1 Sammendrag av personregisterlovutvalgets utredning
1.1 Innledning
Personregisterlovutvalget legger i denne utredningen frem forslag til en ny lov om behandling av personopplysninger. Loven skal erstatte lov 1978 nr 48 om personregistre m m. Bakgrunnen for utredningen fremgår av utvalgets mandat, se 2.1.
Utredningen består av tre deler. Del I er en i hovedsak deskriptiv oversikt over noen faktiske og rettslige utgangspunkter for utvalgets arbeid. Del II inneholder utvalgets vurderinger av en del utvalgte problemstillinger, som danner grunnlaget for del III; lovforslag med merknader til de enkelte bestemmelsene.
Lovforslaget atskiller seg på flere viktige punkter fra personregisterloven, se 1.2 nedenfor. Samlet sett er endringene så store at utvalget anser det som mest hensiktsmessig å foreslå en helt ny lov istedetfor å foreslå endringer i personregisterloven.
Utvalget mener at den nye reguleringen sett under ett ikke svekker, men styrker personvernet samtidig som forslaget ligger innenfor direktivets rammer.
Nedenfor presenteres først en punktvis oversikt av de viktigste endringene utvalget foreslår (se 1.2.1 – 1.2.7). Deretter følger et kronologisk sammendrag av de enkelte kapitlene.
1.2 Hovedpunkter i utredningen
1.2.1 Utvidet fokus: Ikke lenger bare personregistre, men også elektronisk behandling av personopplysninger
Personregisterloven regulerer opprettelse og bruk av personregistre. Utvalget foreslår at registerbegrepet ikke lenger skal gjelde som avgrensingskriterium for elektronisk behandling av personopplysninger. Lovforslaget kommer til anvendelse på elektronisk behandling av personopplysninger mer generelt, og på manuell behandling av personopplysninger (dvs behandling uten bruk av elektroniske hjelpemidler) når personopplysningene inngår i eller skal inngå i et personregister. Dette medfører at den nye loven får et noe videre saklig virkeområde enn personregisterloven.
1.2.2 Større vekt på etterfølgende kontroll på grunnlag av meldinger til Datatilsynet
Personregisterloven bygger på en omfattende forhåndskontroll (konsesjonsplikt) ved opprettelse av personregistre. Utvalget foreslår at konsesjonsplikten innsnevres og at fokus i noen grad skiftes fra forhåndskontroll til etterfølgende kontroll med behandling av personopplysninger. Den etterfølgende kontrollen bygger på tre hovedelementer. For det første innføres en plikt til å sende melding til Datatilsynet om bestemte typer behandling av personopplysninger. Meldingene skal innføres i en offentlig tilgjengelig fortegnelse hos Datatilsynet, og vil gi Datatilsynet informasjon som bl a kan benyttes i kontrolløyemed. For det andre foreslås det at de som behandler personopplysninger skal kvalitetssikre behandlingen og iverksette internkontroll. For det tredje foreslås det at Datatilsynet gis kompetanse til å gi pålegg om at lovstridig behandling av personopplysninger skal opphøre, eller eventuelt stille vilkår som må oppfylles for at behandlingen skal være lovlig. Dersom pålegget ikke etterleves, kan Datatilsynet ilegge en tvangsmulkt som løper inntil forholdet er rettet.
I lovforslaget ligger også at Datatilsynet skal gi mer rettsinformasjon og veiledning om personvern, blant annet ved å oppfordre til og delta i utarbeidelsen av bransjevise atferdsnormer, dvs regler om personvern som ulike bransjer selv fastsetter.
Utvalget går inn for at det fortsatt skal være en konsesjonsplikt, men at området for konsesjon skal være atskillig mindre og fastsatt etter andre kriterier enn i dag. Avgrensningen av konsesjonsplikten etter lovforslaget er begrunnet i at personvern er særlig viktig når det benyttes sensitive personopplysninger til å treffe avgjørelser som er av stor betydning for den enkelte.
1.2.3 Flere regler i selve loven
Personregisterloven og forskriftene gitt i medhold av den inneholder få materielle regler, dvs regler som direkte sier noe om hvordan personopplysninger kan eller skal behandles. Mangelen på slike regler i loven har blitt avhjulpet av at Datatilsynet har satt generelle vilkår i sine konsesjoner. Utvalget foreslår at selve loven skal inneholde flere materielle regler, jf utredningen kapittel 12. Slike regler finnes bl a i kapitlene 2 og 4 i lovforslaget. Et konkret eksempel er begrenset adgang til å bruke personopplysninger til et annet formål enn de opprinnelig er innsamlet for.
1.2.4 Flere rettigheter til den som opplysningene gjelder (den registrerte)
Personregisterloven er basert på at den enkeltes personvernbehov dels varetas gjennom kollektive personverntiltak, som f eks Datatilsynets virksomhet, og dels ved at den enkelte selv er gitt rettigheter. Et eksempel på en individuell rettighet er retten til innsyn. Utvalget foreslår at den nye loven skal videreutvikle den registrertes individuelle rettigheter på tre områder.
For det første pålegges den som bestemmer formålet med behandlingen av personopplysningene (den behandlingsansvarlige) av eget tiltak å sørge for at den enkelte registrerte kan nyttiggjøre seg av rettighetene i loven. Et eksempel på dette er at den behandlingsansvarlige skal informere den registrerte når det innhentes opplysninger om vedkommende.
For det andre gis den registrerte noen nye eller utvidete rettigheter som man selv må ta initiativ for å benytte. Eksempler på dette er utvidet innsynsrett, rett til i visse tilfeller å kreve manuell behandling av personopplysninger, og rett til å kreve begrunnelse for beslutninger som bygger på slike behandlinger.
Endelig har utvalget lagt vekt på at lovfesting av rettigheter ikke alltid er nok – også de faktiske forholdene må legges til rette slik at det blir praktisk mulig for den registrerte å benytte seg av rettighetene. Dette skal oppnås bl a ved at Datatilsynet skal ha en offentlig tilgjengelig oversikt over behandling av personopplysninger.
1.2.5 Et mer uavhengig Datatilsyn
I henhold til personregisterloven er Datatilsynet et frittstående forvaltningsorgan. Utvalget foreslår bl a på bakgrunn av direktivet at Datatilsynet skal være faglig uavhengig av regjeringen og departementene, jf kapittel 18. Regjeringens styringsredskaper vil være å gi forskrifter og å fremme forslag til lovendringer. Det foreslås at Justisdepartementet ikke lenger skal behandle klager over Datatilsynets avgjørelser. I forhold til uavhengigheten er poenget at departementet ikke skal kunne legge føringer på Datatilsynets avgjørelser ved å avgi uttalelser i klagebehandlingen som også har rekkevidde utover den konkrete klagesaken.
1.2.6 Et nytt organ – Personvernnemnda – skal behandle klager over Datatilsynets avgjørelser
Blant annet som følge av kravet om et uavhengig tilsyn foreslår utvalget at klager skal behandles av en nyopprettet klageinstans, Personvernnemnda.
1.2.7 Strengere regler om overvåkning
En del overvåkning vil være elektronisk behandling av personopplysninger. Dette gjelder f eks fjernsynsovervåkning med billedopptak som lagres digitalt. I så fall får loven anvendelse på vanlig måte. Men ikke all overvåkning vil være elektronisk behandling av personopplysninger i lovens forstand. Et eksempel på overvåkning som i utgangspunktet faller utenfor lovens saklige virkeområde, er fjernsynsovervåkning som lagres analogt uten effektive muligheter for gjenfinning av enkeltpersoner. Også for slik overvåkning er det etter utvalgets syn behov for strengere regler enn i dag, og utvalget foreslår at det også for denne type overvåkning bl a skal være meldeplikt og adgang for Datatilsynet til å gi pålegg. Dersom pålegget ikke respekteres, kan Datatilsynet gi tvangsmulkt.
1.3 Sammendrag av hvert kapittel
1.3.1 Utredningen del I
I kapittel 2 presenteres utvalgets bakgrunn, mandat, sammensetning og arbeidsmåte. Behovet for revisjon av personregisterloven skyldes dels en teknologisk utvikling som stadig åpner for nye muligheter til å innsamle, bearbeide og bruke personopplysninger, og dels Norges forpliktelse til å gjennomføre et EF-direktiv.
Begrepet personvern kan synes uklart og omfattende. Utvalget har derfor sett det som fornuftig å presisere hvilken betydning utvalget legger i begrepet, se kapittel 3. På denne måten synliggjøres viktige referanserammer for utvalgets arbeid.
Som nevnt ovenfor begrunnes utvalgets mandat blant annet med teknologiske og samfunnsmessige utviklingstrekk som bør få betydning for reglene om personvern. I kapittel 4 utdypes enkelte av disse utviklingstrekkene, og det forklares hvorfor disse er av betydning for personvernet.
Når en lov skal revideres er loven selv et utgangspunkt for vurderingen. Kapittel 5 gir en oversikt over personregisterloven med forskrifter, mens kapittel 6 illustrerer at personvern også varetas av annen lovgivning, ulovfestede og avtalefestede regler.
Utvalget har sett det som viktig å orientere seg om internasjonale regler og om rettstilstanden i andre land. I kapittel 7 behandles Europarådets konvensjon om persondatabeskyttelse med tilhørende rekommandasjoner. I kapittel 8 gis en oversikt over EF-direktiv 95/46 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (senere også kalt personverndirektivet eller bare direktivet). I kapittel 9 redegjøres det kort for andre internasjonale reguleringer og for enkelte andre lands personregisterlovgivning. Enkelte grunnleggende likhetstrekk finnes, for eksempel kombinasjonen av lovregler med et tilsynsorgan som kontrollerer at loven etterleves. Utgangspunktet løser seg imidlertid opp i en rekke forskjellige reguleringsmåter fra land til land.
1.3.2 Utredningen del II
Personregisterloven gjelder for personregistre og bruk av personopplysninger i visse virksomheter. Utvalget foreslår at registerbegrepet opprettholdes som avgrensningskriterium for manuell behandling av personopplysninger, men at all elektronisk behandling av personopplysninger omfattes uavhengig av om opplysningene inngår i et personregister eller ikke. Dette er en utvidelse av det saklige virkeområde i forhold til personregisterloven. Utvidelsen blir imidlertid ikke så stor fordi det vil foreligge et personregister i personregisterlovens forstand dersom man relativt enkelt kan finne igjen personopplysninger om den enkelte som er lagret elektronisk.
Lovforslaget gjelder for behandling av opplysninger om fysiske personer. Opplysninger om juridiske personer vil også ofte ha et legitimt behov for vern. Dette behovet vil imidlertid i stor grad være begrunnet i andre hensyn enn personvernhensyn, som f eks økonomiske interesser, og slike interesser bør varetas i annen lovgivning. Opplysninger om fysiske personer som knytter seg til juridiske personer (f eks at en person er registrert som innehaver av en virksomhet) vil være en personopplysning som omfattes av loven. Opplysninger om døde personer omfattes i den grad opplysningene kan knyttes til gjenlevende enkeltpersoner.
Videre foreslås at loven gjelder for offentlig og privat virksomhet, men at behandling av personopplysninger for rent personlige formål – på samme måte som etter personregisterloven – ikke omfattes.
I kapittel 11 drøftes en rekke nye rettigheter som loven tildeler den enkelte. Retten til innsyn utvides i forhold til personregisterloven (11.2). Dette innebærer for det første en utvidet rett til generell informasjon om persondatabehandlinger og en utvidet rett til innsyn i registrerte opplysninger om en selv. For det andre pålegges den behandlingsansvarlige en informasjonsplikt (ved innsamling av personopplysninger fra den registrerte selv og ved innhenting av personopplysninger fra andre). For det tredje gis den enkelte et krav på begrunnelse for fullstendig automatiserte avgjørelser (krav til innsyn i logikken bak en automatisert avgjørelse, se 11.4).
Utvalget foreslår videre visse regler som gir den enkelte en rett til å motsette seg visse typer persondatabehandlinger (11.3). To rettigheter kan sies å tilhøre denne gruppen. Retten etter personregisterloven til å kreve sitt navn sperret mot bruk i direkte markedsføring foreslås videreført i den nye loven. Utvalget støtter Datatilsynets forslag om opprettelse av et sentralt reservasjonsregister for å gjøre det enklere for den enkelte å reservere seg. For det andre foreslås etablert en rett til å kreve manuell overprøving av enkelte fullstendig automatiserte avgjørelser.
Endelig foreslås visse regler om sletting av personopplysninger (11.5). Personregisterlovens bestemmelse om retting, sletting eller supplering av uriktige eller ufullstendige opplysninger eller opplysninger som det ikke er adgang til å registrere foreslås i all hovedsak videreført. I tillegg foreslås en generell regel om at personopplysninger skal slettes når det ikke lenger er saklig grunn for oppbevaring. Slike generelle slettingsregler fastsettes nå i Datatilsynets konsesjoner for opprettelse av personregistre. Nytt i forhold til dagens regulering er utvalgets forslag om at den enkelte registrerte gis et utvidet rett til å kreve opplysninger om seg selv slettet eller sperret.
Avslutningsvis i kapittel 11 drøftes noen spørsmål tilknyttet tidsfrister for å etterkomme krav fra de registrere og kostnader knyttet til de registrertes rettigheter (11.6).
Utvalget foreslår i kapittel 12 et bredt spekter av virkemidler for ivaretagelse av personvernet ved behandling av personopplysninger. Konsesjonspliktordningen foreslås videreført, men blir langt mindre omfattende enn i dag og avløst av en rekke tiltak som bl a bygger på en meldeplikt i kombinasjon med mer tilsyn fra Datatilsynet. Utvalget foreslår dessuten at Datatilsynet skal gi råd til dem som planlegger å behandle eller allerede behandler personopplysninger, samt til å gjennomføre etterfølgende kontroller. Det foreslås flere regler enn i dagens lov, og det vil dessuten som i dag være behov for regulering i forskrift. Videre foreslås regler om internkontroll, og endelig har utvalget vurdert såkalte bransjevise atferdsnormer som er utarbeidet av de behandlingsansvarlige selv. Eksempler på nye regler i loven er bestemmelser om krav til uttrykkelig definert formål ved behandling av personopplysninger, bruk av personopplysninger til andre formål enn det opprinnelige, behandling av sensitive personopplysninger og bruk av fødselsnummer.
Personregisterloven regulerer bruk av personopplysninger i visse typer virksomheter (kredittopplysningsvirksomhet, databehandlingsvirksomhet, adresserings- og distribusjonsvirksomhet og opinions- og markedsundersøkelser) i loven kapittel 5-8. Utvalget foreslår ikke å videreføre slik særskilt regulering i den nye loven (se kapittel 13). Utvalget foreslår i stedet en rekke nye regler som vil få anvendelse på alle typer elektronisk behandling (samt visse manuelle behandlinger). Flere generelle regler minsker behovet for særlige regler for visse utvalgte virksomheter. Det kan være aktuelt for den behandlingsansvarlige å benytte en databehandler som etter avtale behandler personopplysninger på vegne av den behandlingsansvarlige. Utvalget foreslår en bestemmelse som begrenser databehandlerens rådighet over personopplysningene. Dersom det viser seg ytterligere behov for særskilt regulering av visse virksomheter, foreslår utvalget at dette gjøres gjennom forskrift. Behandling av personopplysninger i kredittopplysningsvirksomhet bør etter utvalgets syn reguleres nærmere i forskrift.
Overvåkning som innebærer elektronisk behandling av personopplysninger omfattes av lovforslaget, og enkelte bestemmelser i lovforslaget gjelder også for annen overvåkning. I utredningen kapittel 14 foreslår utvalget at dagens regler om fjernsynsovervåkning videreføres, samt suppleres på to punkter. For det første foreslår utvalget at fjernsynsovervåkning som resulterer i billedopptak blir underlagt meldeplikt. For det andre foreslår utvalget at Datatilsynet gis kompetanse til å gripe inn og stoppe fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning når den blir igangsatt ulovlig, f eks fordi overvåkningen ikke kan sies å være saklig begrunnet. Endelig foreslås det at straffeloven § 390 b om varslingsplikt ved fjernsynsovervåkning av offentlig sted og arbeidssted flyttes fra straffeloven til ny lov om behandling av personopplysninger.
I kapittel 15 behandles sikring av personopplysninger, dvs tiltak for å sørge for at personopplysninger blir behandlet i samsvar med loven. Mens rettsreglene stiller krav til hvordan personopplysninger skal og kan brukes, er sikringstiltak organisatoriske og tekniske krav som skal sikre at rettsreglene etterleves. Utvalget redegjør for tidligere utredningsarbeider og initiativ på området, samt for gjeldende rett. I sine vurderinger legger utvalget til grunn at det er et stort behov for systematiske tiltak for å sikre at regelverket om behandling av personopplysninger etterleves. Og slike tiltak er en nødvendig del av en fremtidig regulering på personvernområdet. Konkret foreslår utvalget at det lovfestes en plikt til å etablere og anvende metoder for informasjons- og datasikkerhet for visse typer persondatabehandlinger.
Kapittel 16 omhandler overføring av personopplysninger til utlandet. Utvalget redegjør først for gjeldende rett og internasjonale reguleringer på området. I sine vurderinger legger utvalget til grunn at det skal bli lettere å overføre personopplysninger til stater som har gjennomført personverndirektivet. For overføring til stater som ikke har gjennomført EF-direktivet, blir det avgjørende om den aktuelle staten har et tilstrekkelig forsvarlig nivå på sin personvernregulering. Dersom mottakerstaten ikke oppfyller dette kravet, kan overføring kun finne sted dersom visse nærmere bestemte vilkår er oppfylt.
Regler om behandling av personopplysninger må ta hensyn til ytringsfriheten, se kapittel 17. Utvalget foreslår at det gjøres et generelt unntak fra deler av lovforslaget der dette er nødvendig for å finne en rimelig balanse mellom ytringsfrihet og personvern. Med ytringsfrihet menes ikke bare en henvisning til overordnede regler som Grunnloven § 100 og Den europeiske menneskerettighetskonvensjon artikkel 8 og 10, men også ytringsfrihet som et reelt hensyn. Utvalget gir i kapittel en del eksempler på avveininger av ytringsfrihet mot personvern.
Kapittel 18 omhandler tilsynsmyndighetens organisering, plassering og oppgaver.
Når det gjelder Datatilsynets oppgaver foreslås det at større vekt legges på rådgivning og kontroll av at loven etterleves. Behandling av konsesjonssøknader vil kreve mindre tid og ressurser enn i dag.
Et enstemmig utvalg går inn for at Datatilsynet skal være faglig uavhengig av regjeringen og departementene. Dette innebærer for det første at regjeringen og departementene ikke skal kunne instruere Datatilsynet om lovtolkning og skjønnsutøvelse verken generelt eller i enkeltsaker, og at Justisdepartementet ikke lenger skal behandle klager over Datatilsynets avgjørelser. Klager skal i henhold til forslaget behandles av et nyopprettet organ, Personvernnemnda. Også Personvernnemnda skal være faglig uavhengig av Justisdepartementet. Forøvrig går utvalget inn for at både Datatilsynet og Personvernnemnda administrativt skal høre under regjeringen og det departement Kongen fastsetter (i dag Justisdepartementet).
Utvalget er ikke enstemmig i alle problemstillingene knyttet til organiseringen og plasseringen av tilsynsmyndigheten. Utvalgets leder og medlemmene Apenes, Kristiansen, Meinich og Schartum går inn for at når det opprettes en bredt sammensatt og faglig kompetent klageinstans, vil det ikke lenger være behov for noe styre i Datatilsynet, mens medlemmene Bredengen, Gundersen, Hestnes, Håøy og Koch mener at dagens styreordning bør videreføres fordi opprettelse av nytt klageorgan etter disse medlemmenes syn ikke har betydning for spørsmålet om hvorledes Datatilsynet bør organiseres. Når det gjelder oppnevning av medlemmer til Personvernnemnda går utvalgets flertall, medlemmene Bredengen, Gundersen, Hestnes, Håøy, Koch, Kristiansen og Meinich, inn for at klageinstansen bør ha fem medlemmer og at samtlige bør oppnevnes av Kongen. Et mindretall i utvalget, bestående av lederen og medlemmene Apenes og Schartum, mener at klageinstansen bør ha syv medlemmer og at to av disse bør oppnevnes av Stortinget mens resten bør oppnevnes av Kongen.
Kapittel 19 omhandler hvilke sanksjoner som kan benyttes dersom loven ikke etterleves. Straffansvaret videreføres med noen mindre endringer, bl a slik at overtredelsen av loven under særdeles skjerpende omstendigheter skal kunne medføre fengsel inntil to år (i dag er maksimumsstraffen ett år). Straffansvar for foretak bør som i dag reguleres av straffelovens bestemmelser. Utvalget foreslår videre at det innføres et generelt erstatningsansvar for brudd på loven når dette fører til økonomisk tap og skadevolderen ikke kan godtgjøre at han eller hun ikke kan lastes for skaden. Utvalget går ikke inn for rett til erstatning for ikke-økonomisk tap (oppreisning), men foreslår istedet at skadevolderen pålegges en plikt til å sørge for at lovovertredelsen får minst mulig konsekvenser for den registrerte (en plikt til gjenopprettelse). Utvalget foreslår videre at Datatilsynet skal kunne ilegge en tvangsmulkt dersom pålegg i medhold av loven ikke etterleves.
I kapittel 20 gjøres rede for økonomiske og administrative konsekvenser av utvalgets forslag. For Justisdepartementet vil lovforslaget medføre at det ikke lenger må brukes ressurser på behandling av klager over Datatilsynets avgjørelser. Departementet må imidlertid sørge for at det opprettes en Personvernnemnd og sette av midler til denne. For Datatilsynet vil lovforslaget føre til at ressurser kan flyttes fra behandling av konsesjonssøknader til rådgivning og etterfølgende kontroll. Datatilsynet vil i en overgangsperiode ha behov for vesentlig større ressurser enn i dag. For den som behandler personopplysninger (den behandlingsansvarlige) vil forslaget innebære noe kostnader, blant annet som følge av flere individuelle rettigheter og som følge av krav til sikringstiltak m v. Nøyaktig hvor store kostnader det dreier seg om kan vanskelig fastslås på forhånd. Dette skyldes blant annet at kostnadene avhenger av hvor mange som benytter seg av de rettighetene loven gir.