Høringssvar fra Datatilsynet

Høringsuttalelse - NOU 2019:9 Fra kalveskinn til datasjø - Ny lov om samfunnsdokumentasjon og arkiver - Kulturdepartementet

Datatilsynet viser til høring av NOU 2019:9 med forslag til ny lov om samfunnsdokumentasjon og arkiver. Vår uttalelse gis utfra vårt samfunnsoppdrag som er å beskytte enkeltpersoner i forbindelse med behandling av personopplysninger ved å blant annet påse at personopplysningene behandles på en lovlig, rettferdig og åpen måte overfor de registrerte og i samsvar med personvernforordningen og personopplysningsloven.

Generelt om utredningen

NOU 2019:9 er omfangsrik og grundig til et visst punkt, noe utvalget selv påpeker i kapittel 23. Utvalget redegjør for behovet for ytterligere utredninger når det gjelder flere forhold, herunder forholdet til personvernforordningen. Lovutkastet fremstår derfor som prematurt og må bearbeides ytterligere og baseres på ytterligere utredninger før en lovproposisjon kan legges frem for Stortinget.

Arkivlovgivningen gjelder behandling av personopplysninger i et særdeles stort omfang. Selv om dette området er regulert av personopplysningsloven og personvernforordningen, så er det viktig at lovforslaget gjenspeiler de grunnleggende prinsippene i forordningen artikkel 5 og de øvrige skrankene for behandling av personopplysninger i forordningen og personopplysningsloven.

Norges ambisjoner for digitalisering av offentlig forvaltning åpner for en mer effektiv saksbehandling. Digitalisering gir også muligheter for å designe systemer som sikrer et godt personvern. På den annen side kan digitalisering utfordre både den enkeltes personvern og samfunnets behov for etterrettelig dokumentasjon. Vi går fra en papirbasert forvaltning hvor deling av informasjon var tid- og ressurskrevende til en digital forvaltning hvor det tilrettelegges for en sterkt forenklet tilgang mellom forvaltningsorganer, jf. forslag til ny forvaltningslov i NOU 2019:5. Det er derfor viktig at arkivlovutvalget har tatt høyde for denne problemstillingen ved å presisere i lovutkastet at deling av dokumentasjon/ opplysninger mellom forvaltningsorganer skal dokumenteres.

Lovutkastet har flere overlappende bestemmelser mellom arkivlov, forvaltningslov og offentlighetslov, dette bør revurderes. Behovet for å se lovene i sammenheng kan synliggjøres ved henvisninger. For eksempel bør eksplisitte formål og dokumentasjonskrav som omfattes av forvaltningsloven og offentlighetsloven ikke gjentas i arkivlovens bestemmelser.

Videre har Datatilsynet kommentarer til enkelte bestemmelser i lovforslaget og utredningens kapittel 10, «Arkivformål i allmenhetens interesse» og kapittel 19, «sletting og minimering».

Begge kapitler viser til viktige personverntemaer for fremtidens digitale arkiver og krever en bred vurdering utover det som er gjort i utredningen, noe utvalget selv også anbefaler i kapittel 23.

Merknader til lovforslaget

Først og fremst oppfatter Datatilsynet at en mer omfattende og tydelig lovregulering, fremfor vide forskriftsfullmakter er et viktig og riktig grep som utvalget har tatt. Denne reguleringsmetoden bør også videreføres i det videre arbeidet med loven.

Et viktig personvernprinsipp er at den opplysningene gjelder skal ha kontroll over egne personopplysninger. Prinsippet kommer tydelig til uttrykke i artikkel 5 nr. 1a og e. Overholdelse av disse prinsippene er vesentlige for at den enkelte selv kan være i stand til å ivareta sine rettigheter og dermed også medvirke til en rettssikker forvaltning Dette prinsippet oppfatter vi er fraværende i både utredningen og lovutkastet. Det er derfor viktig at dette tydeliggjøres ved å lovfeste nødvendige garantier for ivaretakelsen av de registrertes rettigheter og friheter i samsvar med artikkel 89. I tillegg bidrar det til å forhindre fremmedgjøring og forhindre følelsen av maktesløshet overfor en forvaltning som behandlerstadig større mengder personopplysninger, noe vi dessverre erfarer i flere klagesaker som kommer til oss.

Formålene § 1: Formålene er svært vide og ulike ved at bestemmelsen synes å favne samtlige faser med høyst forskjellige dokumentasjonsbehov, fra aktiv saksbehandling og til bevaring i et evighetsperspektiv. I personvernretten er en nødvendighetsvurdering avgjørende for hva som kan dokumenteres i hvilken fase og for hvilke av formålene i lovforslagets § 1. Bestemmelsen er utformet slik at det ikke kan skilles mellom hvilke faser de ulike formålene skal ivareta. Det bør vises tydelig til hvilke kategorier av personopplysninger som er nødvendige for hver fase, slik at skillet mellom primær bruk (aktiv bruk) og sekundær bruk blir tydelig. Slik vi forstår utvalget kan dokumentasjonsbehovene forankres i tre ulike faser av forvaltningens dokumentasjonsplikt:

1) i den enkelte virksomhet/forvaltningsorgan med pågående arbeid. (primær bruk)

2) i en mellomlagringsfase etter (depot)

3) for langtidsbevaring i Riksarkivet/ fylkeskommunens- og kommunens arkiver (sekundær bruk)

Utvalget presiserer at disse spørsmålene må utredes nærmere. Etter vår forståelse er dermed de viktigste temaene for en drøfting av hvilke opplysninger som er nødvendige for hvilke formål uavklart i det nye lovforslaget.

Definisjoner § 5. Når formålsbestemmelsen i §1 ses sammen med § 5 c vises det til at samtlige formål i § 1 danner grunnlag for langtidsbevaring. Ut fra NOU kapittel 4 kan vi ikke se at dette er i samsvar med utvalgets intensjon. Det bør vurderes om enten formålsbestemmelsen eller definisjonsbestemmelsen i § 5 kan være egnet til å presisere hvilke av formålene som gjelder den enkelte lagringsfase og at behovet for identifiserbare opplysninger må baseres på nødvendighet og forholdsmessighet. Slik lovutkastet foreligger i nåværende form åpner det for at samtlige forvaltningsorganer og virksomheter som utfører offentlige oppgaver er forpliktet til å overføre alt materiale inkludert samtlige personopplysninger for langtidsbevaring til arkivinstitusjoner.

Sletteforbudet i §18: Bestemmelsen første ledd underbygger lovutkastets krav om altomfattende bevaring, også av personopplysninger, med mindre det foreligger lov eller forskrift som pålegger plikt til sletting. Personvernforordningen nevnes eksplisitt som regelverk som kan føre til sletting. Det kan likevel stilles spørsmål ved slettepliktens betydning for den registrerte når andre ledd i merknaden viser til at virksomheten er pålagt å dokumentere hva som er slettet og sammenhengen dokumentasjonen ble brukt i. I merknadene til § 18 på side 298 andre spalte vises det til at det følger lagringsbegrensinger av formålsbestemmelsen. Vi kan ikke se at den vide formålsbestemmelsen i loven i seg selv begrenser hva som skal bevares.

Minimering § 27 Dette er en bestemmelse om at minimering etter artikkel 89 nr. 1 skal avtales med nasjonalarkivet. Sett i sammenheng med §§ 1 og 5 styrker dette vår forståelse av at alle formål skal betjene langtidslagring med mindre det foreligger en avtale om minimering med Nasjonalarkivet. Med tanke på befolkningens mulighet for å ha kontroll med sine opplysninger, vil en avtaleløsning om minimering ikke gi noen grad av forutberegnelighet eller oppfylle kravene til åpenhet i artikkel 5 nr. 1 a) for de registrerte. Vi mener utformingen av § 27 er direkte i motstrid med vilkårene for forvaltning av de registrertes identitet i artikkel 5 nr. 1 e) og likeledes kravene til minimering i artikkel 89 nr.1 i personvernforordningen. Det må markeres et tydelig skjæringspunkt med krav til virksomhetenes egne nødvendighetsvurderinger av minimering når deres egne behov er opphørt og samfunnets interesse for langtidsbevaring skal vurderes.

Med tanke på minimering i form av sletting er det en selvstendig problemstilling at NOARK-standarden som ligger til grunn for det offentliges dokumentasjon umuliggjør sletting.

Det kan synes som om utvalget avskriver mulighet for å utelukke mulighetene for å identifisere de registrertes identitet p.g.a muligheter for reidentifisering. Ved vurdering av de registrertes rettigheter er det viktig å være oppmerksom på at svært mange opplysninger som utleveres til offentlige organer/virksomheter fra den enkelte av oss er basert på opplysningsplikt for å kunne motta ulike ytelser. Den registrerte utleverer altså ikke opplysninger basert på frivillighet, eller ut fra en forståelse om at opplysningene skal oppbevares for evig tid, men for et klart avgrenset formål. Det er grunn til å anta at de færreste har kunnskap om at for eksempel opplysninger som er avgitt i fortrolighet skal oppbevares for all ettertid. Dette er forhold som bør tillegges vesentlig vekt i en interesseavveining mellom allmenhetens behov for langtidbevaring og enkeltindividets behov for beskyttelse. Det kan for eksempel drøftes om alle særlige kategorier av personopplysninger som er pliktmessig avlevert fra en registrert utelukkende skal overføres for langtidsbevaring i aggregert form, eller i en form som gjør at de registrerte ikke lenger kan identifiseres.

Nasjonalarkivets myndighet Lovforslaget gir Nasjonalarkivet svært omfattende fullmakter. § 15 gir inntrykk av at Arkivverket har alle fullmakter til å beslutte hvilke opplysninger som skal oppbevares for samtlige formål i § 1. § 20 gjelder forbud mot overføring av ikke-digital dokumentasjon til utlandet. Bestemmelsen gir nasjonalarkivet myndighet til å samtykke til og sette vilkår for midlertidig utførsel av arkivmateriale som ikke er digitalisert for mediekonvertering, samt gjøre unntak fra forbudet for øvrig i særlige tilfeller. I artikkel 21 som gjelder overføring av digital dokumentasjon til utlandet, gis Nasjonalarkivet myndighet til å inngå avtale med arkivmyndighet i en annen stat om gjennomføring av tilsyn etter deres instruks.

§ 21 Overføring av digital dokumentasjon til utlandet. Bestemmelsens første ledd legger identiske utleverings- og overføringsbestemmelser til grunn for EØS-land og tredjeland. For enhver utlevering av personopplysninger kreves det først et rettslig grunnlag for den aktuelle utleveringen, enten i medhold av artikkel 6 eller for særlige kategorier personopplysninger både artikkel 6 og tilleggsvilkår i medhold av artikkel 9. Dette gjelder både opplysninger som skal utleveres til EØS land og tredjeland (dvs. utenfor EØS-området). Selve utleveringsadgangen innenfor EØS føler av artikkel 1 nr. 3 om fri utveksling. Det betyr at slik utlevering kan skje forutsatt at det foreligger rettslig grunnlag. For overføring til tredjeland gjelder forordningens kapittel V med artiklene 44 og 45 i tillegg til det rettslige grunnlaget. Ettersom arkivmateriale etter dette lovforslaget inneholder alt tenkelig materiale med ulike beskyttelsesbehov er det vanskelig å se at § 21 tilfredsstiller kravene til hva som kan utgjøre rettslig grunnlag for samtlige kategorier av opplysninger som omfattes.

§ 24 Behandling av personopplysninger for arkivformål i allmenhetens interesse

Arkivinstitusjonene blir behandlingsansvarlige når arkivmateriale er over ført til dem, ifølge utvalgets definisjoner i § 5 er det institusjoner som oppbevarer for langtidsbevaring. Bestemmelsen gir også adgang til at andre enn offentlige arkivinstitusjoner kan være behandlingsansvarlige dersom det er godkjent av Datatilsynet i medhold av artikkel 36 nr. 5.

Datatilsynet stiller spørsmål ved forståelsen av artikkel 36 nr. 5 som blir presentert i forslag om ny § 24. Denne bestemmelsen tillater at man gjennom nasjonal rett bestemmer at behandling av bestemte kategorier eller andre konkrete formål skal ha forhåndsgodkjenning fra Datatilsynet, i praksis i form av konsesjon.

Dersom arkivlovutvalget skal innføre en slik særlig ordning som § 24(1) vil medføre, må dette utredes nærmere. Slik forslaget i dag ser ut, vil det innebære et mer eller mindre tilfeldig og lite forholdsmessig krav om forhåndsgodkjenning fra tilsynsmyndigheten. Dette er ikke i tråd med ansvarlighetsprinsippet som står sterkt i personvernregelverket, og det er heller ikke en hensiktsmessig løsning sett i sammenheng med enhver annen behandling av personopplysninger som ikke krever slik forhåndsgodkjenning. En annen innvending til bruk av konsesjonsinstiuttet er at slik regulering er uforutberegnelig for de registrerte.

§ 33 om bortfall av taushetsplikt. Bestemmelsens første ledd opplyser at det er forvaltningslovens bestemmelser om taushetsplikt som da gjelder. I siste ledd uttales det at dersom særlovgivningens taushetsplikt varer lenger enn forvaltningsloven så vil Nasjonalarkivets taushetsplikt forlenges tilsvarende. Datatilsynet mener det er mer hensiktsmessig å for eksempel presisere at ved strengere regulering av taushetsplikt enn det som kan utledes av forvaltningsloven, så gjelder taushetsplikten i de respektive særlover også for Nasjonalarkivet. Det er ikke nødvendigvis bare taushetspliktens varighet som er avgjørende, enkelte bestemmelser forutsetter et faglig skjønn for å utlevere taushetsbelagte opplysninger, for eksempel i helselovgivningen.

Merknader til kapittel 10: Arkivformål i allmennhetens interesse

Arkivlovutvalget ba tidlig i utredningsarbeidet om bistand fra Advokatfirmaet Simonsen Vogt Wiig om å utrede enkelte konkrete problemstillinger knyttet til hvordan arkivloven må være utformet for å være i samsvar med personvernforordningen.

Datatilsynet mener utvalget foretok en god beslutning ved å innhente innspill fra personer med særskilt kompetanse på disse temaene. Det er derfor med undring at vi konstaterer at vi i så liten grad ser spor av disse vurderingene og rådene i utvalgets utredning. Dette mener vi er svært beklagelig all den tid rådene som fremkom i notatet var meget relevante.

Utvalget legger til grunn at ingen av rettskildene i personopplysningsretten gir støtte for nærmere presiseringer av begrepet «allmennhetens interesse». Begrepet er imidlertid et vel etablert begrep innen personopplysningsretten både hva gjelder forsknings-, statistikk- og arkivformål. I utredningen fra Advokatfirmaet Simonsen ble nettopp begrepet «allmennhetens interesser» gjennomgått og det ble påpekt begrepet også ble brukt i personverndirektivet, men at det da var knyttet mer generelt til behandling av personopplysninger i allmenhetens interesse, og ikke særskilt til arkivering.

Utredningen viste videre til at praksis knyttet til tolkingen av personverndirektivet fortsatt kan være relevante kilder og at begrepet "allmenhetens interesse" er behandlet i for eksempel saker om sletting etter personverndirektivet, både av nasjonale tilsynsmyndigheter og EU-domstolen. Et eksempel er Google-saken (C-131/12) hvor EU-domstolen tok stilling til om tilgjengeliggjøring av personopplysninger via Googles søkemotor kunne tillates når den registrerte protesterte mot tilgjengeliggjøringen. EU-domstolen avveide da allmenhetens interesse ("the interest of the general public") i å ha tilgang til personopplysningene mot den registrertes interesse i å få opplysningene fjernet fra resultatlisten på søkemotoren.

Datatilsynet støtter Simonsen Vogt og Wiigs argumentasjon om at listen over momenter som ble vektlagt i denne dommen er relevante også når individets rettigheter skal avveies mot allmennhetens interesser i tilknytning til arkivering. Listen over momenter er som følger:

• Om den/de registrerte er eller har vært offentlige personer.

Det er antatt at offentlige personer i større grad må akseptere at deres rett til privatliv er begrenset.

• Om den/de registrerte er barn eller ellers i en særlig sårbar stilling.

Barn skal kunne utvikle seg og dannes fritt, og deres personopplysninger er derfor underlagt et særlig vern.

• Om personopplysningene er korrekte og oppdaterte.

Opplysninger som har dårlig kvalitet bør som utgangspunkt ikke behandles videre. Dette gjelder særlig dersom opplysningene også etter sin art er belastende for den registrerte.

• Om personopplysningene er nødvendige og relevante for å oppnå allmenhetens interesse. Dersom allmennhetens interesse kan ivaretas tilfredsstillende uten at det behandles personopplysninger, så skal det ikke behandles personopplysninger. For eksempel bør materialet anonymiseres, i den grad det er mulig.

• Om opplysningene knytter seg til de registrertes privatliv eller yrkesliv.

Det er antatt at opplysninger som knytter seg til ens privatliv nyter bedre vern enn opplysninger knyttet til ens yrkesliv.

• Om arkivet inneholder særskilte kategorier personopplysninger eller om straffedommer og lovovertredelser, jf. Forordningen art. 9 og 10. Slike opplysninger er generelt antatt å være særlig beskyttelsesverdige.

• Om opplysningene har vært gjort offentlig kjent av den registrerte selv.

Den kan anføres at den registrerte gjennom offentliggjøringen har fraskrevet seg visse rettigheter, og at opplysningene derved kan gis et mer begrenset vern.

• Grad av tilgjengelighet

Det vil kunne tas hensyn til i hvilken grad personopplysningene i arkivet blir gjort tilgjengelige for en større eller mindre krets personer, og når dette eventuelt skjer.

Dersom tilgangen til arkivet er strengt regulert vil dette medføre at personvernulempene for de registrerte blir mer begrenset.

Merknader til punkt 10.3.6 om nødvendige garantier og tekniske og organisatoriske tiltak

Under utredningens punkt 10.3.6 gjør arkivlovutvalget rede for hvilke typer tiltak som kan omfattes av artikkel 89 nr.

Datatilsynet har innvendinger til denne delen av utredningen. Vi mener den inneholder både faktiske feil og formuleringer som gjør pliktene i artikkel 89 nr.1 utydelige.

Vi finner grunn til å understreke at dersom det er på det rene at arkiveringen er i allmenhetens interesse så er det likevel bare adgang til å gjøre unntak fra retten til informasjon og retten til å kreve sletting dersom de øvrige vilkårene i artikkel 89 er oppfylt. Det betyr at det ikke er adgang til å unnta noen rettigheter med mindre det er gitt garantier for å sikre de registrertes rettigheter og friheter, og at det er etablert tekniske og organisatoriske tiltak for etterlevelse av prinsippet om dataminimering.

Når det gjelder arkivlovutvalgets omtale av «garantiene» som skal være på plass så gis det inntrykk av at dette er et vagt begrep, og at det først og fremst er tale om tiltak for å sikre tilstrekkelig informasjonssikkerhet. Vi deler ikke utvalgets forståelse av hva som omfattes av begrepet garantier.

Garantiene har en klar relasjon til de registrertes rettigheter og friheter – altså rettighetene i personvernforordningen artikkel 12-22 og friheter i medhold av andre internasjonale forpliktelser som for eksempel ytringsfrihet, retten til ikke å bli diskriminert, religionsfrihet, etc. Denne referansen er et tydelig signal om at det ikke er adgang til å unnta grunnleggende personvernrettigheter med mindre det kompenseres med klare plikter for den behandlingsansvarlige til å gjøre det enkelt for den registrerte å vite hvilke rettigheter vedkommende faktisk har og at det er enkelt å utøve disse rettighetene.

Et eksempel på en garanti kan være å gjøre det tydelig at det i konkrete tilfeller skal være en rett til å reservere seg mot en behandling av personopplysninger (eller rett til å protestere som det står i artikkel 21) og at det gir mulighet for å få slettet opplysninger også fra arkiv.

Utvalgets omtale av «tekniske og organisatoriske tiltak» etterlater også et inntrykk av at dette er vage begreper, og at det først og fremst er tale om tiltak for å sikre tilstrekkelig informasjonssikkerhet (referanse til kryptering). Dette er heller ikke i samsvar med Datatilsynets forståelse av begrepene.

«Tekniske og organisatoriske tiltak» er vel etablerte begreper som viser til retningslinjer og oppfølgingsrutiner som en virksomhet har innført som ledd i sitt arbeid med å etterleve de regelverk som gjelder for virksomheten. Arkivlovutvalget nevner tiltak knyttet til økonomi, rutiner omkring taushetserklæringer og opplæring som eksempler på andre typer tiltak, men dette er å regne som organisatoriske tiltak. Tekniske tiltak er typisk funksjonalitet som er bygd inn i informasjonssystemene som behandler personopplysningene, og som bidrar til å etterleve prinsippene i personvernforordningen.

Eksempler på tiltak som er egnet til å kompensere for innskrenkede rettigheter med hensyn til informasjon og sletting kan være: Dataminimering, Lagringsbegrensning og Pseudonymisering.

Pseudonymisering innebærer at opplysningene som er lagret bare kan knyttes til en fysisk person ved hjelp av tilleggsopplysninger som er lagret atskilt fra de aktuelle opplysningene.

Kraven i artikkel 89, gjenspeiler krav fra andre artikler i forordningen, som for eksempel artikkel 6 og 9, i tillegg til bestemmelsene om sikkerhet i for eksempel artikkel 25 og 32.

Forslag om endringer i personopplysningsloven §§ 8 og 9.

Disse bestemmelsene er ment å gi supplerende rettsgrunnlag dersom det ikke finnes andre relevante reguleringer, jf. også personvernforordningen artikkel 6, særlig krav om slike reguleringer i 3. ledd.

Arkivlovutvalget foreslår å fjerne «arkivformål» fra personopplysningsloven. Datatilsynet mener at dette ikke nødvendigvis er hensiktsmessig, all den tid disse bestemmelsene ikke kommer til anvendelse dersom det foreligger annet relevant regelverk. Arkivloven vil være det relevante supplerende rettsgrunnlaget for alle behandlinger som omfattes av den, og det vil ikke være nødvendig å vurdere om personopplysningsloven §§ 8 og 9 er oppfylt.

Datatilsynet er også usikre på om andre arkivformål som faller utenfor arkivloven, og som §§ 8 og 9 vil kunne dekke, vil stå uten supplerende rettsgrunnlag dersom de foreslåtte endringene vedtas. Et alternativ er å presisere i §§ 8 og 9 at arkivloven fullt ut vil regulere behandlinger innenfor denne lovens virkeområde.

Fra et generelt perspektiv, vil alltid spesiallovgivning gå foran generell lovgivning, så fremt den er gitt innenfor rammene av den generelle lovgivningen som personvernforordningen og personopplysningsloven representerer. Datatilsynet vil følgelig anbefale at endringene ikke gjøres som foreslått, samtidig som vi ikke er imot at det gjøres presiseringer av arkivlovens rammer i personopplysningsloven.

Avslutningsvis viser utvalget i kapittel 10. 4.4 til at Datatilsynet skal konsulteres i forbindelse med lovarbeid etter forordningens artikkel 36. nr. 4. Artikkelen pålegger konsultasjon/rådføring med Datatilsynet ved utarbeiding av forslag til lovgivning som skal vedtas av et parlament, eller av et reguleringstiltak som er basert på slik lovgivning, og som gjelder behandling av personopplysninger. Det er interessant at utvalget har sett bestemmelsen og viser til at Datatilsynet må involveres i det videre arbeidet og før utarbeidelse av en lovproposisjon. Datatilsynet ser at departementene i liten grad har sett bestemmelsen når det utarbeides lover som gjelder behandling av personopplysninger. Formålet med bestemmelsen er å sikre at personopplysningsvernet ivaretas og innarbeides i lovforslaget i samsvar med personopplysningsloven og forordningen. Slik konsultasjon må finne sted tidligere enn ordinær høring. Det er ikke meningen at Datatilsynet skal delta i selve lovarbeidet som sådan, men bli forelagt et lovutkast på et så tidlig tidspunkt at nødvendige endringer kan innarbeides før departementsforeleggelsen.

Vår klare anbefaling er at departementet følger opp ved å forelegge Datatilsynet et eventuelt nytt lovutkast før lovproposisjonen forelegges for departementene.