Høringssvar fra Kirkerådet, Den norske kirke

Kirkerådets høringsuttalelse til ny personopplysningslov og gjennomføring av personvernforordningen i norsk rett

Dato: 16.10.2017

Svartype: Med merknad

 

Kirkerådet viser til høringsbrevet til ovennevnte høring og ønsker herved å komme med høringssvar på vegne av Den norske kirke.

 

Den norske kirke forvalter et medlemsregister med ca. 3,7 millioner medlemmer. Personopplysningene registrert i medlemsregisteret er sensitive personopplysninger, jf. personopplysningsloven § 2 nr. 8 bokstav a, og Kirkerådet ber derfor om at Den norske kirke blir inkludert som høringsinstans i fremtidige høringer som omhandler personvern.

 

Behandlingsgrunnlag (punkt 7.1.3)

I punkt 7.1.3 ber Departementet om høringsinstansenes tilbakemelding på eventuelle konsekvenser av at behandlingsgrunnlagene i artikkel 6 nr. 1 bokstav c og e krever et supplerende rettslig grunnlag i norsk rett.

 

Den norske kirkes behandling av personopplysninger i Den norske kirkes medlemsregister vil etter Kirkerådets vurdering falle inn under artikkel 6 nr. 1 bokstav c. Dette fordi Den norske kirke er pålagt å ha et medlemsregister og å registrere hvem som har deltatt ved kirkelige handlinger med hjemmel i kirkeloven § 37. For Den norske kirkes vedkommende oppfattes det derfor som uproblematisk at artikkel 6 nr. 1 bokstav c krever et supplerende rettsgrunnlag i norsk rett.  

 

Behandling som er nødvendig av hensyn til viktige samfunnsinteresser (punkt 8.3.3)

Unntaket i artikkel 9 nr. 2 bokstav g åpner for behandling av sensitive personopplysninger når det er «nødvendig av hensyn til viktige samfunnsinteresser» og åpner for behandling av sensitive opplysninger når det er fastsatt i lov at det er adgang til slik behandling. Departementet beskriver i høringsnotatet at dette er «en sekkebestemmelse som er aktuell i de tilfellene der behandlingen av sensitive opplysninger har grunnlag i lovgivning som ikke faller inn under en av de øvrige unntaksbestemmelsene.» Departementet understreker videre at slik særlovgivning må «stå i forhold til det mål som søkes oppnådd, være forenelig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.»

 

Departementet har i høringsnotatet spurt høringsinstansene om det i dag skjer behandling av sensitive opplysninger med grunnlag i særlovgivning som ikke kan sies å oppfylle disse kravene.

Kirkerådet antar at Den norske kirkes behandling av sensitive personopplysninger faller inn under unntaket i artikkel 9 nr. 2 bokstav g.[1]

 

Behandling av sensitive personopplysninger for arkivformål i allmennhetens interesse eller for statistiske formål

Kirkerådet er enig med Departementet i at det er nødvendig med en generell lovbestemmelse som åpner for behandling av sensitive opplysninger for arkiv- og statistikkformål uten samtykke.

Begrepet «personvernrådgiver» (punkt 14.3.1)

Kirkerådet stiller seg negativ til at Departementet har foreslått å benytte begrepet «personvernrådgiver».

 

Kirkerådet mener at begrepet «personvernombud» er mer treffende for ansvarsforholdet mellom behandlingsansvarlig og den som har ombudsrollen, enn begrepet «personvernrådgiver». Datatilsynet beskriver i sin veileder til EU-forordningen[2] hvordan en virksomhet skal sikre personvernombudsrollens uavhengighet. Det understrekes blant annet at et personvernombud ikke skal kunne motta instrukser om hvordan vedkommende skal utføre sine oppgaver, at et personvernombud skal være en reell rådgiver for topp- og mellomledelsen i spørsmål om personvern og at rollen skal være vernet mot gjengjeldelse. Det er Kirkerådets mening at begrepet «ombud» i større grad enn rådgiver understreker at ansvaret for behandlingen av personopplysninger fortsatt fullt og helt påhviler behandlingsansvarlig, mens «personvernombudet» både skal være en rådgiver, men også skal ha en «revisjonsfunksjon».

 

Kirkerådet anbefaler på denne bakgrunn å beholde begrepet personvernombud.  

 

Fødselsnummer (punkt 30.3.1)

Det er Kirkerådets vurdering at det fortsatt er behov for å presisere hvilke krav som stilles til elektronisk kommunikasjon som inneholder fødselsnummer. Kirkerådet anbefaler at departementet i lovteksten spesifikt angir hvilke krav som stilles til slik elektronisk kommunikasjon, for eksempel kryptering eller bruk av passordbeskyttede dokumenter.

 

Barns samtykkekompetanse (punkt 32.2 og 32.3)

Slik Kirkerådet forstår høringsnotatets bruk og omtale av begrepet «informasjonssamfunnstjenester», vil ikke begrepet være anvendbart på de tjenestene som Den norske kirke tilbyr medlemmer. Artikkel 8 nr. 1 fastsetter at barns samtykkekompetanse bare kan brukes som behandlingsgrunnlag når barnet har fylt 16 år. Religiøs myndighetsalder i Norge er 15 år, jf. kirkeloven § 3 nr. 6.

 

Kirkerådet ønsker å påpeke at manglende samtykkekompetanse for behandling av sensitive personopplysninger kan bli problematisk ved deltakelse ved kirkelige aktiviteter som innebærer behandling av sensitive personopplysninger. Etter at et barn er fylt 15 år, skal det fritt kunne bestemme hvilke kirkelige aktiviteter det deltar på i kraft av å være religiøst myndig. Den norske kirke behandler flere sensitive personopplysninger i forbindelse med kirkelige aktiviteter som er basert på samtykke, for eksempel informasjon om helseforhold for å kunne ta hensyn et medlems allergier. Det antas at forordningens regler om barns samtykkekompetanse vil innebære at et barn ikke kan samtykke til behandling av sensitive personopplysninger, selv om det er religiøst myndig. Kirkerådet ønsker å peke på denne utfordringen og oppfordrer Departementet til å konkretisere tydeligere hva som ligger i begrepet «informasjonssamfunnstjenester» i den videre behandlingen av ny personopplysningslov.

 

  • konomiske og administrative konsekvenser (punkt 38)

Kirkerådet bemerker at kommunene i Norge er pålagt å dekke kirkelig fellesråds utgifter til «administrasjon og kontorhold», jf. kirkeloven § 15 bokstav d. Ca. 420 kirkelige fellesråd i Den norske kirke vil trolig måtte opprette personvernombud eller gjøre innkjøp av slike tjenester. Siden kommunen etter loven har plikt til å dekke utgifter til administrasjon og kontorhold, vil innføring av plikt, dersom denne også vil gjelde kirkelig fellesråd, kunne medføre en ikke ubetydelig kostnad for kommunene. Kirkerådet ber om at dette blir klarlagt og fulgt opp.

 

 

 

 

Med vennlig hilsen 

 

Ole Inge Bekkelund

 

direktør avdeling for kirkeordning

Ida Thorsrud

 

rådgiver

 

Dokumentet er elektronisk godkjent og har derfor ingen signatur.

 

[1] Dette fordi Den norske kirkes behandling av personopplysninger i stor grad ikke er basert på samtykke slik som artikkel 9 nr. 2 bokstav d legger opp til, men på en plikt til å registrere medlemmer og informasjon om hvem som deltar på kirkelige handlinger, jf. kirkeloven § 37.

[2] https://www.datatilsynet.no/regelverk-og-skjema/veiledere/personvernombudsordningen-etter-nytt-regelverk/?id=7448