Høringssvar fra Statens pensjonskasse

Høring om utkast til ny personopplysningslov - gjennomføring av personvernfordningen i norsk rett

Dato: 16.10.2017

Svartype: Med merknad

Statens pensjonskasse (SPK) viser til høring om ovennevnte med høringsfrist 16.10.2017, dep. saksnr. 17/4200, SPK saksnr. 17/022176.

 

Innledning og oppsummering

Forordningens regler oppleves på flere områder som uklare og vage, noe som gjør det utfordrende å forstå hvor langt den rekker. Det er derfor ønskelig at det klargjøres i retningslinjer og bransjestandarder hvordan reglene skal fortolkes og praktiseres, slik at det blir en mest mulig lik forståelse. Det er i denne sammenheng viktig å skille mellom offentlig forvaltning og private kommersielle aktører som har to vidt forskjellig formål med sine aktiviteter.

 

SPK legger til grunn at ny personopplysningslov ikke skal hindre en videre utvikling av økende digitalisering i offentlig sektor, og at departementet må sørge for klare lovhjemler der forordningen krever dette. Dette gjelder både internt i hver etat og utveksling av opplysninger mellom etater, jf. blant annet arbeidet med felles datakatalog og målsetting om at samme opplysning kun skal gis én gang til staten.

 

For ordens skyld gjør vi oppmerksom på at SPK administrerer flere ordninger i staten, bl.a. tjenestepensjon, boliglån, yrkesskade, ulike erstatninger og kompensasjoner, og gruppeliv. For å kunne vurdere vilkårene og beregne ytelsen, innhenter SPK personopplysninger fra ulike instanser. Mange av operasjonene skjer digitalt i tråd med Kommunal- og moderniseringsdepartementets retningslinjer og ambisjoner om digitalisering av offentlig sektor.

 

Kapittel 6.4 – Særlig om prinsippet om formålsbegrensning

 

Et forvaltningsorgans formål med innhenting og behandling av personopplysninger kan f.eks. være å vurdere hvorvidt den registrerte har krav på en ytelse. Opplysningene kan også bli gjenbrukt til andre formål, som f.eks. i datavarehus, rapportering til eierdepartement, konsekvensutredninger for eierdepartement og testing ved systemutvikling. Personopplysninger vil i mange tilfeller brukes ved behandlingen, men resultatet vil ikke inneholde personopplysninger. Dette vil være oppgaver som naturlig ligger innenfor forvaltningsorganets arbeidsområde uten at alle behandlingene nødvendigvis er hjemlet direkte i lov, men er pålagt av eierdepartementet gjennom instruks mv.

 

For å hindre eventuell tvil om forvaltningsorganer kan gjenbruke personopplysninger til andre nærliggende formål innenfor dets forvaltningsområde, bør det gis egen lovbestemmelse om dette.

 

Departementet mener at forordningen åpner for at det kan vedtas nye regler om informasjonsdeling mellom forvaltningsorganer som gir grunnlag for å fravike kravet om formålsbegrensning. Ordlyden i utkastets § 12 er imidlertid begrenset til å gjelde enkelte angitte områder (arbeidsmiljø, trygd, skatter og avgifter). SPK støtter forslaget om en egen bestemmelse som understreker at formålsbegrensningen ikke er til hinder for deling mellom offentlige etater.

 

SPK mener imidlertid at den foreslåtte bestemmelsen er for snevert formulert. Dersom departementet går inn for en egen bestemmelse om gjenbruk av data innen offentlig sektor, mener SPK at det vil være hensiktsmessig med en mer generell utformet bestemmelse.

 

Kapittel 7 - behandlingsgrunnlag

 

Forordningen artikkel 6 nr. 1 bokstav c og e sammenholdt med nr. 3 skal forstås slik at det må foreligge et rettslig grunnlag i nasjonal rett utover forordningen. Departementet har bedt om tilbakemelding på konkrete tilfeller der personopplysningsloven § 8 bokstav b, d og e i dag utgjør behandlingsgrunnlag, og hvor høringsinstansene mener det ikke vil foreligge behandlingsgrunnlag etter forordningen artikkel 6 nr. 1 bokstav c eller e som følge av kravet om et supplerende rettslig grunnlag.

 

SPK er usikker på om det med supplerende rettslig grunnlag skal forstås at behandlingen må ha hjemmel i eller i medhold av lov. SPK administrerer flere ordninger som ikke er regulert i eller i medhold av lov, og hvor personopplysningsloven § 8 bokstav b, d og e anses å utgjøre behandlingsgrunnlag i dag. Dette gjelder blant annet boliglån og gruppelivsordningen som SPK administrerer på vegne av staten, og som begge har sitt rettslige grunnlag i hovedtariffavtalen i staten. Videre gjelder det flere avtalefestede ordninger om personskadeerstatninger for ansatte i staten, blant annet Særavtale om forsikrings- og erstatningsordninger for statsansatte på tjenestereise og ved stasjonering i utlandet. Etter SPKs vurdering vil ordninger etter hovedtariffavtale og eventuelle andre avtaler være omfattet av forordningen punkt 6 nr. 1 bokstav b som ikke krever grunnlag i nasjonal rett.

 

Kapittel 8 – behandling av sensitive personopplysninger

 

For at behandling av sensitive personopplysninger skal være lovlig, må det i tillegg til behandlingsgrunnlag etter artikkel 6 også kunne påvises at et av unntakene i artikkel 9 nr. 2 er oppfylt.

 

SPK er usikker på om SPKs rettslige grunnlag for behandling av sensitive personopplysninger for enkelte ytelser vil være tilstrekkelig i henhold til bestemmelsene i artikkel 9 nr. 2 og artikkel 6. Vi vil i det følgende gi to eksempler på typetilfeller hvor vi mener at departementet bør vurdere å gi ytterligere presiseringer i lovs form.

 

Det ene tilfellet gjelder SPKs behandling av erstatning- og forsikringssaker. Saksbehandlingen omfatter innhenting av store mengder sensitive personopplysninger (helsedata), basert på samtykke fra den registrerte. Det følger av forordningens fortalepunkt 43 at samtykke ikke bør utgjøre et gyldig rettsgrunnlag for behandling dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig dersom den behandlingsansvarlige er en offentlig myndighet. Siden SPK ikke kan se at behandlingen vil omfattes av de øvrige unntakene i forordningens artikkel 9.2, herunder bokstav g, er det uklart om SPK i alle tilfeller har grunnlag for behandlingen.

 

Det andre tilfellet gjelder behandling av personopplysninger i forbindelse med innvilgelse av uførepensjon fra SPK. Dette nevnes spesielt på bakgrunn av forordningens regler om retten til å protestere mot utelukkende automatiserte avgjørelser, jf. artikkel 22. SPK behandling av uføresakene er i stor grad automatisert, men det foretas fortsatt delvis manuell saksbehandling på enkelte trinn i saksbehandlingen.

 

Vi antar at dette er ett av flere tilfeller innen offentlig forvaltning hvor sensitive personopplysninger helt eller delvis inngår i automatiserte avgjørelser. For at behandlingen skal være tillatt etter forordningen, stilles det krav til nasjonal hjemmel som tilfredsstiller vilkårene i forordningens artikkel 9.2 bokstav g. SPK ber departementet vurdere om automatiserte prosesser ved behandling av uførepensjon kan anses å være omfattet av bokstav g. Dersom behandlingen ikke faller inn under bokstav g, ber vi om at departementet endrer/tilpasser nasjonal lov slik at den oppfyller forordningens vilkår. Alternativt bes det om at departementet vurderer nasjonale bestemmelser som gjør unntak fra artikkel 22.