Aktiver Javascript i din nettleser for en bedre opplevelse på regjeringen.no

Internasjonal rett

Internasjonal rett

Innledning

Vernet av den personlige integritet er nedfelt i internasjonale avtaler som Norge er forpliktet av. De sentrale regelverk er Den europeiske menneskerettighets­konvensjon av 4. november 1950, Europarådskonvensjon nr. 108 om personvern i forbindelse med elektronisk databehandling av personopplysninger og EUs personverndirektiv. Disse reglene har direkte eller indirekte betydning for spørsmålet om regulering av adgangen til kontrolltiltak. Menneskerettighets­konvensjonene er inkorporert i norsk rett gjennom menneskerettsloven 1lov av 21.05.1999 nr 30 om styrking av menneskerettighetenes stilling i norsk rett. og personverndirektivet gjennom personopplysningsloven. 2Lov av 14.04.2000 nr 31 om behandling av personopplysninger

Den europeiske menneskerettighetskonvensjon mm

Den europeiske menneskerettighetskonvensjon artikkel 8 nr. 1 slår fast at

”Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.”

Bestemmelsen beskytter retten til privatliv, som er retten til å leve sitt liv uten inngripen fra utenforstående. Dette omfatter rett til så vel fysisk og psykisk integritet som beskyttelse av ære og rykte. Retten til privatliv omfatter også beskyttelse mot overvåking og beskyttelse av informasjon om private forhold.

I norsk rettspraksis er det bygget på det samme allmenne prinsippet om privatlivets fred som konvensjonen er uttrykk for, uten at konvensjonen uttrykkelig er nevnt i premissene. Artikkel 8 er en tolkningsfaktor i forhold til personopplysningsloven. Dette følger av at konvensjonen gjelder direkte som norsk lov (jf menneskerettsloven § 2). Videre slås det i fortalen til EUs personverndirektiv fast at nasjonal lovgivning skal sikre privatlivets fred i arbeidsforhold i samsvar med artikkel 8 nr. 1.

Europadomstolen har tatt stilling til artikkel 8 i flere avgjørelser 3For eksempel Smith and Grady vs Storbritannia (dom av 27 september 1999) og Lustig-Prean og Beckett vs Storbritannia (dom av 27 september 1999) om opplysninger om homoseksualitet og ekskludering fra det britiske forsvaret, samt Leander vs Sverige (dom av 26 mars 1987) om svenske myndigheters innsamling av hemmelig informasjon om en person og bruken av denne informasjonen til å nekte offentlig stilling som krevet sikkerhetsklarering., men disse belyser i begrenset grad de spørsmål som drøftes her. Her kan det imidlertid nevnes at den svenske Arbetsdomstolen i en dom fra 1998 kom til at narkotikatesting av ansatte ved et atomkraftverk ikke var i strid med artikkel 8 (AD 1998 nr. 97). Artikkel 8 er påberopt også etter en dansk voldgiftsavgjørelse vedrørende adgangen til urintesting i arbeidsforhold. I avgjørelsen ble det akseptert at arbeidsgiver (rederiet DFDS) i kraft av styringsretten kunne pålegge arbeidstakerne å avgi urinprøve. Fagforeningen anfører at mangelen på forbud mot urintesting i arbeidsforhold er en krenkelse av artikkel 8. 4Kjennelse av 23 februar 2000, jf Ruth Nielsen: ”Persondata og arbejdsgiverens ledelsesret”, i Juridisk Institut, Julebog 2000, København 2000, s 276 Begge avgjørelsene er brakt inn for Europadomstolen. Det foreligger pr. i dag ingen avgjørelser i domstolen i disse sakene.

FN-konvensjonen om sivile og politiske rettigheter artikkel 17 beskytter også den personlige integritet:

”1. Ingen må utsettes for vilkårlige eller ulovlige inngrep i privat- eller familieliv, hjem eller korrespondanse, eller ulovlige inngrep på ære eller omdømme.

2. Enhver har rett til lovens beskyttelse mot slike inngrep eller angrep.”

Også denne konvensjonen er gjort til norsk lov gjennom menneskerettsloven.

En sak er at disse bestemmelsene setter skranker for staten i forhold til den enkelte. En annen sak er om bestemmelsene også setter skranker i forholdet mellom private, typisk i forholdet mellom arbeidsgiver og arbeidstaker (spørsmålet om konvensjonenes horisontale effekt). Europadomstolen har uttalt at staten har en viss plikt til å beskytte private mot andres overtredelse av deres privat- og familieliv. Domstolen har derimot ikke tatt stilling til om dette gjelder i forholdet mellom private. Det kan imidlertid ikke være tvil om at konvensjonenes grunnleggende prinsipp om vern av personlig integritet skal legges til grunn også i arbeidsforhold. Prinsippet er en tolkningsfaktor i forhold til personopplysnings­loven, ulovfestede prinsipper osv. Bestemmelsene utgjør antagelig en selvstendig skranke for etablering og gjennomføring av kontrolltiltak.

Europarådskonvensjon nr. 108 om personvern i forbindelse med elektronisk data­behandling av personopplysninger fra 1981 er ratifisert av Norge. Konvensjonen gjelder all lagring og behandling av personopplysninger på edb. EUs person­verndirektiv bygger på konvensjonen. Personopplysningsloven ble ved vedtak­elsen ansett for å være i overensstemmelse med konvensjonen.

ILOs Code of Conduct

International Labour Organisation - ILO - har på dette området ikke noe tilsvarende regelverk som binder Norge. Organisasjonen har imidlertid utarbeidet anbefalinger til medlemsstatene om vern av arbeidstakeres personlige integritet, ”Protection of workers’ personal data: an ILO code of practice” fra 1996. Dette er tale om veiledende retningslinjer om den praksis som bør legges til grunn ved utarbeidelse av lovgivning, kollektive avtaler osv i forhold til behandling av personopplysninger om arbeidstakere. Forarbeidene til den finske loven om integritetsvern i arbeidslivet har en rekke henvisninger til ILOs retningslinjer. 5Se punkt 4.2 om den finske loven

Anbefalingene retter seg i hovedsak mot området for personopplysningsloven, som er i tråd med de prinsipper ILO tegner opp. Anbefalingene er imidlertid i flere henseender mer detaljerte. Enkelte punkter går også utenfor person­opplysningslovens område. Det vil føre for langt å gjengi alle anbefalingene her, men enkelte punkter som bør ha særlig interesse kan nevnes:

  • Det bør ifølge anbefalingene være restriktiv adgang til narkotikatesting av ansatte. Slike tester skal bare gjennomføres i samsvar med lov, alminnelig praksis eller internasjonale standarder. Dette betyr at samtykke som hovedregel ikke kan være tilstrekkelig grunnlag for slike tester. I denne sammenheng kan det nevnes at Breisteinutvalgets innstilling 6NOU 2001: 4, se punkt 5.5.3 og 10.7.2 her i store trekk legger seg på samme restriktive linje som ILOs anbefalinger. Utvalget foreslår at arbeidsgiver bare skal kunne pålegge medisinske undersøkelser av arbeidstakere, herunder rusmiddeltesting, der dette er bestemt i lov eller forskrift, ved stillinger som kan medføre særlig sikkerhetsrisiko, eller i tilfelle der det er skjellig grunn til mistanke om at arbeidstaker er påvirket av rusmidler og dette kan medføre fare for noens liv eller helse.
  • Behandling av personopplysninger skal ikke ha som effekt ulovlig diskriminering.
  • Arbeidstakere skal ha adgang til å motsette seg personlighetstester.

Noen av punktene i ILOs anbefalinger trekkes inn i denne rapporten i sammenheng med drøftelsen av enkelte særlige spørsmål.

EUs personverndirektiv 7Se nærmere om direktivet i Michael Wiik Johansen, Knut-Brede Kaspersen og Åste Marie Skullerud: ”Personopplysningsloven med kommentarer”, Oslo 2001, s 48–51.

Bakgrunn, virkeområde mm

Personopplysningsloven bygger på EUs personverndirektiv (95/46/EF) som er en del av EØS-avtalen. Direktivet omfatter til sammen 20 europeiske land, herunder Sverige, Danmark og Finland. EF- og EFTA-domstolens avgjørelser har betydning for forståelsen av loven, men underutvalget kjenner ikke til praksis fra disse domstolene som synes å ha nevneverdig betydning for de spørsmål som drøftes her.

Direktivet gjelder i utgangspunktet for all helt eller delvis elektronisk behandling av personopplysninger og for manuell behandling av opplysninger som inngår eller skal inngå i et personregister (artikkel 3 nr. 1). Direktivet får likevel ikke anvendelse på behandling som gjelder offentlig sikkerhet, forsvar, statens sikkerhet og statens virksomhet på det strafferettslige området (artikkel 3 nr. 2 første strekpunkt). Likeledes er direktivet ikke gjort gjeldende for behandling av personopplysninger "som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter" (artikkel 3 nr. 2 siste strekpunkt). Det er også gjort viktige unntak for å ivareta ytringsfriheten, se art 9. Bortsett fra unntaket for sikkerhet, forsvar mv, er det gjort tilsvarende (men ikke identiske) unntak i personopplysningslovens virkeområde, se §§ 3 og 7.

Direktivet knesetter et prinsipp om at personopplysninger skal kunne overføres fritt til andre EØS-land og til andre stater som sikrer en forsvarlig behandling av personopplysningene. Europakommisjonen kan fastsette at vernenivået er tilstrekkelig, og har således fastsatt at Sveits har et tilstrekkelig personvern, og at enkeltbedrifter i USA som har sluttet seg til den såkalte Safe Harbor-avtalen skal anses å ha et tilstrekkelig vern. Overføring til land uten et tilstrekkelig vernenivå ("tredjeland") kan skje dersom den enkelte person gir samtykke, eller dersom en av nødvendighetsgrunnene i direktivets artikkel 26 bokstav b - e er anvendelig. Det enkelte lands tilsynsmyndighet kan også gi tillatelse til overføring i konkrete tilfelle dersom den som ønsker å overføre (den behandlings­ansvarlige) gir tilstrekkelige garantier. EU har utviklet en standardkontrakt som kan benyttes i slike tilfeller. Personopplysningsloven §§ 29 og 30 gjennomfører direktivets regler, men gjør bruk av en noe avvikende systematikk og begreper. Kommisjonens myndighet til å godkjenne et lands vernenivå som tilstrekkelig, fremgår ikke av den norske loven, men følger av direktivets artikkel 31.

Direktivet har regler om EU-organenes rolle på personvernområdet. Det er i medhold av artikkel 29 nedsatt en Arbeidsgruppe for personvern i forbindelse med behandling av personopplysninger ("Arbeidsgruppen"). Arbeidsgruppen består av en representant for hvert av medlemslandene samt en representant for Kommisjonen. Gruppen skal være et rådgivende og uavhengig organ, som blant annet har til oppgave å undersøke spørsmål knyttet til nasjonale bestemmelser som vedtas i henhold til direktivet (artikkel 30). Arbeidsgruppen skal også uttale seg om vernenivået i tredjeland. Det er også opprettet en komité ("Komiteen") med en representant fra hvert medlemsland, og som bistår når Kommisjonen skal iverksette tiltak og treffe avgjørelser i medhold av direktivet, se art 31. Norge har rett til å møte med én representant for Datatilsynet som observatør uten stemmerett på Arbeidsgruppens møter 8Se EØS-komiteens beslutning nr 83/1999 artikkel 2, nest siste avsnitt (trykt som vedlegg 1 i St.prp. nr 34 (1999-2000)).,

Direktivet inneholder krav om at de nasjonale tilsynsmyndighetene skal være frie og uavhengige i forhold til staten, se art 28 nr. 1. Nasjonale myndigheter er imidlertid underlagt Kommisjonens avgjørelser etter direktivets art 31, jf. ovenfor.

Kommisjonen (og medlemsstatene) skal oppmuntre til utarbeiding av adferds­regler som skal bidra til en riktig anvendelse av nasjonale regler som vedtas for å implementere direktivet. Medlemsstatene skal fastsette bestemmelser om at yrkessammenslutninger mv, som har utarbeidet utkast til nasjonale adferdsregler eller som har til hensikt å endre eller forlenge nasjonale adferdsregler, skal kunne fremlegge dem for nasjonale myndigheter til uttalelse (se artikkel 27, jf. personopplysningsloven § 42 annet ledd nr. 6).

3.4.2 Formål, grunnleggende prinsipper og materielle regler

Formålet med direktivet er å skape et grunnlag for lik regulering av personvernet i alle landene i EU/EØS-området. Direktivet skal sikre fysiske personer grunnleggende rettigheter og friheter i forbindelse med utveksling av personopplysninger. Særlig viktig er beskyttelse av privatlivets fred. Et vesentlig hensyn bak direktivet er at den enkelte person skal være informert og ha kontroll med opplysninger om seg selv. Samtidig skal direktivet sikre fri flyt av personopplysninger mellom EØS-landene.

Personverndirektivet bygger på visse prinsipper. I det følgende vil underutvalget kort nevne prinsippene sammen med eksempler på bestemmelser i direktivet som kan sies å være utslag av det enkelte prinsipp:

  • Prinsippet om at opplysninger skal behandles på rimelig og lovlig vis, se særlig artikkel 6 (1) a.
  • Prinsippet om proporsjonalitet, se for eksempel artikkel 6 (1) c som sier at opplysningene som behandles skal være adekvate, relevante og ikke for omfattende i forhold til de formål de er innsamlet for og/eller senere behandles for.
  • Prinsippet om formålsangivelse, se for eksempel artikkel 6 (1) b som bestemmer at opplysningene skal innsamles til bestemte, uttrykkelig angitte og berettigede formål samt at senere behandling ikke skal være uforenlig med disse formålene.
  • Prinsippet om tilstrekkelig informasjonskvalitet, se for eksempel artikkel 6 (1) d som bestemmer at opplysningene skal være nøyaktige og ajourført.
  • Prinsippet om den enkeltes medbestemmelse og kontroll over opplysninger om seg selv, se for eksempel kravet om samtykke i artikkel 7 a.
  • Prinsippet om begrenset informasjonsflyt er ikke uttrykkelig regulert i direktivet, men inngår som et element i vilkårene for lovlig behandling av opplysninger, jf. for eksempel vilkårene i artikkel 7.
  • Prinsippet om informasjonssikkerhet, se særlig artikkel 17 om sikkerhet i behandlingen.
  • Prinsippet om særlige begrensninger med hensyn til sensitive opplysninger, se artikkel 8 (1).

Det blir ikke her foretatt noen nærmere redegjørelse for det detaljerte innholdet av direktivet, men henvises til fremstillingen av hovedtrekkene i person­opplysningsloven, se punkt 5.4. Lovens bestemmelser gjennomfører alle direktivets bestemmelser som fastsetter bestemte atferdsregler og rettigheter for den som er behandlingsansvarlig og registrert.

I hvilken grad stenger direktivet for nasjonal særlovgivning?

Spørsmålet om sektorlover/særregler i forhold til direktivet var lite aktuelt i løpet av de første årene etter at direktivet ble vedtatt, men diskuteres nå i flere EU-land og er under vurdering i EU 9Under gruppen nedsatt i medhold av personverndirektivet artikkel 29 (Data Protection Working Party).. I Norge er helseregisterloven (lov av 18. mai 2001 nr. 24) det første eksempelet på en særlov som fullt ut følger direktivets system. Foreløpig er det imidlertid bare Finland som har vedtatt generelle særregler for arbeidslivet, men også i Sverige er det lagt frem et tilsvarende lovforslag, se kap. 4 om nordisk rett.

Direktivet setter grenser for hvilke regler for arbeidsforhold Norge kan vedta hvis det svekker arbeidstakeres personvern. Vi kan imidlertid utarbeide nasjonal lovgivning som gir et sterkere personvern enn det som følger av direktivet. Lovgivningen må likevel ikke være så streng at den hindrer den frie flyt av personopplysninger innen EØS-området.

De ulike lands gjennomføring av personverndirektivet følger direktivets begreps­bruk og systematikk, og innebærer sammenlignbare vernenivå. Det er imidlertid intet 1:1 forhold mellom direktivet og den enkelte nasjonale lov. Direktivet pålegger heller ikke landene å gjennomføre dets bestemmelser innenfor rammene av én lov, se art 32 første ledd. Selv om alle land har vedtatt en generell lov, er det således også anledning til å vedta særlover.

Underutvalget er av den oppfatning at en særlov for arbeidslivet i alle fall vil kunne inneholde materielle bestemmelser som gir et minst like godt vern som det direktivet foreskriver. Slike bestemmelser bør imidlertid i størst mulig grad bygge på direktivets systematikk og begrepsbruk, slik at sammenhengen mellom de ulike regelverk blir tilstrekkelig klar. En særlov kan også inneholde prosessuelle bestemmelser som supplerer bestemmelsene i direktivet. Så lenge direktivets formål og de personvernprinsipper som ligger til grunn for direktivet legges til grunn, vil det etter underutvalgets syn også være mulig å vedta prosessuelle bestemmelser som tildeler partene i arbeidslivet en mer aktiv rolle enn det personopplysningsloven direkte legger opp til. I kap. 9 - 11 skisseres noen mulige særregler for arbeidslivet, som etter underutvalgets syn ikke vil komme i konflikt med direktivet.

Forholdet mellom personverndirektivet og regulering ved tariffavtaler

Et annet spørsmål som kan reises er i hvilken utstrekning personverndirektivet gir spillerom for arbeidslivets parter; dvs hvilken rolle tariffavtaler vil kunne spille på dette området. Blant annet kan følgende spørsmål stilles:

  1. Kan personverndirektivets materielle regler – personvernet – gjennomføres i norsk rett ved tariffavtaler?
  2. Er det adgang til å inngå avvikende tariffavtaler?
  3. Hvilket handlingsrom har partene innenfor direktivets bestemmelser?

Underutvalget anser det mest hensiktsmessig å drøfte disse spørsmålene under den særskilte gjennomgangen av regulatoriske spørsmål i kap. 8.

Til toppen