Høringssvar fra Akademikerne

Høringssvar - ny personopplysningslov

Dato: 19.10.2017

Svartype: Med merknad

Akademikerne viser til Justis- og beredskapsdepartementets høring om forslag til ny personopplysningslov. Sakene er forelagt våre medlemsorganisasjoner og behandlet i Akademikernes styre.

 

Loven har en vanskelig balansegang mellom på den ene siden beskyttelsen av sensitive personopplysninger, og på den andre siden bruken av de samme opplysningene for å kunne f.eks. levere gode tjenester eller drive effektivt fagforeningsarbeid.

 

Vi oppfatter at det er begrenset rom for å komme med innspill til lovforslaget, da forslaget i all hovedsak er en direkte implementering av EUs personvernforordning, hvor det er lite nasjonalt spillerom. Likevel er det slik at forordningen dels pålegger og dels åpner for at medlemslandene fastsetter nasjonale regler som utfyller, presiserer og gjør unntak fra forordningen. Akademikerne har derfor enkelte innspill til det lovforslaget som er fremlagt.

 

  1. Generelt
  2. Innføring og brukervennlighet av rettsreglene på personvernområdet
  3. Anvendelsesområde
  4. Konsekvenser for fagforeningsarbeid
  5. Behandling av sensitive opplysninger i arbeidsforholdet
  6. Innsyn i lønnsopplysninger
  7. Innsyn i ansattes epost mv
  8. Aktivitetslogg på arbeidsplassen i edb-system eller datanett
  9. Kameraovervåking på arbeidsplassen
  10. Regelverk om personvern knyttet til ansettelsesforhold
  11. Personvernrådgiver
  12. Bransjenormer
  13. Flyt av helseinformasjon

 1.      Generelt

De siste tiårs samfunns- og teknologiutvikling innebærer at personrelaterte opplysninger samles inn, registreres, brukes og videreformidles i stor skala. Dette skjer gjerne uten at den enkelte borger er klar over i hvilke sammenhenger personlige «spor» etterlates, og uten at databehandlingen fremstår som tilstrekkelig betryggende i forhold til vern av individets frihet og integritet.

 

Nye regler som svarer på samfunnsutviklingen er nødvendig for å sikre individets selvråderett over egne personopplysninger på en god måte. Samtidig kan oppdaterte regler bidra til at også hensynene til samfunnsmessige hensyn og næringsutvikling ivaretas på en balansert måte opp mot individets selvråderett.

 

EUs nye personvernforordning og ny personopplysningslov er, slik vi ser det, nødvendige  grep sett både samfunnets, registrererens og den registrertes perspektiv. Akademikerne støtter hovedgrepene i forordningen om strengere krav til den enkelte virksomhet som behandler personopplysninger, sterkere rettigheter til de registrerte og bedre ivaretakelse av de internasjonale aspekter ved behandling av personopplysninger. Vi ser på denne bakgrunn frem til forordningens innføring i norsk rett, og ser oppmerksomheten denne har skapt som positiv.

 

Vi oppfatter at EUs personvernforordning, og den nye personopplysningsloven, i stor grad bygger videre på allerede innarbeidede personvernprinsipper i unionsretten og norsk personvernrett. Vi anser videre at de nye reglene samlet sett balanserer hensynene til virksomhetene og de registrerte behov på en god måte. Likeså har vi tro på at fokuset som settes på enkelte av tiltakene, som oppnevning av personvernombud og oppfordring til bransjesamarbeid, potensielt kan gi betydelige bidrag til styrking av personvern og datasikkerhet. 

 2. Innføringsmetode og brukervennlighet

 

I norsk personvernrett er personopplysningsloven sentral, idet loven angir de alminnelige regler for behandling av personopplysninger. Ytterligere personvernregler er nedfelt i lovens forskrifter, og i særlovgivning.

 

Hovedspørsmålet er om departementets forslag til ny personopplysningslov kommuniserer godt nok med leseren om et allerede ytterst komplisert rettsområde der myndighetskravene er strenge. I høringsnotatet pkt 3 tar departementet selv opp denne problemstillingen som «de pedagogiske utfordringene». Men departementet kan i nevnte punkt «ikke se at EØS-avtalen åpner for å gjennomføre forordningen ved å gjengi eller omskrive forordningens regler i det norske regelverket (transformasjon).» Dette står i sterk kontrast til hva forordningens fortale nr 8 presiserer, nemlig at:

 

Når det i denne forordning fastsettes at det kan innføres presiseringer eller begrensninger av dens regler gjennom medlemstatenes nasjonale rett, kan medlemsstatene, i den grad det er nødvendig av hensyn til sammenhengen og for å gjøre nasjonale bestemmelser forståelige for de personer de får anvendelse på, innarbeide elementer fra denne forordning i sin nasjonale rett.

Etter vår oppfatning kan fortalens tekst nettopp tyde på at det er anledning til å innarbeide deler av forordningen i norsk lov. Dette kan eksempelvis være hvor det er rom for og foreslått særskilte unntak i nasjonal lov, og hvor en innarbeiding av nasjonal lovtekst vil være nødvendig for sammenhengen. Et eksempel er reglene om behandlingsgrunnlag i artikkel 6 og 9. Dette er regler som er svært sentrale, hvor hovedregelen kun finnes i forordningen og enkelte særskilte reguleringer fremgår av den norske lovteksten.

 

I det danske forslaget til egen databeskyttelseslov er det nettopp mange av hovedreglene som gjengis fra forordningen, supplert av viktige unntak, se f.eks. det danske lovforslaget § 1 stk 2 flg. som definerer hva forordningen og loven regulerer, eller det danske lovforslaget kap 3 om behandling av opplysninger. Det norske lovforslaget er uten dette.

 

Det blir således vanskelig å forstå at EU-landet Danmark skal kunne ha en langt mer leservennlig tekst i sin lovgivning enn det EØS-landet Norge har når de to landene forholder seg til nøyaktig samme forordningstekst. At det materielle innholdet i de ufravikelige delene av teksten i forordningen må følges og ikke omskrives, er selvsagt fordi Norges allerede har inngått en internasjonal forpliktelse. Dersom det likevel skulle oppstå strid mellom originalteksten i forordningen og gjengitt lovtekst i den norske personopplysningsloven og spesiallovgivningen, vil lovforslaget § 5 uansett gi forordningsteksten forrang.

 

Vi oppfatter nåværende personopplysningslov som oversiktlig, med et forståelig språk og relativt pedagogisk fremstilling av personvernreglene. Nåværende personopplysningslov inneholder blant annet definisjoner av sentrale begreper, skisserer grunnkravene for behandling av personopplysninger, regulerer virksomhetenes informasjonsplikt og ikke minst den registrertes rettigheter knyttet til blant annet innsyn, retting, sletting mv. 

Akademikerne noterer at personvernforordningen planlegges innført i norsk rett via korporasjon, konkret ved at det inntas en henvisning til forordningens tekst (oversatt til norsk) i ny personopplysningslov. Selve forordningsteksten planlegges ikke inntatt i ny personopplysningslov. Innføringsmetoden vil innebære at personopplysningsloven ikke lenger vil skissere hovedreglene og definisjonene på personvernfeltet, men gi presiseringer, suppleringer og unntak fra reglene i EU-forordningen. Videre vil forordningstekstens struktur skille seg betydelig fra tradisjonell norsk lovgivningsteknikk.

Selv om innføringsmetoden skulle være nødvendig eller hensiktsmessig i lys av forordningsformen, mener Akademikerne at metoden svekker den nye lovens brukervennlighet. Sett i lys av at et sentralt formål ved forordningen nettopp er å fremme den registrertes personvern, er dette et paradoks og en rettssikkerhetsutfordring. Vi ber på denne bakgrunn om at departementet foretar en ny vurdering av innføringsmetoden. En konkret oppfordring er å vurdere å benytte en lignende innføringsmetode som etter det opplyste planlegges i dansk rett, der deler av forordningsteksten gjengis i ny nasjonal personvernlov.

 

Dersom den planlagte innføringsmetoden ikke endres, må man etter vår oppfatning søke å bøte på at mange brukere av loven i sterke grad enn før må lene seg på annenhåndskilder i forståelsen av generelle personvernregler.

 

Slik Akademikerne ser det, er det avgjørende at alle brukere av loven – både den enkelte borger og virksomhetene - har tilgang til god informasjon og veiledning om personvernreglene. Datatilsynet er i dag en sentral aktør på personvernfeltet, og må ha en viktig informasjons- og veiledningsrolle også i fremtiden. Dette fordrer tilgang på tilstrekkelige ressurser og kompetanse. Samtidig kan det problematiseres at ulike roller kan være krevende å forene; Datatilsynet skal samtidig med sin informasjons- og veiledningsrolle fylle tilsynsrollen og vil få adgang til å sanksjonere brudd på personvernreglene. Denne type kompleksitet gjelder også øvrige organer som Arbeidstilsynet, og er mulig å håndtere. Like fullt må rolleutfordringen håndteres for å oppnå reell styrking av personvern og datasikkerhet.

 

I tillegg til de pedagogiske utfordringene lovforslaget innebærer, særlig for ledelsen, sikkerhetsansvarlig, personvernrådgiver og tillitsvalgt i den enkelte virksomhet, vil tilsynsmyndighetenes opplysningsvirksomhet få ekstra utfordringer. Vanskelig tilgjengelige myndighetskrav vil dessuten gjøre virksomhetene unødvendig avhengig av advokat- og konsulentbransjen.

 

Det foreslås derfor følgende:

  1. De viktigste materielle bestemmelsene i forordningen gjengis i den nye personopplysningsloven slik at hovedregler og unntak fra hovedreglene, både de forordningen fastsetter og det nasjonal rett selv kan utforme, kommer i naturlig og lesbar rekkefølge.
  2. Lovtekst som gjengir forordningstekst må tydelig vise til forordningens tilsvarende ulike artikler og artikkelnumre.
  3. Der det ut fra redaksjonelle grunner ikke gjengis tekst fra forordningen, må det opplyses om temaet og vises til forordningens eksakte artikkel og artikkelnummer.
  4. For å få å få plass til ovennevnte bør loven i langt større grad enn i lovforslaget åpne opp for at detaljerte bestemmelser reguleres på forskriftsnivå. F eks bør antallet medlemmer i personvernnemda og andre detaljer om nemda uten Stortingets interesse kunne reguleres ved kongelig resolusjon.

  3. Anvendelsesområde

Forordningen gjelder etter sin ordlyd ikke for det som faller utenfor EØS-avtalens virkeområde. Akademikerne er enig med departementet når det foreslås at forordningens regler skal gis anvendelse også utenfor EØS-avtalens virkeområde. Det ville by på en rekke utfordringer å operere med to ulike regelsett for behandlinger som omfattes av og behandlinger som faller utenfor EØS-avtalens virkeområde.

 4. Konsekvenser for fagforeningsarbeid

 

I lys av at fagforeningsmedlemskap anses som en sensitiv personopplysning både etter någjeldende og kommende personvernregler, er det nødvendig å behandle medlemsopplysninger og medlemskommunikasjon med høy grad av varsomhet. På den annen side kan ikke kategoriseringen være et absolutt hinder for å ivareta medlemmenes interesser. Fagforeninger må fungere i en arbeidshverdag hvor vurderinger knyttet til effektiv kommunikasjon, «interessekamp» og deling av adekvat og relevant informasjon må foretas i høyt tempo. Fortsatt balansering av hensynene til de registrerte og hensynet til virksomheten som registrerer, er dermed viktig også fremover.

 

Lovlig behandling, herunder oppbevaring og distribusjon, av informasjon om organiserte i fagforening er normalt en særlig utfordring for de tillitsvalgte lokalt og den ansatte i fagforeningenes administrative sekretariater. En av de viktigste utfordringene er at fagforeningsmedlemskap i seg selv er en sensitiv personopplysning, noe som igjen innebærer at ikke all kommunikasjon mellom medlemmene og fagforeningen sentralt kan skje via åpen epost. Dette fordi åpen epost ikke er sikker nok distribusjonskanal for sensitive personopplysninger. Eposten må da isteden enten krypteres eller innholdet i den kommuniseres via et lukket nett med adgangskontroll. En slik prosedyre er ikke praktisk gjennomførbar for forsendelse av epost til det enkelte fagforeningsmedlem. I praksis har fagforeningene derfor kun kryptert forsendelser av lister over medlemmer, evt at disse blir distribuert til tillitsvalgte via lukkede medlemssider.

 

Fallende organisasjonsgrad er allerede et problem for trepartssamarbeidet og den norske modellen. Et unødvendig komplisert regelverk risikerer å bidra til en ytterligere svekket organisasjonsgrad. Akademikerne forutsetter at forordningen gir grunnlag for at norske myndigheter avklarer spørsmålet på egnet måte slik at fagforeningene opplever at de følger en korrekt praksis.

 5. Behandling av sensitive opplysninger i arbeidsforholdet

 

Frem til i dag har det vært en bestemmelse som gir anledning til behandling av sensitive personopplysninger i arbeidsforhold i den grad det er "nødvendig for å ivareta arbeidsrettslige rettigheter og plikter". Personvernforordningen krever et supplerende grunnlag for behandling av sensitive personopplysninger i arbeidsforhold. Dette kan være nasjonal rett etter en tariffavtale som gir nødvendige garantier for den registrertes grunnleggende rettigheter og interesser. I dag finnes særlig arbeidsmiljøloven § 9-3 og § 9-4 om henholdsvis innhenting av helseopplysninger ved ansettelse eller medisinske undersøkelser.

 

Vi mener at det vil være tilfeller hvor det behandles sensitive personopplysninger i arbeidsforhold uten at dette har et rettslig grunnlag i nasjonal lovgivning.  Det kan være nødvendig å behandle opplysninger om fagforeningsmedlemskap i forbindelse med lønnsutbetaling. Videre kan det være nødvendig å behandle helseopplysninger eller andre typer sensitive personopplysninger i forbindelse med tilrettelegging, personaladministrasjon eller lignende. Vi foreslår dermed en regulering som hjemler behandling som er nødvendig for å ivareta arbeidsrettslige rettigheter og plikter.

 

Nødvendigheten av et rettsgrunnlag for behandling av opplysninger i arbeidsforhold henger også sammen med utfordringen med å basere en behandling av personopplysninger i arbeidsforhold på samtykke fra de ansatte. 

 6. Innsyn i lønnsopplysninger

 

En del lokale tillitsvalgte som forhandler lønn lokalt vil være interessert i innsyn i lønnsopplysninger til andre enn egne medlemmer. På den annen side vil andre tillitsvalgte kunne ha interesse av at lønnsnivået til egne medlemmer ikke tilflyter andre, f.eks. ikke-organiserte.  Regelverket som i dag regulerer innsyn i andres lønn i privat sektor oppfattes som fornuftig, men har en for svak rettskildemessig vekt i det en veileder fra Datatilsynet synes å være eneste hjemmelsgrunnlag. En nærmere regulering av problemstillingen gjennom dialog med partene i arbeidslivet ville vært hensiktsmessig her. En mulig fremtidig atferdsnorm for en slik regulering etter forordningen artikkel 40 vurderes derimot som en for svak regulering av innsyn i lønnsopplysninger.

 7. Innsyn i ansattes e-post

 

Akademikerne støtter forslaget om å videreføre de materielle bestemmelsene om innsyn i ansattes epost mv i personopplysningsforskriften kapittel 9 i en ny tilsvarende forskrift, samt de mindre endringene og tilføyelsene som er foreslått i tillegg. Men Akademikerne er uforstående til at forordningens artikkel 88 er til hinder for å videreføre bestemmelsen i dagens forskrift § 9-1 siste ledd om tilsvarende anvendelse av bestemmelsen overfor studenter og tillitsvalgte «så langt de passer». Vi anser det som viktig at nevnte grupper gis et minimumsvern mot vilkårlig innsyn i epost mv selv om studenter og tillitsvalgte ikke er i et ansettelsesforhold. Vi ser ikke den rettslige skranken for at nasjonal rett kan gi disse vernebestemmelsene selv om forordningens artikkel 88 ikke passer direkte.

 

Det ville vært en fordel om det i forskriftsteksten ble satt inn en bestemmelse om at innsyn i en tillitsvalgtes epostkasse stilt til rådighet av arbeidsgiver forutsetter ekstra strenge krav til innsyn, samt at innsynet loggføres.

 

Forslag til nytt siste ledd i forskriften § 3: Innsyn i epostkasse mv som benyttes av en tillitsvalgt fordrer ekstra varsomhet fra arbeidsgivers side, og skal loggføres.  

 8. Aktivitetslogg på arbeidsplassen i edb-system eller datanett

 

Aktivitetslogger på arbeidsplassen i edb-system eller datanett som av sikkerhetsmessige årsaker er etablert i virksomheten, kan lett også brukes til uheldig overvåkning av de ansattes aktiviteter i løpet av arbeidsdagen. Dagens rettslige regulering av dette i personopplysningsforskriften §§ 7-11 og 9-2 andre ledd foreslås å opphøre fra departementets side i og med at hele forskriften foreslås å opphøre. Akademikerne forutsetter derfor at vernebestemmelsene knyttet til aktivitetsloggene, i likhet med innsyn i arbeidstakeres epost mv, videreføres regulert med det samme vernet som i dag overfor de ansatte i en fremtidig forskriftsbestemmelse. En antar at dette er meningen fra departementets side da de materielle endringene som følge av forordningen fra departementets side fremheves å være minimale. Departementets forslag til bestemmelser om arbeidsgivers innsyn i epostkasse m.v § 3 syvende ledd må i så fall endres slik at det fremgår at innsyn i aktivitetslogger er begrenset til slik bruk som er regulert i dagens forskrift § 7-11. Forordningen i seg selv hindrer heller ikke å videreføre dette vernet så langt vi kan se. 

 9. Kameraovervåking på arbeidsplassen

 

Akademikerne støtter spesifikt forslaget om bestemmelser om kameraovervåkning på arbeidsplass som vi anser viderefører dagens ordning. Vi slutter oss videre til synspunktet om at bruk av uekte overvåkningskameraer reguleres tilsvarende, selv om dette etter departementets synspunkt faller utenfor forordningens virkeområde.

 10. Regelverk om personvern knyttet til ansettelsesforhold

 

Forordningen artikkel 88 om behandling av personopplysninger i forbindelse med ansettelsesforhold bør aktualisere et tidligere meldt behov fra fagforeningenes side om en arbeidsgruppe bestående av Arbeidstilsynet, Datatilsynet og partene i arbeidslivet der behovet for det regelverket nevnte artikkel etterspør blir gjennomgått og foreslått.

 11. Personvernrådgiver

 

Akademikerne er enig med departementet i at det på nåværende tidspunkt ikke bør gis nasjonale regler som utvider plikten til å utnevne personvernrådgiver, ut over det som er fastsatt i forordningens artikkel 37 nr. 1. Vi støtter også betraktningene rundt behovet for å se an utviklingen av ordningen både nasjonalt og internasjonalt, før det eventuelt vurderes om personvernrådgiverens plikter bør utvides i norsk personvernlovgivning.

 

Personvernrådgivers taushetsplikt foreslår regulert i ny personopplysningslov. Dette synes fornuftig, men bidrar like fullt til å synliggjøre utfordringene ved det inkorporasjonsgrepet som departementet foreslå; personvernrådgiverens plikter og oppgaver – som jo er det primære ved ordningen – vil ikke fremgå av den nye personopplysningsloven, kun taushetsplikten. Dette fremstår som rart.

 

I følge artikkel 37 så skal det opprettes personvernrådgiver i virksomheter som «behandler sensitive personopplysninger i stor skala». Det er imidlertid ikke tilstrekkelig klarlagt hva som ligger i begrepet «stor skala», hvilket medfører en usikkerhet for når en bedrift er pliktig til å opprette personvernrådgiver. Datatilsynet har søkt presisert hva som menes med «stor skala» og nevner at fastleger og advokater som kun behandler opplysninger for et begrenset antall pasienter eller kunder er eksempler på aktører som ikke vil komme inn under begrepet «stor skala», vil det samme være tilfellet for tannleger? Vi kan ikke se at Datatilsynet sin presisering er klargjørende. Vi er av den oppfatning at eksemplifiseringen snarere skaper tvil om hva som skal legges i «et begrenset antall».  Enkelte tannlegekontor/tannleger vil kunne ha en stor kundebase og dermed behandle en god del sensitiv informasjon. Det savnes i det hele retningslinjer som sier noe mer konkret om hvordan begrepet skal tolkes og i den forlengelse hvem som må ha personvernrådgiver. Selve begrepet oppfattes som for diffust, og selve innholdet i denne sammenheng bør etter vårt syn søkes spesifisert nærmere.

 

Videre synes regelverket utformet slik at det best passer for større bedrifter, når det gjelder tannlegevirksomhet er det flere mindre foretak. Vi ser dermed at dette kan medføre enkelte vansker for de mindre bedriftene og det bør søkes å tilrettelegge også for disse. Dette er av særlig betydning nå da ansvaret i større grad legges over på den enkelte bedrift og overtredelsesgebyret samtidig økes betraktelig.

 12. Bransjenormer

 

Rettsreglene på personvernets område er med sin kompleksitet og strenge myndighetskrav såpass utfordrende at det vil være naturlig at bransjer søker sammen av rasjonelle årsaker for å utarbeide bransjenormer. En ser det som konstruktivt om det offentlige legger til rette for at bransjer søker sammen i slikt arbeid og opptrer som en samarbeidspartner for bransjer med spesielle utfordringer på personvernets rettsområde. Akademikerne ser derfor særlig positivt på forordningens artikkel 40 om atferdsnormer som nettopp gir myndighetene en slik «oppmuntringsplikt» og involverer det offentlige i dannelsen av bransjerelaterte atferdsnormer. Organisasjonene i arbeidslivet er et eksempel på en bransje som bør kunne finne sammen på personvernets område for å utarbeide nevnte atferdsnormer.  

 13. Flyt av helseinformasjon

 

Som sensitiv personopplysning er helseinformasjon omfattet av strenge regler. Dette er både viktig og riktig for å ivareta pasientenes personverninteresser.  Samtidig kan regler for å ivareta personverninteressene men utformet på en uhensiktsmessig måte bidra til dårligere helsetjenester for den enkelte pasient, ved at den enkelte behandler ikke har tilgang på viktig informasjon om pasienten. Det er derfor nødvendig at reglene utformes på en måte som ikke er til hinder for fornuftig og nødvendig flyt av helseinformasjon for å sikre gode helsetjenester.

 

 

Med vennlig hilsen

Akademikerne

Øystein Holm-Haagensen

Rådgiver

Vedlegg