3. desember 1948 nr. 7 om pensjonsordning for arbeidstakere til sjøs gjøres følgende endringer:

§ 21 nr. 1 første ledd skal lyde:

Pensjonstrygden for sjømenn kan kreve at offentlige myndigheter, rederier samt institusjoner som administrerer andre pensjonsordninger, uten godtgjørelse og uten hinder av taushetsplikt, skal gi pensjonstrygden for sjømenn de opplysninger som er nødvendige for å utføre oppgaver etter denne loven.

Ny § 21 a skal lyde:

Pensjonstrygden for sjømenn kan behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for å forvalte pensjonstrygden.

Pensjonstrygden for sjømenn kan treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger. Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger Avgjørelsen kan ikke bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom. Den registrerte har rett til manuell overprøving av avgjørelsen.

Pensjonstrygden for sjømenn kan behandle innhentede personopplysninger for å beregne forventet pensjon og avgift, og for å forbedre informasjonen til arbeidstakere som omfattes av pensjonsordningen.

Pensjonstrygden for sjømenn kan gi rederiet opplysninger som rederiet tidligere har gitt om arbeidstakerne, slik at rederiet kan kontrollere om opplysningene er riktige, og kontrollere grunnlaget for arbeidstaker- og rederiavgiften.

Pensjonstrygden for sjømenn kan behandle innhentede personopplysninger når dette er nødvendig for utredning og produksjon av statistikk og analyse, men bare dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.

Pensjonstrygden for sjømenn kan behandle innhentede personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, for å utvikle og teste IT-systemer, når dette er nødvendig for å sikre effektiv behandling av saker og riktige avgjørelser. Dette gjelder bare dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.

Departementet kan gi forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke typer personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, adgangen til viderebehandling, utlevering, registerføring og tilgang til registre.

II

I lov 28. juli 1949 nr. 26 om Statens pensjonskasse gjøres følgende endringer:

§ 1 nytt andre og tredje ledd skal lyde:

Formålet med pensjonsordningen i Statens pensjonskasse er å sikre medlemmene tjenestepensjon ved alderdom og uførhet. Ordningen skal også sikre pensjon til etterlatte.

Når det er fastsatt ved lov eller bestemt av departementet, skal Pensjonskassen i tillegg administrere andre ordninger, herunder

  • a) andre pensjonsordninger

  • b) boliglånsordningen i staten

  • c) gruppelivsordningen i staten

  • d) erstatningsordninger i staten.

§ 45 skal lyde:

Statens pensjonskasse har rett til å innhente de opplysningene som er nødvendige for å forvalte de ordningene Pensjonskassen administrerer fra arbeidsgiver, tidligere arbeidsgiver, offentlig myndighet, institusjon som administrerer annen pensjons- eller trygdeordning, helsepersonell, kredittopplysningsvirksomhet, gjeldsinformasjonsforetak, forsikringsselskap og annen finansinstitusjon. Adgangen til å innhente opplysninger etter første punktum omfatter også opplysninger om andre enn medlemmet eller den som kan ha rett til en ytelse eller har søkt om lån.

Helsepersonell plikter å gi de erklæringene og uttalelsene som er nødvendige for å kunne vurdere rettigheter og plikter etter loven her og etter andre ordninger som Pensjonskassen administrerer.

Den som blir pålagt å gi opplysninger, erklæringer og uttalelser etter første og andre ledd, plikter å gjøre dette uten hinder av taushetsplikt. Den som blir pålagt å gi opplysninger, plikter å gjøre dette uten godtgjørelse.

Folketrygdloven § 21-4 c første til tredje ledd gjelder tilsvarende.

Pensjonskassen kan pålegge den som setter frem krav om eller mottar en ytelse, å sende inn de opplysninger, meldinger og attester som er nødvendige for at Pensjonskassen skal kunne vurdere vedkommendes rettigheter og plikter. Dette gjelder også boliglån. Plikten til å gi opplysninger mv. gjelder også et medlems ektefelle og livsarvinger og i tilfelle vergen.

Unnlatelse av å etterkomme pliktene etter paragrafen her straffes med bøter.

§ 45 a skal lyde:

Statens pensjonskasse skal, uten hinder av taushetsplikt, ha tilgang til opplysninger i Folkeregisteret som er nødvendig for å forvalte de ordningene som Pensjonskassen administrerer. Pensjonskassen skal også ha tilgang til opplysninger i registeret til utredning og produksjon av statistikk.

Ny § 45 b skal lyde:

Statens pensjonskasse kan behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for å forvalte de ordningene som Pensjonskassen administrerer.

Pensjonskassen kan treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10. Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. Avgjørelsen kan ikke bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom. Den registrerte har rett til manuell overprøving av avgjørelsen.

Pensjonskassen kan behandle innhentede personopplysninger for å beregne forventet pensjon og innskott, og for å forbedre informasjonen til medlemmene.

Pensjonskassen kan gi arbeidsgivere opplysninger som de tidligere har gitt om medlemmene slik at arbeidsgiverne kan kontrollere om opplysningene er riktige, og kontrollere grunnlaget for pensjonspremien.

Pensjonskassen kan behandle innhentede personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for utredning og produksjon av statistikk og analyse, men bare dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.

Pensjonskassen kan behandle innhentede personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, for å utvikle og teste IT-systemer, når dette er nødvendig for å sikre effektiv behandling av saker og riktige avgjørelser. Dette gjelder bare dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.

Departementet kan gi forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke typer personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, adgangen til viderebehandling, utlevering, registerføring og tilgang til registre.

Ny § 45 c skal lyde:

Pensjonskassen og institusjon som administrerer annen pensjons- eller trygdeordning har gjensidig opplysningsplikt, når ytelse fra Pensjonskassen skal samordnes med ytelse fra den andre ordningen, eller Pensjonskassen har sluttet overenskomst med institusjonen som administrerer ordningen etter § 46.

III

I lov 28. juni 1957 nr. 12 om pensjonstrygd for fiskere gjøres følgende endringer:

§ 29 skal lyde:

Trygdens organer kan kreve at offentlige myndigheter og institusjoner som administrerer andre pensjons- eller trygdeordninger uten godtgjørelse og uten hinder av eventuell taushetsplikt skal gi trygdens organer opplysninger som er nødvendige for å utføre oppgaver etter denne loven.

Garantikassen for fiskere kan, uten hinder av taushetsplikt, innhente fra Folkeregisteret​ de opplysninger som er nødvendige for å utføre oppgaver etter denne loven. Garantikassen skal også ha tilgang til opplysninger i registeret til utredning og produksjon av statistikk

Ny § 29 a skal lyde:

Trygdens organer kan behandle personopplysninger, herunder opplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for å utføre oppgaver etter denne loven.

Trygdens organer kan treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger. Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. Avgjørelsen kan ikke bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom. Den registrerte har rett til manuell overprøving av avgjørelsen.

Trygdens organer kan behandle innhentede personopplysninger for å beregne forventet pensjon og premie, og for å forbedre informasjonen til medlemmene.

Trygdens organer kan behandle innhentede personopplysninger når dette er nødvendig for utredning og produksjon av statistikk og analyse, men bare dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.

Trygdens organer kan behandle innhentede personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, for å utvikle og teste IT-systemer, når dette er nødvendig for å sikre effektiv behandling av saker og riktige avgjørelser. Dette gjelder bare dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller fiktive opplysninger.

Departementet kan gi forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke typer personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, adgangen til viderebehandling, utlevering, registerføring og tilgang til registre.

IV

I lov 22. juni 1962 nr. 12 om pensjonsordning for sykepleiere gjøres følgende endringer:

§ 36 nytt fjerde ledd lyde:

Bestemmelsene i lov om Statens pensjonskasse § 45 b om behandling av personopplysninger gjelder tilsvarende.

§ 36 nåværende fjerde og femte ledd blir femte og sjette ledd.

V

I lov 16. juni 2006 nr. 20 om arbeids- og velferdsforvaltningen skal ny § 4 a lyde:

§ 4 a Behandling av personopplysninger

Arbeids- og velferdsetaten kan behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for å utøve myndighet eller utføre andre oppgaver etter de lovene som etaten administrerer.

Arbeids- og velferdsetaten kan treffe avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10. Behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. Avgjørelsen kan ikke bygge på skjønnsmessige vilkår i lov eller forskrift, med mindre avgjørelsen er utvilsom. Den registrerte har rett til manuell overprøving av avgjørelsen.

Departementet kan gi forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke typer personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, registerføring og tilgang til registre.

VI

I lov 18. desember 2009 nr. 131 om sosiale tjenester i arbeids- og velferdsforvaltningen gjøres følgende endringer:

Ny § 43 a skal lyde:

§ 43 a Behandling av personopplysninger

Kommunen, Fylkesmannen, Statens helsetilsyn og Arbeids- og velferdsdirektoratet kan behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for å behandle saker som gjelder tjenester etter loven her.

Departementet kan gi forskrift om behandlingen, blant annet om formålet med behandlingen, behandlingsansvar, hvilke typer personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, registerføring og tilgang til registre.

VI

I lov 15. januar 1999 nr. 1 om pensjonsordning for ledsagere i utenrikstjenesten skal ny § 3 a lyde:

Bestemmelsene i lov om Statens pensjonskasse § 45 b om behandling av personopplysninger gjelder tilsvarende.

VII

Ikrafttredelse

Loven trer i kraft straks.