Del 2
Noen hovedspørsmål
10 Lovens saklige og geografiske virkeområde
10.1 Lovens saklige virkeområde
10.1.1 Personopplysninger
10.1.1.1 Personregisterlovens definisjon
Personregisterloven definerer personopplysninger som opplysninger og vurderinger som direkte eller indirekte kan knyttes til identifiserbare enkeltpersoner, sammenslutninger eller stiftelser (§ 1 annet ledd). Begrepet er meget vidtrekkende, og omfatter både faktiske opplysninger og vurderinger så lenge opplysningene knyttes direkte eller indirekte til en person. Et navn vil gi en direkte tilknytning, mens f eks et bilnummer eller et telefonnummer kan være en indirekte identifikasjon. Det er imidlertid et minstevilkår at den personen som opplysningen gjelder, må kunne identifiseres. Et 11-sifret personnummer vil alltid gi en entydig identifikasjon. Det kan imidlertid også være mulig å identifisere en person uten opplysninger om navn, adresse eller fødselsnummer for eksempel ved opplysninger om yrkeskategori, utseende eller lignende, f eks sorenskriveren i Halden eller politimesteren i Oslo. Hva som er å anse som tilstrekkelig identifikasjon, må avgjøres konkret i hvert enkelt tilfelle. F eks kan en anonym undersøkelse hvor det registreres opplysninger om hver enkelt elev ved en skole i noen tilfeller sies å utgjøre et personregister, andre ganger ikke. Dette kan avhenge av hvor stor skolen er, hvor entydig klassene er beskrevet, kjønnsfordelingen på skolen og i klassene, om enkelte elever skiller seg merkbart ut m v.
Statistikkopplysninger vil som regel ikke kunne knyttes til enkeltpersoner slik at den enkelte person kan identifiseres. Dersom statistikken omfatter svært få personer, kan dette unntaksvis medføre at kravet til identifikasjon er oppfylt også for denne typen opplysninger.
Opplysninger om en identifiserbar gruppe personer er ikke å anse som personopplysninger med mindre kravet til identifikasjon er oppfylt også overfor den enkelte person i gruppen.
Loven omfatter opplysninger om både fysiske og juridiske personer, dvs både opplysninger om enkeltpersoners private forhold og opplysninger om sammenslutninger (ulike selskapstyper) og stiftelser. Det betyr at reglene også gjelder for opplysninger om selskapers eier-, regnskaps-, og produksjonsforhold.
Som det har fremgått, er det ikke opplysningstypen i seg selv som avgjør om opplysningen er en personopplysning slik personregisterloven nytter begrepet, men hvorvidt opplysningen direkte eller indirekte kan knyttes til en person. Det er derfor ikke noe sammenfall mellom begrepet personopplysning og begrepet personlige forhold som benyttes i andre lover (taushetspliktlovgivning, f eks forvaltningsloven § 13) – begrepet personopplysninger er atskillig videre. Forklaringen på dette ligger i at personvernlovgivningen og taushetspliktlovgivningen ivaretar forskjellige hensyn – selv om de også overlapper hverandre delvis. Diskresjonshensynet som er et hovedhensyn bak taushetspliktlovgivningen rekker ikke lenger enn å begrunne restriksjoner på spredning av en kvalifisert type opplysninger; opplysninger om personlige forhold. Det er imidlertid flere hensyn som i mange tilfeller vil være minst like viktige i personvernsammenheng, f eks hensynet til fullstendighet og innsyn (jf kapittel 3).
10.1.1.2 Internasjonale regler
Definisjonen av personopplysninger i personregisterloven er sammenfallende med EF-direktivets definisjon, med den forskjell at direktivet kun omfatter opplysninger om fysiske personer, jf artikkel 2 a):
«I dette direktiv forstås ved:
personopplysninger, enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede); ved indentificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl. a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet;»
Direktivet er imidlertid ikke til hinder for at man i norsk lovgivning også lar loven omfatte opplysninger om juridiske personer, jf fortalen nr 24 ( dette direktiv berører ikke national lovgivning, der beskytter juridiske personer i forbindelse med behandlingen af oplysninger, der berører dem).
Europarådskonvensjonen definerer personopplysninger slik i artikkel 2 a):
«enhver opplysning som gjelder en bestemt eller identifiserbar enkeltperson ( datasubjekt)».
10.1.1.3 Utvalgets vurderinger
Kriteriet som direkte eller indirekte kan knyttes til en identifiserbar person har flere svakheter. Det kan i visse tilfelle være uklart om en opplysning kan knyttes til en identifiserbar person (f eks ved statistikkopplysninger om noen få personer, se foran).
Personopplysningsbegrepet slik det brukes i personregisterloven er svært vidtrekkende, og favner kan hende videre enn personverninteresser kan begrunne. Utvalget har derfor funnet det naturlig å vurdere om det bør gis en definisjon av personopplysninger som er snevrere enn dagens definisjon. En slik løsning er tatt i bruk i andre lover, se f eks forvaltningsloven § 13 om taushetsplikt for opplysninger om personlige forhold, hvor mindre sensible opplysninger ikke omfattes av taushetsplikten. På den annen side kan en slik snevrere definisjon neppe knyttes opp mot definisjonen i forvaltningsloven § 13 – til det er sistnevnte bestemmelse for snever. Utvalget har også lagt vekt på at direktivets definisjon av personopplysninger langt på vei er sammenfallende med personregisterlovens definisjon. Endelig kan sondringen mellom trivielle og sensible personopplysninger (fremdeles) tillegges betydning på annen måte, f eks ved at behandlingen av følsomme personopplysninger undergis en strengere regulering. Utvalget går etter dette inn for å videreføre dagens definisjon av personopplysninger. Om tilknytningen og/eller identifiseringen er tilstrekkelig, må fremdeles avgjøres konkret. Formålsbestemmelsen i lovforslaget kan gi veiledning i denne vurderingen.
Utvalget har vurdert om loven også bør verne opplysninger om en gruppe personer. Et eksempel på at en gruppe personer er gitt vern på andre områder, er strl § 135a. Utvalget finner imidlertid ikke at det er behov for å la personopplysningsbegrepet også omfatte opplysninger om en identifiserbar gruppe personer. Slike opplysninger vil meget sjelden kunne oppfattes som strengt personlige på samme måte som opplysninger om enkeltpersoner, jf det integritets-fokuserte personvernet (3.3.2). Det vil dessuten medføre vanskelige avgrensningsproblemer.
10.1.1.3.1 Særlig om opplysninger om juridiske personer
Personregisterloven får som nevnt anvendelse på opplysninger som kan knyttes til identifiserbare sammenslutninger eller stiftelser, jf § 1 annet ledd. Begrepet sammenslutninger omfatter både selskaper og foreninger. På bakgrunn av at personvernlovgivningen i de fleste andre land (se 9.5), samt EF-direktivet kun får anvendelse på opplysninger om fysiske personer, er det grunn til å vurdere om loven fremdeles bør få anvendelse på slike opplysninger.
Problemstillingen var også fremme under forberedelsen av personregisterloven. Både Sandvik-utvalget og Seip-utvalget begrenset utredningene og lovforslagene til å gjelde beskyttelse av opplysninger om fysiske personer. Dette har – i alle fall for Seip-utvalgets del – antagelig sammenheng med at utvalget iht mandatet skulle ta utgangspunkt i de datasystem som hovedsaklig inneholder opplysninger om fysiske personer i motsetning til 'juridiske personer' (NOU 1975: 10 side 7). Sandvik-utvalget foreslo i sitt lovutkast enkelte særregler for personer som er næringsdrivende. Departementet la for sin del avgjørende vekt på at det kunne være vanskelig å trekke grensen for hva som er opplysninger om fysiske personer og hva som er opplysninger om juridiske personer, samt at innholdet i mange av lovens bestemmelser logisk innbefattet juridiske personer. (Ot prp nr 2 1977-78 s 26 v sp). Det ble likevel understreket at (op cit):
«Det her nevnte utgangspunkt medfører naturligvis ikke at opplysninger om fysiske personer og juridiske personer i enhver henseende skal behandles likt: Det knytter seg betydelig offentlig interesse til bedriftenes virksomhet, og bedriftsopplysningene kan ikke beskyttes etter samme normer som opplysninger om private forhold. Dessuten har bedriftene generelt større evne til å vareta sine interesser enn den enkelte privatperson.»
Føyen vurderte i sin utredning om loven burde endres slik at den bare fikk anvendelse på opplysninger om fysiske personer (Føyenutredningen s 70), men kom til at en slik endring ikke var ønskelig. Departementet og Stortinget var ved lovrevisjonen i 1987 enig i dette (jf Ot prp nr 34 (1986-87) s 18 og Innst O nr 64 (1986-87) s 5.
Internasjonalt er det etter hva utvalget erfarer bare fire land – Island, Østerrike, Luxemburg og Sveits – som i sin personvernlovgivning verner opplysninger om juridiske personer på en tilsvarende generell måte som den norske loven i dag gjør. Den danske loven om private registre får også anvendelse på opplysninger om juridiske personer, men gjelder bare for privat sektor, og gir heller ikke innsynsrettigheter (med unntak for kredittopplysningsvirksomhet). For å gi et riktig bilde av reguleringen i andre land må det imidlertid også tas med at opplysninger om juridiske personer kan vernes på andre måter enn gjennom generelle lovbestemmelser. For det første kan tilsynsmyndigheten i sine konsesjonsvedtak fastsette vilkår om at også juridiske personer skal gis visse rettigheter – et eksempel på dette er at den franske tilsynsmyndigheten (CNIL) i 1984 satte som vilkår for opprettelse av offentlige databaser at juridiske personer som ble registrert i basene bl a skulle gis innsynsrett og mulighet til å kreve retting av feilaktige opplysninger (den franske loven omfatter ikke opplysninger om juridiske personer). For det andre kan opplysninger om juridiske personer være vernet på bestemte sektorer (slik som for eksempel i Sverige der juridiske personer er gitt rettigheter bl a overfor kredittopplysningsvirksomhet). For det tredje kan opplysninger om juridiske personer i visse tilfelle også anses som opplysninger om fysiske personer, og av den grunn – så langt overlappingen rekker – omfattes av loven. Samlet sett er imidlertid inntrykket at de fleste land velger å utelate opplysninger om juridiske personer fra sin personvernlovgivning.
Utvalget er enig i at også opplysninger om juridiske personer (f eks opplysninger om produksjonsplaner, regnskap etc) ofte vil ha et legitimt behov for vern. Behovet for å verne denne typen av opplysninger er imidlertid i stor grad begrunnet i andre hensyn enn personvernhensyn. Som oftest er det økonomiske interesser som gjør seg gjeldende – i motsetning til tradisjonelle personverninteresser (ikke-økonomiske interesser). Foran i kapittel 3 er det integritetsfokuserte personvernet beskrevet som et ønske om å ha kontroll med opplysninger som oppleves som strengt personlige; en juridisk person har ingen slik opplevelse. Ut i fra det maktfokuserte personvernet gjør heller ikke de samme hensyn seg gjeldende. Styrkeforholdet mellom store markedsaktører eller myndigheter og juridiske personer er som regel (avhengig av størrelsen på den juridiske person) ikke så skjevt som mellom førstnevnte gruppe og en enkelt fysisk person. Opplysninger om juridiske personer er dessuten ofte regulert av annen lovgivning (se eksempler foran under 6.1).
På denne bakgrunn har utvalget kommet til at opplysninger om juridiske personer ikke direkte bør omfattes av loven. Utvalget peker imidlertid på to viktige presiseringer:
For det første understrekes at loven omfatter opplysninger (om fysiske personer) som knytter seg til juridiske personer (f eks opplysninger om at en person er registrert som innehaver av en virksomhet). Dette innebærer at opplysninger om enkeltmannsforetak alltid vil være opplysninger om fysiske personer og dermed omfattet av loven. Denne typen personopplysninger står på sett og vis i en særstilling, fordi allmenheten som oftest har en berettiget interesse i opplysninger om næringsvirksomheten.
For det andre vil det i utgangspunktet ikke være noe i veien for å gi opplysninger om juridiske personer samme vern som opplysninger om fysiske personer selv om loven ikke krever det. Flere av de materielle bestemmelsene som utvalget foreslår hviler på et bredere tilfang av hensyn enn tradisjonelle personverninteresser, og en frivillig utvidende anvendelse av loven i favør av registrerte juridiske personer kan på endel områder fremstå som naturlig. Utvalgets forslag til endring av dagens rettstilstand behøver derfor ikke nødvendigvis å måtte føre til omlegninger av måten opplysninger er systematisert og oppbevart på i dag.
10.1.1.3.2 Vern av opplysninger om døde personer
Personregisterloven skiller – i hvertfall etter sin ordlyd – ikke mellom opplysninger om døde og levende personer. Rettstilstanden på dette området er derfor noe uviss. Datatilsynet har lagt til grunn at opplysninger om døde personer omfattes av loven dersom opplysningene forteller noe om levende personer (f eks dødsårsaksregisteret). Ny teknologi (f eks gen- og bioteknologi) har gjort problemstillingen mer aktuell enn før, bl a fordi slike opplysninger kan gi ny informasjon om egenskaper hos gjenlevende personer (se nærmere kapittel 4).
Utvalget legger til grunn at i de tilfellene de registrerte opplysningene også gir opplysninger om gjenlevende personer (f eks opplysninger om arvelige sykdommer) vil dette være en personopplysning i lovens forstand. Spørsmålet blir videre om det er grunn til å ta et skritt videre og la også opplysninger som ikke direkte eller indirekte kan knyttes til en gjenlevende person omfattes av loven.
Flere hensyn kan tale for en slik løsning. For det første vil hensynet til den avdødes gjenlevende slektninger og bekjente kunne begrunne et vern av opplysningene om avdøde. For det andre kan det spørres om hensynet til avdødes ettermæle i seg selv (uavhengig av betydningen for slekten) har krav på vern. Det er grunn til å tro at de fleste – mer eller mindre ubevisst – ønsker et godt eller i det minste et mest mulig korrekt omdømme også etter ens død. Vissheten om manglende regulering av behandling av opplysninger om døde personer vil derfor kunne få betydning for disposisjoner vedkommende foretar mens han ennå er i live. Hvis loven får anvendelse på opplysninger om avdøde personer, er det f eks grunn til å tro at dette gir folk større tiltro til behandling av personopplysninger, noe som er viktig for bransjer og offentlige institusjoner som er avhengige av å innhente personopplysninger fra den opplysningene gjelder, eller som må få vedkommendes samtykke til å innhente slike opplysninger.
Når utvalget likevel ikke foreslår at loven bør omfatte opplysninger om døde personer når opplysningene ikke kan knyttes til noen gjenlevende person, skyldes dette dels at en slik løsning kan få konsekvenser som det er vanskelig å ha oversikt over – for eksempel oppstår vanskelige spørsmål i forhold til arkivlovgivningen og i forholdet til f eks historieforskning og annen bruk av opplysninger om døde personer – og dels at opplysninger om døde personer er vernet av andre regler, som for eksempel taushetspliktregelen i forvaltningsloven § 13 første ledd (som omfatter opplysninger om avdødes personlige forhold). Utvalget går etter dette inn for at gjeldende rett videreføres, slik at loven får anvendelse på opplysninger om døde personer dersom disse opplysningene direkte eller indirekte kan knyttes til identifiserbare gjenlevende personer.
10.1.2 Behandling av personopplysninger
10.1.2.1 Registerbegrepet
10.1.2.1.1 Personregisterlovens definisjon
Personregisterloven definerer personregistre i § 1 annet ledd annet punktum:
«Med personregistre er ment registre, fortegnelser m.m. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte person kan finnes igjen.»
Loven sondrer med andre ord ikke mellom manuelle og elektroniske registre. Det avgjørende for om en samling personopplysninger utgjør et personregister, er om opplysningene er samlet systematisk slik at man kan gå inn i registeret og finne igjen opplysninger om en bestemt person. Et kortregister eller et arkiv med hengemapper er etter dette et personregister dersom det er ordnet etter personers navn, fødselsnummer el l, men ikke dersom det er ordnet etter journalnummer, saksområde eller lignende tematiske registernøkler, og det ikke finnes noen nøkkel som gjør at man kan finne frem til opplysninger om bestemte enkeltpersoner (jf nærmere Ot prp nr 2 (1977-78) s 69).
Kravet til systematikk har liten selvstendig betydning i relasjon til datamaskinbaserte systemer. Selv om systemet ikke er spesielt tilrettelagt for søk på enkeltpersoner, er det enkelt å foreta endringer slik at personer kan brukes som søkekriterier. Det avgjørende for om slike systemer er personregistre i lovens forstand, er om det er mulig å finne igjen opplysninger om den enkelte registrerte.
Datatilsynet har i sin praksis lagt til grunn at et personregister som inneholder så få opplysninger at man med letthet kan bla igjennom registeret og finne opplysningene om den enkelte, er å anse som et personregister i lovens forstand uavhengig av kravet til systematikk. På den annen side ligger det i begrepet personregister at det må dreie seg om en samling av opplysninger om et visst antall personer; opplysninger om to eller tre personer vil ikke utgjøre et personregister. Hvor den nedre grensen går (for antall registrerte) er imidlertid uklart.
Begrepet personregister var gjenstand for diskusjon både under forberedelsen av personregisterloven og i forbindelse med senere lovendringer. I Føyenutredningen ble det foreslått at man gikk bort fra personregisterbegrepet (jf St meld nr 14 (1983-84) s 82):
«Begrepet slik det står i dag medfører enkelte praktiske problemer, som man vel kan ta stilling til gjennom tolkning fra sak til sak – om problemet kommer på spissen. Det blir imidlertid stadig tydeligere at registerbegrepet i sin nåværende form er kunstig. Det er nærliggende å begrense enhver form for innsamling, lagring og bruk av personopplysninger, idet de moderne hjelpemidlene relativt lett vil kunne brukes til å finne opplysninger fram, uten at de er lagret systematisk.»
Når man i forbindelse med lovrevisjonen likevel valgte å beholde personregisterbegrepet skyldtes dette blant annet at en annen løsning kunne skape problemer når man valgte å videreføre konsesjonsordningen i sin daværende form (jf Ot prp nr 34 (1986-87) s 14).
10.1.2.1.2 Internasjonale regler
Manuell behandling av personopplysninger omfattes av direktivet i den grad personopplysningene inngår eller skal inngå i et personregister. I direktivet artikkel 2 c) er register med personoplysninger ( register) definert slik:
enhver struktureret samling af personoplysninger, der er tilgjængelige efter bestemte kriterier, hvad enten denne samling er placeret sentralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grunnlag.
Registerbegrepet har kun betydning for direktivets anvendelse på manuell behandling av personopplysninger, jf artikkel 3 nr 1. Registerbegrepet spiller med andre ord en mer underordnet rolle i EF-direktivet enn i personregisterloven.
I Europarådskonvensjonen har man valgt en noe annen løsning; i tillegg til å benytte et behandlingsbegrep, gjør konvensjonen bruk av et elektronisk dataregisterbegrep, som defineres slik i artikkel 2 b):
ethvert sett av opplysninger som blir bearbeidet ved elektronisk databehandling.
10.1.2.1.3 Utvalgets vurderinger
Den tekniske utviklingen har ført til at registerbegrepet ikke lenger er like godt egnet som et hensiktsmessig avgrensingskriterium for lovens virkeområde som det var da personregisterloven ble vedtatt i 1978. Dagens søkesystemer gjør at det kan søkes med personer som nøkkel selv om samlingen av opplysninger ikke har dette som formål, se kapittel 4.3. Utvalget har også lagt vekt på at man i tråd med EF-direktivet i større grad enn nå vil benytte andre reguleringsmetoder enn konsesjon, og departementets betenkeligheter med å forlate registerbegrepet (se henvisningen ovenfor til Ot prp nr 34 (1986-87)) gjør seg derfor i mindre grad gjeldende.
Utvalget går inn for at loven bør omfatte all elektronisk behandling av personopplysninger. Hva som menes med behandling, fremgår nærmere under 10.1.2 nedenfor.
For manuell behandling av personopplysninger foreslår utvalget at registerbegrepet opprettholdes som avgrensingskriterium. Se 10.1.2.3.3 nedenfor om grensen mellom manuell og hel eller delvis elektronisk behandling.
10.1.2.2 Behandlingsbegrepet
10.1.2.2.1 Gjeldende rett
Personregisterloven gir ikke noen generell definisjon av behandling av personopplysninger slik direktivet gjør (se nærmere nedenfor). I loven kapittel 6 gis det riktignok særskilte regler for databehandlingsforetak, dvs virksomhet som består i å bearbeide personopplysninger for andre ved elektroniske hjelpemidler. Egen bearbeiding av personopplysninger med elektroniske hjelpemidler omfattes imidlertid ikke av databehandling slik personregisterloven nytter ordet.
10.1.2.2.2 Internasjonale regler
Begrepet behandling av personopplysninger ( behandling) defineres slik i artikkel 2 b):
enhver operation eller række af operationer – med eller uden brug af elektronisk databehandling – som personoplysninger gøres til genstand for, f. eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring samt blokering, slettelse eller tilintetgørelse.
Direktivet får anvendelse på hel eller delvis elektronisk behandling av personopplysninger, samt på manuell behandling av personopplysninger der disse inngår eller skal inngå i et personregister, jf artikkel 3 nr 1.
Fra dette utgangspunktet gjelder visse unntak; direktivet gjelder ikke for behandling av personopplysninger som ikke omfattes av fellesskapsretten, og under enhver omstendighet ikke for behandling som angår den offentlige sikkerhet, forsvar, statens sikkerhet, statens økonomiske tilstand og statens aktiviteter på det strafferettslige området (jf artikkel 3 nr 2). Direktivet omfatter heller ikke fysiske personers utøvelse av rent private eller personlige aktiviteter, se nærmere nedenfor. Selv med disse modifikasjonene er det imidlertid på det rene at direktivet krever at det saklige virkeområdet til den norske loven utvides.
Europarådskonvensjonen definerer elektronisk databehandling som:
følgende operasjoner dersom de utføres helt eller delvis ved hjelp av automatiserte metoder: lagring av opplysninger, utføring av logiske og/eller aritmetriske operasjoner i tilknytning til disse opplysningene samt forandring, sletting, gjenfinning eller spredning av dem;.
10.1.2.2.3 Utvalgets vurderinger
Utvalget går inn for at begrepet elektronisk behandling av personopplysninger bør brukes til å avgrense lovens saklige virkeområde, sammen med manuell behandling av personopplysninger der personopplysningene inngår eller skal inngå i et personregister. Utvalget foreslår en definisjon som samsvarer med direktivets definisjon.
EF-direktivet (artikkel 2 b) definerer behandling av personopplysninger slik: enhver operasjon eller rekke av operasjoner – med eller uten bruk av edb – som personopplysninger gjøres til gjenstand for. Direktivet har videre en eksemplifisering av dette som kan være til hjelp:
innsamling
registrering
systematisering
oppbevaring
tilpasning eller endring
seleksjon
søking
bruk
alle former for videregivelse/utlevering
sammenstilling/samkjøring/kobling
blokkering
sletting eller tilintetgjørelse
En behandling utgjør med andre ord én operasjon eller (i de fleste tilfeller) en rekke operasjoner (jf direktivet). En behandling kan derfor innebære f eks både innsamling, registrering, lagring, endring, utlevering og sletting. Det er denne rekken av operasjoner som informasjonssystemet utfører som er en behandling. For eksempel vil en forsker som innhenter personopplysninger fra en utvalgt gruppe personer, kobler disse med opplysninger fra et annet tilgjengelig register og lagrer opplysningene i 5 år for et senere planlagt oppfølgingsprosjekt, kun anses for å utføre én behandling av personopplysninger.
Som det fremgår ovenfor, kan behandling av personopplysninger omfatte ulike operasjoner, som f eks innsamling og bruk. Det er imidlertid ikke gitt at det bør være identiske regler for alle former for behandling. I enkelte henseende bør det ved utformingen av reglene skilles mellom ulike former for behandling.
10.1.2.3 Elektronisk og manuell behandling
10.1.2.3.1 Gjeldende rett
Personregisterloven gjelder for personregistre og for annen bruk av personopplysninger... uavhengig av om registeret eller bruken av opplysningene skjer manuelt eller elektronisk, jf prgl § 1 første ledd. Det er imidlertid visse forskjeller m h t hvilke regler som gjelder for henholdsvis manuelle og elektroniske registre, se prgl § 7 (innsynsrett) og § 9 (konsesjonsplikt).
10.1.2.3.2 Internasjonale regler
EF-direktivets saklige virkeområde er avgrenset til å gjelde behandling av personopplysninger, og direktivet skiller her mellom elektronisk og manuell behandling. I utgangspunktet gjelder direktivet for all elektronisk behandling, mens manuell behandling kun omfattes dersom personopplysningene inngår eller vil inngå i et personregister. Det er også i direktivet visse forskjeller m h t hvilke regler som gjelder for henholdsvis manuelle registre og elektroniske behandlinger av personopplysninger; f eks knytter direktivet i utgangspunktet meldeplikten til de elektroniske behandlingene (artikkel 18 nr 1), men overlater til medlemslandene å bestemme i hvilken grad manuell behandling også skal omfattes av meldeplikten (nr 5).
10.1.2.3.3 Utvalgets vurderinger
Ut i fra personvernhensyn knytter det seg ikke alltid de samme betenkeligheter til manuelle personregistre som til forskjellig typer elektronisk behandling av personopplysninger. Manuelle registre gir ikke de samme muligheter for kobling, spredning og gjenbruk av den informasjonen som er lagret. Dersom opplysningene skal benyttes som beslutningsgrunnlag, gjør imidlertid de samme personvernhensynene seg gjeldene også her (se ovenfor under 3.3.4 om det beslutningsfokuserte personvernet). Innsamling av enkelte opplysninger (særlig strengt personlige opplysninger) kan dessuten i seg selv oppleves som et inngrep i den personlige integriteten (se 3.3.2 om det integritetsfokuserte personvernet) som kan begrunne at behandling av slike opplysninger bør underlegges en eller annen form for regulering og kontroll. Det er også av betydning at ny teknologi (f eks scanningutstyr) i stadig større grad visker ut skillet mellom papirbasert manuell behandling og behandling med elektroniske hjelpemidler. Loven bør derfor fremdeles omfatte opprettelse og bruk av manuelle personregistre.
Loven omfatter all elektronisk behandling av personopplysninger. I og med at direktivet bare omfatter manuell behandling i den grad personopplysningene inngår eller skal inngå i et personregister, er det nødvendig å trekke en grense mellom manuell og (helt eller delvis) elektronisk behandling (se mer om dette i SOU 1997: 39 side 343-345).
Behandling av personopplysninger i maskinlesbar form vil klart representere en elektronisk behandling. Selve overføringen av en persons utseende eller stemme til et vanlig (analogt) lyd- eller videobånd (uten lagring) vil etter utvalgets syn ikke omfattes av direktivets begrep elektronisk behandling. Videre antar utvalget at heller ikke fjernsynsovervåkning som bygger på digital teknikk og hvor bilde og lyd ikke lagres, men bare vises på en monitor ikke omfattes. Noe mer usikkert er det om behandling av personopplysninger som ikke finnes i maskinlesbar form, f eks bilder og lyd lagret i analogt format (f eks på ett negativ eller et vanlig lyd- eller videobånd) omfattes av direktivet. Direktivet sier uttrykkelig at lyd- og billedopptak omfattes, jf artikkel 33 og fortalen pkt 14-17, men gir lite veiledning om hvilke krav som stilles til slike opptak for at de skal omfattes. Etter utvalgets syn er det muligheten for å søke i materiale slik at enkeltpersoner enkelt kan gjenfinnes som er noe av det sentrale ved elektronisk behandling, og som bør være avgjørende for hvorvidt noe er å anse som elektronisk behandling. På denne bakgrunn antar utvalget at direktivets regler om elektronisk behandling normalt ikke får anvendelse på lyd- og billedopptak som lagres analogt. Loven bør heller ikke i utgangspunktet få anvendelse på slike opptak, men enkelte av lovforslagets bestemmelser bør gis tilsvarende anvendelse for elektronisk overvåking og opptak i forbindelse med slik overvåkning, se kapittel 14.
10.1.3 Offentlig og privat virksomhet
10.1.3.1 Gjeldende rett
De fleste kapitlene i personregisterloven får anvendelse på både offentlig og privat sektor, jf loven § 1 tredje ledd. Reglene i kapittel 5 til 8 vil som oftest bare ha betydning for privat virksomhet. Uttrykket organ for stat eller kommune skal tillegges samme betydning som det tilsvarende uttrykket i forvaltningsloven, jf Ot prp nr 2 (1977-78) s 69 høyre spalte. Dette innebærer at også f eks offentlige undervisnings-, forsknings-, og helseinstitusjoner omfattes av loven, selv om denne typen institusjoner ikke utøver tradisjonell forvaltningsmyndighet. Et offentlig eid selskap som driver virksomhet av privatrettslig karakter betraktes derimot ikke som et organ for stat eller kommune, jf op cit s 69.
Selv om loven får anvendelse på både privat og offentlig virksomhet, betyr ikke det at disse likestilles i forhold til alle reglene i loven. Et eksempel på dette finnes i loven § 7 annet og tredje ledd, der den registrerte gis en videregående innsynsrett i personregistre i organ for stat eller kommune (innsynsretten er behandlet i kapittel 11 nedenfor).
10.1.3.2 Internasjonale regler
Et karakteristisk trekk ved direktivet er at reglene for offentlig og privat sektor i utgangspunktet er de samme. Dette har for det første sammenheng med hensynet til effektiv harmonisering over landegrensene; grensedragningen mellom privat og offentlig sektor kan variere nokså meget fra land til land, og ut i fra direktivets formål ville det være uheldig om slike forskjeller førte til et ulikt beskyttelsesnivå i de ulike landene. Den andre hovedbegrunnelsen for at direktivet i utgangspunktet likebehandler offentlig og privat sektor er at borgernes rettsbeskyttelse ikke bør avhenge av hvor opplysningene om dem behandles.
Direktivet gjelder ikke for behandlinger av personopplysninger på områder som ikke omfattes av fellesskapsretten, og bl a heller ikke behandling av personopplysninger som angår den offentlige sikkerhet, forsvar, statens sikkerhet, statens økonomiske tilstand og statens aktiviteter på det strafferettslige området (jf direktivet artikkel 3.1 og 3.2). Dette innebærer at EU- og EØS-landene står fritt til selv å bestemme utformingen av reglene på dette området. Også her må man imidlertid ta hensyn til europarådskonvensjonen, se nærmere nedenfor.
I henhold til Europarådskonvensjonen artikkel 3 nr 1 forplikter partene seg til å anvende konvensjonen på elektroniske persondataregistre og elektronisk databehandling av personopplysninger både i den offentlige og i den private sektor. Dette behøver ikke å innebære at reguleringen er den samme for de to sektorene, se bl a konvensjonen artikkel 9.
10.1.3.3 Utvalgets vurderinger
Utvalget går inn for at loven fremdeles bør omfatte både offentlig og privat sektor, og gir i det vesentlige sin tilslutning til departementets vurdering av de samme spørsmål i forbindelse med utarbeidelsen av personregisterloven, se Ot prp nr 2 (1977-78) s 17 – 25. Også behandling av personopplysninger i private sektor kan være av stor betydning for den enkelte. I den senere tid har det dessuten vært tendenser til at oppgaver som tradisjonelt har blitt utført av det offentlige overlates til private. Dette skjer ofte ved at private virksomheter overtar totalansvaret for f eks yting av tjenester, men også ved at det offentlige setter ut enkelte ledd i utføringen av sin virksomhet til private aktører ( outsourcing). I tillegg til at denne utviklingen kan gjøre det vanskeligere enn før å skille mellom offentlig og privat virksomhet, ville det være uheldig om en endret arbeidsfordeling førte til mindre betryggende regulering og behandling av personopplysninger. Denne utviklingen er derfor slik utvalget ser det, ytterligere ett argument for at både offentlig og privat virksomhet bør reguleres av loven, og for at beskyttelsesnivået bør være det samme i offentlig og privat sektor.
At beskyttelsesnivået bør være det samme i offentlig og privat sektor betyr ikke nødvendigvis at regelverket på alle områder må være identisk. Utformingen av regler om behandling av personopplysninger må ses i sammenheng med annen rettslig regulering av henholdsvis offentlig og privat sektor. Mens forvaltningsorganer som regel er underlagt en rekke lover som oppstiller krav til saksbehandlingen og andre rettssikkerhetsgarantier (jf for eksempel forvaltningsloven), står private rettssubjekter oftest mye friere. Det er flere grunner til dette skillet. Dels har utøvelse av offentlig myndighet tradisjonelt blitt ansett som mer inngripende enn beslutninger tatt av private rettssubjekter, slik at det av den grunn er særskilt viktig å gi borgerne rettssikkerhetsgarantier. Videre er det som oftest opp til borgerne selv om de vil ha kontakt med private rettssubjekter, mens det ikke sjelden er en plikt å ha kontakt med offentlige myndighetsorganer. Endelig vil det ved utformingen av regler for privat sektor gjerne være en viktig målsetting å sikre konkurransedyktighet i forhold til utenlandske bedrifter, og ellers unngå å legge hindringer i veien for nyetableringer eller omstillinger som av bedriftsøkonomiske grunner fremstår som ønskelige.
I enkelte sammenhenger har utvalget blant annet på bakgrunn av disse grunnleggende forskjellene vurdert om det er hensiktsmessig å gi forskjellige regler for privat og offentlig virksomhet. Hovedkonklusjonen er at det ikke er grunn til å trekke et slikt skille.
10.1.3.4 Særlig om unntak for rent personlige aktiviteter
Personregisterloven gjelder ikke for rent personlige aktiviteter. Dette følger av at loven bare får anvendelse på privat næringsvirksomhet, foreninger eller skiftelser, se personregisterloven § 1 tredje ledd. For at en person skal anses som næringsdrivende, må virksomheten være av økonomisk karakter og ha et visst omfang.
EF-direktivet har også et unntak for denne type bruk av personopplysninger, jf artikkel 3 nr 2 annet strekpunkt:
«Dette direktiv gælder ikke for sådan behandling af personoplysninger som foretages af en fysisk person med henblikk på udøvelse af rent personlige eller familiemæssige aktiviteter.»
Utvalget går inn for å opprettholde rettstilstanden på dette punktet, og forslår at denne typen behandling av opplysninger heller ikke for fremtiden bør omfattes av loven. Utvalget mener at dette bør fremgå uttrykkelig av loven.
10.1.4 Sensitive personopplysninger
10.1.4.1 Gjeldende rett
Uttrykket sensitive personopplysninger er en hensiktsmessig fellesnevner for særlig følsomme personopplysninger som bør undergis et særskilt vern. I personregisterloven § 6 (saklighetskrav) og § 9 (konsesjonsplikt) er følgende opplysninger undergitt særskilt regulering:
- 1)
opplysninger om rase, eller politisk eller religiøs oppfatning
- 2)
opplysninger om at en person har vært mistenkt, tiltalt eller dømt for straffbare forhold
- 3)
opplysninger om helseforhold eller bruk av rusmidler
- 4)
opplysninger om seksuelle forhold, eller
- 5)
andre opplysninger om familieforhold enn slike som gjelder slektskap eller familiestatus, formuesordning mellom ektefeller og forsørgelsesbyrde.»
10.1.4.2 Internasjonale regler
Direktivet artikkel 8 forbyr i utgangspunktet all behandling av personopplysninger om rasemessig eller etnisk bakgrunn, politiske, religiøs eller filosofisk overbevisning, medlemsskap i fagforening og opplysninger om helse eller seksuelle forhold.
I henhold til nr 2 bokstav a) kan behandling av personopplysninger likevel finnes sted hvis den registrerte samtykker i dette. I nr 2 bokstav b) tillates behandling av slike opplysninger dersom dette er nødvendig for å overholde arbeidsrettslige forpliktelser, mens bokstav c) åpner for behandling av sensitive personopplysninger der dette er nødvendig for å beskytte noens vesentlige interesser og vedkommende selv ikke er i stand til å samtykke i behandlingen. Bokstav d) gjør det mulig for visse typer sammenslutninger å behandle sensitive personopplysninger som ledd i sammenslutningens virksomhet og på visse nærmere vilkår. Endelig heter det i e) at sensitive personopplysninger kan behandles dersom de gjøres allment tilgjengelig av de registrerte eller dersom behandlingen er nødvendig for at rettskrav kan fastsettes, gjøres gjeldende eller forsvares.
I nr 3 heter det at begrensningene i adgangen til å behandle sensitive personopplysninger ikke gjelder dersom behandlingen av opplysningene er nødvendig for å gjennomføre enkelte helsetjenester. Det forutsettes imidlertid at den som utfører helsetjenestene har taushetsplikt.
I Europarådskonvensjonen artikkel 6 heter det følgende om særkategorier av opplysninger:
«Personopplysninger som åpenbarer rasemessig opprinnelse, politiske oppfatninger samt religiøs eller annen tro, så vel som personopplysninger vedrørende helse eller seksualliv, kan ikke behandles elektronisk med mindre intern lovgivning gir tilstrekkelig vern. Det samme skal gjelde for personopplysninger som gjelder domfellelser for straffbare handlinger.»
Hvor mye som skal til før vernet er tilstrekkelig i konvensjonens forstand, overlates til partenes skjønn.
10.1.4.3 Utvalgets vurderinger
Som det fremgår foran, favner begrepet personopplysninger vidt. Hvor sterkt personverninteressene (se kapittel 3) gjør seg gjeldende, vil imidlertid variere sterkt, blant annet avhengig av hvor følsomme opplysningene er, og hva de skal brukes til. I relasjon til en del bestemmelser gjør direktivet det nødvendig å undergi spesielt følsomme personopplysninger særskilt lovregulering, og utvalgets forslag er i tråd med dette. Den nærmere omtalen av de ulike kategoriene av opplysninger som regnes som sensitive, og hvordan den nærmere implementeringen bør finne sted, følger i merknadene til § 2 nr 8. Utvalget peker allerede her på at lovforslagets oppregning i tråd med direktivet skiller seg noe fra oppregningen som personregisterloven i dag inneholder; blant annet regner direktivet opplysninger om fagforeningstilhørighet som sensitive, mens opplysninger om familieforhold ikke er nevnt. Endringene er imidlertid ikke ment å innebære noen endring av rettstilstanden (bortsett fra tilføyelsen av opplysninger om fagforeningstilhørighet), se merknadene til lovforslaget § 2 nr 8.
10.2 Lovens geografiske virkeområde
10.2.1 Gjeldende rett
Personregisterloven har ingen bestemmelse om lovens geografiske virkeområde og spørsmålet er heller ikke drøftet i lovens forarbeider. Spørsmålet om lovens geografiske virkeområde må derfor avgjøres på annet grunnlag, herunder alminnelige interlegale prinsipper.
Et sikkert utgangspunkt er at loven gjelder for personregistre og annen bruk av personopplysninger i visse typer virksomheter som drives fra fastlandsnorge. Det antas at loven også gjelder på norske skip og på anlegg og innretninger på kontinentalsokkelen, jf Lovavdelingens uttalelser 298/81 E og 2115/83 E. Loven antas imidlertid ikke å få anvendelse på Svalbard og Jan Mayen, jf lov 17 juli 1925 nr 11 om Svalbard § 2 og lov 27 februar 1930 nr 2 om Jan Mayen § 2.
Loven gjelder som hovedregel ikke for personregistre i utlandet selv om opplysningene i registrene kan knyttes til norske personer. Det foreligger derimot meldeplikt for den som vil overføre personopplysninger til utlandet når formålet med innføringen er å innføre opplysningene i et register, jf personregisterloven § 36 og forskrift 21 desember 1979 § 8-1. Overføringen skal meldes i god tid før overføringen finner sted og Datatilsynet kan nekte eller sette vilkår for overføringen. Samme regler gjelder for overføring av hele registre til utlandet.
10.2.2 EF-direktivet
Direktivet artikkel 4 har bestemmelser om hvilket lands lovgivning som skal anvendes på behandling av personopplysninger, og vil ha betydning for norsk lovs anvendelse når den behandlingsansvarlige er etablert i utlandet.
Hovedregelen er at det lands lov skal anvendes hvor den behandlingsansvarlige er etablert. Hvis den behandlingsansvarlige er etablert i flere land, f eks ved datterselskaper eller filialer, vil opplysninger som kan knyttes til det enkelte etableringssted reguleres av det lands lov hvor etableringsstedet er.
Hvis den behandlingsansvarlige ikke har etableringssted innen EØS-området, men benytter hjelpemidler som er plassert innenfor dette området, skal det lands lov gjelde hvor dette utstyret er plassert, med mindre hjelpemidlene bare benyttes til transitt.
Som det fremgår ovenfor er hovedregelen at det er den behandlingsansvarliges etableringssted som er avgjørende for valg av hvilket lands lovgivning som skal anvendes på all behandling av personopplysninger som den behandlingsansvarlige foretar, uavhengig av hvor behandlingen – herunder innsamlingen av opplysningene – faktisk finner sted. Norsk lov vil dermed ikke kunne anvendes på innsamling av opplysninger i Norge dersom den behandlingsansvarlige er etablert i en annen EØS-stat. Dette antas ikke å avvike i særlig grad fra gjeldende rett. Datatilsynet vil imidlertid ikke lenger ha adgang til å stille vilkår for overføring av personopplysninger til andre EØS-stater. Derimot vil tilsynet ha kontrollmyndighet over all behandling av personopplysninger som foregår i Norge, f eks innsamling av opplysninger, jf direktivet artikkel 28.
10.2.3 Utvalgets vurderinger
Utvalget legger EF-direktivets regler til grunn og foreslår at loven skal gjelde for behandling av personopplysninger når den behandlingsansvarlige er etablert i Norge, herunder på norske skip eller på anlegg eller innretning på kontinentalsokkelen. Hvis den behandlingsansvarlige har hovedsete i en annen EØS-stat og datterselskap eller filial i Norge, vil norsk lov gjelde for all behandling av personopplysninger knyttet til den norske filialens/datterselskapets virksomhet. Loven vil gjelde for all behandling av personopplysninger som kan knyttes til en behandlingsansvarlig etablert i Norge, også når opplysningene kun gjelder personer i utlandet.
Utvalget foreslår at norsk lov skal gjelde når en behandlingsansvarlig som er etablert utenfor EØS-området benytter hjelpemidler plassert i Norge ved behandlingen av personopplysningene, med mindre disse hjelpemidlene bare benyttes til å transportere personopplysningene via Norge. Utvalget vil presisere at utrykket hjelpemidler omfatter alt slags utstyr, både elektronisk og ikke-elektronisk. Utvalget legger til grunn at det må benyttes hjelpemidler til praktisk talt all behandling av personopplysninger, slik at loven vil gjelde for all behandling av personopplysninger som finner sted i Norge når den behandlingsansvarlige er etablert utenfor en EØS-stat med mindre Norge bare er transitt land.
Jan Mayen er en del av Norge og hører dermed under EØS-området. Utvalget foreslår derfor at loven også gjøres gjeldende for Jan Mayen.
Svalbard er derimot ikke en del av EØS-området, og blir å anse som tredjeland i forhold til direktivet artikkel 25 og 26. Hovedregelen er at personopplysninger bare kan overføres til tredjeland når dette landet sikrer en tilstrekkelig beskyttelse. For å sikre en fri utveksling av personopplysninger mellom fastlandsnorge og Svalbard foreslår utvalget at loven også skal gjelde for Svalbard. Utvalget vil dessuten bemerke at også andre hensyn tilsier at loven skal gjelde for Svalbard. Det synes uheldig at en virksomhet etablert på Svalbard skal kunne behandle personopplysninger uten å være underlagt regulering.
11 Individuelle personverngarantier
11.1 Allment om individuelle personverngarantier
Med personverngarantier mener utvalget tiltak som ivaretar personvernet. Enkelte slike garantier er kollektive fordi de utøves av myndigheter og virksomheter på vegne av mange enkeltindivider. Datatilsynets virksomhet, herunder tilsynets myndighetsutøvelse og informasjonsvirksomhet knyttet til melde- og konsesjonsplikten er eksempler på slike kollektive personverngarantier.
Personvernlovgivningen inneholder også bestemmelser som gir rettigheter for den enkelte registrerte. Dette er rettigheter som skal sette den enkelte i stand til selv å ivareta sine interesser. Bestemmelser som gir rett til innsyn, sletting og retting er eksempler på slike individuelle personverngarantier. Det er opp til den enkelte å benytte garantiene og de får primært virkning for vedkommende person. Slike bestemmelser innebærer imidlertid også en plikt for den behandlingsansvarlige til å etterkomme krav fra den registrerte, eventuelt igangsette visse tiltak selv uten noe krav fra den registrerte (for eksempel bestemmelsene om varslingsplikt, se 11.2.6).
Individuelle personverngarantier forutsetter ofte godt orienterte og aktive borgere. Trolig vil kun en forholdsvis liten del av befolkningen benytte disse garantiene. I tiden framover vil mengden av personopplysninger som behandles sannsynligvis øke kraftig. I tillegg er det grunn til å anta at utvekslingen av personinformasjon mellom flere aktører vil øke i omfang og frekvens, samtidig som kompleksiteten i persondatabehandlingene øker, se 4.2 og 4.3. På denne bakgrunn er det rimelig å anta at det i tiden framover vil bli en enda mer krevende oppgave for den enkelte å vareta personvernet gjennom de individuelle garantiene.
Dersom de individuelle garantiene skal ha mer enn symbolfunksjoner, er det imidlertid nødvendig å legge forholdene bedre til rette for at garantiene skal være effektive hjelpemidler for folk flest. Noe kan vinnes ved en bedre praktisk og teknologisk tilrettelegging for effektiv bruk av de eksisterende personverngarantiene. Personverndirektivet foranlediger i tillegg flere individuelle garantier.
I dette kapitlet behandles ulike regler som skal sikre den enkeltes rett til innsyn, herunder den behandlingsansvarliges selvstendige varslingsplikt, den enkeltes rett til å motsette seg visse typer behandlinger og behandlingsansvarliges plikt til å rette, slette og supplere. Avslutningsvis behandles noen fellesspørsmål om tidsfrister og kostnader.
11.2 Den enkeltes rett til innsyn
11.2.1 Oversikt
Personregisterloven, personverndirektivet og europarådskonvensjonen har en rekke bestemmelser som gir den enkelte mulighet for kunnskap om persondatabehandlinger. I det følgende skal innsynsspørsmålene behandles etter følgende inndeling:
Plikt for tilsynsmyndigheten til å føre en allment tilgjengelig fortegnelse over melde- og konsesjonspliktige persondatabehandlinger.
Plikt for den behandlingsansvarlige som ikke er undergitt melde- eller konsesjonsplikt til å gjøre informasjon om persondatabehandlinger allment< tilgjengelig.
Rett for den enkelte til å få innsyn i generell informasjon om formål, opplysningstyper, kilde for opplysningene m m.
Rett for den enkelte til å få innsyn i innholdet av konkrete behandlinger som gjelder en selv.
Plikt for de behandlingsansvarlige til å informere den enkelte registrerte person om visse generelle forhold knyttet til behandlingen ( den behandlingsansvarliges opplysningsplikt).
Rett for den enkelte til innsyn i behandlingsregler ( logikken) hører også naturlig inn under innsynsreglene som behandles i dette avsnittet (11.2). Denne innsynsretten er likevel skilt ut til særskilt behandling under avsnitt 11.4 på grunn av sammenhengen med direktivet artikkel 15 som behandles i avsnitt 11.3.
Bestemmelsene om innsyn er direkte og/eller indirekte knyttet opp til omfanget og innholdet av en melde- og konsesjonsordningen, se kapittel 12. Spørsmålet om utgifter knyttet til innsynet drøftes under 11.6.2.
11.2.2 Plikt for tilsynsmyndigheten til å føre allment tilgjengelig fortegnelse over meldepliktige og konsesjonspliktige persondatabehandlinger
11.2.2.1 Personregisterloven § 4
Personregisterloven § 4 etablerer en plikt for Datatilsynet til å føre en systematisk fortegnelse over personregistre som er gitt konsesjon etter § 9. Fortegnelsen skal etter loven være tilgjengelig for alle. Datatilsynet har ikke prioritert føringen av et slikt register, og det foreligger i dag ingen slik fortegnelse som er lett tilgjengelig. Dette skyldes primært det meget høye antall konsesjoner som har vært gitt siden loven trådte i kraft. Antallet årlige henvendelser om innsyn i § 4-registeret er mindre enn én. Interesserte kan kreve innsyn i bestemte konsesjonssaker ved å ta direkte kontakt med Datatilsynet, jf offentlighetsloven § 2 annet ledd.
11.2.2.2 Personverndirektivet artikkel 21 nr 2
Personverndirektivet fastsetter at tilsynsmyndighetene skal føre et register over meldepliktige behandlinger etter bestemmelser gitt i medhold av artikkel 18. Registeret skal minst inneholde de samme opplysninger som meldinger om persondatabehandlinger minst skal inneholde. Det kan gjøres unntak for behandlinger som kun har til formål å føre et register, dersom dette registeret er offentlig eller tilgjengelig for alle med en legitim interesse i innsyn.
11.2.2.3 Europarådskonvensjonen
Europarådskonvensjonen artikkel 8 a synes å forutsette en tilsvarende fortegnelse som fastsatt i direktivet, men etablerer ingen klar plikt til å opprette et slikt register.
11.2.2.4 Utvalgets vurderinger
Utvalget foreslår en ordning der melde- og konsesjonsplikt må ses i sammenheng, se kapittel 12. En sentral fortegnelse bør inneholde opplysninger om både konsesjons- og meldepliktige persondatabehandlinger.
Det er ingen automatikk i at en oversikt over behandlinger skal bli et nyttig virkemiddel for ivaretagelsen av personvernet. For det første kreves det at fortegnelsen inneholder opplysninger om persondatabehandlinger som det er viktig for den enkelte å kjenne til. Dette kravet ivaretas gjennom avgrensningen av konsesjons- og meldepliktordningen, se avsnitt 12.5. Det er også en forutsetning at en oversikt over konsesjons- og meldepliktige behandlinger blir lett tilgjengelige for folk flest. Dessuten må fortegnelsen være systematisk ordnet, ha høy kvalitet, gode søkefunksjoner og for øvrig være enkel å bruke. Under de nevnte forutsetninger kan en fortegnelse over persondatabehandlinger være et nyttig hjelpemiddel for varetagelse av personvern og åpenhet i samfunnet.
For det første kan en fortegnelse over visse persondatabehandlinger være nyttig for den som aktivt ønsker å utøve sin rett til innsyn, retting og sletting av personopplysninger. Utvalget antar imidlertid at slik utøvelse av innsynsrett m m normalt vil være foranlediget av konkrete hendelser, og at enkeltpersoner sjelden vil benytte en fortegnelse over persondatabehandlinger for deretter å henvende seg til den behandlingsansvarlige. Det vil også åpenbart ha betydning hvor tilgjengelig fortegnelsen er – tilgang til fortegnelsen via f eks Internett eller et annet elektronisk medium vil øke sannsynligheten for bruk betraktelig.
En allment tilgjengelig fortegnelse over persondatabehandlinger vil i tillegg gi den enkelte en bedre oversikt og kontroll over de persondatabehandlinger som foretas, og på den måten vareta den enkeltes interesse i diskresjon, se avsnitt 3.4.2.
Fortegnelsen vil for det tredje bidra til offentlighet og åpenhet om offentlig og privat sektor. De saksforhold en fortegnelse vil gi opplysning om, vil for offentlig sektors vedkommende også kunne forekomme i saksdokumenter som er offentlige i henhold til offentlighetsloven § 2 annet ledd. En fortegnelse over persondatabehandlinger gjør imidlertid at opplysningene samles og gjøres langt lettere tilgjengelig enn uten en slik oversikt. En oversikt som f eks omfatter sentrale persondatabehandlinger innen trygdeetaten, vil kunne gi ny innsikt i trygdeetatens behandling av personopplysninger.
En fortegnelse over viktige persondatabehandlinger vil også kunne være til nytte for Datatilsynets kontroll- og informasjonsvirksomhet. Dette er imidlertid nært knyttet til spørsmålet om omfang og innretning av melde- og konsesjonspliktordningene, se avsnitt 12.5.
Art 21 nr 2 i direktivet forutsetter at tilsynsmyndigheten skal føre registeret. Utvalget legger til grunn at det må være tilstrekkelig at Datatilsynet har full bestemmelsesrett over fortegnelsen, og at rene driftsoppgaver vil kunne utføres av andre.
Det er mulig at visse persondatabehandlinger, f eks av beredskapshensyn, ikke bør med i fortegnelsen. Det bør derfor være en mulighet for Kongen til å gjøre unntak for slike behandlinger.
11.2.3 Plikt for behandlingsansvarlige som ikke er undergitt melde- eller konsesjonsplikt til å gjøre informasjon om persondatabehandlinger allment tilgjengelig
11.2.3.1 Personverndirektivet artikkel 21 nr 3
En del typer behandlinger av personopplysninger er ikke undergitt meldeplikt etter artikkel 18, og opplysninger om disse vil derfor heller ikke bli samlet i fortegnelsen hos tilsynsmyndigheten. For å sikre offentlig tilgjengelighet til informasjon om disse, fastsetter artikkel 21 nr 3 at registeransvarlige (eller annen myndighet) plikter å stille opplysninger som nevnt i artikkel 19 bokstav a-e til rådighet for enhver som anmoder om det.
Personregisterloven og Europarådskonvensjonen inneholder ikke lignende bestemmelser.
11.2.3.2 Utvalgets vurderinger
EF-direktivet krever at også de ansvarlige for ikke melde- eller konsesjonspliktige behandlinger må i hovedsak ha tilsvarende oversikt som den direktivet krever at de meldepliktige skal ha. Forskjellen mellom meldepliktige og ikke meldepliktige blir primært kravet om innsending av opplysningene til tilsynsmyndigheten.
Fastsettelsen av hvilke behandlinger som skal være meldepliktige og hvilke som skal være frie, skjer på grunnlag av antagelser om hvilke behandlingstyper som har størst personvernmessig betydning. Det vil imidlertid alltid være usikkerhet knyttet til denne grensen. Derfor bør ikke skillet mellom meldepliktige og ikke meldepliktige behandlinger på dramatisk måte få betydning for graden av innsyn for den enkelte. Med bestemmelsen i artikkel 21 nr 3 sikrer man behovet for innsyn samtidig som man unngår unødvendig kostnadskrevende ordninger.
Utvalget antar at den plikt som artikkel 21 nr 3 innebærer, ikke vil medføre noe særlig merarbeid for de behandlingsansvarlige. De aktuelle behandlingstypene er så sentrale at den behandlingsansvarlige lett kan fremskaffe disse, se merknadene til lovforslaget § 16.
11.2.4 Retten til innsyn i generell informasjon om behandlingen (formål og opplysningstyper mm)
11.2.4.1 Gjeldende rett
Personregisterloven § 7 tredje ledd gir en rett for alle til å få vite hvilke typer opplysninger som er tatt inn i registeret, både elektronisk lagrede og manuelle. Bestemmelsen gjelder bare for offentlige registre. Denne retten har man uansett om man selv er registrert i registeret eller ikke. Retten kan for så vidt sies å være av samme karakter som retten etter offentlighetsloven til å bli kjent med dokumenter. Etter fjerde ledd kan Kongen ved forskrift bestemme at retten til å vite hvilke typer opplysninger som er registrert, skal gjelde også overfor private registre. Denne forskriftshjemmelen er ikke benyttet.
Det kan også hevdes å eksistere en rett til å få opplysninger om formålet med et konsesjonspliktig register, hvem som er registeransvarlig og forøvrig om hvilke regler som gjelder for registeret og som er fastsatt i henhold til personregisterloven § 11 (slik direktivet i visse tilfeller gir krav på, se 11.2.4.2). Innsynsrett i slike generelle forhold kommer imidlertid ikke klart til uttrykk i lovteksten, i det en må sammenholde personregisterloven § 4 om innsyn i fortegnelsen over konsesjonspliktige registre med §§ 6 og 11. Denne delen av innsynsretten har dessuten levet under vanskelige kår, fordi det ikke har eksistert noe lett tilgjengelig ajourført register i henhold til personregisterloven § 4.
11.2.4.2 Internasjonale regler
Direktivet artikkel 12 gir den registrerte en rett til å få opplyst hos den behandlingsansvarlige om det behandles personopplysninger om en selv, om formålet med behandlingen, hvilke opplysningstyper som brukes, kilden for og mottakerne av opplysningene, samt i visse tilfeller logikken bak visse behandlinger ( logikk-innsynet behandles i fremstillingen under 11.4). Art 13 åpner for å gjøre en rekke unntak fra denne innsynsretten, se 11.2.5.
Retten etter artikkel 12 til å få denne typen generell informasjon om behandlinger fra den behandlingsansvarlige gjelder kun for de som selv er registrert hos vedkommende. Dersom man ikke selv er registrert, kan man imidlertid for de meldepliktige eller konsesjonspliktige behandlingene kreve innsyn i de samme opplysningene hos tilsynsmyndigheten, jf direktivet artikkel 21 nr 2. For ikke meldepliktige behandlinger skal opplysningene være offentlig tilgjengelig hos den behandlingsansvarlige, jf artikkel 21 nr 3.
Etter Europarådskonvensjonen artikkel 8 a har alle rett til å få opplyst om det eksisterer et edb-basert register, hvilket formål registeret har og hvem som er registeransvarlig. Opplysningene skal formidles på en forståelig måte, og innsynet skal kunne skje uten uforholdsmessig forsinkelse og kostnad. Konvensjonen inneholder i artikkel 9 unntaksbestemmelser som ligner unntaksbestemmelsene i EF-direktivet artikkel 13.
11.2.4.3 Utvalgets vurderinger
Utvalget ser enhver persons rett til generell informasjon i behandlingen av personopplysninger som et viktig og nødvendig supplement til den enkeltes rett til innsyn i personopplysninger om dem selv. Denne innsynsretten er langt på vei en forutsetning for en hensiktsmessig praktisering av innsyn i opplysninger om den enkelte, og vil bli stadig viktigere i årene framover etterhvert som omfang, kompleksitet og sammenvevingen av ulike persondatabehandlinger tiltar.
Etter utvalgets mening er det av avgjørende betydning for personvernet at innsynsretten etter personregisterloven § 7 videreføres og styrkes. I en ny lov bør således innsynsretten utvides til også å omfatte rett til innsyn i opplysningstyper og formål.
Utvalget har vurdert om det bare er de som ikke er melde- eller konsesjonspliktige som skal ha plikt til å gi innsyn til alle som ber om det i disse generelle opplysningene, eller om også de som er melde- eller konsesjonspliktige skal gi slikt innsyn. I følge direktivet er det bare de som ikke er melde- eller konsesjonspliktige som skal ha slik plikt (for de melde- og konsesjonspliktige behandlingene kan innsyn kreves hos tilsynsmyndigheten, jf artikkel 21 nr 2).
Å gi innsyn i generell informasjon til alle som ber om det vil representere et visst merarbeid for den behandlingsansvarlige. Utvalget antar imidlertid at omfanget av merarbeidet vil være relativt beskjedent i og med at de aktuelle opplysningstypene er så sentrale, og forutsatt generelle i formen, at den behandlingsansvarlige lett må kunne fremskaffe disse. Dersom den som ønsker innsyn må henvende seg ulike steder alt etter om behandlingene er meldepliktig eller ikke, vil dette gi vedkommende en dårlig oversikt over de behandlingene som foretas. Utvalget foreslår at plikten til å gi generell informasjon om en persondatabehandling i loven pålegges både den behandlingsansvarlige og Datatilsynet.
11.2.5 Retten til innsyn i opplysninger om en selv
11.2.5.1 Personregisterloven § 7
Den sentrale bestemmelsen om innsyn er i dag personregisterloven § 7 første ledd. Bestemmelsen gir i utgangspunktet den enkelte rett til innsyn i opplysninger om dem selv når opplysningen lagres eller bearbeides ved hjelp av elektroniske hjelpemidler. Uttrykket elektroniske hjelpemidler må forstås vidt, og omfatter i utgangspunktet alle hjelpemidler for digital behandling av skrifttegn (tekst), bilde og lyd.
Loven gir etter sin ordlyd bare innsynsrett i opplysninger om den som krever innsynet. Loven løser ikke spørsmålet om foreldres innsyn i opplysninger om deres mindreårige barn, men Datatilsynet har i sin praksis antatt at foreldre har en slik innsynsrett.
Loven gjør unntak fra innsynsretten når det dreier seg om registre som bare skal anvendes til utarbeidelse av statistisk materiale, forskning og generelle planer. I slike tilfelle har ikke den enkelte et krav på å få innsyn, men bestemmelsen oppstiller heller ikke noe forbud. Den som rår over opplysningene kan således praktisere et mer-innsyn (se 11.4.4) for så vidt det ikke følger av andre bestemmelser at opplysningen ikke skal gis videre. Unntakene for statistikk, forskning og generelle planer gjelder selv om dette til tider vil kunne omfatte meget sensitivt materiale. Unntakene må bl a ses på bakgrunn av at disse behandlingene ofte gjelder store datamengder, og at det ikke er opplysninger om enkeltmennesker som står sentralt, men det helhetsbildet som det totale materialet danner. Vanligvis vil slik behandling av personopplysninger heller ikke direkte berøre de mennesker opplysningene omhandler, bl a fordi opplysningene ikke benyttes til å treffe beslutninger.
Innsynsretten gjelder ikke opplysninger som det må anses utilrådelig at vedkommende får kjennskap til, av hensyn til personens helse eller forholdet til andre personer som står vedkommende nær. Bestemmelsen er identisk med første del av forvaltningsloven § 19 første ledd, bokstav c, som også inneholder en betinget rett til å kreve at partens representant skal få tilgang til opplysningene. En slik rett kan ikke antas å gjelde etter personregisterloven.
Personregisterloven § 7 annet ledd gir utvidet innsyn innen offentlig sektor, idet også opplysninger som behandles manuelt er gjenstand for innsynsrett. Henvisningen til forvaltningsloven § 18 i andre punktum innebærer at forvaltningslovens regler om unntak for innsyn i interne dokumenter går foran hovedregelen om innsynsrett. Denne henvisningen innebærer imidlertid også en henvisning til bestemmelsen i § 18 tredje ledd som gir rett til innsyn i visse faktiske opplysninger i interne dokumenter. Når unntakene fra partsinnsynsretten i forvaltningsloven § 19 ikke er nevnt i personregisterloven § 7, er det trolig fordi flere av de opplysningstyper som der er omhandlet bare i liten grad omhandler personopplysninger om den person som krever innsynet (med unntak av forvaltningsloven § 19 første ledd bokstav c).
I tillegg til personregisterlovens bestemmelser er innsyn regulert i Datatilsynets konsesjoner. Med hjemmel i personregisterloven § 11 har Datatilsynet i enkelte tilfelle fastsatt bestemmelser om innsyn i registre som går ut over bestemmelsen i § 7. I konsesjonene kan det også være gjort konkrete unntak fra innsynsreglene med hjemmel i personregisterloven § 7 femte ledd.
I fjerde ledd gis Kongen fullmakt til å fastsette utvidet anvendelse av innsynsreglene i annet og tredje ledd i forhold til privat sektor. Utvidelsene kan skje områdevis eller for særlige registre. Slik utvidelse er fastsatt i personregisterforskriften (21 desember 1979) § 1-5, som gir innsynsrett i manuelle personalregistre i privat sektor.
11.2.5.2 EF-direktivet artikkel 12
Artikkel 12 gir på samme måte som personregisterloven § 7 den enkelte en rett til å kreve innsyn i hvilke opplysninger som blir behandlet om han eller henne. Direktivet avviker fra personregisterloven § 7 ved at den likestiller innsyn i opplysninger i manuelle personregistre og opplysninger som behandles elektronisk. Informasjon om behandlingene skal gis på en lett forståelig måte. Innsynsretten skal kunne utøves frit og uhindret, med rimelige mellemrum og uden større ventetid eller større udgifter.
Etter artikkel 13 kan det i lov eller i medhold av lov gjøres en rekke unntak fra innsynsretten slik den er beskrevet i artikkel 12 når slike innskrenkninger er nødvendige av hensyn til statens sikkerhet, forsvaret, den offentlige sikkerhet, til beskyttelse av vesentlige økonomiske eller finansielle interesser eller for varetakelse av bestemte kontroll-, tilsyns- og reguleringsoppgaver. Det kan også gjøres unntak når det er nødvendig for forebyggelse, etterforskning, avsløring og rettsforfølging i straffesaker og ved brudd på visse etiske regler. Artikkel 13 inneholder også en hjemmel for å gjøre unntak når det er nødvendig for beskyttelsen av den registrertes interesser eller for å beskytte andres rettigheter eller friheter.
Etter artikkel 13 nr 2 kan det i eller i medhold av lov også gjøres innskrenkninger i innsynsretten dersom opplysningene udelukkende behandles med videnskablig forskning for øje eller kun opbevares i form af personopplysninger i det tidsrum, som kræves for at udarbejde statistikker. Forutsetningen er at opplysningene ikke anvendes til å treffe tiltak eller avgjørelser mot bestemte personer og at det ikke er risiko for krenkelse av privatlivets fred. Denne adgangen til unntak er snevrere enn etter ordlyden i personregisterloven § 7 første ledd annet punktum som generelt unntar personopplysninger som bare benyttes i statistikk, forskning og generelle planer.
11.2.5.3 Europarådskonvensjonen artikkel 8 b
Etter konvensjonen artikkel 8 b gis det rett til innsyn i opplysninger om den enkelte. Opplysningene skal formidles på en forståelig måte, og innsynet skal kunne skje uten uforholdsmessig forsinkelse og kostnad.
Konvensjonen inneholder i artikkel 9 unntaksbestemmelser som ligner unntaksbestemmelsene i EF-direktivet artikkel 13. Konvensjonen krever at unntaket [...] er et nødvendig tiltak i et demokratisk samfunn [...] og unntar statistikk og forskning når dette åpenbart ikke setter personvernet i fare. Også denne unntakshjemmelen er snevrere enn etter personregisterloven § 7, men videre enn etter personverndirektivet artikkel 13 nr 2, som ikke stiller krav om at faren skal være åpenbar.
11.2.5.4 Utvalgets vurderinger
11.2.5.4.1 Oversikt
Også på dette området ser utvalget det som påkrevet å supplere og presisere retten til innsyn. Blant annet går utvalget inn for å likestille retten til innsyn i manuelle og elektronisk lagrede opplysninger (11.2.5.4.2), dernest diskuteres mulige unntak for innsynsrett i interne dokumenter (11.2.5.4.3), ut i fra hensynet til den registrerte selv (11.2.5.4.4) og for statistikk, forskning og generelle planer (11.2.5.4.5). Avslutningsvis sies noe om innsynsrett for umyndige (11.2.5.4.6).
11.2.5.4.2 Utvidet innsyn i forhold til private
Spørsmålet er om innsynsretten skal utvides til også å gjelde for manuelle personregistre i private virksomheter. Dagens lov gir like regler i forhold til innsyn i enkeltopplysninger i edb-registre i offentlig og privat sektor. Etter utvalgets mening bør en i tråd med personverndirektivet likestille innsynsrettighetene i offentlig og privat sektor. Dette innebærer samme innsynsrett enten det gjelder opplysninger på papir eller i maskinlesbar form.
Utvalget antar at en slik utvidelse vil ha beskjedne praktiske konsekvenser. Det finnes allerede i dag eksempler på opplysningsplikter/innsynsretter innen privat sektor i henhold til særlovgivning, se f eks forsikringsavtaleloven § 17-2 som gir forsikringstakeren rett til å kreve utskrift av livsforsikringsregisteret. I tillegg antar utvalget at det i henhold til kontrakt, kutymer og praksis innen flere bransjer gis innsyn i opplysninger om kunden selv. En bestemmelse om innsynsrett i private manuelle personregistre vil derfor dels innebære en utvidelse og dels en bekreftelse av eksisterende innsynspraksis.
Innsyn i private manuelle registre vil bl a berøre virksomheter som ikke forestår maskinell behandling men i stedet manuelt håndterer forholdsvis begrensede mengder personopplysninger. For disse vil belastningen som følge av en utvidet innsynsrett trolig bli liten. En utvidelse til private manuelle registre vil imidlertid også føre til at den enkelte kan kontrollere at opplysninger slik de har innkommet til en behandlingsansvarlig i privat sektor er de samme som de opplysningene som er lagt til grunn ved en etterfølgende edb-behandling. Slikt innsyn er i utgangspunktet aktuelt for mange store virksomheter og for store informasjonsmengder, men i praksis vil trolig kun et fåtall benytte seg av en rett til innsyn i saksmapper m v. Dersom det faktisk foreligger strid eller usikkerhet om opplysninger i papirdokumenter, kan det uansett være urimelig å nekte et innsyn som kan bidra til en avklaring av spørsmålet. Særlig gjelder dette dersom opplysningene skal benyttes til å treffe beslutninger som får rettslige eller viktige konsekvenser for den enkelte.
11.2.5.4.3 Unntak for innsyn i interne dokumenter
Innsynsretten i offentlige manuelle personregistre gjelder ikke for interne dokumenter som kan unntas fra innsyn, jf henvisningen i § 7 annet ledd til forvaltningsloven § 18. En slik begrensning gjelder ikke for elektroniske registre. Begrunnelsen for dette bygger på en forutsetning om at det er forskjellig typer opplysninger som lagres elektronisk og som oppbevares manuelt i et saksomslag, på utfylte skjemaer o l, jf Ot prp nr 2 (1977-78) side 74 høyre spalte:
«Når opplysninger blir lagret eller bearbeidet ved bruk av edb, vil man i praksis kunne sondre mellom de vanligvis kortfattete opplysninger som finnes på bånd, skiver, m v, og de ofte mer omfattende opplysninger som ligger i et saksomslag, på utfylte skjemaer o l.»
Etter utvalgets syn bør unntaket for enkelte interne dokumenter (jf forvaltningsloven) gjelde uavhengig av om opplysningene er lagret elektronisk eller manuelt. Med dagens og fremtidens stadig økende bruk av edb, kan en ikke legge til grunn at opplysningene som lagres elektronisk er annerledes – mindre omfattende – enn de som lagres manuelt.
Forvaltningsloven § 18 gjelder offentlige myndigheter og passer ikke for privat sektor. Etter utvalgets syn bør imidlertid unntaket for enkelte interne dokumenter gjelde også for disse. Dette kan gjøres ved at man i loven definerer hva som i privat sektor er å regne som interne dokumenter. Dette er i dag gjort i personregisterforskriften § 1-5 annet ledd for interne dokumenter i manuelle personalregistre.
11.2.5.4.4 Unntak fra innsyn av hensyn til de registrerte eller personer som står dem nær
Unntaket i personregisterloven § 7 for opplysninger som det vil være utilrådelig å gi av hensyn til helsetilstand m v, bør fortsatt gjelde. Utvalget kan imidlertid ikke se at det eksisterer noen god grunn for å avskjære muligheten til å gi opplysningene til den registrertes representant, slik som for parter etter forvaltningsloven § 19 første ledd bokstav c.
I noen tilfeller vil innsyn i opplysninger om en selv innebære at en indirekte også gis innsyn i opplysninger om andre, uten at dette nødvendigvis medfører at en blir nektet innsyn i opplysningene. For eksempel vil dette kunne være tilfelle ved innsyn i opplysninger fra gen-materiale. Slike disposisjoner vil indirekte også si noe om arvelige disposisjoner hos andre enn en selv. Bruk av genetisk informasjon er regulert av bioteknologiloven (lov 5 aug 1994 nr 56). Forøvrig vil utvalget understreke den enkeltes etiske ansvar i forbindelse med innsyn i og bruk av personopplysninger om en selv som indirekte også gir informasjon om andre.
11.2.5.4.5 Unntak fra innsynsrett for statistikk, forskning og generelle planer
Personregisterloven § 7 første ledd kan etter sin ordlyd vanskelig ses å være i full overensstemmelse med Europarådskonvensjonen artikkel 8, idet det ikke i den norske loven er noe krav om at unntaket åpenbart ikke skal innebære noen fare for krenkelse av personvernet. Mulighetene for å gjøre unntak er enda snevrere etter personverndirektivet artikkel 13 nr 2. Datatilsynets praksis ved fastsettelse av konsesjonsvilkår for slike registre har imidlertid vært i overensstemmelse med direktivets bestemmelse, og tilsynets praksis bør lovfestes. Kongen bør ha hjemmel til å gjøre unntak fra innsynsreglene.
11.2.5.4.6 Innsynsrett for umyndige
Utvalget har vurdert å foreslå egne aldersgrenser for utøvelse av innsynsrett etter loven, men fant det vanskelig å finne frem til en ensartet aldersgrense. Hvilke rettigheter det er naturlig å tildele den umyndige vil i noen grad følge av den umyndiges handleevne, jf vergemålsloven (lov 22 april 1927 nr 3) kapittel 4. Dessuten kan det være behov for i noen tilfeller å utøve skjønn mht om det skal gis innsyn for foreldre i tillegg til den umyndige. Man bør i denne sammenhengen se på hensynene bak innsynsreglene; innsynsretten er en forutsetning for at man skal kunne hevde sine øvrige rettigheter etter loven (f eks kreve retting eller sletting). Dersom ønsket om innsyn er begrunnet i andre hensyn, bør det utvises større varsomhet med å gi andre enn den registrerte selv innsyn i opplysningene.
11.2.6 De behandlingsansvarliges opplysningsplikt overfor de registrerte, EF-direktivet artikkel 10 og 11
11.2.6.1 Innledning
Datatilsynet har gjort løse anslag over hvor mange registre gjennomsnittsnordmannen er registrert i og antyder 500 registre. Folk flest har neppe konkret kunnskap om alle persondatabehandlingene som angår dem selv. Dermed kan det også være vanskelig å kreve innsyn. Det er blant annet på denne bakgrunn en bør se personverndirektivets bestemmelser om aktiv opplysningsplikt for de behandlingsansvarlige overfor de registrerte. Informasjonen skal gis uavhengig av forespørsel fra de registrerte.
11.2.6.2 Behandlingsansvarliges informasjonsplikt når personopplysninger samles inn fra de registrerte – artikkel 10
Personverndirektivet fastsetter en plikt for den behandlingsansvarlige til å gi informasjon om hvem som er behandlingsansvarlig og formålet med behandlingen. I tillegg skal det gis opplysninger som er nødvendige for å sikre den enkelte en rimelig behandling av opplysningene om ham/henne. Enkelte eksempler på hva slags informasjon som kan være nødvendig er regnet opp i artikkel 10 bokstav c.
Plikten gjelder bare informasjon vedrørende behandlingen av opplysninger om den registrerte selv. Det er gjort unntak for informasjon som den registrerte allerede er kjent med. I tillegg kan det gjøres unntak i medhold av artikkel 13.
Direktivet forutsetter at den behandlingsansvarlige gjør vurderinger av hva den registrerte er kjent med, og hva som er nødvendig for en rimelig behandling av opplysningene. Såvel generell kunnskap om svakheter ved selve behandlingen som kunnskap om individuelle forhold må trekkes inn i vurderingen. En kan ikke ut i fra artikkel 10 utlede noen undersøkelsesplikt for at den behandlingsansvarlige skal få nødvendig kunnskap om relevante forhold. En slik undersøkelsesplikt kan imidlertid tenkes å hvile på annet grunnlag. Prinsippet om forsvarlig saksbehandling innen offentlig forvaltning innebærer bl a en forpliktelse til forsvarlig saksutredning, jf forvaltningsloven § 17 første ledd og § 37 første ledd.
11.2.6.3 Behandlingsansvarliges informasjonsplikt når personopplysninger ikke er samlet inn hos de registrerte – artikkel 11
Artikkel 11 omhandler de tilfelle der det er andre enn den registrerte selv som er kilde for opplysninger om den registrerte. Hovedregelen er at den behandlingsansvarlige skal gi informasjon om den behandlingen som opplysningene om den registrerte skal inngå i. Det er i hovedsak den samme informasjonen som skal gis etter denne bestemmelsen som etter artikkel 10. Dette innebærer bl a at bestemmelsen forutsetter en tilsvarende konkret vurdering av hva som er nødvendig å gi informasjon om for å sikre en rimelig behandling av personopplysningene. Informasjonen til den registrerte skal gis ved registrering av personopplysningen eller senest ved videregivelse av opplysningen. Informasjonsplikten er uavhengig av om opplysningen videregis eller ikke.
I artikkel 11 nr 2 gjøres en rekke unntak fra informasjonsplikten. For det første gjelder ikke informasjonsplikten når den registrerte allerede er kjent med de nødvendige opplysninger. For det andre gjelder unntak når registrering eller utlevering av personopplysninger eksplisitt er fastsatt ved lov. For det tredje er det gitt en mer skjønnsmessig adgang til å gjøre unntak dersom det er umulig eller uforholdsmessig vanskelig å gi informasjon om behandlingen til den registrerte. Dette vil kunne ha særlig betydning ved behandling av personopplysninger for forsknings- og statistikkøyemed. Dersom det gjøres unntak skal medlemsstatene fastsette nødvendige garantier, dvs andre tiltak som er egnet til å sikre den registrerte en rimelig behandling av opplysningene.
11.2.6.4 Relevant norsk lovgivning
Det finnes i personregisterloven ikke en tilsvarende generell bestemmelse om informasjonsplikt for registereier. For kredittopplysningsforetak gjelder det imidlertid en gjenpartsplikt når kredittopplysninger om personer som ikke er næringsdrivende blir gitt i skriftlig form. I slike tilfelle skal den det gis opplysning om sendes en kopi av kredittopplysningen eller annen melding.
Etter forvaltningsloven § 17 annet og tredje ledd har forvaltningsorganer som hovedregel en plikt til å forelegge opplysninger om en part som de mottar til uttalelse fra parten. Dette gjelder enten opplysningen mottas etter initiativ fra forvaltningen eller opplysningen sendes inn på andre aktørers initiativ. Retten til å få seg forelagt opplysninger om en selv som forvaltningsorganet mottar fra andre, er begrenset til parter i vedkommende sak slik dette begrepet er definert i forvaltningsloven § 2 e. Dette er en klart snevrere gruppe enn de registrerte. Forvaltningsloven § 17 får dessuten kun anvendelse på enkeltvedtak, se forvaltningsloven § 3.
11.2.6.5 Stortingets vedtak 21 april 1994
Stortinget traff 21 april 1994 vedtak der det bl a het følgende:
«Stortinget ber Regjeringen legge fram forslag til endringer i lov om personregistre, slik at eieren av et personregister som hovedregel plikter å varsle personene som registreres eller er registrert, om registreringen, dens omfang og formålet med denne.»
Utvalget er i sitt mandat bedt om å vurdere og legge fram forslag til lovbestemmelser i tråd med vedtaket.
11.2.6.6 Utvalgets vurderinger
Utvalget ser på informasjonsplikten etter direktivet som et viktig supplement til retten til innsyn i personopplysninger om en selv. Begrunnelsen er primært at det kan være svært vanskelig for de registrerte å tilegne seg den kunnskap som skal til for at innsynsretten skal bli brukt. Informasjonsplikten kan fungere som varsel om persondatabehandlinger som den registrerte ikke har kunnskap om, og som påminnelse om betydningen av kjente behandlinger. På den annen side er personvernet neppe tjent med en for stor strøm av informasjon fra en rekke avsendere til registrerte personer. Faren er da at mengden av informasjon kan bli så stor at det snarere skapes en følelse av maktesløshet enn av aktivitetslyst. Informasjonsplikten etter artikkel 10 og 11 i direktivet må også vurderes ut fra den samlede informasjonstilgangen for den enkelte, jf oversikten i avsnitt 11.2.1 og opprettelsen av en oversikt over melde- og konsesjonspliktige persondatabehandlinger. Dessuten må informasjonsplikten utformes slik at kostnadene og ulempene for de behandlingsansvarlige ikke blir for store.
Når det gjelder informasjonsplikten når opplysninger samles inn fra den registrerte selv (artikkel 10), antar utvalget at dette vil innebære lite praktisk arbeid og små utgifter for de behandlingsansvarlige. Samtidig må slik informasjon anses som ønskelig ut fra hensynet til ivaretagelse av personvern. Når det derimot gjelder informasjon til de registrerte i de tilfelle der opplysningene er samlet inn fra andre, vil dette normalt gjøre det nødvendig å sende brevpost. Dersom mengden av slike forsendelser blir stor, kan dette innebære en betydelig kostnad for de behandlingsansvarlige.
Utvalget ønsker på denne bakgrunn å finne fram til en ordning der informasjonsplikten konsentreres rundt tilfelle der informasjon er spesielt ønskelig ut fra hensynet til personvernet. Dette kan oppnås ved å tilpasse varslingsplikten innenfor de rammer direktivet og Stortingets vedtak setter. For de nærmere detaljene vises til merknadene til lovforslaget §§ 20 og 21. Utvalget nøyer seg her med å understreke at varsling ikke er nødvendig der den registrerte allerede kjenner til persondatabehandlingen, og at det er tilstrekkelig å varsle første gang vedkommende behandlingsansvarlig innhenter opplysningene. Varsel kan dessuten ofte gis via kommunikasjon som uansett finner sted mellom den behandlingsansvarlige og den registrerte – de fleste persondatabehandlinger som finner sted inngår som ledd i en virksomhet hvor det oppstår kontakt mellom den registrerte og den behandlingsansvarlige. I slike tilfelle er det ikke nødvendig med en egen varslingsforsendelse for å oppfylle informasjonsplikten.
11.3 Den enkeltes rett til å motsette seg visse typer persondatabehandling
11.3.1 Den registrertes rett til å motsette seg at bestemte personopplysninger blir behandlet
11.3.1.1 EF-direktivet artikkel 14
Direktivet artikkel 14 fastsetter en rett for den enkelte til å motsette seg at bestemte personopplysninger om ham selv blir gjenstand for behandling. Innsigelsesretten etter artikkel 14 må ses i sammenheng med retten etter artikkel 15. I tillegg er spørsmålet nært knyttet opp til retten til sletting av opplysninger, jf artikkel 12 bokstav b som viser til artikkel 15 nr 1.
Det er knyttet flere forutsetninger til rettigheten etter artikkel 14 bokstav a. For det første er retten avgrenset til to av de seks kategorier av persondatabehandlinger som etter direktivet artikkel 7 regnes som legitime. Den første kategorien gjelder behandlinger som er nødvendige ut i fra hensynet til samfunnsmessige interesser eller offentlig myndighetsutøvelse (bokstav e). Den andre kategorien gjelder behandlinger som er nødvendig for at behandlingsansvarlige og/eller de tredjemenn personopplysningene videregis til skal kunne forfølge sine legitime–interesser, jf avveiningen mellom slike legitime interesser og den enkeltes grunnleggende rettigheter (artikkel 7 bokstav f i f).
Dersom persondatabehandlingen kommer inn under en av de nevnte behandlingskategoriene og den registrerte framsetter berettiget indsigelse mot behandlingen, plikter den registeransvarlige å avstå fra å behandle denne opplysningen. Det er uklart hvor mye som skal til for at innsigelsen skal anses å være berettiget. Begrunnelsen for innsigelsen må være knyttet til den registrertes særlige situasjon, fordi det allerede er foretatt en generell interesseavveining som har resultert i at behandlingen i utgangspunktet anses lovlig. Det er anledning til å begrense retten etter artikkel 14 bokstav a i eller i medhold av nasjonal lovgivning.
Innsigelsesretten etter artikkel 14 bokstav b gjelder persondatabehandlinger som er ledd i markedsføring. En grunnforutsetning må her være at behandlingen er lovlig i tråd med bestemmelsene i artikkel 7. Selv om behandlingen er lovlig etter disse bestemmelsene gir artikkel 14 nr b den enkelte rett til å motsette seg at behandling av opplysninger om ham selv skjer for markedsføringsformål.
Som et alternativ til å nekte all behandling som ledd i markedsføring, gir direktivbestemmelsen den enkelte en rett til å kreve varsel før første gangs videregivelse av opplysninger. Likestilt med dette er første gangs behandling på vegne av tredjemann når behandlingen skjer for markedsføringsformål. Bestemmelsen synes å innebære en rett til f eks å kreve et varsel dersom et adresseringsforetak overfører (selger) opplysninger og mottakeren vil anvende opplysningene til markedsføring. Varselet ligner på informasjonsplikten i artikkel 11, men gjelder også dersom opplysningen er samlet inn fra den registrerte selv.
Til slutt i artikkel 14 forpliktes nasjonalstatene til å iverksette de tiltak som er nødvendig for at rettighetene i forhold til markedsføring blir kjent blant de registrerte. Det kreves med andre ord informasjonstiltak eller lignende, men det er ikke fastsatt noe nærmere om hvem som skal gjennomføre tiltakene.
11.3.1.2 Personregisterloven § 8 a
Man har både etter personregisterloven §§ 8a og 28 og forskriften § 2-1 krav på å få sitt navn sperret mot utsendelse av adressert reklame. Reservasjonsretten gjelder både adressert reklame og telefonmarkedsføring. For å effektivisere denne retten er dessuten adresseringsforetakene i konsesjonen fra Datatilsynet pålagt å merke sendingene med kilde for adresseopplysningen.
Paragraf 8a kom inn i loven ved lovendringen i 1987 (lov 12 juni 1987 nr 55). Bestemmelsen kom som et følge av forslag fra Føyen-utredningen. Som begrunnelse het det bl a i utredningen:
«Det er etter hvert blitt svært vanlig at alle mulige abonnementsregistre, medlemsregistre, kunderegistre, leverandørregistre osv, benyttes for utsendelse av direkte adressert reklame. Bestemmelsene om sletting (sperring) for utsendelse av direkte reklame slik de er etter den någjeldende loven og forskriftene, er spredd på flere forskjellige steder, og de er nokså uoversiktlige. Den foreslåtte bestemmelsen tar sikte på å fastsette en generell rett for den enkelte til å kreve en samling av personopplysninger sperret mot slike utsendelser til seg.»
Det er ut over dette ikke noen adgang til å nekte visse typer behandling av personopplysninger etter norsk rett.
11.3.1.3 Utvalgets vurderinger
11.3.1.3.1 Innsigelsesretten etter direktivet artikkel 14 a
Retten til å motsette seg behandling gir rett til å motsette seg at enhver behandling av personopplysninger skjer (f eks lagring), men den enkelte må også kunne motsette seg behandlingen på mindre omfattende måte.
Utvalget ser artikkel 14 a som et utslag av en grunnleggende rettighet til å råde over opplysninger om en selv. Med de begrensninger som ligger i bestemmelsen, blir imidlertid regelen svært lite praktisk. I tillegg må det gjøres unntak av hensyn til ytringsfrihet og pressefrihet. Utvalget legger til grunn at direktivet artikkel 14 nr 1 er tilstrekkelig gjennomført dels ved at lovforslaget gir den registrerte enkelte rettigheter (se for eksempel lovforslaget §§ 25 og 26 om rett til å kreve opplysninger slettet) og dels ved at slike beføyelser kan utledes fra ulovfestede personvernprinsipper (se som eksempel Rt 1952 side 1217).
11.3.1.3.2 Reservasjonsrett for bruk av personopplysninger om en selv i markedsføringsøyemed
Dagens bestemmelse i personregisterloven § 8a om at en person kan kreve sitt navn sperret i et personregister mot bruk til utsending av reklame og liknende publikasjoner bør videreføres i den nye loven. Den økende mengden av adressert reklame oppleves av mange som en belastning. Det er derfor viktig at den enkelte forbruker gis en effektiv rett til å reservere seg mot adressert reklame. På grunn av det stadig økende antall adresserings- og distribusjonsforetak er det imidlertid ofte blitt vanskelig for den enkelte å få oversikt over hvilke registre som inneholder opplysninger om en selv, og dermed tilsvarende vanskelig å framsette krav om sletting til hvert enkelt foretak etter personregisterloven § 28. I denne forbindelse har Datatilsynet foreslått opprettelsen av et sentralt reservasjonsregister, som vil innebære at de som ønsker seg slettet fra alle registre i adresserings- og distribusjonsforetak, kan oppnå dette gjennom framsettelse av bare ett krav om sletting – rettet til det sentrale registeret. En plikt for adresserings- og distribusjonsselskapene til å oppdatere ( vaske) sine registre mot det sentrale reservasjonsregisteret, vil bety en forenkling og effektivisering av utøvelsen av retten til å kreve seg slettet av registre etter § 28 og til å kreve sitt navn sperret etter § 8a.
Opprettelsen av et sentralt reservasjonsregister er omtalt av Datatilsynet i Datatilsynets årsmeldinger for 1993 og 1994 (St meld nr 23 1994-95, side 18 og St meld nr 27 1995-96, side 18). I følge de samme stortingsmeldingene, samt St meld nr 33 1994-95 om Personvern og telekommunikasjon støtter Justisdepartementet forslaget og uttaler at det arbeides aktivt i departementet med disse planene (side 16).
Utvalget foreslår at det nedfelles i loven at de som markedsfører direkte skal vaske sine registre mot et sentralt reservasjonsregister, se merknadene til lovforslaget § 28. Plikten bør i utgangspunktet gjelde generelt, ikke bare for adresserings- og distribusjonsforetak.
11.3.2 Rett til i visse tilfeller å kreve manuell behandling av personopplysninger
11.3.2.1 EF-direktivet artikkel 15
EF-direktivet artikkel 15 nr 1 gir en rett for den enkelte til å nekte å la seg undergi visse fullstendig automatiserte avgjørelser. Bestemmelsen omhandler avgjørelser vedrørende personlige forhold som har rettsvirkninger for den enkelte eller som berører den enkelte i vesentlig grad, og som i sin helhet er truffet på grunnlag av edb-behandling av opplysninger. Avgjørelser om ervervsevne, kredittverdighet, pålitelighet og adferd er eksempler på avgjørelsestyper som omfattes.
Et første kriterium etter artikkel 15 nr 1 er at avgjørelsen skal innebære en vurdering eller beskrivelse av personlige forhold. Eksempler på dette er personlige ferdigheter, evner og personlighetstrekk. En rekke behandlinger må således anses å falle utenfor bestemmelsen allerede i utgangspunktet. Avgjørelse i f eks en byggesak er basert på opplysninger om byggeplaner m v og ikke fundert på beskrivelser av personlige forhold. Et avslag på søknad om arbeidsledighetstrygd med den begrunnelse at søkeren er skyld i egen ledighet, vil derimot i utgangspunktet kunne falle inn under de avgjørelseskategorier som er basert på beskrivelser av personlige forhold. Derimot ikke den enkelte avgjørelse av størrelse på pensjon og andre ytelser når det kun er inntekts- og formuesforhold som legges til grunn for resultatet. Avgrensningen av hva som skal regnes som bestemte personlige forhold må generelt sies å være relativt uklar.
Det andre kriteriet etter artikkel 15 nr 1 er at avgjørelsen har rettsvirkninger for den enkelte. Dette innebærer trolig at avgjørelsen skal kunne håndheves ved hjelp av rettssystemet. Direktivet likestiller dessuten avgjørelser som berører den enkelte i vesentlig grad med avgjørelser som har rettsvirkninger. Et mulig eksempel på avgjørelser som berører den enkelte i vesentlig grad kan være utarbeidelse av kundeprofiler og andre atferdsmønstre når disse selges/spres til mange tilbydere av varer og tjenester og således danner bakgrunn for en rekke salgshenvendelser m v til den enkelte.
Det tredje kriteriet er at behandlingen av opplysningene kun skjer ved edb-behandling, dvs at den videre behandlingen av opplysningene kun skjer i et datamaskinsystem. En manuell etterkontroll av resultatet fra edb-behandlingen, f eks i form av en rimelighetskontroll, vil gjøre at behandlingen ikke kan nektes.
Fra hovedregelen om rett til å nekte å bli undergitt avgjørelser som kun er basert på edb-behandlinger, gjelder to viktige unntak i artikkel 15 nr 2 bokstavene a og b.
Etter bokstav a skal den omtalte retten til å nekte ikke gjelde når den helt automatiserte avgjørelsen skjer som ledd i inngåelsen eller oppfyllelsen av en kontrakt. Dette forutsetter at det er den registrerte selv som har anmodet om inngåelsen eller oppfyllelsen av kontrakten, eller at det eksisterer tiltak som er egnet til å ivareta den registrertes legitime interesser (f eks i form av en uttalerett for den registrerte). Således vil f eks en fullstendig automatisert kredittvurdering ikke gi rett til å nekte slik behandling dersom behandlingen skjer som ledd i inngåelse av en låneavtale som den registrerte selv har bedt om. Retten til å nekte gjelder heller ikke selv om det er kredittvurderingsforetaket som har tatt initiativet til behandlingen, så lenge den registrerte kan vareta sine legitime rettigheter gjennom en uttalerett el l.
I følge artikkel 15 nr 2 bokstav b skal det heller ikke eksistere noen rett til å nekte fullstendig automatisert behandling når denne behandlingen er hjemlet i lov. Forutsetningen er at det i lovgivningen er vedtatt bestemmelser til ivaretagelse av den registrertes legitime interesser.
Den norske personregisterloven og europarådskonvensjonen om personvern inneholder ingen bestemmelser om rett til å nekte helt automatiserte avgjørelser.
11.3.2.2 Utvalgets vurderinger
Når en ser hele artikkel 15 under ett, synes unntakene å være så vidtfavnende at det kun blir i de helt spesielle tilfellene at retten til å nekte fullstendig automatisert behandling etter artikkel 15 nr 1 vil være i behold. Hvor stor betydning bestemmelsen får for personvernet vil bl a avhenge av hvor strenge krav som stilles til tiltakene for å vareta personvernet. Det er kun hvis disse tiltakene er tilfredsstillende at manuell vurdering ikke kan kreves. Datatilsynet kan ta stilling til om tiltakene er tilfredsstillende. En kan ikke utelukke en samfunnsutvikling der de typer fullstendig automatiserte beslutninger hvor nektelsesretten gjelder blir vanligere. Det er derfor mulig at en norsk lovbestemmelse etter mønster av artikkel 15 vil kunne påvirke utformingen av de automatiske behandlingene i en – sett fra personvernhensyn – positiv retning.
Det er grunn til å understreke at direktivet kun regulerer avgjørelsesmåten hos beslutningsorganet, og ikke legger begrensning på retten til å få avgjørelser overprøvet av domstolene. Videre er det ofte klageadgang for avgjørelser som et beslutningsorgan treffer, noe som hindrer etableringen av fullstendig automatiserte rutiner innen de aktuelle avgjørelsestypene. Utvalget legger til grunn at nektelsesretten og unntakene fra denne ikke får betydning for klageretten så lenge denne ikke er begrenset i lovgivningen. Selv om den enkelte ikke kan nekte å la seg undergi fullstendig automatiserte beslutninger fordi det gjelder inngåelse av kontrakt, kan Datatilsynet påpeke forhold som ut i fra et personvernsynspunkt er uheldig. Dersom behandlingsrutinene f eks er basert på for lav datakvalitet, må Datatilsynet kunne påpeke forholdet, og eventuelt gi pålegg om at kvalitetsmangelen skal avhjelpes.
11.4 Innsyn i behandlingsregler ( logikken)
11.4.1 Krav på innsyn i logikken til visse typer persondatabehandlinger, EF-direktivet artikkel 12 bokstav a, tredje strekpunkt
Direktivet artikkel 12 bokstav a tredje strekpunkt gir enhver rett til at få vide, hvilken logik der ligger bag edb-behandlingen af oplysningerne om den pågældene [...], i det minste i slike tilfelle som er regulert i artikkel 15 nr 1. Det redegjøres for innholdet av artikkel 15 ovenfor i 11.3.2. Innsynet i behandlingsregler ( logikken) hører naturlig inn under retten til innsyn (11.2). Innsynet i behandlingsregler er likevel skilt ut til særskilt behandling i dette avsnittet på grunn av sammenhengen med regelen i direktivet artikkel 15.
Direktivets bestemmelser om rett til logikkinnsyn er knyttet til konkrete behandlinger av personinformasjon om den enkelte. Henvisningen til artikkel 15 innebærer at behandlingene må ha ledet ut i en avgjørelse som har rettslig eller annen vesentlig betydning for vedkommende. Logikkinnsynet etter direktivet gjelder med andre ord ved visse avgjørelser av konkrete saker. Bestemmelsen får derfor preg av å være et krav om begrunnelse og innebærer f eks ingen plikt til å etablere innsynsrett i logikken bak en edb-behandling forut for en avgjørelse. Dette er en viktig presisering, fordi en rett til et slikt innsyn uavhengig av konkrete avgjørelser ville innebære en forpliktelse til å gi innsyn i alle mulige behandlingsregler innenfor en avgjørelsestype til enhver tid. Dermed får regelen mer et preg av å støtte opp under den enkeltes varetagelse av sine interesser i konkrete saker, snarere enn å støtte den enkeltes behov for generelt å orientere seg om behandlingsmåter og mulige framtidige beslutningssituasjoner. Dersom en skal trekke sammenligninger til dagens offentligrettslige reguleringer, er det som nevnt mest nærliggende å se en rett til logikkinnsyn i sammenheng med forvaltningslovens regler om begrunnelse for enkeltvedtak og regler om veiledning og partsinnsyn.
11.4.2 Relevant norsk lovgivning – spesielt om forvaltningslovens veilednings- og begrunnelsesplikt
Forvaltningen har generell veiledningsplikt etter forvaltningsloven § 11. Avhengig av den enkeltes informasjonsbehov og innholdet av konkrete forespørsler fra publikum, er det nærliggende å forutsette at forvaltningen også må kunne redegjøre for automatiserte behandlingsregler, dvs for den logikk som er implementert i systemet.
Forvaltningsloven har dessuten regler om begrunnelsesplikt for offentlig forvaltning. Etter § 25 skal begrunnelsen vise til de regler vedtaket bygger på, med mindre partene kjenner reglene. Forvaltningsorganet skal også gjengi innholdet av reglene, dersom dette er nødvendig for at partene skal forstå vedtaket. Dette må forstås slik at forvaltningen har en plikt til å gjengi innholdet av rettsregler som er gjenstand for automatisert anvendelse i et saksbehandlingssystem. Dersom det automatiserte vedtaket skal kunne begrunnes i detalj, er det imidlertid også nødvendig å forklare de rettslige behandlingsreglene i de aktuelle edb-programmene, med andre ord logikken i behandlingen.
Også innen særlovgivningen finnes eksempler på spesielle regler om begrunnelse som i konkrete tilfelle kan synes å forutsette forklaringer av logikken i edb-programmer. Således plikter f eks ligningsmyndighetene etter ligningsloven § 8-9 nr 2 å opplyse til skattyter om hvorledes ligningsmyndigheten har kommet fram til fastsetting av inntekt og formue. I den grad fastsetting skjer maskinelt, vil en utlegning av framgangsmåten nødvendigvis måtte ta utgangspunkt i vedkommende edb-rutine.
11.4.3 Utvalgets vurderinger
Utvalget legger til grunn at i den grad omfattende automatisering gjennomføres, tilsier den enkeltes interesse i opplysthet at det finnes tilgjengelige forklaringer som viser hva innholdet av den automatiske behandlingen er.
Direktivets bestemmelse om retten til å få forklart logikken i visse datamaskinprogrammer må ses på bakgrunn av at anvendelse av rettsregler og andre regler i dag ofte skjer ved hjelp av datamaskinsystemer. I så fall er det den automatiserte regelanvendelsen som reellt sett avgjør utfallet av saksbehandlingen. Riktignok vil det regelmessig være slik at reglene i edb-programmene uttrykker innholdet i regler som finnes i vanlig språk, f eks i lov, forskrift eller kontrakt. Programmene gir imidlertid et presist uttrykk for bestemte tolkningsvalg blant flere mulige. Det kan lett tenkes å være uenighet mellom f eks et avgjørelsesorgan og en part om riktigheten av slike valg. En plikt til å måtte forklare innholdet av visse datamaskinprogrammer, kan derfor ses som en forutsetning for en tilstrekkelig opplysning om innholdet i rettsanvendelsen, f eks med tanke på domstolsprøving.
Utvalget mener at sentrale deler av vår forvaltningslovgivning innebærer krav om at offentlige forvaltningsorganer i visse situasjoner må kunne gjøre rede for logikken i de datamaskinprogrammer som er bestemmende for vedtakets rettslige innhold. Slike forpliktelser gjelder uavhengig av om vedtakstypen er fullstendig automatisert, representerer en personlighetsprofil m v. Sett på en slik bakgrunn får direktivets bestemmelse om logikkinnsyn formelt sett ingen store konsekvenser for offentlig forvaltning. Reelt sett kan en slik bestemmelse imidlertid føre til større grad av bevissthet om at et slikt krav om innsyn og forklaring er aktuelt og legitimt.
På privat sektor finnes det ingen generelle bestemmelser som gir rett til innsyn i eller å få forklart behandlingsreglene (logikken) i datamaskinsystemer. Imidlertid er det i dag trolig et meget lite antall datamaskinsystemer som omfattes av personverndirektivet artikkel 12 bokstav a tredje strekpunkt jf artikkel 15 nr 1, hvilket innebærer at kravet om logikkinnsyn har meget begrenset rekkevidde. Et mulig eksempel på behandlinger som omfattes av bestemmelsen er systemer for vurdering av kredittverdighet der det ikke skjer noen manuell etterprøving av resultatet fra den maskinelle behandlingen. Slike tjenester er aktuelle og kan i fremtiden bli praktisk viktige innen enkelte virksomhetsområder. Det er f eks lansert bankkiosker med fullautomatisert behandling av søknader om lån til forbrukerkjøp. Utvalget legger likevel til grunn at det kun vil være begrenset anvendelse av automatiserte tjenester der det ikke finnes noen form for adgang til manuell overprøving av beslutningen.
Bestemmelsen vil innebære tilleggskostnader for de behandlingsansvarlige. Hvor stor denne utgiften vil bli, er bl a avhengig av tilgjengelige verktøy for utvikling av forklaringsmoduler, og kvaliteten av de kravspesifikasjoner og dokumentasjon som uansett er planlagt for vedkommende persondatabehandling. Jo mer detaljert og nøyaktig systemdokumentasjon som finnes, jo mindre ekstrakostnader må det antas å påløpe. Utvalget minner om at det bl a også ut i fra hensynet til regnskapsmessig reviderbarhet stilles krav til systemdokumentasjon, noe som igjen vil gjøre det lettere å gjennomføre direktivets krav.
11.4.4 Mer-innsyn
Utvalget ønsker å understreke at de også i fremtiden vil være slik at en manglende innsyns rett ikke innebærer noe forbud mot å gi innsyn også i andre tilfelle (med mindre det på lovlig måte er etablert taushetsplikt), og utvalget vil anbefale at et slikt mer-innsyn vurderes.
11.5 Plikt til å rette, slette og supplere
11.5.1 Personregisterloven § 8
Personregisterloven § 8 pålegger plikt til å rette, slette og supplere personopplysninger som er uriktige, ufullstendige eller ulovlige å ta inn i et register dersom manglene kan få betydning for den registrerte. Den registeransvarlige skal også sørge for at virkningene av manglene blir minst mulig.
Loven gir Datatilsynet myndighet til å gi pålegg om retting, sletting eller supplering. Slikt pålegg kan f eks tenkes gitt etter henvendelse fra den registrerte selv, eller som resultat av gransking som Datatilsynet gjennomfører som ledd i sitt kontrollarbeid. Datatilsynets kompetanse til å kreve endring innebærer at tilsynet har en rett til å avgjøre om konkrete personopplysninger er korrekte, lovlige eller fullstendige. Avgjørelse i slike saker er enkeltvedtak og kan påklages til Justisdepartementet.
Plikten til å rette på mangler ved opplysninger gjelder når mangelen kan få betydning for den registrerte. Etter ordlyden gjelder dette vilkåret også for sletting av opplysninger som det ikke er anledning til å ta inn i registeret. I slike tilfelle må trolig den ulovlige bruken alltid anses å ha betydning for den registrerte, slik at ulovlige opplysninger alltid skal slettes.
Loven krever ikke at mangelen ved opplysningen faktisk får betydning, men forutsetter bare at dette er en mulighet (jf ordet kan). Det er vanskelig generelt å angi hvilken sannsynlighetsgrad som kreves. Jo mer alvorlig virkning feilen kan få for den registrerte, jo lavere sannsynlighetsgrad kreves før mangelen må avhjelpes.
11.5.2 EF-direktivet artikkel 12 bokstavene b og c
I henhold til EF-direktivet artikkel 12 bokstav b har de registrerte rett til å få endret mangelfulle opplysninger. Direktivet nevner to konkrete mangelstyper. I tillegg viser direktivet mer generelt til situasjoner der behandlinger ikke er i overensstemmelse med direktivet. Fremhevingen av ufullstendighet og uriktighet er en eksemplifisering av mangler som kan kreves rettet av den registrerte. Artikkel 12 bokstav b må for øvrig ses i sammenheng med artikkel 6 som stiller krav til lovlighet og rimelighet av behandlinger, formålsangivelse for behandlinger samt krav til personopplysningers kvalitet.
Artikkel 12 bokstav b stiller opp retting, sletting og blokkering som aktuelle tiltak for å rette mangler ved opplysninger. Retten til å få opplysninger supplert nevnes ikke uttrykkelig, men kan trolig innfortolkes i retten til å kreve opplysninger rettet.
I direktivet artikkel 12 bokstav c gis den enkelte en rett til å kreve å få rettet, slettet eller blokkert mangelfulle opplysninger som den registeransvarlige har videregitt til tredjemann. Unntak gjelder der dette er umulig eller uforholdsmessig vanskelig. Direktivet krever ikke at manglene skal ha betydning for den registrerte for at tiltak overfor tredjemenn skal kunne kreves. En annen forskjell mellom personregisterloven og direktivet er at direktivet knytter tiltakene i bokstav c til videregivelse av mangelfulle opplysninger til tredjemann, mens det etter personregisterloven § 8 er følgen av feilen som er avgjørende.
Direktivet fastsetter i artikkel 28 nr 3 annet strekpunkt at også tilsynsmyndigheten skal kunne kreve personopplysninger blokkert, slettet eller tilintetgjort.
11.5.3 Europarådskonvensjonen artikkel 8 bokstavene c og d
Europarådskonvensjonen artikkel 8 bokstav c forplikter landene til å gi de registrerte rett til å få opplysninger om dem selv rettet eller slettet dersom opplysningene er behandlet i strid med konvensjonen artikkel 5 om krav til datakvalitet og artikkel 6 om vilkår for behandling av spesielt sensitive opplysninger. Artikkel 5 bokstavene a til e spesifiserer hva slags mangler ved personopplysninger den registrerte kan kreve endring av. De tiltak som skal kunne kreves gjennomført etter konvensjonen (retting og sletting), representerer derimot et lavt presisjonsnivå og må formentlig tolkes i lys av artiklene 5 og 6 slik at ethvert brudd på krav til datakvalitet og behandling av sensitive opplysninger kan møtes med et relevant tiltak.
Etter artikkel 8 bokstav d er statene forpliktet til å gi regler som gir rett til en selvstendig prøving ( å klage eller på annen måte bringe saken videre) av krav fra den registrerte om retting eller sletting.
11.5.4 Utvalgets vurderinger
11.5.4.1 Plikt til å rette, slette og supplere uriktige eller ulovlige opplysninger
Utvalget går inn for en videreføring av dagens § 8, med enkelte endringer.
For det første bør Datatilsynet gis kompetanse til også å pålegge sperring av personopplysninger i tilfeller hvor de uriktige opplysningene av forskjellige grunner ikke kan eller bør rettes eller slettes (for eksempel fordi dette er pålagt i lov eller forskrift).
For det andre bør restitusjonsregelen i dagens § 8 første ledd annet punktum utvides slik at den behandlingsansvarlige også plikter å rette opp uheldige følger av at det er gitt eller brukt ulovlige opplysninger.
Dersom det er uenighet mellom den behandlingsansvarlige og den registrerte om riktigheten av en opplysning, bør Datatilsynet normalt ikke ha myndighet til å kreve opplysningen rettet eller slettet. Dette gjelder spesielt dersom opplysningen inngår som et beslutningsgrunnlag for f eks et enkeltvedtak. Det er naturlig at avgjørelsen i slike spørsmål avgjøres av de som benytter opplysningen som beslutningsgrunnlag, eventuelt av klageinstansen der det er klageadgang. Datatilsynet kan i slike tilfeller pålegge supplering av opplysningen og vil forøvrig ha en ombudsmannsrolle ved vurderingen av om opplysninger bør rettes/slettes. Dette er i samsvar med Datatilsynets praksis i dag, se Datatilsynets høringsuttalelse referert i Ot prp nr 77 (1991-92) side 16 venstre spalte der det heter at Datatilsynet normalt ikke vil gi påbud om sletting av opplysninger som fører frem til vedtak. Løsningen harmonerer også med prinsippet bak arkivloven § 9 d (se nærmere om forholdet til arkivloven nedenfor).
11.5.4.2 Sletting av personopplysninger når det ikke lenger er saklig grunn for oppbevaring, samt den enkeltes rett til å kreve opplysninger slettet
Utvalget mener det er viktig at det i loven innføres regler om når personopplysninger skal slettes. I dag fastsettes slike bestemmelser av Datatilsynet i konsesjonene. Utgangspunktet bør være at opplysningene skal slettes når det ikke lenger er saklig grunn for oppbevaring. Datatilsynet bør ha myndighet til å pålegge sletting i de tilfeller det mener det ikke foreligger saklig grunn til oppbevaring, se nærmere merknadene til lovforslaget § 26. I tillegg foreslår utvalget at den enkelte registrerte kan kreve slik sletting dersom visse vilkår er oppfylt
11.5.4.3 Forholdet til offentlige arkiver
Spørsmål om sletting og retting av personopplysninger har en side til regelverket for offentlige arkiver (se generelt om forholdet til arkivreglene under 6.1.9 og merknadene til § 26). Behovet for å kunne slette og rette personopplysninger slik at feilaktig informasjon ikke misbrukes kan komme i konflikt med behovet for å bevare arkivmateriale.
Da personregisterloven ble utarbeidet ble ikke denne problemstillingen i særlig grad vurdert. Den manglende avveiningen av arkivhensyn mot personvernhensyn førte dels til at det gjeldende arkivregelverket og personregisterloven med forskrifter i noen grad strider mot hverandre, og dels til at det er fare for at Riksarkivaren og Datatilsynet treffer tilsynelatende motstridende vedtak.
Forholdet mellom arkivhensyn og personvernhensyn ble hensyntatt da den nye arkivloven ble utarbeidet (loven er ennå ikke er satt i kraft, jf 6.1.9), jf Ot prp nr 77 (1991-92) s 16. I arkivloven heter det i § 9 bokstav c at offentlig arkivmateriale bare kan kasseres når dette er hjemlet i arkivforskriften. Dette kasseringsforbudet går foran regler i eller i medhold av andre lover. Om retting heter det i arkivloven § 9 bokstav d at arkivmateriale ikke kan rettes på en slik måte at tidligere uriktige eller ufullstendige opplysninger blir slettet, dersom disse har hatt noe å si for saksforberedelsen, vedtak eller annet som etter formålet med arkivloven bør kunne dokumenteres. Både for bokstav c og d er det imidlertid gjort unntak for personregisterloven og vedtak fattet i medhold av denne. I arkivloven § 9 første ledd bokstav c heter det at:
«Personregister eller delar av personregister kan likevel slettast etter føresegnene i [personregisterloven]. Slik sletting kan først gjerast etter at det er innhenta fråsegn frå Riksarkivaren.»
Dette innebærer at Riksarkivaren skal høres før sletting eventuelt finner sted. Riksarkivaren kan på denne måten komme med synspunkter på om f eks retting eller supplering bør velges istedenfor sletting. Det fremgår imidlertid av arkivloven at det er Datatilsynet alene som avgjør om det skal gis pålegg om sletting iht personregisterloven § 8 annet ledd.
I arkivloven § 9 bokstav d om retting av ufullstendige eller uriktige opplysninger heter det at vedtak om sletting i medhold av §§ 8 og 11 i personregisterloven gjelder uinnskrenket, dvs at slike vedtak går foran reglene i arkivloven. (En tilsvarende regel er gitt i arkivloven § 18 om innskrenket råderett over private arkiver.)
Utvalget har drøftet om avveiningen av personvernhensyn mot arkivhensyn tilsier at reglene om sletting bør endres. Sletting er en ugjenkallelig handling som kan føre til at arkivmateriale går tapt for alltid. I Datatilsynets konsesjoner er dette fanget opp ved at overføring til godkjent arkivinstans kan tre i stedet for sletting. Utvalget går inn for en løsning som forhåpentligvis kan rydde av veien noe av den uklarheten som i dag i praksis råder om forholdet mellom Riksarkivarens kassasjonsvedtak og Datatilsynets konsesjonsbestemmelser om sletting.
I enkelte tilfelle vil imidlertid bevaring av opplysningen ha så stor negativ betydning for den registrerte at sletting bør kunne skje såfremt dette ikke strider mot lov.
11.6 Noen fellesspørsmål
11.6.1 Tidsfrister for å etterkomme krav fra de registrerte
11.6.1.1 Gjeldende rett
Det finnes bare spredte eksempler på krav til hvor raskt de behandlingsansvarlige skal gi svar på henvendelser fra de registrerte og ellers utføre plikter i forhold til de registrerte. Forskriftene til personregisterloven §§ 1-1 og 12 bestemmer at svar på henvendelser om innsyn i personregister i henhold til § 7 i loven skal gis snarest mulig og senest innen én måned. For innsyn i hvilke opplysningstyper som er tatt inn i offentlige registre, skal svar skje umiddelbart (forskriften § 1-3). De to førstnevnte bestemmelsen tilsvarer stort sett det som gjelder for offentlig forvaltning, se forvaltningsloven § 11a. Dersom henvendelsen begrunner tidkrevende undersøkelser, vil det her være tilstrekkelig at det foreløpige svaret foreligger innen fristen. Melding om utlevering av kredittopplysninger om privatpersoner til den omspurte skal sendes samtidig med avgivelsen av kredittopplysningen (personregisterloven § 19).
11.6.1.2 EF-direktivet
Innsyn etter direktivet artikkel 12 skal skje uden større ventetid. I artikkel 11 er det bestemt at melding til den registrerte skal sendes ved registreringen af oplysningerne, eller senest når oplysningerne første gang videregives til tredjemand. For øvrig er det i direktivet ikke fastsatt nærmere bestemmelser om frister for hvor raskt de registrerte skal motta svar på henvendelser og meldinger fra de behandlingsansvarlige for øvrig.
11.6.1.3 Utvalgets vurderinger
Utvalget mener det er av stor betydning for effektiviteten av de individuelle garantiene at de behandlingsansvarlige reagerer raskt på henvendelser fra de registrerte, og for øvrig utfører sine plikter overfor de registrerte uten unødige forsinkelser. Selv om den totale arbeidsbelastning kan gjøre det vanskelig å prioritere slike oppgaver, er det grunn til å vente at de behandlingsansvarlige vil etablere rutiner for effektivt innsyn m v. Dette vil gjøre det lettere å etterleve slike forpliktelser.
Utvalget vil foreslå at det gis regler om frister i en rekke situasjoner der den behandlingsansvarlige skal bidra til realisering av individuelle garantier etter loven. Det bør imidlertid presiseres at det er tilstrekkelig å gi et midlertidig svar dersom forholdene tilsier en lengre svartid enn én måned.
11.6.2 Kostnader knyttet til de registrertes rettigheter
11.6.2.1 Gjeldende rett
Praktiseringen av slike individuelle garantier som er behandlet i dette kapittelet innebærer kostnader for de behandlingsansvarlige, f eks i form av arbeid med å gi innsyn, ta utskrifter av opplysninger m v. Også de registrerte vil imidlertid ha kostnader på lignende måte, både i form av arbeid og utlegg.
Det er ikke gitt noen generell bestemmelse om adgang til å ta seg betalt for innsyn m v etter personregisterloven. Derfor må det kreves spesiell hjemmel for at slik betaling kan være lovlig. En slik hjemmel finnes i personregisterloven § 20 annet ledd for skriftlige meldinger til de registrerte fra kredittopplysningsselskaper med opplysninger om hvilke kredittopplysninger om de registrerte som selskapet har.
11.6.2.2 EF-direktivet
EF-direktivet inneholder enkelte spredte bestemmelser om de registrertes betalingsforpliktelser i samband med praktisering av innsyn m v. I artikkel 12 heter det at innsyn skal kunne skje uden større udgifter. Innsigelsesretten etter artikkel 14 bokstav b (markedsføring) skal skje uden utgifter. I tilknytning til de øvrige bestemmelser som gir anvisning på individuelle personverngarantier er det ikke fastsatt noe om hvilken betaling som kan kreves.
11.6.2.3 Utvalgets vurderinger
Personvernet vil neppe være tjent med ordninger som påfører de behandlingsansvarlige store ekstrautgifter. Utvalget har derfor gjennomgående lagt vekt på å skape rasjonelle ordninger som ikke går lenger enn det som er godt saklig begrunnet. Dermed vil en i utgangspunktet også redusere de behandlingsansvarliges behov for å kreve godtgjørelse for å gi innsyn m v. Betaling for å benytte seg av individuelle garantier (innsynsrett m v) er lite ønskelig av flere grunner. For det første innebærer betaling en ny terskel som kommer i tillegg til terskelen å overhode tørre, orke eller ta seg tid til å benytte seg av sin rett etter loven. For det andre kan betaling innebære en forskjell mellom de som kan ta seg råd og de som ikke kan ta seg råd til å benytte sin rett. Å ta betaling kan på denne måten brukes som et virkemiddel for den behandlingsansvarlige til å holde folk unna, og unngå flest mulig forespørsler om innsyn m v.
På denne bakgrunn mener utvalget at det klare utgangspunktet må være at all praktisering av de individuelle personverngarantiene i utgangspunktet ikke skal koste den registrerte noe. Innsyn må i utgangspunktet være en driftsutgift for den behandlingsansvarlige. Samtidig medgir utvalget at det kan oppstå situasjoner der praktiseringen av rettigheter etter loven kan bli så omfattende og tidkrevende at det kan oppstå uakseptable belastninger for enkelte behandlingsansvarlige. Utvalget mener derfor det er grunn til å åpne opp for at det i forskrift kan gis regler om betaling i slike spesielle tilfelle.
12 Regulering og kontroll
12.1 Oversikt
Lovregler som gir uttrykk for hvordan personopplysninger kan brukes (materielle regler) gir ikke i seg selv gode nok garantier for at bruk av personopplysninger skjer på en tilstrekkelig forsvarlig måte. I en del tilfeller er det derfor nødvendig å supplere lovens generelle regler med andre styringsmekanismer, som f eks krav om tillatelse for behandling av personopplysninger og hjemmel for kontrollordninger. I tillegg er det veldig viktig med gode opplysningstiltak og effektiv veiledning om hvilke regler som gjelder.
Problemstillingene knyttet til valg av regulerings- og kontrollordninger har forbindelseslinjer til flere andre temaer i denne utredningen. Stillingen til organet som skal stå for regulering og kontroll i praksis, Datatilsynet, behandles i kapittel 18, mens de administrative og økonomiske konsekvensene av de regulerings- og kontrollordningene utvalget foreslår fremgår av kapittel 20. Enkelte materielle regler omtales i dette kapittelet (se 12.5.7), se forøvrig kapittel 11.
Kapittel 12 er bygget opp slik at det først gis en redegjørelse for gjeldende rett (12.2) og internasjonale regler (12.3), og deretter følger utvalgets vurderinger i 12.5.
12.2 Gjeldende rett
12.2.1 Personregisterlovens konsesjonsordning
12.2.1.1 Hovedregel – konsesjonsplikt
Loven etablerer en konsesjonsordning for etablering av personregistre. Konsesjonsplikten er regulert i § 9. Det kreves samtykke fra Kongen (konsesjon) for opprettelse av alle personregistre som skal gjøre bruk av edb. I tillegg kreves konsesjon for opprettelse av manuelle personregistre som inneholder sensitive opplysninger. Øvrige personregistre (manuelle registre uten sensitive personopplysninger) er ikke konsesjonspliktig, men er regulert av de alminnelige reglene i personregisterloven. Hva som er sensitive opplysninger i lovens forstand fremgår av § 9 første ledd nr 1-5. Det dreier seg om opplysninger om rase, politisk eller religiøs oppfatning, kriminalitet, helse, seksuelle forhold eller opplysninger om enkelte familieforhold.
Konsesjonsmyndigheten er delegert til Datatilsynet ved kgl res av 21 desember 1979.
Når Datatilsynet gir konsesjon for opprettelse av personregistre skal det også fastsettes vilkår etter § 11. Vilkårene skal bestemme hvilke typer opplysninger registeret kan inneholde, og hva registeret kan brukes til. Det kan også settes andre vilkår som har betydning for bruken av registeret eller som kan begrense de ulempene opprettelsen og bruken av registeret ellers kunne medføre.
Konsesjonsspørsmålet avgjøres ved en interesseavveining. Personverninteresser veies opp mot interessene bak opprettelsen av registeret. Personregisterloven § 10 sier at det skal vurderes om opprettelse og bruk av personregisteret kan volde problemer for den enkelte som ikke kan løses tilfredsstillende ved regler etter § 11. Dersom slike problemer kan oppstå, må det overveies om de blir oppveid av hensyn som taler for at registeret blir opprettet. Dette gir Datatilsynet en meget vid skjønnsmyndighet.
På grunn av den mengden personregistre som opprettes og den omfattende konsesjonsplikten personregisterloven i dag fastsetter har Datatilsynet på mange områder utarbeidet typekonsesjoner. Disse trer i stedet for individuelt utarbeidede konsesjoner i det enkelte tilfellet. Noen eksempler på områder hvor det er gitt standardkonsesjoner er:
Virksomhetskonsesjon – adresserings- og distribusjonsvirksomhet
Virksomhetskonsesjon – databehandlingsvirksomhet
Virksomhetskonsesjon – kredittopplysningsvirksomhet
Virksomhetskonsesjon – adresserings- og distribusjonsvirksomhet
Klientregistre under lov om sosiale tjenester
Reisebyråets kunderegister
Legens pasientregister
Lyd- og billedopptak
Kirkegårdsregister
Barneverntjenestens klientregister
Det finnes også en rekke andre standardkonsesjoner. Innenfor forskning har Datatilsynet utarbeidet rammmekonsesjoner som setter visse generelle vilkår. Mer detaljerte vilkår blir individuelt tilpasset i en tilleggskonsesjon for det enkelte forskningsprosjektet. I praksis har dette fungert som en forskriftsregulering, men konsesjonene har ikke vært behandlet etter reglene for forskrifter i forvaltningsloven kapittel VII.
12.2.1.2 Unntak fra konsesjonsplikten
12.2.1.2.1 Forskriftsregulerte personregistre
For å unngå en rutinemessig konsesjonsbehandling av en stor mengde like registre og registre som er trivielle ut fra et personvernsynspunkt, har en funnet det nødvendig å innsnevre området for konsesjonsplikten i forhold til ordlyden i § 9. I personregisterforskriften kapittel 2 er det derfor gitt en rekke fritak fra konsesjonsplikten etter personregisterloven § 9 annet ledd i kombinasjon med diverse materielle bestemmelser. Også for disse registrene gjelder imidlertid de alminnelige reglene i lovens kapittel 2 og 3. Følgende registre er fritatt fra konsesjonsplikt etter forskriften:
foreningers medlemsregistre (§ 2-2)
kunde-, abonnent- og leverandørregistre (§ 2-3)
kunderegistre i banker og finansinstitusjoner (§ 2-4)
katalogfirmaregistre (§ 2-5)
leietaker- og sameieregistre (§ 2-6)
registre for utsendelse av trykksaker o.l. (salgsstøtteregistre) (§ 2-7)
katalog-, låner- og utlånsregistre (§ 2-8)
advokaters, revisorers og fonds- og eiendomsmegleres klientregistre (§ 2-9)
legers, tannlegers, psykologers og annet godkjent helsepersonells registre (§ 2-10)
aksjeeierregistre (§ 2-11)
personalregistre (§ 2-12)
forlagenes personregistre for utgivelse av leksika (§ 2-13)
dags- og ukepressens personregistre (§ 2-14)
registre over offentlige representanter (§ 2-15)
protokollføring av mekling (§ 2-16)
forskningsregistre (§ 2-17)
domstolenes registre (§ 2-18)
elektronisk arkiv (§ 2-19)
aktivitetslogg i et edb-system eller datanett (§ 2-20)
personregistre som utleveres elektronisk (§ 2-21)
Det er i forskriften gitt nærmere vilkår for konsesjonsfritakene.
12.2.1.2.2 Personregistre opprettet med hjemmel i lov
En rekke personregistre innenfor offentlig forvaltning er opprettet ved egen lov (f eks Strafferegisteret, se nærmere kapittel 15). Slike registre er fritatt for konsesjonsplikt etter personregisterloven § 41. Andre bestemmelser i personregisterloven (f eks om innsyn) vil imidlertid også gjelde for disse registrene så sant ikke avvikende regler er fastsatt i eller i medhold av i hjemmelsloven. Iht § 41 skal det også for disse registrene fastsettes regler etter personregisterloven § 11, i den utstrekning det ikke er fastsatt noe annet i eller i medhold av hjemmelsloven.
12.2.1.2.3 Personregistre unntatt fra lovens anvendelsesområde
Iht kgl res 21 desember 1979 er enkelte personregistre unntatt fra lovens anvendelsesområdet (bøker, tidsskrifter el l som etter personregisterloven § 1 er personregistre eller inneholder personregistre – og som er publisert før lovens ikrafttredelse). Bruken av disse registrene er ikke underlagt lovregulering.
12.2.2 Meldeplikt
Med hjemmel i personregisterloven § 36 tredje ledd er det i forskrift av 21 desember 1979 kapittel 8 gitt nærmere regler om overføring av personopplysninger til utlandet. Forskriften § 8-1 første ledd erstatter den plikt til å innhente samtykke som oppstilles i personregisterloven § 36 med en meldeplikt. Forskriften gir Datatilsynet hjemmel til å nekte eller sette vilkår for overføringen, jf første ledd tredje punktum.
Overføringen skal meldes til Datatilsynet på fastsatt skjema i god tid før overføringen finner sted, jf forskriften § 8-1 første ledd annet punktum. Hva som kan antas å ligge i begrepet i god tid kan variere fra sak til sak, men hovedsynspunktet må være at Datatilsynet skal ha rimelig tid til å sette seg inn i saken slik at overføringen eventuelt kan nektes eller det kan knyttes vilkår til overføringen. Det antas imidlertid ikke å foreligge noen plikt for den meldingspliktige til å avvente noen aksept fra Datatilsynet (jf Eva I E Jarbekk; Personvern og overføring av personopplysninger til utlandet, Complex 4/96, TANO, Oslo 1996). Når Datatilsynet trenger ekstra tid for å behandle en melding, kan imidlertid tilsynet kreve at overføringen utsettes mens saken behandles. I slike tilfeller foreligger det en plikt til å avvente Datatilsynets avgjørelse.
Det er fastsatt unntak fra meldeplikten når Norge har plikt til å foreta slik overføring etter folkerettslig overenskomst eller som følge av medlemsskap i internasjonal organisasjon, jf § 8-1 annet ledd.
12.2.3 Materielle regler
Gjennom personregisterlovens konsesjonssystem er Datatilsynet tildelt omfattende myndighet mht å avgjøre hvilke opplysninger et personregister kan inneholde og hva registeret kan brukes til m v (personregisterloven § 11). Loven har imidlertid også enkelte materielle regler. Med materielle regler menes regler som direkte gir uttrykk for hvordan personopplysninger kan eller ikke kan brukes; f eks §§ 6 og 17. Først og fremst er imidlertid slike bestemmelser gitt i forskrifter til loven (f eks forskrift av 21 desember 1979 som fritar enkelte typer personregistre fra konsesjonsplikt under visse gitte vilkår). Bestemmelsene omtales ikke nærmere her.
12.2.4 Rådgivning
I personregisterloven § 3 annet ledd heter det i nr 2 at Datatilsynet skal gi råd og rettleiing om spørsmål om personvern og datasikring til dem som planlegger å opprette personregistre, og i samme paragraf nr 4 plikter Datatilsynet etter henvendelse eller av eget tiltak gi uttalelse i spørsmål om bruk av personregistre eller generelle spørsmål som gjelder bruk av personopplysninger.
12.2.5 Annen kontroll
Personregisterloven § 5 gir Datatilsynet vid hjemmel til å gjennomføre ulike kontrolltiltak. I motsetning til konsesjon, som er en forhåndsgodkjenning, er meningen med kontroll etter § 5 å undersøke om lovens bestemmelser og vedtak i medhold av denne faktisk blir fulgt. Datatilsynet kan kreve tilgang til opplysninger uhindret av regler om taushetsplikt, og kan kreve adgang til steder der personregistre, billedopptak (jf loven kapittel 9 a) og tekniske hjelpemidler finnes. Personalet på stedet har bistandsplikt overfor Datatilsynets medarbeidere. Datatilsynets kompetanse er mindre vidtgående enn den kompetanse som tilkommer politi- og påtalemyndighet etter straffeprosesslovens regler om tvangsmidler. Tilsynet kan for eksempel ikke ta beslag i dokumenter eller registre. Datatilsynet kan heller ikke selv foreta sletting (men det kan gis pålegg om sletting etter § 8, som deretter eventuelt kan følges opp med anmeldelse dersom pålegget ikke etterkommes).
12.3 Internasjonale regler
12.3.1 Europarådskonvensjonen
Konvensjonen artikkel 4 nr 1 fastslår at det skal treffes tiltak for å gjennomføre hovedprinsippene for datavern i konvensjonen kapittel II. Videre følger det av artikkel 10 at partene plikter å innføre hensiktsmessige kontrollordninger for brudd på hovedprinsippene for datavern i konvensjonen kapittel II. Endelig krever artikkel 6 at spesielle kategorier av personopplysninger bare kan behandles dersom lovgivningen gir tilstrekkelig vern.
Vurderingen av hva som er hensiktsmessig kontroll og tilstrekkelig vern er overlatt til det enkelte land.
12.3.2 EF-direktivet
12.3.2.1 Hovedregel – meldeplikt
Artiklene 18 og 19 gjelder meldeplikten til tilsynsmyndigheten. Her etablerer direktivet en tilsynsordning hvor hovedregelen er meldeplikt til tilsynsmyndigheten for all elektronisk behandling av personopplysninger. Manuell behandling omfattes ikke av meldeplikten. Iht artikkel 18 nr 5 kan imidlertid medlemsstatene bestemme at også enkelte eller alle manuelle behandlinger skal være underlagt meldeplikt eller en forenklet form for meldeplikt. Direktivet åpner for at medlemsstatene kan gjøre en rekke unntak fra dette utgangspunktet i artikkel 18 nr 2, 3 og 4 (forenklet eller ingen meldeplikt). Direktivet pålegger videre en strengere kontroll (konsesjonsplikt) for visse behandlinger i artikkel 20.
Artikkel 19 bestemmer hvilke opplysninger som minst skal gis til tilsynsmyndigheten (se avsnitt 12.5.4.3). Det er opp til medlemsstatene å gi regler om hvordan endringer i de innmeldte opplysningene skal meldes, jf artikkel 19 nr 2.
12.3.2.2 Unntak fra meldepliktsordningen
12.3.2.2.1 Forenklet meldeplikt eller ingen meldeplikt
Artikkel 18 nr 2 gir medlemsstatene adgang til å bestemme at behandlinger hvor det ikke er sannsynlig at de registrertes rettigheter eller friheter krenkes, kun underlegges en forenklet meldeplikt, eller fritas helt fra meldeplikten. Slik forenklet eller fritakelse fra meldeplikt forutsetter at medlemsstatene fastsetter bestemmelser om behandlingens formål, hvilke opplysninger eller typer opplysninger som behandles, hvilke registrerte eller kategorier av registrerte det er snakk om, hvem opplysningene kan videregis til, samt hvor lenge opplysningene kan oppbevares.
Alternativt (eventuelt i tillegg) kan medlemsstatene utpeke en person (f eks en dataombudsmann) som får i oppgave å sikre at de registrertes rettigheter og friheter ikke krenkes som følge av behandlingen. Denne personen skal bl a ha til oppgave å kontrollere at den nasjonale lovgivningen som er gitt i medhold av direktivet følges opp, samt å føre et register over de behandlinger som gjøres av den registeransvarlige. Registeret skal inneholde opplysninger som angitt i artikkel 21 nr 2.
Medlemsstatene kan videre, iht artikkel 18 nr 3, bestemme at meldeplikten ikke skal gjelde for behandlinger som har som formål å føre et register som i henhold til lov eller administrative bestemmelser skal være offentlig tilgjengelig generelt eller for personer som kan godtgjøre å ha en slik legitim interesse. Dette vil for eksempel omfatte Løsøreregisteret og Elektronisk grunnbok. Disse registrene omfattes i dag av konsesjonsfritaket i personregisterloven § 41. Fritaket etter § 41 er imidlertid videre enn etter direktivet fordi det ikke oppstilles noe krav om at opplysningene i registeret skal være offentlig tilgjengelig.
Endelig kan det etter direktivet gjøres unntak fra meldeplikten for den typen behandlinger som er omhandlet i artikkel 8 nr 2 litra d) (intern behandling av sensitive opplysninger i en stiftelse, forening eller annet allmennyttig organ), jf artikkel 18 nr 4.
12.3.2.2.2 Konsesjonsplikt eller lovregulering
Medlemsstatene pålegges å sikre at det skal være adgang til å kontrollere behandling av personopplysninger som potensielt innebærer særlig risiko for enkeltpersoners rettigheter før behandlingen settes i verk (dvs en konsesjonsordning), jf artikkel 20. Det er opp til medlemslandene å fastsette hvilke behandlinger som antas å innebære en slik særlig risiko.
Den forutgående kontrollen foretas av tilsynsmyndigheten etter mottatt melding fra den behandlingsansvarlige, eller den foretas av den personen som i virksomheten er utpekt til å ha ansvaret for personvernet (en type persondataombud). Vedkommende skal i tvilstilfelle høre tilsynsmyndigheten.
Kontrollen kan også bestå i at de aktuelle typer behandlinger reguleres i nasjonal lovgivning, jf artikkel 20 nr 3.
12.4 Føyenutredningen
Spørsmålet om reguleringsformer ble sist vurdert i 1987 i forbindelse med regjeringens og Stortingets behandling av Føyenutredningen.
Et hovedspørsmål i Føyenutredningen var hvilken reguleringsform man burde bygge på i framtiden. Føyen mente at det beste alternativet for regulering av bruk av personopplysninger var det som var lovfestet i personregisterloven, men at en slik ordning forutsatte en vesentlig økning av Datatilsynets bemanning. Hvis dette ikke skjedde, mente Føyen at man burde gå bort fra konsesjonsbehandlingen for personregistre og i stedet ha flere materielle normer i loven. Datatilsynet burde i så fall gjøres til et organ med flere ombudsliknende oppgaver og en viss myndighet til å gi forbud og påbud.
Under høringsrunden gikk mange instanser inn for å beholde konsesjonsordningen. Det ble bl a pekt på at konsesjonsordningen sikrer en grundig forhåndsvurdering av registrene, at den gir impulser til kritisk vurdering av bruken av personopplysninger og at publikum får tillit til registerførerne (jf Ot prp nr 34 (1986-87) s 11 – 12). De av høringsinstansene som gikk inn for en innsnevring av eller avskaffelse av konsesjonsordningen, begrunnet dette med at det ville være en forenkling. Under høringen kom det for øvrig frem motforestillinger mot det alternative forslag som Føyen la fram, og som i stor grad bygde på flere materielle bestemmelser i loven. Hovedargumentet var at slike regler lett ville bli for vage og generelle, samtidig som de ikke ville passe for alle typer virksomheter.
Justisdepartementet kom til at man ikke burde foreslå å gå bort fra konsesjonsordningen for personregistre. Det ble lagt vekt på konsesjonsordningens fordeler, og på at Datatilsynet selv ønsket å beholde en konsesjonsordning uavhengig av om personalressursene ble økt. Endelig ble det vektlagt at større endringer i reguleringsformen ville medføre atskillig merarbeid, og at dette tilsa varsomhet med å foreta større endringer så lenge det var usikkert om den nye ordningen ville innebære en bedring (jf Ot prp nr 34 (1986-87) s 13 – 14).
I Stortinget var Justiskomiteen enig i at konsesjonsordningen burde opprettholdes. Komiteen pekte bl a på at konsesjonsordningen bidrar til god kommunikasjon mellom de registeransvarlige og Datatilsynet, og at Datatilsynet bedre er i stand til å følge den tekniske og administrative utviklingen på nært hold (jf Innst O nr 64 for 1986-87 s 3 – 4).
12.5 Utvalgets vurderinger
12.5.1 Overordnete hensyn og målsettinger
Selv om EF-direktivet og andre internasjonale regler legger visse føringer på hvordan reguleringen av behandling av personopplysninger skal skje (se ovenfor), er det enkelte land gitt betydelig frihet til selv å treffe rettspolitiske valg om hvilke reguleringsteknikker som bør benyttes, og til å bestemme det nærmere forholdet mellom disse. Utvalget vil her kort peke på visse overordnede hensyn og målsettinger ved utformingen av regulerings- og kontrollsystemet. Den nærmere avveiningen av disse hensynene knyttes til en vurdering av de ulike regulerings- og kontrollmetodene, se nedenfor 12.5.2 – 12.5.9.
Ett gitt utgangspunkt er å ivareta de ulike personverninteressene (jf 3.3 og 3.4) på en god måte. Ønsket om å realisere denne målsettingen kan imidlertid ikke ses isolert – også andre hensyn må tas i betraktning. Denne avveiningen må først og fremst skje i utformingen av lovens materielle regler, men har også en side til valget av reguleringsmetoder. Utvalget har sett det særlig viktig å utforme reguleringen slik at den skaper tillit. Tillit er viktig i tre relasjoner. For det første er det viktig at borgerne har tillit til at behandling av personopplysninger skjer på en forsvarlig måte. Det er derfor svært viktig med tillit mellom den registrerte og den behandlingsansvarlige. Tillit er også viktig i forholdet mellom de registrerte og tilsynsorganet, samt i forholdet mellom tilsynsorganet og de det føres tilsyn med. For å unngå unødig polarisering og sikre tilsynsorganets legitimitet ser utvalget det som formålstjenlig at kontroll og annen myndighetsutøvelse suppleres med rådgivning og andre former for veiledning. Endelig er det viktig at reguleringen og kontrollen er effektiv og ikke fremstår som unødig omfattende.
12.5.2 Behov for bredt spekter av virkemidler
Personregisterloven gjør i dag bruk av flere reguleringsformer, ved at den kombinerer en omfattende konsesjonsplikt med materielle normer, rådgivning og etterfølgende kontroll (se nærmere ovenfor 12.2 om gjeldende rett). Utvalget foreslår at man også i fremtiden benytter flere ulike reguleringsmåter. Konsesjonspliktordningen foreslås videreført, men blir mindre omfattende enn i dag (se 12.5.5) og avløst av en rekke tiltak som bl a er fundert på en meldeplikt (12.5.4) i kombinasjon med mer vidtrekkende tilsynsoppgaver fra Datatilsynet. Utvalget foreslår dessuten at Datatilsynet som i dag skal ha rett og plikt til å gi råd til dem som planlegger å behandle eller allerede behandler personopplysninger, samt til å gjennomføre etterfølgende kontroller (12.5.6). Også materielle regler bør stå sentralt i reguleringen, og utvalget foreslår at denne reguleringsformen benyttes i større grad enn i dagens lov (12.5.7). Det vil dessuten som i dag være behov for regulering i forskrift (12.5.3). Videre foreslås regler om internkontroll (12.5.8), og endelig har utvalget vurdert bransjevise atferdsnormer (dvs retningslinjer vedrørende personvern som er utarbeidet av de behandlingsansvarlige selv), se 12.5.9.
Utvalget vil understreke behovet for å se de ulike typene reguleringsformer i sammenheng. Det er ikke slik at meldeplikten er ment å erstatte dagens konsesjonsplikt. Men det er utvalgets syn at innføringen av en meldeplikt sammen med frigjorte ressurser til tilsynsmyndighetens rådgivnings- og kontrollvirksomhet, samt innføringen av mer detaljerte materielle regler som direkte gir uttrykk for hvordan personopplysninger kan eller ikke kan brukes tilsammen vil sikre et godt personvern for den registrerte, og vil minske behovet for en så omfattende konsesjonsplikt som loven har i dag. Utvalget antar at antalletkonsesjoner/meldinger etter den nye loven ikke vil bli mer omfattende enn dagens konsesjonsordning, mens den totale arbeidsbelastningen for tilsynet i tilknytning til konsesjons- og meldeplikt vil bli vesentlig redusert, se kapittel 20.
12.5.3 Kort om forholdet mellom lov og forskrift
Utvalget har lagt stor vekt på at en ny lov i større grad enn personregisterloven skal gjenspeile den reelle reguleringen av personopplysninger. En så generell lov som lovforslaget legger opp til må likevel suppleres av forskrifter slik at reguleringen sett under ett tilfredsstiller krav til nyanser og presiseringer, og lovforslaget inneholder en rekke forskriftshjemler. Enkelte av forskriftene må foreligge allerede når loven trer i kraft, mens andre kan utarbeides dersom det viser seg å være behov for dem.
Det er viktig at forskriftene til enhver tid er mest mulig oppdaterte. Det kan på denne bakgrunn være hensiktsmessig å vurdere om Kongens forskriftskompetanse på enkelte områder bør delegeres til Datatilsynet (for eksempel forskrift om internkontroll og utforming av meldeskjemaet). I vurderingen må det legges vekt på at forskriftsverket er det styringsverktøyet regjeringen har når Datatilsynet blir faglig uavhengig regjeringen og departementet.
12.5.4 Meldeplikt
12.5.4.1 Meldeplikt som virkemiddel
Meldeplikt kjennetegnes ved at den som ønsker å sette i gang en viss form for behandling av personopplysninger, må orientere tilsynsorganet før behandlingen iverksettes. Meldeplikten åpner for at tilsynsmyndigheten (på bakgrunn av meldingen) kan gripe inn og treffe vedtak eller på annen måte kommunisere med den som melder fra, men ordningen forutsetter ikke noen obligatorisk oppfølging av meldingen. Hvor langt tilsynsmyndigheten vil gå i å behandle meldingene, må langt på vei avgjøres av tilsynsmyndigheten selv. Et annet kjennetegn ved meldeplikten er at behandlingen som utgangspunkt kan sette igang uten at det foreligger noen tillatelse på forhånd. Et eventuelt vedtak fra tilsynsmyndigheten om at behandlingen krever konsesjon eller på annen måte er ulovlig, vil som regel bli fattet først etter at behandlingen har pågått i noen tid.
I motsetning til EF-direktivet, der meldeplikt er hovedregelen (artikkel 18), er meldeplikt i dag kun benyttet i ett tilfelle i personregisterloven, se ovenfor 12.2.2 om meldeplikt ved overføring av personopplysninger til utlandet. Vi har derfor i Norge svært begrenset erfaring med bruk av meldeplikt. Erfaringer fra andre land er delte. Det første gjelder også for erfaringer med meldepliktordninger på andre samfunnsområder, som f eks innen plan- og bygningsretten og konkurranseretten. En vurdering av fordeler og ulemper med en meldepliktsordning på det foreliggende saksfeltet må derfor nødvendigvis tuftes på et mindre fundert grunnlag enn vurderingen av konsesjonsplikten ovenfor.
For det første synes på det rene at en meldeplikt vil binde opp atskillig mindre arbeidskapasitet hos Datatilsynet enn en konsesjonsordning. Den frigjorte arbeidskapasiteten kan i stedet benyttes til krevende konsesjonssaker eller til andre reguleringsmåter som for eksempel rådgivning. Ettersom det i mindre grad vil finne sted en oppfølging av den enkelte melding, kan også saksbehandlingsrutinene gjøres mer fleksible enn i dag. Meldingene vil videre etterhvert utgjøre et betydelig erfaringsmateriale, blant annet fordi ny teknologi kan gjøre det mulig å behandle meldinger atskillig mer kostnads- og formålseffektivt enn tidligere.
Samtidig er det klart at meldeplikt har sine klare begrensninger som tiltak. Erfaringene fra meldeplikten i prisloven viser at et system med en omfattende meldeplikt lett kan bli svært tungvint og legge betydelige kostnader på såvel de meldepliktige som på meldingsmottakerne (jf NOU 1991: 27 s 166 flg). Behandlingen eller gjennomgåelsen av meldingene må videre jevnt over bli atskillig mer overfladisk enn en behandlingen av en søknad om konsesjon. Hvis det viser seg at behandlingen var konsesjonspliktig, og ikke bare meldepliktig, kan det dessuten ha oppstått økonomisk tap eller annen og mindre reparerbar skade før tilsynsmyndigheten rekker å gripe inn. Slik er det imidlertid også i dag med registre som det feilaktig ikke søkes om konsesjon for. I tillegg kan det være fare for at den meldepliktige regner manglende reaksjon fra tilsynsorganet som en godkjenning av behandlingen, selv om den manglende oppfølgningen skyldes helt andre årsaker, for eksempel manglende ressurser eller prioritering av andre oppgaver. Denne faren kan imidlertid formentlig i stor grad ryddes av veien gjennom informasjon, f eks på meldeskjemaene.
12.5.4.2 Hvilke behandlingstyper bør være meldepliktige?
EF-direktivet trekker opp rammer for hvilke typer behandlinger som skal være undergitt meldeplikt. Det enkelte land gis imidlertid relativt store muligheter for å tilpasse meldeplikten til nasjonale forhold, se ovenfor under 12.3.2.
Et meldepliktsystem må hvile på de to grunnleggende forutsetningene om at; 1) meldingene skal være nyttige for formålet å fremme personvern og 2) utgiftene knyttet til meldesystemet skal stå i forhold til denne nytten. Utvalget har lagt stor vekt på å unngå at meldeplikten blir utformet slik at den oppfattes som et rituale uten innhold. Det ville være uheldig dersom kvaliteten på opplysningene generelt ble dårlig, og ordningen må derfor legges opp slik at det finnes rutiner for oppdatering av meldingene.
Etter utvalgets syn bør meldeplikten fylle følgende funksjoner:
Etablere en kontakt mellom Datatilsynet og den behandlingsansvarlige
Gi grunnlag for å formidle regelinformasjon til de meldepliktige og bidra til å høyne bevissthetsnivået om personvernspørsmål hos disse
De samlede meldingene skal utgjøre en vesentlig del av Datatilsynets kunnskapsbasis for tilsynets prioritering av arbeidsoppgaver, særlig i relasjon til kontroll, veiledning og regelverk
Sikre offentlighet med hensyn til de behandlinger som foretas, se kapittel 11.2.2.
Ved vurderingen av hvilke behandlinger som bør være meldepliktige, har utvalget tatt det samme utgangspunktet som EF-direktivet; meldeplikt for all elektronisk behandling av personopplysninger. I tillegg foreslår utvalget at opprettelse av manuelle sensitive personregistre blir meldepliktig. Det betyr at meldeplikten i utgangspunktet erstatter alle de konsesjonspliktige behandlingene etter dagens lov. På grunn av at registerbegrepet er fjernet som hovedbegrep, blir virkeområdet i utgangspunktet noe videre enn dagens konsesjonsordning. Ettersom målsettingen er at konsesjonsplikten sammen med meldeplikten ikke skal være mer omfattende enn dagens konsesjonsordning, er det behov for å gjøre visse unntak fra utgangspunktet om meldeplikt for all elektronisk behandling. Et eksempel på innsnevringen er behandling av personopplysninger i forbindelse med bruk av vanlig tekstbehandlingsutstyr som heller ikke etter den nye loven bør være omfattet av meldeplikt eller konsesjonsplikt.
Det er i dag i forskrift fastsatt en rekke unntak fra konsesjonsplikten, og utvalget antar at flere av disse unntakene bør videreføres (som unntak fra meldeplikten) i forskrifter til den nye loven (f eks opprettelse av medlemsregistre, enkle former for kunderegistre mv). Behovet for forskriftsregulering av slike typer behandlinger må imidlertid antas å bli langt mindre etter den nye loven i og med at behandlingene vil være underlagt mer detaljerte regler i loven. Utvalget forutsetter at det blir økt bruk av bransjevise atferdsnormer, og at behandlingene vil være underlagt regler om internkontroll. Det forutsettes også at Datatilsynet vil få mer ressurser til å drive aktivt tilsyn med de som behandler personopplysninger.
12.5.4.3 Innholdet i meldingen
EF-direktivet fastsetter i artikkel 19, bokstavene a) til f) at følgende opplysningselementer skal innhentes fra de meldepliktige:
Navn og adresse på behandlingsansvarlige og eventuelt dennes representant
Behandlingens formål
En beskrivelse av kategorier av registrerte personer og opplysningstyper
Hvem opplysninger videregis til
Planlagt overførsel av opplysninger til tredjeland
En beskrivelse av behandlingssikkerheten
Direktivet forutsetter at det blir etablert rutiner for oppdatering av disse opplysningstypene. Et virkemiddel for å sikre kvalitet og oppdaterte opplysninger vil være å gjøre meldingen tidsbegrenset, slik at ny melding må sendes etter en viss tid.
Meldinger med et slikt innhold vil imidlertid ikke uten videre være av særlig verdi for Datatilsynet. Forutsetningen for at meldingene skal bli nyttige, er særlig at opplysningene gir grunnlag for å prioritere innsatsen innen rettsinformasjon, veiledning og kontroll. Det er derfor viktig at meldingene gir en beskrivelse av de viktigste indikatorer for personverntrusler (for eksempel om grunnlaget for behandlingen, måten opplysningene blir hentet inn på, om det benyttes lukket eller åpent system, om det eksisterer faste rutiner for ivaretakelsen av den enkeltes rett til innsyn, retting, sletting og supplering mv). Det er også viktig at det på meldingene gis til en viss grad formaliserte opplysninger slik at det er mulig å skille ut kategorier av behandlinger. Utvalget antar på denne bakgrunn at det vil være nødvendig å supplere og detaljere de opplysninger som er regnet opp i direktivet, se merknadene til lovforslaget § 32.
12.5.4.4 Behandlingen av meldingene
Et problem med dagens omfattende konsesjonsordning er at det binder mye arbeidskapasitet hos Datatilsynet. Overgangen til et system med meldeplikt i kombinasjon med en mer begrenset konsesjonsordning bør derfor samlet sett føre til en klart redusert arbeidsmengde for Datatilsynet sammenlignet med dagens konsesjonssystem. En slik omlegging med mindre pliktmessig saksbehandlingsarbeid, vil legge forholdene til rette for langt mer omfattende tilsyns- og veiledningsvirksomhet enn i dag. Dette forutsetter at meldepliktordningen legges opp slik at behandlingen av meldingene blir vesentlig mindre arbeidskrevende enn dagens behandling av konsesjonssøknader. Den største forskjellen mellom konsesjonsplikt og meldeplikt vil for den behandlingsansvarlige være at man ved en meldeplikt ikke behøver å avvente et samtykke fra Datatilsynet. Den som har sendt meldingen kan likevel motta en kvittering for at meldingen er mottatt, men kvitteringen innebærer ikke noen stillingtagen til innholdet i meldingen. Den behandlingsansvarlige har selv risikoen for at virksomheten er lovlig. Se forøvrig avsnitt 20.3.2 hvor det administrative opplegget for en meldepliktsordning er nærmere skissert.
12.5.5 Konsesjonsplikt
12.5.5.1 Konsesjonsplikt som reguleringsform
Ved at det kreves en tillatelse før behandlingen av personopplysninger kan finne sted, sikres man for det første – i motsetning til kontroll ved eget tiltak – at saken presenteres for tilsynsmyndigheten. For det andre kan konsesjonsbehandling føre til en grundig individuell vurdering av om konsesjon skal gis eller ikke. Dette avhenger av i hvilken grad konsesjonsbehandlingen er standardisert, og vil som regel forutsette at konsesjonsplikten ikke er for omfattende (jf dagens ordning med omfattende konsesjonsplikt og relativt utbredt bruk av rammekonsesjoner). Ettersom vurderingen av behandlingen skjer før behandlingen finner sted, hindres det at det oppstår skade eller andre uheldige virkninger som senere må repareres. Dette vil være kostnadsbesparende. Ved at det kan stilles vilkår i konsesjonen, gis også tilsynsmyndigheten mulighet til en fleksibel og smidig regulering. Datatilsynet har dessuten gjennom en årrekke ervervet betydelig erfaring om bruk av konsesjoner, og det er hensiktsmessig at disse erfaringene kommer til nytte også i tiden fremover.
På den annen side kan en konsesjonsordning være forbundet med klare ulemper. For det første kan ordningen binde opp arbeidskapasitet, slik at det blir for få ressurser til andre reguleringsformer, som for eksempel rådgivning og annen kontroll. For det andre tar konsesjonsbehandling relativt lang tid, noe som kan virke frustrerende for søkerne og fremstå som unødig omstendelig. Dette kan få uheldige samfunnsmessige konsekvenser.
Utvalget foreslår på denne bakgrunnen at konsesjon kun benyttes der hensynet til personvernet gjør det sterkt ønskelig med en grundig forhåndsvurdering av personvernkonsekvensene av en planlagt behandling. En slik løsning er i tråd med EF-direktivet artikkel 20 (se ovenfor 12.3.2). Den nedre grensen for hvilke behandlinger som skal undergis konsesjonsplikt vil samtidig utgjøre den øvre grensen for meldeplikt.
12.5.5.2 Hvilke behandlingstyper bør undergis konsesjonsplikt?
12.5.5.2.1 Innledning
Utvalget mener at det kun er de behandlinger som typisk kan forventes å representere en særlig stor trussel for personvernet som bør undergis konsesjonsplikt, jf også EF-direktivet artikkel 20 nr 1 ( særlig risiko).
Etter dagens regler er opprettelse av personregistre alltid konsesjonspliktig dersom det brukes elektroniske hjelpemidler. Med den teknologiske utviklingen som har funnet sted de siste årene, er dette etter utvalgets syn en lite hensiktsmessig regel. En rekke personregistre som enten ikke er eller i svært liten grad kan sies å være en fare for personvernet, er underlagt konsesjonsplikt. Eksempler på slike registre er ulike foreningers medlemsregistre, aksjeeierregistre og leietaker- og sameieregistre. Disse er i utgangspunktet konsesjonspliktige, men er alle fritatt fra konsesjonsplikt i henhold til forskrifter til personregisterloven. Det er imidlertid også en rekke elektroniske registre som ikke er egnet for typeregulering i forskrift (f eks fordi antallet er lite), men hvor konsesjonsplikt åpenbart er en lite hensiktsmessig og unødig ressurskrevende reguleringsform. Eksempler på slike registre er septiktankregisteret, laksefiskere i sjø i Nordland og leverandørregisteret for slakt. Utvalget ser det som hensiktsmessig dersom konsesjonsplikten kan avgrenses mer presist slik at behovet for forskrifter som unntar fra konsesjonsplikt blir mindre.
Ved vurderingen av når det er behov for en særskilt grundig regulering (hvilket EF-direktivet ikke tar stilling til), har utvalget på denne bakgrunn sett hen til særlig to forhold: 1) hvilke typer opplysninger som behandles og 2) hva opplysningene skal brukes til. Utvalget foreslår for øvrig at man viderefører dagens ordning med at Kongen kan unnta visse former for behandling av personopplysninger fra konsesjonsplikt.
12.5.5.2.2 Skillet mellom manuell og elektronisk behandling
Etter utvalgets syn bør elektroniske og manuelle behandlinger som hovedregel likestilles. Det vil si at i den grad kriteriene nedenfor tilsier at behandlingene bør være konsesjonspliktig, gjelder dette uavhengig av om behandlingen skjer elektronisk eller manuelt (såfremt de opplysningene som inngår i den manuelle behandlingen inngår eller skal inngå i et personregister). Riktignok gir manuelle registre i utgangspunktet ikke den samme muligheten for effektiv utlevering og gjenbruk av opplysninger som de elektronisk lagrede opplysningene, og slike registre har tradisjonelt derfor ikke vært ansett for å representere den samme faren for personvernet. Med dagens muligheter til effektivt å scanne inn manuelt lagrede opplysninger blir det imidlertid liten forskjell mellom de to lagringsformene. Utvalget antar at det avgjørende bør være personopplysningenes innhold og hva de brukes til – uavhengig av hvilken teknologi som benyttes. En slik løsning forhindrer også en adgang til omgåelse av konsesjonsplikten ved å velge manuell registrering fremfor elektronisk.
12.5.5.2.3 Personopplysningenes innhold
I likhet med dagens ordning mener utvalget at det kan være behov for særskilt betryggende regulering av behandling av personopplysninger som kan karakteriseres som sensitive, jf personregisterloven § 9 annet ledd nr 1-5. Direktivet forutsetter også en særskilt regulering av behandling av sensitive opplysninger. Det er imidlertid ikke gitt at behandling av sensitive opplysninger i seg selv alltid skal utløse konsesjonsplikt, slik regelen er i dag for manuelle registre. Dette forholdet må ses i sammenheng med hva formålet med behandlingen er – dvs hva opplysningene skal brukes til, se nærmere om dette nedenfor og videre i merknadene til § 33.
12.5.5.2.4 Hva skal opplysningene brukes til?
Det forekommer at behandlingen av personopplysninger munner ut i en avgjørelse som er av så stor betydning for den det gjelder at det er særlig viktig å sikre at opplysningene behandles på en forsvarlig måte (se avsnitt 3.3.4 om det beslutningsfokuserte personvernet). Slike hensyn har begrunnet særskilte rettssikkerhetsgarantier på andre områder, jf for eksempel forvaltningslovens saksbehandlingskrav når det skal treffes enkeltvedtak (se forvaltningsloven §§ 2, 3 og kapittel IV – VI).
Utvalget foreslår på denne bakgrunn at behandling av sensitive personopplysninger som kan munne ut i en avgjørelse som er bestemmende for bestemte personers rettigheter eller plikter, skal være konsesjonspliktig. Alle øvrige behandlinger vil i utgangspunktet være meldepliktig dersom de skjer ved hjelp av elektroniske systemer. Det samme gjelder for manuell behandling av sensitive personopplysninger som inngår eller skal inngå i et personregister.
Utvalget har forøvrig vurdert hvorvidt bruk av personopplysninger til et annet formål enn det opplysningene opprinnelig var innsamlet for, kan være et egnet kriterie for grensedragningen mellom meldepliktige og konsesjonspliktige behandlinger. Utvalget har kommet til at dette ikke ville være hensiktsmessig. I stedet foreslår utvalget en ny bestemmelse som begrenser adgangen til å anvende personopplysninger til andre formål enn de som opprinnelig og uttrykkelig var angitt som formål, se merknadene til lovforslaget § 8. Dersom det på et senere tidspunkt er aktuelt å bruke opplysningene til et annet formål utløser dette ny meldeplikt. Dersom det nye formålet er konsesjonspliktig, oppstår det en plikt til å søke ny konsesjon.
12.5.5.3 Særskilt om forskning
12.5.5.3.1 Oversikt
Mange forskningsprosjekter forutsetter opprettelse av personregistre og faller derfor inn under personregisterlovens område. Datatilsynet behandler årlig en rekke søknader i forbindelse med slike prosjekter. Interessen i gode forskningsresultater kan av og til komme i konflikt med grunnleggende personverninteresser (se for eksempel NOU 1993:22 Pseudonyme helseregistrekapittel 5 som beskriver grunnleggende interesser og verdier ved opprettelse og bruk av helseregistre).
Nedenfor beskrives først dagens ordning (12.5.5.3.2), deretter gis en kort oversikt over hvilke hovedproblemstillinger som reises ved igangsettelse av forskningsprosjekter (12.5.5.3.3), før det til slutt redegjøres nærmere for utvalgets forslag under avsnitt 12.5.5.3.4.
12.5.5.3.2 Dagens ordning
For å ivareta kontakten mellom forskere og Datatilsynet har Norges forskningsråd opprettet Datafaglig sekretariat. Sekretariatet er lagt til Norsk samfunnsvitenskapelig datatjeneste (NSD). Sekretariatet gir informasjon og veiledning og fungerer som et kontaktledd mellom
forskningsinstitusjoner/enkeltforskere og Datatilsynet. Datatilsynet har gitt rammekonsesjoner til Norges forskningsråd, medlemmene av Universitetsrådet og distriktshøgskolene. I følge rammekonsesjonene skal søknad om konsesjon for hvert enkelt forskningsregister sendes til Datatilsynet via Datafaglig sekretariat.
Forskere og studenter som oppretter konsesjonspliktige personregistre må fylle ut et meldeskjema som fås ved henvendelse til Datafaglig sekretariat. Datafaglig sekretariat vurderer, på grunnlag av opplysningene i meldeskjemaet, om forslag til innsamling, tilrettelegging, publisering og oppbevaring av persondata tilfredsstiller de krav til personvern som er nedfelt i personregisterloven og den gitte rammekonsesjonen. Sekretariatet skriver sin innstilling/prosjektvurdering som oversendes Datatilsynet for endelig godkjenning. Etter hva utvalget har fått opplyst er det ytterst sjelden at Datatilsynet nekter konsesjon til et forskningsprosjekt som er godkjent av Datafaglig sekretariat.
Når et prosjekt er avsluttet, vil det ofte være ønskelig å oppbevare opplysningene i personidentifiserbar form, for eksempel i påvente av en oppfølgingsundersøkelse. I følge vilkårene for rammekonsesjonene, kan personopplysningene arkiveres ved en godkjent arkivinstitusjon. Norsk samfunnsvitenskapelig datatjeneste er godkjent av Datatilsynet som arkivinstitusjon for persondata. Dersom en forsker ønsker å arkivere opplysningene i personidentifiserbar form, må saken legges frem for Rådet for persondataarkivering. Rådet for persondataarkivering er oppnevnt av Norges forskningsråd i henhold til rammekonsesjonene. Rådet er ledet av en jurist og består av representanter fra ulike fagområder. Datatilsynet møter som observatør. Datafaglig sekretariat utfører sekretærfunksjonen for Rådet.
Rådet skal sikre at den interesse som knytter seg til det aktuelle forskningsprosjektet blir veid mot personverninteressene. Rådet skal også ta standpunkt til eventuell gjenbruk av personopplysninger. Rådets anbefaling oversendes Datatilsynet som har endelig beslutningsmyndighet i arkiverings- og gjenbrukssaker.
Datatilsynet har ikke kompetanse til å dispensere fra taushetsplikten. Dersom opplysningene som ønskes brukt i et forskningsprosjekt er taushetsbelagte, kan imidlertid departementet på visse vilkår bestemme at et forvaltningsorgan kan eller skal gi opplysninger til bruk for forskning uavhengig av organets taushetsplikt etter § 13, jf forvaltningsloven § 13 d. Søknad om dispensasjon fra taushetsplikten skal som hovedregel sendes det fagdepartement som forvaltningsorganet er underlagt. Når det gjelder helseopplysninger, er imidlertid dispensasjonsadgangen delegert til Statens helsetilsyn.
Forvaltningsloven § 13 e inneholde bestemmelser om forskeres taushetsplikt.
Det er også etablert forskningsetiske komiteer for henholdsvis medisinsk forskning (Nasjonal etisk komité for medisin; NEM) og samfunnsfag og humaniora (Nasjonal etisk komité for samfunnsfag og humaniora; NESH). Komiteene skal veilede og gi råd om forskningsetiske spørsmål, og forskerne skal gi innberetning til komiteene før de starter et forskningsprosjekt. Datatilsynet samarbeider også med de forskningsetiske komiteene, men samarbeidet er ikke formalisert på samme måte som med Datafaglig sekretariat.
12.5.5.3.3 Noen hovedproblemstillinger ved igangsettelse av forskningsprosjekter
Generelt sett finnes det to hovedtyper forskningsprosjekter; prosjekter som forutsetter aktiv deltagelse fra personer og prosjekter som baserer seg på registerforskning. Ulike problemstillinger reises ved disse to hovedtypene forskningsprosjekter.
Ved registerforskning vil en aktuell problemstilling ofte være spørsmål om kobling (samkjøring) av to eller flere registre. Datatilsynet kan gi tillatelse til slike koblinger. Normalt vil en slik tillatelse bli gitt med strenge vilkår om sikkerhet, tidsfrister med mer. Datatilsynet krever vanligvis ikke samtykke fra de registrerte i slike sammenhenger.
I prosjekter hvor det skal være direkte kontakt med personer reises ulike spørsmål knyttet til samtykkeproblematikk. Det kan være uenighet om hva et samtykke bør inneholde og hvordan en samtykkeerklæring bør utformes. Datafaglig sekretariat har utarbeidet en standard taushets- og samtykkeerklæring som er godkjent av Datatilsynet.
12.5.5.3.4 Utvalgets vurderinger
I henhold til kriteriene for konsesjonsplikt angitt ovenfor vil de fleste forskningsprosjekter som innebærer behandling av personopplysninger være meldepliktige (og ikke konsesjonspliktige som i dag). Dette gjelder selv om det forskes på sensitive opplysninger. Ulike forskningsprosjekter reiser imidlertid ofte vanskelige personvernmessige avveininger som bør foretas av andre enn forskeren selv. Datatilsynet vil også for disse persondatabehandlingene ha kompetanse til å gi ulike pålegg som skal sikre personvernet, men dette vil som for de øvrige meldepliktige behandlingene først skje ved en vurdering av prosjektet i etterkant. I noen tilfeller kan det være behov for en vurdering av prosjektet også før det igangsettes fordi avveiningen bl a kan gå på om det skal stilles krav til samtykke fra de personer det skal forskes på og eventuelt hvilke krav det skal stilles til samtykkeerklæringen. I og med at forskningen selv har etablert rutiner for at slik forhåndsvurdering skjer (i Datafaglig sekretariat, Nasjonal etisk komité for samfunnsfag og humaniora og Nasjonal etisk komité for medisin), reises ikke det samme behovet for at Datatilsynet i tillegg vurderer de samme spørsmålene. Det er imidlertid svært viktig at Datatilsynet har jevnlig kontakt med disse miljøene og gir råd og veiledning om hvilke krav som bør stilles av hensyn til personvernet. Tilsynet har dessuten kompetanse til å stoppe prosjekter som ikke skjer i samsvar med loven, eller kan knytte vilkår til gjennomføringen av slike prosjekter slik at de på denne måten blir i samsvar med loven.
12.5.5.4 Særskilt om offentlige registre opprettet med hjemmel i lov
Personregisterloven § 41 unntar fra konsesjonsplikt personregistre i organ for stat eller kommune som er opprettet ved egen lov. Begrunnelsen er at når det i lov er bestemt at det skal opprettes et personregister, har Stortinget tatt stilling til spørsmålet, og det er ikke behov for tillatelse fra Datatilsynet i tillegg. Unntaket medfører at en rekke registre ikke krever konsesjon, som for eksempel folkeregisteret og strafferegisteret. Paragraf 41 reiser spørsmål om hvor klar lovhjemmelen må være for at bestemmelsen skal få anvendelse, jf kommentarutgaven til personregisterloven side 91:
«Det er viktig å være oppmerksom på at det ikke er tilstrekkelig at en særlov hjemler en opplysningsplikt, eller en form for saksbehandling, som innebærer at opprettelse av registre er nødvendig. Det skal eksplisitt framgå at det skal eller kan føres et register, men det stilles ikke krav om at det skal være angitt opplysningstyper eller klart definert formål.»
Utvalget foreslår at registrene som nevnt i § 41 ikke undergis noen særregulering i den nye loven. Konsesjon- eller meldeplikt (evenuelt forenklet meldeplikt, se merknadene til § 31) vil gi Datatilsynet den ønskelige oversikt over hvilke behandlinger som foretas innen offentlig forvaltning, slik at de kan utøve sin kontroll også her. Dette kan dessuten bidra til å høyne bevissthetsnivået om personvernspørsmål hos den meldepliktige ved at man må vurdere og redegjøre for den hjemmelen man har til å registrere personopplysninger. Videre etableres det en kontakt mellom den registeransvarlige og Datatilsynet og man sikrer offentlighet med hensyn til de personregistrene som opprettes med hjemmel i lov.
Utvalget understreker at konsesjonsvurderingen som regel er mer enn et ja eller et nei, og peker på viktigheten av at også de forvaltningsorganene som ikke behøver konsesjon er i god dialog med Datatilsynet om hvilke løsninger som best fremmer personvernet, samtidig som de oppfyller andre krav til brukervennlighet og effektivitet m v.
12.5.5.5 Vurderingen av om konsesjon bør gis
Bruken av konsesjon reiser ikke bare spørsmål om når det skal være konsesjonsplikt, men også om hva som skal til for at konsesjon skal gis. Som det fremgår av 12.2.1, avgjøres konsesjonsspørsmålet i dag etter en avveining av personverninteresser mot de interesser som begrunner opprettelsen av registeret (jf personregisterloven § 10). Dette gir Datatilsynet en meget vid skjønnsmyndighet.
Det kan imidlertid stilles spørsmålstegn ved om det er formålstjenlig i større grad å klargjøre i lov eller forskrift når søkeren har krav på konsesjon. Stor grad av skjønnsfrihet gir best mulighet til å finne frem til konkret rimelige og riktige avgjørelser, samtidig som forutberegnelighet og likhetshensyn tilsier at avgjørelsesgrunnlaget i størst mulig grad fremgår av lov eller forskrift.
Utvalget vil først understreke at Datatilsynet ikke står fullt så fritt som loven i dag indikerer. For det første vil Datatilsynets egen praksis legge visse føringer på fremtidige avgjørelser, jf forvaltningsprinsippet om lik behandling av like saker. Dernest vil avgjørelser som treffes i klagesaker, og ikke minst de synspunkter som kommer til uttrykk i forbindelse med Stortingsbehandlingen av årsmeldingene, danne retningslinjer for Datatilsynets fremtidige avgjørelser. Spørsmålet blir så om det likevel er grunn til å presisere nærmere i lov eller forskrift når konsesjon kan gis.
Som det fremgår ovenfor foreslår utvalget at konsesjonsordningen skal reserveres for de tilfelle der vanskelige avveininger er påkrevet. Dette innebærer for det første at færre virksomheter enn tidligere må søke konsesjon, hvilket igjen betyr at færre enn tidligere har behov for å bedømme på forhånd hvor stor sjansen er for å få konsesjon. Utvalget finner imidlertid ikke at dette taler for å unnlate å gi mer presise regler for når konsesjon skal tildeles – selv om antallet avgjørelser blir færre, vil det ofte være av stor betydning for de berørte rettssubjektene å kunne forutberegne sin rettsstilling så godt som mulig. Justeringen av området for konsesjonsplikt har imidlertid en annen og mer relevant konsekvens. Ettersom konsesjon i henhold til utvalgets forslag skal reserveres for tvilsomme og særlig viktige tilfellene, vil avgjørelsen av om konsesjon skal tildeles jevnt over by på vanskeligere og mer kompliserte avgjørelser enn i dag. Dette gjør det meget vanskelig å utforme tilfredsstillende detaljerte generelle regler for hvordan konsesjonsspørsmålet skal bedømmes. Utvalget foreslår at bestemmelsen i personregisterloven § 10 videreføres slik at vurderingen av om konsesjon skal gis fortsatt baseres på en bred interesseavveining.
12.5.6 Rådgivning og kontroll
Utvalget foreslår at dagens regler om rådgivning og kontroll videreføres i den nye loven. Som følge av at mindre ressurser vil benyttes til konsesjonsbehandling, kan disse oppgavene vies enda større oppmerksomhet enn i dag, jf kapittel 20 nedenfor. Dessuten foreslår utvalget regler om internkontroll som også vil lette Datatilsynets kontrollvirksomhet, se 12.5.8.
I og med at utvalget legger opp til en økt kontrollvirksomhet fra Datatilsynets side, kan det stilles spørsmål ved om dette nødvendiggjør granskingsregler utover hva som er fastsatt i forvaltningsloven § 15 for å ivareta rettssikkerheten til dem som blir utsatt for kontroll. Slike regler kan eventuelt fastsettes i forskrift.
12.5.7 Materielle regler
12.5.7.1 Innledning
Med materielle regler menes som tidligere nevnt lovbestemmelser eller forskrifter som direkte gir uttrykk for hvordan personopplysninger kan eller ikke kan brukes. Materielle regler vil også i tiden fremover være et sentralt virkemiddel for å regulere behandling av personopplysninger.
Utvalget foreslår at man i større grad lovfester materielle regler for hvordan behandling av personopplysninger bør skje. Eksempler på slike regler er at behandling av personopplysninger skal være saklig begrunnet, at personopplysninger innsamlet til ett formål ikke uten videre skal benyttes til et annet og at personopplysninger skal slettes når det ikke lenger er saklig grunn for oppbevaring.
12.5.7.2 Begrunnelse for innføring av flere materielle regler
Det er en fare for at materielle regler på personvernlovgivningens område kan bli for vage og generelle, og at det kan være vanskelig å finne regler som passer for alle typer virksomheter, jf 12.4 ovenfor om høringsinstansenes syn på forslagene i Føyenutredningen.
Utvalget har likevel kommet til at loven bør ha flere materielle regler. Begrunnelsen for dette er flerdelt. Dels kan materielle regler være nyttige hjelpemidler ved fortolkningen av lovens øvrige bestemmelser og dels kan de i større grad enn detaljfokuserte regler påvirke holdninger blant regelbrukerne. I tillegg er det etter utvalgets syn hensiktsmessig å på denne måten synliggjøre internasjonale retningslinjer (som for eksempel FNs og OECDs retningslinjer, se kapittel 9) som ikke på annen måte eksplisitt nedfeller seg i loven. Datatilsynets erfaring gjennom bruk av konsesjoner kan dessuten på denne måten komme til nytte ved at tidligere konsesjonsvilkår i noen grad kan nedfelles i materielle regler i loven.
Enkelte slike bestemmelser vil måtte utformes såvidt skjønnsmessig at overtredelse ikke egner seg for straffeforfølgning, se nærmere kapittel 19 nedenfor. Datatilsynet gis imidlertid kompetanse til å gi pålegg om at behandling i strid med disse reglene skal opphøre eller stille vilkår for at behandlingen kan fortsette.
I tillegg til disse mer skjønnsmessige reglene foreslår utvalget flere nye bestemmelser som også mer direkte gir uttrykk for hvordan personopplysninger kan eller ikke kan brukes. Disse er ment som vanlige pliktregler hvor brudd på bestemmelsene vil være straffesanksjonert (f eks informasjonsplikt ved innsamling av personopplysninger m v).
12.5.7.3 Noen nye materielle regler
I det følgende gis noen eksempler på noen nye materielle regler som utvalget foreslår. Forøvrig vises det til kapittel 11 og 21 hvor flere materielle regler omtales.
12.5.7.3.1 Anvendelse av personopplysninger til et annet formål enn det opprinnelige
Sett fra et personvernsynspunkt er det viktig at behandling av personopplysninger skjer ut fra et definert formål. Jo mer sensitive opplysningene er, og jo mer kvalifisert bruken av opplysningene skal være, desto viktigere er en klar avgrensning av formålet. Når den hvis opplysningene gjelder kjenner formålet, kan vedkommende bistå med korrekte opplysninger i den konkrete sammenhengen og lettere hevde sin interesse i personvern (for eksempel kreve opplysninger rettet eller slettet). Det er dessuten først når man kjenner formålet med behandlingen at det er mulig å vurdere hvilke opplysninger som er relevante (jf relevanskravet i personregisterloven § 6 første ledd som utvalget foreslår videreføres til den nye loven).
Det vil ofte være et ønske fra behandlingsansvarlige eller andre å anvende personopplysninger til andre formål enn det de opprinnelig er innsamlet for. Ettersom det registreres stadig flere opplysninger, vil presset mot å bruke disse opplysningene også øke. I teorien har det vært forsøkt å forankre personvernet i ett enkelt overordnet synspunkt; ingen personopplysning må brukes til andre formål enn de som den er innhentet for. Etter utvalgets syn er dette åpenbart en standard som vanskelig vil holde når en kommer til den praktiske anvendelse. Den offentlige administrasjon kan vanskelig funksjonere etter allment godkjente prinsipper uten at det gis tilgang også på personopplysninger den enkelte helst så ble holdt skjult. Det kan også tenkes situasjoner hvor det er i den enkeltes interesse at opplysningene utleveres og brukes. I praksis vil man ofte ha behov for en konkret, individuell vurdering. Etter utvalgets syn bør det fastsettes noen rammer for denne vurderingen slik at fordelene med den nye behandlingen må være klart større enn ulempene som den volder for den enkelte og at den nye behandlingen ikke kan være uforenlig med det opprinnelige formålet, se lovforslaget § 8.
12.5.7.3.2 Behandling av sensitive personopplysninger
Det er grunn til å vise ekstra varsomhet ved behandling av sensitive personopplysninger. Etter personregisterloven § 6 annet ledd kan slike opplysninger ikke registreres uten at det er nødvendig (loven har en uttømmende oppregning av hvilke opplysninger dette gjelder). Etter utvalgets syn bør det fortsatt være begrensninger på bruk av sensitive personopplysninger. Loven bør imidlertid regulere adgangen til å benytte sensitive opplysninger mer uttrykkelig enn i dag. Dette vil bedre forutberegneligheten for de behandlingsansvarlige. En slik regulering kan dessuten bidra til å skape og spre holdninger om at det skal vises ekstra varsomhet ved behandling av visse typer opplysninger. Lovforslaget § 9 lister opp 9 ulike situasjoner hvor behandling av sensitive opplysninger er tillatt, se merknadene til § 9 hvor det redegjøres nærmere for disse situasjonene. I tillegg kan Datatilsynet etter annet ledd bestemme at sensitive personopplysninger også i andre tilfeller kan behandles dersom viktige samfunnsinteresser tilsier det og det settes i verk tiltak for å sikre de registrertes interesser.
12.5.7.3.3 Bruk av fødselsnummer
Fødselsnummer har vært i bruk siden 1964. Fødselsnummeret gir en stor grad av sikkerhet for at personer ikke forveksles. Det er av betydning for en effektiv saksbehandling som bygger på korrekte personopplysninger. På den annen side er fødselsnummeret en nøkkel til de personopplysninger som er samlet i et register, og det er en enkel nøkkel til kobling /samkjøring av opplysninger fra forskjellige registre.
Hovedbegrunnelsen for å innføre fødselsnummeret var et ønske om en enkel og entydig identifikasjon for å lette samordning/sammenstilling og utveksling av informasjon om enkeltpersoner når dette var nødvendig eller ønskelig ut fra oppgavene institusjonen/bedriften var pålagt.
I debatten om fødselsnummer så langt har det vært en betydelig sammenblanding av begrepene identifikasjon og legitimasjon. Med identifikasjon menes at fødselsnummeret på en relativt entydig måte peker ut en bestemt person. Dette er den funksjonen fødselsnummer primært bør ha. I visse sammenhenger har imidlertid fødselsnummeret blitt sett på som legitimasjon, dvs sannsynliggjøring av at en enkeltperson er den han utgir seg for å være. Fødselsnummer er imidlertid ikke egnet til å tillegges slike legitimasjonsvirkninger, noe som blant annet har ført til en rekke brudd på taushetsplikt fordi taushetsbelagte opplysninger er blitt gitt ut når et fødselsnummer er blitt oppgitt. Dersom det innskjerpes at fødselsnummer skal tjene som identifikasjon og ikke legitimasjon, kan personvernet være tjent med at fødselsnummer brukes i større utstrekning og i tilfeller der andre teknikker gir for usikker identifikasjon. Dette er bakgrunnen for utvalgets forslag om bruk av fødselsnummer, jf lovforslaget § 10.
12.5.8 Internkontroll
For å understreke den enkelte behandlingsansvarliges ansvar for å følge personvernreglene i lov og forskrift ved behandling av personopplysninger, foreslår utvalget at det innføres regler om internkontroll. Etter utvalgets syn vil et slikt system sannsynligvis bidra til å bevisstgjøre de behandlingsansvarlige (de må dokumentere hvilke tiltak som gjennomføres) mht de reglene som gjelder for behandling av personopplysninger. Det vil dessuten gjøre det enklere for Datatilsynet å sile ut de virksomhetene som bør utsettes for ytterligere kontroll, og man vil på den måten oppnå mer effektiv kontroll ved bruk av mindre ressurser.
Den tradisjonelle tilsynsformen som kun går ut på at tilsynsmyndigheten oppsøker en virksomhet og foretar kontroll av om regelverket respekteres, har visse svakheter. Det er meget ressurskrevende for myndigheten å kontrollere alle typer virksomheter. Det kan dessuten være vanskelig å avdekke en del type feil og mangler under en enkeltinspeksjon, og kontrollen kan ofte ha beskjeden forebyggende effekt fordi den bare sier noe om situasjonen der og da og i liten grad bidrar til en bredere forståelse av området.
Med bakgrunn i slike erfaringer er det både i Norge og internasjonalt skjedd en utvikling der det i stadig større grad legges vekt på at virksomhetene selv skal kunne dokumentere at det er etablert systemer som gir tilstrekkelig sikkerhet for at myndighetenes regelverk respekteres (internkontroll). Internkontroll vil med andre ord innebære at både offentlige og private virksomheter har plikt til å påse at ulike typer krav som Datatilsynet retter mot virksomheten overholdes. Krav om internkontrollsystem innebærer at virksomhetene må etablere systematiske tiltak for å påse at kravene fra denne myndigheten overholdes og at virksomheten må kunne dokumentere at slike systematiske tiltak er etablert og følges.
Ved enkelte andre tilsynsformer kan det oppstå uklarhet i ansvarsforholdet mellom myndighet og virksomhet, for eksempel slik at Datatilsynets kontroll tas som en garanti for at alt er i orden. Ved internkontroll understrekes imidlertid at ansvaret for å følge vedkommende lov eller forskrift er plassert hos virksomhetene uavhengig av den kontroll tilsynet utfører.
EF-direktivet artikkel 19 nr 2, jf artikkel 21 nr 3 krever at det etableres en viss form for internkontroll for de behandlingene som ikke er underlagt meldeplikt. Direktivet bestemmer at det skal utpekes en person i virksomheten som skal ha ansvar for å påse at lover og regler på området følges, og vedkommende skal føre et register over de behandlinger som skjer. Registeret skal inneholde de samme opplysningene (med ett unntak) som direktivet krever skal fremgå av meldingen for de meldepliktige behandlingene. Opplysningene skal være offentlig tilgjengelig. Utvalget foreslår på bakgrunn av dette at det innføres krav om internkontroll for virksomheter og enkeltpersoner som behandler personopplysninger. Det bør i forskrift fastsettes nærmere regler om hvilke krav som stilles til den dokumentasjonen som skal finnes i virksomheten. Utvalget vil understreke at dette ikke på noen måte er ment å erstatte den kontrollvirksomheten Datatilsynet på eget initiativ skal utføre.
12.5.9 Bransjevise atferdsnormer
12.5.9.1 EF-direktivet artikkel 27
EF-direktivet artikkel 27 åpner for at det kan utformes bransjevise atferdsnormer (jf også fortalen nr 61):
«1. Medlemsstaterne og Kommissionen tilskynder til udarbejdelsen af atfærdskodekser, der afhængigt af de særlige forhold i de forskellige sektorer skal bidrage til en korrekt anvendelse af de nationale bestemmelser, medlemsstaterne vedtager til gennemførelse av dette direktiv.
2. Medlemsstaterne fastsætter bestemmelser om, at de brancheforeninger eller andre organer, som ræpresenterer andre kategorier af registeransvarlige, som har utarbejdet udkast til nationale atfærdskodekser, eller som agter at ændre eller forlænge gældende nationale kodekser, skal kunne forelægge dem for den nationale myndighed til udtalelse.
Medlemsstaterne fastsætter bestemmelser om, at denne myndighed bl. a skal kontrollere, at de udkast, den får forelagt, er i overensstemmelse med de nationale bestemmelser, der vedtages til gennemførelse av dette direktiv. Hvis myndigheten finder det hænsiktsmæssigt, kan den indhente bemærkninger fra de registrerede eller disses repræsentanter.
3. Udkast til EF-kodeks og forslag til ændring eller forlængelse af eksisterende EF-kodekser kan forelægges den i artikel 29 omhandlede gruppe. Denne udtaler sig bl. a. om, hvorvidt de udkast, den har fått forelagt, er i overensstemmelse med de nationale bestemmelser til gennemførelse af dette direktiv. Hvis den finder det nødvendigt, indhænter den bemærkninger fra de registrerede eller disses ræpresentanter. Kommisionen kan tilse, at de kodekser, som gruppen har godkent, offentliggøres på passende vis.»
Som det fremgår av artikkel 27, mener man med atfærdskodekser bransjevise atferdsnormer for behandling av personopplysninger. Normene utformes av andre enn myndighetene, f eks av bransjerepresentanter eller de behandlingsansvarlige selv. For å sikre at normene er forenlige med lover og forskrifter, skal det være mulig å forelegge forslagene til bransjenormer for Datatilsynet til vurdering.
Direktivet medfører ikke noen rettslig forpliktelse til å sørge for at det utarbeides bransjevise atferdsnormer, og vi står i Norge fritt til å avgjøre om slike normer bør tas i bruk. Bruk av atferdsnormer anbefales i OECDs retningslinjer, og er nevnt i en rekke av Europarådets rekommandasjoner.
12.5.9.2 Bør bransjevise atferdsnormer tas i bruk i Norge?
Utvalget vil først presisere at atferdsnormer ikke er noe entydig begrep. Normene kan utformes på en rekke ulike måter, og gis forskjellig rettslig status. Utvalget vil for sin del presiserer begrepet slik at det dreier seg om retningslinjer som virksomheter eller bransjerepresentanter selv utarbeider på frivillig basis. Retningslinjene sidestilles ikke med lover, forskrifter eller annen myndighetsutøvelse, og overtredelse resulterer ikke i sanksjoner fra myndighetenes side. Atferdsnormene kan sies å være et internt reglement.
Erfaring fra andre land som f eks Nederland, Storbritannia og New Zealand viser at utarbeidelsen av atferdsnormer har mange positive sider. En slik form for selvregulering kan vekke fornyet interesse og føre til større forståelse for personvern blant dem som behandler personopplysninger. Dette kan igjen underbygge legitimiteten til lovgivningen på området, og føre til mer frivillig kontakt og mindre polarisering mellom tilsynsmyndigheten og de det føres tilsyn med. Dessuten viser erfaringer fra andre rettsområder at normer som bygger på frivillighet og enighet kan være et nyttig supplement til formelle lover og forskrifter. Et eksempel på dette er varetakelse av forbrukerinteresser ved at Forbrukerombudet i samarbeid med bransjerepresentanter har forhandlet frem avtalevilkår for ulike tjenester.
Fordelen med slike retningslinjer fra bedriftenes side er at de kan avklare tvil, og bidra til klar og rasjonell håndtering av spørsmål som behandlingen av personopplysninger reiser. Atferdsnormene kan utformes mye mer detaljert, nyansert og smidig enn det er mulig å gjøre i en generell lov eller forskrift.
Som argument mot innføring av atferdsnormer kan anføres at ikke alle vil føle seg forpliktet til å følge normene og at det kan være vanskelig for bransjen å kontrollere at de blir fulgt. Dette er imidlertid problemer som i alle fall i noen grad også må sies å gjelde for lovfestede regler. Uansett kan man anta at det vil bli sett på som et konkurransefortrinn dersom man følger de fastsatte normene (ved at publikum foretrekker dem som følger atferdsnormene), og dette kan påvirke flere til å følge dem.
En annen ulempe med å innføre atferdsnormer kan være at det oppstår tvil om uklarhet med hensyn til hvilken rettslig status atferdsnormene har. Det kan også være fare for at retningslinjene kan stride mot lov eller forskrifter. Slike problemer kan imidlertid langt på vei unngås ved tilstrekkelig informasjon fra og dialog med Datatilsynet, og utvalget ser ikke disse argumentene som avgjørende innvendinger mot bruk av atferdsnormer.
I utarbeidelsen av atferdsnormene kan det blant annet bygges på ulike internasjonale retningslinjer. I Canada har således ulike handelsorganisasjoner og private virksomheter laget egne retningslinjer blant annet på grunnlag av OECDs retningslinjer (se 9.5.12).
13 Særlige regler for visse virksomheter
13.1 Gjeldende rett
13.1.1 Innledning
Det er fire virksomhetstyper som er underlagt særskilt regulering etter personregisterloven; kredittopplysningsvirksomhet, databehandlingsvirksomhet for andre, adresserings- og distribusjonsvirksomhet og markeds- og opinionsundersøkelser. Det er fastsatt regler om den enkelte virksomhetstype i loven kapittel 5, 6, 7 og 8. Personregisterlovens alminnelige regler gjelder imidlertid for de registrene som føres innenfor de forskjellige virksomhetene. For eksempel når det gjelder kredittopplysningsvirksomhet, må foretaket ha konsesjon etter § 14 for å drive slik virksomhet, samt konsesjon etter § 9 til å føre elektronisk personregister.
Reglene om de særlige virksomhetene kom inn i loven etter forslag fra Sandvik-utvalget (NOU 1974:22 Persondata og personvern). Bakgrunnen for oppnevningen av utvalget var at de muligheter elektronisk databehandling skaper for utvidet innsamling og bruk av persondata, ville kunne reise nye problemer..., se NOU 1974:22, side 6. Sandvik-utvalget foreslo flere generelle regler om innsamling og bruk av personopplysninger, men foreslo også særlige regler for visse virksomheter hvor dette hensynet gjorde seg spesielt gjeldende.
13.1.2 Kredittopplysningsvirksomhet
Virksomhet som driver kredittopplysning er underlagt reglene i loven kapittel 5. Inntil personregisterloven trådte i kraft i 1980, var det ingen særskilt regulering av denne virksomheten. Personregisterloven § 13 definerer kredittopplysningsvirksomhet til å være virksomhet som består i å gi meddelelser som belyser kredittverdighet eller økonomisk vederheftighet (kredittopplysning). Det er gjort visse unntak fra dette utgangspunktet.
I Sverige er det gitt en egen kredittopplysningslov, som håndheves av Datainspektionen sammen med dataloven og inkassoloven. I Danmark er kredittopplysningsvirksomhet regulert av loven om private registre.
Personregisterloven § 14 fastslår konsesjonsplikt for å drive denne type virksomhet. Det er også fastsatt visse rettigheter og plikter i materielle regler i loven (f eks bestemmelsen om gjenpartsplikt i § 19) og dessuten gitt adgang til å fastsette vilkår i forskrifter og enkeltvedtak. Den vesentlige delen av reguleringen følger av vilkårene i konsesjonene fra Datatilsynet. Her fastsettes bestemmelser om hvilke opplysninger som kan registreres, om sletting av eldre opplysninger og om tillatt bruk av de innsamlede opplysningene.
Etter § 21 kan Kongen (Justisdepartementet, jf kgl res av 21 desember 1979) bestemme at regler av samme karakter skal anvendes også på annen personopplysningsvirksomhet. Det er ikke gitt noen slik forskrift.
13.1.3 Databehandlingsvirksomhet
Databehandlingsvirksomhet er regulert i loven kapittel 6. Etter § 22 må virksomhet som består i å bearbeide personopplysninger for andre ved elektroniske hjelpemidler, ikke settes i gang uten konsesjon. Som begrunnelse for innføring av særskilte regler for denne typen virksomhet anfører Sandvik-utvalget bl a på side 39:
«Det er utviklingen av moderne datateknikk som i særlig grad har gitt støtet til at integritetsvernet ved personopplysninger har blitt tatt opp til utredning. Men i vidt omfang er i dag situasjonen at brukerne av persondata ikke selv forestår selve den automatiserte databehandling, men at denne settes bort til særlige foretak, 'datasentraler', som disponerer den datatekniske ekspertise og det nødvendige databehandlingsutstyr. Og det er ikke minst i disse foretak en står overfor muligheten for krenkelser av personintegriteten ved kopling og sammenkjøring av data fra flere forskjellige kilder.»
I tillegg til en regel om konsesjonsplikt er det noen materielle regler om behandlingen av opplysningene hos databehandlingsforetaket. Opplysningene må ikke brukes til andre formål enn det oppdraget gjelder, og kan heller ikke utleveres til andre uten at dette er avtalt med registereier. Datatilsynet kan etter § 24 sette vilkår om sikringstiltak som skal gjennomføres.
13.1.4 Adresserings- og distribusjonsvirksomhet
Kapittel 7 gir bestemmelser om adresserings- og distribusjonsvirksomhet. Det er virksomhet som består i å selge eller på annen måte tilby adresser for grupper av personer, eller i å utføre oppdrag for utsending av reklame og andre meddelelser til slike grupper, jf personregisterloven § 25. De fleste virksomheter driver med begge typer virksomhet. Til nå er det gitt ca 100 konsesjoner for adresserings- og distribusjonsvirksomhet.
Virksomheten kan ikke settes i gang uten konsesjon, jf § 25 første ledd. Det er i loven og i personregisterforskriften gitt enkelte materielle regler for virksomheten, men også på dette området følger den vesentlige delen av reguleringen av vilkårene i konsesjonene fra Datatilsynet.
Opplysningene i adresseringsforetakenes registre hentes fra mange forskjellige kilder. Det finnes en rekke offentlig tilgjengelige kilder der navn og adresse og kanskje andre opplysninger om enkeltpersoner er tilgjengelig. I tillegg kan foretaket benytte oppdragsgivers egne registre så sant dette ikke strider mot dette registerets formål. For de forskriftsregulerte personregistrene følger dette av personregisterforskriften § 3-1. For eventuelle andre registre vil dette følge av konsesjonsbestemmelsene. En siste mulighet er å drive adressemekling (listbroking). Det innebærer at en registereier stiller sitt register til disposisjon for adresserings- og distribusjonsforetaket som benytter det til utsendelse for en annen. Dette skjer for eksempel ved at et foretak tar kontakt med et A/D-foretak og forespør om det finnes et adresseregister som inneholder den aktuelle målgruppe. A/D-foretaket formidler kontakt til en registereier som eventuelt gir sitt samtykke til at registeret nyttes til utsendelse for den som hadde forespørselen (forutsatt at dette ikke er i strid med formålet). Etter personregisterforskriften § 3-4 tredje ledd (som bl a regulerer utlevering av opplysninger fra kunderegistre), regnes ikke oppbevaring eller behandling av personopplysninger i adresserings- eller distribusjonsforetak som utlevering når dette skjer etter oppdrag fra registerets eier.
13.1.5 Opinions- og markedsundersøkelser
Virksomhet som driver med opinions- og markedsundersøkelser er den siste virksomhetstypen som er underlagt særskilt regulering. Også for denne virksomheten gjelder konsesjonsplikt, jf personregisterloven § 31. Etter loven § 31 omfatter reglene virksomhet som består i å utføre opinions- eller markedsundersøkelser for andre. Etter personregisterforskriften § 7-4 gjelder loven tilsvarende for foretak som i enkeltstående tilfeller påtar seg slike oppdrag som nevnt i loven § 31 første ledd, og for foretak som setter i verk slike undersøkelser for sin egen administrasjon og virksomhet. Det er gjort visse unntak for forvaltningsorganer i forskriften §§ 7-1 og 7-2.
Virksomheten består i å spørre ut et visst antall personer om hva de mener om forskjellige spørsmål, og deretter beregne seg fram til hva hele befolkningen mener om de samme spørsmålene. Dette innebærer en omfattende innsamling av personopplysninger, og foretakene kan dermed ha store registre med personopplysninger. Ofte er imidlertid virksomheten ordnet slik at opplysningene blir anonymisert så fort som mulig etter at de er innhentet.
Loven har, foruten bestemmelsen om konsesjonsplikt, bestemmelser om utlevering, bruk og sletting av personopplysningene.
13.2 Forslag om endringer i dagens regler – mandatets punkt g)
Etter mandatets punkt g) er utvalget bedt særskilt om å vurdere [s]pørsmål om personregisterloven bør gis anvendelse på virksomhet som driver salg, vedlikehold av edb-utstyr og gjennom denne virksomheten får tilgang til personopplysninger, samt informasjonsformidlingsvirksomhet, se Datatilsynets rapport: Databehandlingsvirksomhet – hvor går vi? 26 januar 1994 (ref: 94/190-1).
Datatilsynet forslår i sin rapport at definisjonen av databehandlingsvirksomhet endres slik at loven kapittel 6 får anvendelse på virksomheter som får rådighet over andres personopplysninger. I dag er databehandlingsforetak definert som [v]irksomhet som består i å bearbeide (vår utheving) personopplysninger for andre ved elektroniske hjelpemidler. Det foreslås samtidig å unnta flere av disse virksomhetene fra konsesjonsplikt, men i stedet pålegge taushetsplikt. Det er med andre ord først og fremst diskresjonshensynet som søkes ivaretatt.
Hensikten med en slik lovendring skal være å regulere nye typer virksomheter som på forskjellig måter får tilgang til andres personopplysninger gjennom de tjenestene virksomheten tilbyr. Som et eksempel nevner Datatilsynet informasjonsformidlingsvirksomhet; [det] vil si at selskapene selv ikke er ansvarlig for drift av personregistre for andre, men bare sørger for sammenstilling av informasjon fra flere forskjellige registre for kunden som etterspør opplysninger, jf Datatilsynets rapport side 2-3. En annen virksomhet som ønskes bedre dekket av ordlyden i § 22 er virksomhet som driver service- og vedlikehold på maskin eller programvare. Datatilsynet gir databehandlingskonsesjoner til foretak som driver slik virksomhet i dag selv om ikke virksomheten alltid kan sies å bearbeide personopplysninger, som er lovens krav.
13.3 EF-direktivet
EF-direktivet har ingen særregler for visse virksomhetstyper slik personregisterloven har, men disse virksomhetene omfattes av direktivets generelle virkeområde; behandling av personopplysninger. EF-direktivet er ikke til hinder for at det enkelte land fastsetter ulike regler for ulike virksomheter.
Direktivet har videre visse bestemmelser som skal sikre en forsvarlig behandling av personopplysninger også i de tilfeller behandlingen foretas av en annen enn den behandlingsansvarlige, jf artikkel 17 nr 2 og 3.
Medlemsstatene skal etter artikkel 17 nr 2 pålegge den behandlingsansvarlige å velge en databehandler som kan tilby den nødvendige garanti med hensyn til tekniske og organisatoriske sikkerhetsforanstaltninger, og det er den behandlingsansvarliges ansvar å påse at disse foranstaltninger overholdes.
Art 17 nr 3 bestemmer at gjennomføringen av en behandling hos en databehandler ( registerfører) skal skje i henhold til kontrakt eller annet rettslig bindene dokument mellom den behandlingsansvarlige og behandleren. I kontrakten skal det fastsettes at behandleren ikke kan anvende opplysningene til andre formål enn det oppdraget gjelder ( alene handler efter instruks fra den registeransvarlige) og at de sikkerhetsbestemmelser som gjelder for den behandlingsansvarlige også gjelder for behandleren.
Innholdet i reglene er nesten sammenfallende med innholdet i bestemmelser i personregisterloven om databehandlingsforetak (personregisterloven §§ 23 og 24). Databehandleren er i direktivet definert som den fysiske eller juridiske person, offentlig myndighed, institution eller ethvert andet organ, der behandler personoplysninger på den registeransvarliges vegne, jf direktivet artikkel 2 e). Definisjonen er langt videre enn definisjonen av databehandlingsforetak i personregisterloven; det er ikke krav om det drives en virksomhet, heller ikke er det krav om at databehandleren bearbeider opplysningene.
13.4 Utvalgets vurderinger
13.4.1 Generelt
Utvalget anser det som lite heldig å videreføre særskilt regulering av visse virksomheter slik personregisterloven gjør i dag. Begrunnelsen for innføring av disse reglene i 1978 kan ikke overføres til dagens situasjon. Det er ikke nødvendigvis innenfor disse virksomhetene det reises flest spørsmål knyttet til innsamling og bruk av personopplysninger (se om kredittopplysningsvirksomhet nedenfor under 13.4.3). Elektronisk behandling av personopplysninger skjer i dag innenfor de fleste typer virksomheter.
Utvalget foreslår dessuten en rekke nye materielle regler som vil få anvendelse på alle typer elektronisk behandling av personopplysninger (samt visse manuelle behandlinger, se lovforslaget § 3). For eksempel foreslås det regler om adgangen til å bruke opplysninger til andre formål, varslingsplikt ved innsamling av personopplysninger, sikring og sletting av personopplysninger. Flere generelle materielle regler minsker behovet for særlige regler for visse utvalgte virksomheter. Det kan likevel vise seg å være særskilte behov innenfor visse virksomheter og bransjer som behandler personopplysninger som ikke dekkes av lovens materielle regler (se om kredittopplysningsvirksomhet nedenfor), og utvalget foreslår at dette reguleres gjennom forskrift, jf lovforslaget § 45.
13.4.2 Den behandlingsansvarliges bruk av databehandler
Sandvik-utvalget beskriver en virkelighet hvor behandling av personopplysninger ofte settes bort til andre som disponerer den datatekniske ekspertise og det nødvendige databehandlingsutstyr (se ovenfor under 13.1.3). Dette er ikke blitt mindre aktuelt i 1997, og nye tjenester som innebærer behandling av personopplysninger på vegne av andre dukker stadig opp, se 13.2 ovenfor.
Det er derfor behov for i noen grad å regulere den situasjonen at en behandlingsansvarlig gir en annen i oppdrag å behandle personopplysninger på vegne av seg. Den behandlingsansvarlige er pålagt en rekke plikter etter loven som selvsagt fortsatt vil gjelde selv om vedkommende benytter en databehandler. En databehandler bør imidlertid ikke kunne råde over personopplysningene på noen annen måte enn det som er avtalt mellom den behandlingsansvarlige og databehandleren. Datatilsynet bør dessuten kunne gi pålegg som anses nødvendig for å oppnå forsvarlig sikring. Slike pålegg bør gjelde både for den behandlingsansvarlige og databehandleren. Se merknadene til lovforslaget § 13.
13.4.3 Særskilt om kredittopplysningsvirksomhet
Kredittopplysningsvirksomhet skiller seg ut fra de andre virksomhetstypene i personregisterloven ved at opplysningene som behandles som regel ikke er sensitive etter loven, men at de av de registrerte ofte oppfattes som nettopp det. De kredittanmerkningene og vurderingene som foretas kan dessuten få store konsekvenser for de registrerte i mange sammenhenger. Det er derfor et særskilt behov for å sikre at opplysningene er korrekte, at det bare registreres opplysninger som det er saklig grunn for og at opplysningene ikke utleveres og brukes av andre enn de som kan sies å ha et saklig behov for dette.
Utvalgets forslag om flere materielle regler vil også gjelde for de foretak som driver kredittopplysningsvirksomhet, for eksempel adgangen til å bruke opplysninger til annet formål (lovforslaget § 8) og varslingsplikt ved innsamling av personopplysninger (lovforslaget §§ 20 og 21). Videre vil virksomheten være underlagt meldeplikt etter utvalgets forslag. Likevel antar utvalget at det vil være behov for ytterligere regler om kredittopplysningsvirksomhet. Dette kunne tenkes regulert i egen lov eller i forskrifter gitt i medhold av personregisterloven. Utvalget har foreslått en forskriftsbestemmelse (lovforslaget § 45). Bestemmelsen tar først og fremst sikte på nærmere regulering av kredittopplysningsvirksomhet, men åpner også for å forskriftsregulere andre typer virksomheter som behandler personopplysninger dersom dette skulle vise seg nødvendig.
Kredittopplysningsvirksomhet er i relativt liten grad i dag regulert av materielle bestemmelser i loven, men først og fremst gjennom konsesjonsvilkår fastsatt av Datatilsynet. Det skjer imidlertid i svært liten grad noen individuell vurdering av den enkelte virksomheten i forbindelse med konsesjonsbehandlingen. I løpet av de årene som er gått siden personregisterloven trådte i kraft har det utviklet seg en fast praksis i form av konsesjonsvilkår fastsatt i standardkonsesjon for kredittopplysningsvirksomhet. Etter utvalgets syn bør slik regulering gis i forskrifts form.
Utvalget har ikke vurdert konkret hvilke regler som bør gjelde for kredittopplysningsvirksomheten, men antar at følgende punkter bør med i en forskrift:
definisjon av kredittopplysningsvirksomhet
angivelse av formålet med kredittopplysningsvirksomhet
angivelse av hvilke opplysninger (eventuelt hvilke type opplysninger) som er tillatt registrert
angivelse av hvilke kilder som er tillatt brukt ved innhenting av personopplysninger
angivelse av hvilke opplysninger som skal kunne inngå i eller danne grunnlag for ulike beregninger som for eksempel scoring/risikoprofil
angivelse av hvem kredittopplysninger kan utleveres til
angivelse av hvordan personopplysninger kan utleveres (enkeltopplysninger, masseopplysninger i papirversjon, masseopplysninger i edb-basert versjon)
angivelse av slettingsregler (hvor lenge kan kredittanmerkninger benyttes?)
omfanget av og innholdet i informasjon til den registrerte (for eksempel ved en gjenpartsplikt)
taushetsplikt for de ansatte i kredittopplysningsbyrået.
14 Fjernsynsovervåkning og annen elektronisk overvåkning
14.1 Innledning
Lyd- og billedopptak som er elektronisk behandling av personopplysninger (f eks fordi opptakene er lagret i digitalisert (maskinlesbar) form) omfattes av de alminnelige reglene i utvalgets lovforslag, se 10.1.2.3 og merknadene til §§ 3 og 4 i utvalgets lovforslag. Slike opptak diskuteres ikke nærmere her. Temaet i dette kapitlet er om og i hvilken grad loven eller deler av loven skal gis tilsvarende anvendelse på annen overvåkning som ikke omfattes av loven f eks når personopplysninger lagres analogt på videobånd eller annet, eller overvåkning der lyd eller bilde ikke lagres, men bare overføres til en høytaler eller en skjerm (jf personregisterlovens regler i dag om fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning (personregisterloven kapittel 9 a).
Utvalget foreslår i 14.4 at dagens regler om fjernsynsovervåkning videreføres, samt suppleres på to punkter; for det første foreslår utvalget at fjernsynsovervåkning som resulterer i billedopptak blir underlagt meldeplikt. For det andre foreslår utvalget at Datatilsynet gis kompetanse til å gripe inn og stoppe fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning når slik overvåkning blir igangsatt ulovlig, f eks fordi overvåkningen ikke kan sies å være saklig begrunnet. Endelig foreslås at straffeloven § 390 b om varslingsplikt ved fjernsynsovervåkning av offentlig sted og arbeidssted flyttes fra straffeloven til den nye loven om behandling av personopplysninger.
14.2 Gjeldende rett
14.2.1 Personregisterloven, straffeloven § 390 b, åndsverkloven mm
Det finnes ulike bestemmelser i lovgivningen som direkte eller indirekte regulerer fjernsynsovervåkning. I det følgende gis en kort oversikt over reglene.
For det første er fjernsynsovervåkning regulert gjennom personregisterloven §§ 37 a og 37 b. Bestemmelsene ble vedtatt ved lov 11 juni 1993 nr 78, og trådte i kraft 1 januar 1994. Bestemmelsene regulerer fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning i de tilfeller billedopptaket ikke utgjør et personregister i h t personregisterloven § 1 annet ledd. Dersom opptaket utgjør et personregister gjelder de alminnelige bestemmelsene i personregisterloven (om konsesjonsplikt etc). Se nærmere om reglene i personregisterloven nedenfor (14.2.2).
Fjernsynsovervåkning er dessuten regulert gjennom straffeloven § 390 b. Denne bestemmelsen har imidlertid et begrenset virkeområde. For det første gjelder den bare for vedvarende eller regelmessig gjentatt personovervåkning ved hjelp av fjernbetjent eller automatisk virkende fjernsynskamera, fotografiapparat eller liknende apparat. Overvåkning, fotografering, filming osv som gjøres manuelt (med en person bak kameraet) reguleres ikke. For det andre er fjernsynsovervåkning etter denne bestemmelsen ikke forbudt dersom det ved skilting eller på annen måte er gjort tydelig oppmerksom på at stedet blir overvåket. Om innholdet i opplysningsplikten heter det i Ot prp nr 56 (1989-90) side 57:
«For at opplysningsplikten skal anses oppfylt, må informasjonen formidle noe mer enn det som direkte følger av fjernsynsovervåkningen selv. Informasjonen må på en effektiv måte kunne nå fram til personer som blir berørt av overvåkningen. Derimot kan det ikke kreves at hver enkelt som kan bli berørt av overvåkningen faktisk er blitt informert. Avgjørende må være om informasjonen er egnet til å underrette vedkommende om overvåkningen».
Justisdepartementet kommenterer dette nærmere i St meld nr 15 (1996-97) side 6:
«Det er [...] ikke nødvendig at kameraene er synlige for at informasjonsplikten skal anses oppfylt. Dersom et kamera er bevegelig, f eks ved fjernstyring, vil dette få konsekvenser for kravet til hvor omfattende skiltingen/merkingen må være. Hvis et område – f eks på grunn av størrelsen eller utformingen – er slik at det ikke lar seg gjøre å informere dem som kommer til området om overvåkningen, vil overvåkning være forbudt etter straffeloven § 390 b».
Bestemmelsen regulerer bare fjernsynsovervåkning på offentlig sted eller av arbeidssted. Hva som skal regnes som offentlig sted, fremgår av straffeloven § 7 nr 1. Fjernsynsovervåkning som gjøres andre steder enn på offentlig sted eller arbeidssted, omfattes ikke av denne lovbestemmelsen.
Straffeloven § 390 b gjelder såvel private som for offentlige myndigheter. I straffeprosessloven § 202 a er det imidlertid åpnet for at politiet i visse tilfeller skal kunne foreta skjult fjernsynsovervåkning på offentlig sted.
Fjernsynsovervåkning av arbeidssted kan også være regulert i avtaler mellom partene i arbeidslivet. I hovedavtalen av 1994 mellom Næringslivets Hovedorganisasjon og Landsorganisasjonen i Norge er det for eksempel i § 9-13 nr 2 bestemt:
«Behov, utforming og innføring av interne kontrolltiltak skal drøftes på bedriften. Hvis direkte og kontinuerlig TV-overvåkning av den enkelte ansatte i arbeidssituasjonen er aktuell, skal hensikt og behov klarlegges. Slik overvåkning bør i størst mulig utstrekning unngås. Krav til saklighet i Lov om personregistre m.m. må håndheves.»
Det finnes også enkelte andre bestemmelser som ut fra personvernhensyn retter seg mot fotografering og filming. For eksempel er det forbudt å fotografere siktede/tiltalte under forhandlingene i en straffesak, eller på vei til eller fra disse forhandlingene, jf domstolloven § 131 a og § 198 tredje ledd. Også straffeloven § 390 a om forbud mot krenkelse av privatlivets fred vil kunne sette skranker for fjernsynsovervåkningen. Bestemmelsen setter forbud mot handlinger som kan karakteriseres som skremmende eller plagsom opptreden eller annen hensynsløs atferd.
Videre er det en bestemmelse i åndsverkloven § 45 c som regulerer adgangen til offentliggjøring av bilder. Utgangspunktet etter denne bestemmelsen er at offentliggjøring bare kan skje dersom den registrerte samtykker. Bestemmelsen gjelder uavhengig av hvordan bildene er tatt – om det er resultat av opptak gjort ved fjernsynsovervåkning eller om de er tatt ved ordinær fotografering, filming osv, er uten betydning.
Endelig kan arbeidsmiljøloven § 12 ha innvirkning på etableringen av overvåkningstiltak på arbeidsplassen. Og i den grad elektronisk overvåkning ikke reguleres av gjeldende lovgivning, kan ulovfestede personvernregler komme til anvendelse. Et eksempel på anvendelse av slike ulovfestede regler er Høyesteretts avgjørelse inntatt i Rt 1991 s 616 hvor et fjernsynsopptak som var gjort av innehaveren av et gatekjøkken og rettet mot en av de ansatte, ikke ble tillatt ført som bevis i straffesak mot den ansatte.
14.2.2 Nærmere om reglene i personregisterloven
I Ot prp nr 56 (1992-93) antar Justisdepartementet at løpende fjernsynsopptak som lagres på ordinære videobånd eller film ikke er å anse som personregistre, jf personregisterloven § 1 annet ledd annet punktum. Departementet antar videre at de fleste typer opptak som gjøres på bensinstasjoner, i banker, forretninger osv foregår på denne måten (løpende opptak som lagres på ordinære videobånd eller film). Justisdepartementet antar at de fleste fjernsynsopptak reguleres av de særskilte reglene om fjernsynsovervåkning i personregisterloven kapittel 9a, og ikke av de alminnelige reglene om konsesjonsplikt m v.
Etter § 37 a er fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning bare tillatt dersom det er saklig begrunnet ut fra hensynet til virksomheten i det organ eller foretak som foretar overvåkningen. Ved overvåkning av steder hvor en begrenset krets av personer jevnlig ferdes, er det stilt strengere vilkår for fjernsynsovervåkning. På slike steder er fjernsynsovervåkning (og billedopptak i den forbindelse) bare tillatt dersom det ut fra hensynet til virksomheten er et særskilt behov for overvåkningen.
Paragraf 37 b inneholder nærmere regler om lagring (sikring) og etterbruk av billedopptak gjort ved fjernsynsovervåkning. Billedopptak skal bare kunne utleveres til noen utenfor det foretak eller organ som har foretatt opptaket, dersom den som er avbildet samtykker eller utleveringsadgangen følger av lov. Hvis ikke lovbestemt taushetsplikt er til hinder for utlevering, skal billedopptak likevel kunne utleveres til politiet i forbindelse med etterforskning av straffbare handlinger og ulykker. Billedopptak gjort ved fjernsynsovervåkning skal slettes når det ikke lenger er saklig grunn for oppbevaring (§ 37 a andre ledd). Bestemmelsen er fulgt opp med mer detaljerte regler i forskrift.
14.3 Internasjonale regler
EF-direktivet har ingen særskilte regler om fjernsynsovervåkning, men slik overvåkning omfattes av direktivets anvendelsesområde når overvåkningen representerer en elektronisk behandling, f eks ved at personopplysninger blir lagret i digitalisert form. Utvalget legger til grunn at elektronisk overvåkning der bilde eller lyd ikke lagres, men bare vises på en monitor ikke omfattes av direktivet. Det samme gjelder overføring av opplysninger om personers utseende eller stemme til et vanlig (analogt) lyd- eller videoopptak, se utvalgets merknader under 10.1.2.3 og merknadene til §§ 3 og 4 i utvalgets lovforslag.
Europarådskonvensjonen om personvern i forbindelse med elektronisk databehandling av personopplysninger antas ikke å gjelde for fjernsynsovervåkning. Ordlyden ( elektronisk databehandling) tilsier at det er mer den tradisjonelle databehandling som er omfattet.
14.4 Utvalgets vurderinger
Fjernsynsovervåkning slik vi kjenner det fra banklokaler, forretninger osv, har etterhvert fått et betydelig omfang. Ofte innebærer denne typen overvåkning at det også gjøres billedopptak. Dette betyr at de som foretar overvåkning vil kunne sitte med store mengder billedmateriale av personer fra ulike steder og situasjoner. Normalt vil ikke den omstendighet at enkelte foretak eller organer sitter med slike billedopptak innebære noen fare eller trussel mot dem som er registrert. Formålet med fjernsynsovervåkningen er for eksempel å forebygge straffbare handlinger, eller å være et hjelpemiddel ved etterforskningen. En fare eller trussel mot den enkelte vil billedopptakene særlig være overfor den som har forgått seg (for eksempel ved en straffbar handling), slik at materiale av den grunn blir interessant for overvåkeren og eventuelt politiet. I slike tilfeller vil den avbildede ofte ikke ha en like berettiget interesse i å få være beskyttet mot at opptakene benyttes.
Selv om man ikke gjør noe galt vil mange føle et ubehag ved det å vite (eller ha mistanke om) at andre overvåker dem og sitter inne med billedopptak av dem. Videre vil det være en fare for at billedopptak kan bli brukt på en måte som ut fra en alminnelig oppfatning ikke er akseptabel – eller til og med rettsstridig, for eksempel at billedopptakene nyttes som pressmiddel mot den avbildede hvis det viser vedkommende i situasjoner eller på steder han eller hun ikke ønsker skal bli kjent for andre.
Utvalget foreslår enkelte viktige endringer i dagens regler om fjernsynsovervåkning. Prinsipielt bør reglene gjelde for all elektronisk overvåkning, uavhengig av om overvåkningen skjer ved billedopptak, lydopptak eller ved f eks sensorer som registrerer bevegelser (når disse registreringene representerer personopplysninger). Utvalget har imidlertid ikke, innen den fastsatte tidsrammen, hatt anledning til å utrede konsekvensene av en slik utvidelse av reglenes anvendelsesområde. I lovforslaget er det derfor bare foreslått regler om fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning.
Det kan være uheldig at overvåkeren selv er tillagt et så vidt skjønn når det gjelder vurderingen av om det er saklig behov for å igangsette overvåkning. Slik reglene er utformet skal han eller hun vurdere om fjernsynsovervåkningen er saklig begrunnet eller ikke, eventuelt hvorvidt han eller hun har et særskilt behov, jf personregisterloven § 37 a. Datatilsynet har i sin årsmelding for 1994 (St meld nr 27 1995-96) påpekt at reglene på denne bakgrunn kan bli vanskelig å håndheve. Utvalget er enig i denne vurderingen. Datatilsynet bør derfor ha kompetanse til å gripe inn og stoppe overvåkning som skjer i strid med loven, for eksempel fordi overvåkningen ikke kan sies å være saklig begrunnet. Ved at Datatilsynet gis kompetanse til å gripe inn vil det være Datatilsynet – og ikke overvåkeren – som avgjør om det foreligger et saklig behov i lovens forstand. Datatilsynets vedtak om å stoppe overvåkning kan påklages. Dersom Datatilsynet skal ha en reell mulighet til å gripe inn og stoppe fjernsynsovervåkning i strid med loven, bør slik overvåkning etter utvalgets syn være meldepliktig. En slik meldeplikt vil også synliggjøre omfanget av slik overvåkning i samfunnet, og det kan dessuten medføre økt bevissthet hos den behandlingsansvarlige som da uttrykkelig må angi hvilket saklig behov han eller hun har for overvåkningen.
Straffeloven § 390 b om at fjernsynsovervåkning på offentlig sted eller arbeidssted er forbudt dersom det ikke ved skilting eller på annen måte er gjort tydelig oppmerksom på at stedet blir overvåket, bør flyttes fra straffeloven til ny lov om behandling av personopplysninger. Bestemmelsen hører naturlig sammen med de øvrige reglene om fjernsynsovervåkning og varslingsplikten bør ses i sammenheng med de øvrige varslingsreglene i lovforslaget, se merknadene til § 24.
15 Sikring av personopplysninger
15.1 Innledende forklaring og oversikt over fremstillingen
Med sikring av personopplysninger sikter utvalget til tiltak som er egnet til å forhindre at personopplysninger blir behandlet på måter som er ulovlige eller som av andre grunner ikke er ønsket. Sikringstiltakene skal bidra til at lovens bestemmelser etterleves og at opplysningene ellers behandles på måter som er i overensstemmelse med rettspraksis, adferdskodekser m v. I toneangivende utredningsarbeider er sikringsarbeidet primært knyttet til varetakelse av opplysningenes kvalitet , konfidensialitet og tilgjengelighet. Disse tre begrepene fungerer primært som fellesbetegnelse på en rekke mer detaljerte krav til opplysningene. Det er videre vanlig å fokusere særlig på tiltak av teknisk og organisatorisk art. Sikring av personopplysninger gjelder med andre ord tiltak av teknisk og organisatorisk art som er egnet til å sikre gjennomføringen av normative krav til kvalitet, konfidensialitet og tilgjengelighet. De normative kravene følger primært av rettssystemet (særlig lovgivning, avtaler og rettsavgjørelser), men kan også følge av bransjevise atferdsnormer (se 12.5.9) og rene moralske/etiske regler.
Når området beskrives som sikring av personopplysninger er dette upresist. Sikringstiltakene kan knyttes til tre nivåer ved behandlingen: Før det første gjelder det sikring av persondata, dvs av de tegn, symboler m v som, når de fortolkes og anvendes i bestemte sammenhenger, har et innhold som kan beskrive en person. I datamaskinsystemet og ved maskinelle overføringer mellom datamaskinsystemer er det f eks data som behandles og transporteres. Når dataene fortolkes og forstås av et menneske eller et datamaskinprogram er dataene bærer av informasjon. Data behandles, fortolkes og blir til informasjon og informasjon formaliseres og blir til data innenfor rammene av et persondata/informasjon system, dvs det komplekset av regler og rutiner som til sammen bestemmer behandlingen av data og informasjon. Systemet kan dels være automatisert og dels manuelt. Sikringskravene kan og bør stilles til alle tre nivåer; data, informasjon og system. I inneværende kapittel og i merknadene til lovforslaget § 11 har utvalget anvendt disse tre begrepene på den omtalte måten. For øvrig er det i utredningen ikke skilt strengt mellom informasjon og data. Data er for enkelthets skyld anvendt fast i flere ordsammensetninger, f eks persondata og persondatabehandling.
Nedenfor redegjør utvalget for tidligere utredninger og initiativ (15.2), de mest sentrale reglene på området (ikke uttømmende) (15.3), internasjonale regler (EF-direktiv og Europarådskonvensjon) (15.4) og til slutt utvalgets vurderinger (15.5).
15.2 Tidligere utredninger og initiativ
I 1981 nedsatte Justisdepartementet en arbeidsgruppe som skulle legge frem forslag til sikkerhetsforskrifter i medhold av personregisterloven. I høringsrunden møtte forslaget motbør blant annet fordi reglene ble ansett som for detaljerte og fordi en fryktet for at forslaget ville bli kostbart å gjennomføre. Forslaget ble ikke fulgt opp av Justisdepartementet. I 1984 ble det i samarbeid mellom Datatilsynet og Institutt for rettsinformatikk ved Universitetet i Oslo etablert en arbeidsgruppe med sikte på å utforme prinsipper for sikring av personvern interesser. Rapport med forslag til sikringsforskrifter ble sendt på høring i 1988. Også dette forslaget møtte motbør, spesielt fordi det foreslåtte regelverket ble ansett å være for komplisert, og fordi det var stor usikkerhet med hensyn til kostnadsmessige konsekvenser. I 1990 nedsatte regjeringen en ny arbeidsgruppe som skulle legge fram forslag til generelle og samordnede regler for beskyttelse av informasjon, herunder personopplysninger. Dette arbeidet resulterte i et nytt utkast til forskrifter. I tillegg ble det lagt fram et forslag til lov om informasjonssikkerhet som inneholdt overordnede regler og hjemmel for en samordnet forskrift. Mange høringsinstanser har uttalt seg skeptisk til forslaget. Regjeringen har ikke lagt forslaget fram for Stortinget. Det er etter høringsrunden enighet mellom de berørte departementer om at samordningsbehovet ikke skal varetas gjennom et felles regelverk (jf St meld nr 27 1995-96 side 7). I 1996 oppnevnte regjeringen et råd for IT-sikkerhet, med oppgave å utrede virkemidler som kan fremme IT-sikkerhet. Dette rådet er også ment å ivareta samordnings-behovet. Så vidt utvalget er kjent med, er det ikke tatt initiativ for å etablere sikringsregler etter personregisterloven.
15.3 Gjeldende rett
Regler som setter krav til sikring av personopplysninger omfatter både lover, forskrifter og instrukser for statsforvaltningen. Fremstillingen nedenfor er ment å gi en oversikt over de mest sentrale reglene på området. Fremstillingen er på ingen måte ment å gi en uttømmende oversikt.
15.3.1 Personregisterloven §§ 8 b og 24
I henhold til personregisterloven § 8 b kan Kongen ved forskrift eller enkeltvedtak gi regler for sikring av personopplysninger. Kongens myndighet til å gi bestemmelser om sikring av personopplysninger ved enkeltvedtak er delegert til Datatilsynet, mens forskriftsmyndigheten er delegert til Justisdepartementet ved kgl res 30 september 1988. Det er gitt to forskrifter med hjemmel i denne bestemmelsen (se 15.3.2 og 15.3.3 nedenfor). Datatilsynet setter imidlertid krav til sikkerheten i forbindelse med at de gir konsesjoner for opprettelse av personregistre etter personregisterloven § 9. Datatilsynet har også gitt ut generelle veiledninger som gir råd om hvilke krav Datatilsynet stiller ved utforming av konsesjoner. Disse veiledningene er utgitt i egne brosjyrer, f eks:
Sikkerhetsregulering av delte edb-systemer (utgitt 23.9.1992)
Krav til sikring av medisinsk informasjon (utgitt 20.2.1992)
Elektronisk overføring av sensitive personopplysninger (utgitt 20.1.1993)
Paragraf 8 b gjelder både for konsesjonspliktige og ikke-konsesjonspliktige personregistre. Bestemmelsen kom inn i loven ved en lovendring i 1987 (lov 12 juni 1987 nr 55) til erstatning av noen mer spesielle hjemler i dagjeldende lov. Unnlatelse av å etterkomme pålegg om sikring etter prgl § 8 b rammes ikke av straffebestemmelsen i § 38. Det er heller ikke knyttet andre sanksjoner til bestemmelsen. Det antas at dette er en ren forglemmelse. Tidligere (før lovendringen i 1987) ble pålegg om sikring gitt med hjemmel i § 11 og overtredelse av vilkårene var straffesanksjonert i § 38. Under lovendringen i 1987 (da § 8 b ble tilføyd) ble ikke straffebestemmelsen endret tilsvarende.
Etter § 24 kan Kongen ved forskrift eller for det enkelte foretak gi bestemmelser om de sikringstiltak som skal gjennomføres. Bestemmelsen gjelder for databehandlingsforetak. Kongens myndighet er delegert til Justisdepartementet ved kgl res 21 desember 1979. Det er ikke gitt slike bestemmelser.
15.3.2 Forskrift i medhold av lov om personregistre m m av 21 desember 1979
Forskriften er fastsatt av Justisdepartementet med hjemmel i personregisterloven §§ 9 annet ledd og 8 b, jf kgl res 21 desember 1979 og kgl res 30 september 1988. Etter forskriften kapittel 2 fritas en rekke personregistre for konsesjonsplikt under forutsetning av at kravene til registerets innhold mm i kapitlet her følges, og at bestemmelsene i kapittel 3 overholdes jf forskriften § 2-1.
I kapittel 3 er det gitt følgende bestemmelse om sikring:
«§ 3–3 Sikring
Den registeransvarlige må sørge for nødvendig sikring av konfidensialitet, kvalitet og tilgjengelighet for personopplysninger og registre.
Den registeransvarlige skal godkjenne alle brukere av registeret, samt drifts- og vedlikeholdspersonale. Enhver bruker av et elektronisk register skal entydig identifiseres og autentiseres av registersystemet før tilgang til registeret.
Datatilsynet kan gi pålegg som ansees nødvendige for å oppnå forsvarlig sikring.
For organ i staten vises for øvrig til Beskyttelsesinstruksen, Sikkerhetsinstruksen med utfyllende bestemmelser og Datasikkerhetsdirektivet.
Denne paragrafen gjelder ikke for registre som nevnt i § 2-15.»
15.3.3 Forskrift om unntak fra konsesjonsplikt i saker om hvitvasking
Forskriften er fastsatt av Justisdepartementet 23 mars 1995 med hjemmel i personregisterloven §§ 9 annet ledd, 8 b og 7 femte ledd, jf kgl res 21 desember 1979 og kgl res 30 september 1988. Forskriften har relativt detaljerte regler om sikring som omfatter krav om:
kun autorisert tilgang med spesifiserte rettigheter
at autorisasjon kan gis kun etter bestemte vilkår
at den registeransvarlige skal etablere og følge opp sikringsregler om tilgangskontroll, datakvalitet og tilgjengelighet.
15.3.4 Sikkerhetsinstruksen
Instruksen anvendes ved behandling av dokumenter som inneholder opplysninger som er av betydning for rikets sikkerhet, eller det internasjonale forsvarspolitiske samarbeid, eller som er av særlig betydning for forholdet til fremmede makter. Instruksen skal [...] også [....] anvendes under behandling av NATO-graderte opplysninger, jf § 1. Instruksen korresponderer således med straffeloven §§ 90-93. Anvendelsesområde er derfor langt videre enn personregisterloven som kun omfatter personopplysninger.
Instruksens primære formål er å ivareta hensynet til konfidensialitet og har ulike tiltakskrav knyttet til ulike graderinger, som er: begrenset, konfidensielt, hemmelig og strengt hemmelig, jf § 2.
Instruksen forvaltes av Forsvarsdepartementet med Forsvarets overkommando som utøvende myndighet.
15.3.5 Beskyttelsesinstruksen
Instruksen kommer til anvendelse ved behandling av dokumenter som trenger beskyttelse av andre grunner enn de som er nevnt i Sikkerhetsinstruksen, jf § 1. Beskyttelsesgradene er fortrolig og strengt fortrolig, jf § 2. Et dokument skal bare graderes når det kan unntas fra offentlighet i medhold av offentlighetsloven og skadevirkninger som nevnt i § 4 kan inntreffe. Instruksen presiserer ikke hva som ligger i skade. Instruksen er fastsatt for å ivareta hensynet til konfidensialitet (hindre at graderte dokumenter blir gjort kjent for uvedkommende). Instruksen har flere likelydende behandlingsregler med Sikkerhetsinstruksen, men er langt mindre detaljert.
Instruksen forvaltes av Statsministerens kontor. Det er ikke etablert tilsyn.
15.3.6 Datasikkerhetsdirektivet
Formålet med Datasikkerhetsdirektivet er å sikre at informasjon gradet etter sikkerhetsinstruksen eller Beskyttelsesinstruksen, blir behandlet på en betryggende måte ved elektronisk databehandling. Direktivet med vedlegg skal sikre at informasjon ikke blir kjent for uvedkommende (sikring av konfidensialet), informasjon ikke endres uautorisert (sikring av integritet) og at informasjon og dataressurser er tilgjengelig for autoriste brukere (Sikring av tilgjengelighet). Direktivet er gitt i medhold av Sikkerhetsinstruksens § 16. I samråd med Statsministerens kontor skal direktivet også gjelde for elektronisk behandling av informasjon gradert iht Beskyttelsesinstruksen, jf Beskyttelsesinstruksen § 12.
Datasikkerhetsdirektivet omhandler planlegging, godkjenning, anskaffelse, implementering, drift, vedlikehold og kontroll av datautstyr og programvare,
15.4 Internasjonale regler
15.4.1 EF-direktivet artikkel 17
Art 17 nr 1 og 2 gjelder informasjonssikkerhet, og i nr 1 pålegges medlemsstatene å gi regler om registeransvarliges plikt til iverksettelse av tekniske og organisatoriske foranstaltninger til beskyttelse av personopplysninger. Sikkerhetsforanstaltningene skal sikre et tilstrekkelig sikkerhetsnivå i forhold til den risiko behandlingen innebærer og arten av de opplysningene som behandles. Det er opp til medlemsstatene å fastsette hva som er et tilstrekkelig sikkerhetsnivå. Etter nr 2 plikter den behandlingsansvarlige å velge en persondatabehandler som kan tilby tilstrekkelig garanti for at de tekniske og organisatoriske sikkerhetsforanstaltninger treffes og skal påse at disse overholdes. Art 17 nr 4 bestemmer at sikkerhetsforanstaltningene etter nr 1, av bevishensyn, skal foreligge i skriftlig form.
15.4.2 Europarådskonvensjonen
Europarådskonvensjonen artikkel 7 lyder:
Formålstjenlige sikringstiltak skal treffes for å verne personopplysninger lagret i elektroniske dataregistre mot tilfeldig eller ikke-autorisert adgang, forandring eller spredning.
Det er ikke ytterligere definert hva som er å anse som formålstjenlige tiltak.
15.5 Utvalgets vurderinger
Utvalget vil peke på at det i 15 år er arbeidet med sikkerhetsforskrifter til personregisterloven uten at dette arbeidet har ført fram til noen forskrifts- eller lovregulering. Personvernet er én av flere begrunnelser for å sikre opplysninger. Tiltak for å sikre konfidensialitet kan f eks både begrunnes i personvern og ivaretagelse av forretningsmessige og/eller politiske interesser. Det kan derfor åpenbart være grunn til å ønske en samordning av feltet. Samtidig er det på det rene at det er et stort behov for tiltak som på en systematisk måte kan bedre etterlevelsen av lovgivning vedrørende behandling av personopplysninger. Sikringskrav vil kunne føre til et høyere bevissthetsnivå hos de behandlingsansvarlige, fordi kravene fordrer en gjennomgang av viktige organisatoriske og praktiske forhold ved virksomheten. I medhold av Kredittilsynsloven § 4 er det gitt regler om sikkerhet for kredittinstitusjoner, forsikringsselskaper m v. Utvalget mener at informasjons- og datasikkerhet også er en nødvendig del av en fremtidig regulering på personvernområdet. Utvalget foreslår å knytte en plikt til å etablere og anvende alminnelig anerkjente metoder for informasjons-/datasikkerhet for persondatabehandlinger. Utvalget avstår imidlertid fra å fastsette noe spesifikt sikkerhetsnivå. Den løsning som her er valgt er dessuten teknologi- og metodeuavhengig.
De regler som foreslås innebærer at eventuelle pålegg om sikringstiltak må skje i form av enkeltvedtak fra Datatilsynet med hjemmel i lovforslaget § 40. Spørsmålet om hva som er tilstrekkelige sikkerhetsnivå må således vurderes konkret av Datatilsynet i en dialog med den behandlingsansvarlige. Tilsynets avgjørelse vil være gjenstand for klage. Se forøvrig merknadene til § 11 i lovforslaget.
16 Overføring av personopplysninger til utlandet
16.1 Oversikt
Overføring av personopplysninger over landegrensene er i mange tilfelle et viktig ledd i offentlig og privat virksomhet. Samtidig er det på det rene at overføring av personopplysninger fra ett land til et annet kan representere en betydelig trussel mot personvernet. Særlig gjelder dette når regelverket i landet som opplysningene overføres til ikke varetar personvern på en tilfredsstillende måte.
Nedenfor gis det først en oversikt over gjeldende rett (16.2). Blant annet pekes det på at ny teknologi reiser tolkningsspørsmål som dagens regler ikke gir noe klart og/eller hensiktsmessig svar på. Deretter omtales internasjonale forpliktelser av betydning for utformingen av regler om overføring av personopplysninger til utlandet (16.3). Til slutt presenteres utvalgets vurderinger som ligger til grunn for lovforslaget (16.4). I tråd med direktivet sondres det mellom overføring av personopplysninger innenfor og utenfor EØS-området.
16.2 Gjeldende rett
16.2.1 Hovedtrekk
I personregisterloven § 36 heter det at:
«Register som omfattes av § 9 første ledd må ikke overføres til utlandet uten samtykke av Kongen.
Personopplysninger som er innsamlet her i riket, må ikke overføres til utlandet uten samtykke av Kongen når formålet er å innføre opplysningene i et register som nevnt i § 9 første ledd. Kongen kan ved forskrift gjøre unntak fra første og annet ledd. Det kan fastsettes at disse bestemmelser ikke skal gjelde i forhold til enkelte andre land.»
Som det fremgår av første ledd er utgangspunktet at Kongen (delegert til Datatilsynet med Justisdepartementet som klageinstans) må gi sitt samtykke før overføring finner sted. Tredje ledd gir hjemmel til å fravike samtykkekravet ved forskrift. Denne hjemmelen er benyttet, og forskriften § 8-1 bestemmer at overføringen må meldes til Datatilsynet i god tid før overføringen skal finne sted:
«Dersom register eller opplysning som nevnt i lovens § 36 første og annet ledd overføres til utlandet, behøves ikke noe slikt samtykke som nevnt i § 36. Overføringen må meldes til Datatilsynet på fastsatt skjema i god tid før overføringen finner sted. Datatilsynet kan nekte overføring eller sette vilkår for overføringen.
Overføring behøves ikke meldes når Norge har plikt til å foreta slik overføring etter folkerettslig overenskomst eller som følge av medlemsskap i internasjonal organisasjon.»
Tilsynet kan altså velge å nekte overføring, eller sette vilkår for hvordan overføringen kan finne sted. På denne måten kan Datatilsynet kontrollere overføringer ut av Norge og gripe inn der det anses nødvendig, samtidig som reguleringen blir mindre arbeidskrevende enn dersom samtykke måtte vurderes for hver eneste overføring.
I forskriften § 8-1 er det gjort unntak fra meldeplikten når Norge har plikt til å foreta slik overføring etter folkerettslig overenskomst eller som følge av medlemsskap i internasjonal organisasjon. Begrunnelsen for bestemmelsen var at det neppe er behov for melding til Datatilsynet når overføringen var vedtatt gjennom internasjonale forpliktelser (jf Eirik Djønne m fl, Personregisterloven med kommentarer s 158 TANO 1987). I praksis har bestemmelsen blitt tolket snevrere enn ordlyden skulle tilsi.
Regelverket får anvendelse både på manuell og på elektronisk overføring av personregistre/opplysninger til utlandet. Eksempler på manuell overføring er at opplysningene sendes med kurer eller med post.
16.2.2 Særskilte tolkningsspørsmål
Elektronisk overføring – f eks via nettverk eller satellitt – reiser særskilte tolkningsspørsmål. Eva I E Jarbekk drøfter flere slike problemstillinger i avhandlingen Personvern og overføring av personopplysninger til utlandet (Complex 4/96) s 57 flg. Utvalget vil for sin del nøye seg med å peke på noen tolkningsspørsmål hvor løsningen i henhold til gjeldende rett er tvilsom eller gir lite formålstjenlige løsninger, og hvor det er ønskelig med en avklaring i den nye loven.
Et særtrekk ved elektronisk overføring er at avsenderen kan bestemme hvem mottakeren skal være, men ikke ad hvilke veier opplysningene skal overføres. Selv når personopplysninger overføres fra ett sted i Norge til et annet sted i Norge kan det være at opplysningene sendes via telelinjer eller satellitter i utlandet. I en del tilfeller vil opplysningene også mellomlagres i utlandet som ledd i overføringen. Strengt tatt dreier det seg også her om overføring av personopplysninger til utlandet, men ettersom avsenderen som regel ikke er klar over at opplysningene tar veien om utlandet, sendes ikke melding til Datatilsynet. Det er mulig at loven på dette punkt må tolkes innskrenkende (jf Jarbekk s 58), slik at det ikke er overføring til utlandet i lovens forstand dersom avsender bare har til hensikt å overføre opplysningene til mottakere i Norge.
Et annet tolkningsspørsmål knytter seg til bruk av internasjonale nettverk (som f eks Internett). Kan personopplysninger som gjøres tilgjengelige på slike nettverk – og som dermed kan lastes ned i utlandet av et stort antall personer – sies å være overført til utlandet i lovens forstand? Spørsmålet er bl a aktuelt for såkalte hjemmesider, hvor informasjonen gjøres tilgjengelig i utlandet, men hvor den som gjør opplysningene tilgjengelig ikke selv har spesifisert mottaker. Teoretisk er det mulig at ingen besøker hjemmesiden og gjør seg kjent med opplysningene. Praktisk sett vil noen i utlandet lagre og bearbeide informasjonen. Hvorvidt bruk av hjemmesider er overføring av personopplysninger til utlandet slik loven nytter uttrykket er i dag usikkert. Datatilsynet har i noen tilfeller sett det slik at å gjøre personregistre tilgjengelig på en hjemmeside som er kontrollert fra Norge er utlevering av opplysningene, og ikke overføring til utlandet. Praksis er imidlertid ikke entydig. Hvordan dette spørsmålet bør reguleres i den nye loven er drøftet under 16.4.2.1.
16.3 Internasjonale regler
16.3.1 Europarådskonvensjonen
Europarådskonvensjonen kapittel III artikkel 12 regulerer overføringer av personopplysninger til land som har ratifisert konvensjonen. Utgangspunktet etter konvensjonen er at man ikke kan forby eller kreve særlig tillatelse for overføring av personopplysninger som går til en annen parts territorium utelukkende med det formål å verne privatlivets fred (artikkel 12 nr 2). Det er likevel etter samme artikkel nr 3 adgang til å gjøre unntak fra dette utgangspunktet dersom ikke den annen parts regler gir tilsvarende beskyttelse:
«3. Likevel skal hver part ha rett til å avvike fra bestemmelsene i punkt 2:
a) I den grad dens lovgivning inneholder særskilte regler for visse kategorier av personopplysninger eller av elektroniske dataregistre, på grunn av disse opplysningers eller registres karakter, dersom ikke den annen parts regler gir tilsvarende beskyttelse;
b) når overføringen blir foretatt fra partens territorium ved hjelp av mellomledd på en annen parts territorium, for å unngå at slike overføringer fører til omgåelse av lovgivningen som er nevnt i begynnelsen av dette punkt.»
16.3.2 EF-direktivet
Direktivet skiller skarpt mellom overføring av personopplysninger til EØS-land og tredjeland. Artikkel 1 nr 2 bestemmer at det skal være fri utveksling av personopplysninger mellom medlemslandene:
«1. Medlemsstaterne sikrer i overensstemmelse med dette direktiv beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsretigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger.
2. Medlemsstaterne må ikke af grunde, der har forbindelse med den i stk. 1 foreskrevne beskyttelse, indskrænke eller forbyde fri utveksling af personopplysninger mellem medlemsstaterne.»
Direktivet går lenger i å kreve fri overføring av personopplysninger enn Europarådskonvensjonen. (Europarådskonvensjonen tillater at medlemslandene innskrenker retten til overføring dersom den annen parts regler [ikke] gir tilsvarende beskyttelse som ens eget land, jf ovenfor). Nærmere presiseringer av hvordan direktivet må forstås er flettet inn i utvalgets vurderinger, se 16.4.1 nedenfor.
Når det gjelder overføring av personopplysninger til tredjeland (andre land enn EØS-land), gir direktivet utførlige regler i kapittel IV artiklene 25 og 26).
I artikkel 25 oppstilles en rekke grunnprinsipper som skal sikre at videregivelse av opplysninger bare skjer til land som har et tilstrekkelig beskyttelsesnivå når det gjelder personvern. Hva som er tilstrekkelig i denne sammenheng, må vurderes konkret fra sak til sak på bakgrunn av bl a opplysningenes art, behandlingen(e)s formål og varighet, gjeldende rett i det aktuelle tredjeland, osv.
Medlemsstatene og Kommisjonen har gjensidig underrettelsesplikt overfor hverandre hvis de mener at bestemte tredjeland ikke har et tilstrekkelig beskyttelsesnivå.
Dersom Kommisjonen, etter å ha rådført seg med det utvalget som etter artikkel 31 opprettes med medlemmer fra alle medlemslandenes regjeringer, konstaterer at et tredjeland ikke sikrer et tilstrekkelig beskyttelsesnivå i forhold til videregivelse av visse typer opplysninger, plikter medlemslandene å sette i verk nødvendige tiltak for å hindre fremtidig videregivelse av personopplysninger av samme art til vedkommende tredjeland.
Kommisjonen kan etter artikkel 25 nr 5 gå inn i forhandlinger med tredjeland i et forsøk på å avhjelpe den situasjon som har oppstått etter at Kommisjonen har konstatert at beskyttelsesnivået i vedkommende land ikke er tilstrekkelig. Dersom resultatet av disse forhandlingene er positive, kan Kommisjonen i neste omgang, etter på nytt å ha rådført seg med ovennevnte utvalg, fastslå at vedkommende lands beskyttelsesnivå er tilfredsstillende, jf artikkel 25 nr 6. I så fall må også medlemslandene legge det til grunn deretter.
Det er overlatt til det enkelte medlemsland å utforme nærmere regler om anvendelsen av de prinsippene for videregivelse som oppstilles i artikkel 25. Det vil bl a være opp til det enkelte land å bestemme hvilke prosedyrer som skal følges på nasjonalt plan når det gjelder overførsel av opplysninger til tredjeland, og det vil også være landenes oppgave å bestemme hvilken myndighet som skal ta stilling til om et bestemt tredjeland har et tilstrekkelig beskyttelsesnivå.
Artikkel 26 pålegger medlemsstatene å tillate overføring av personopplysninger til tredjeland uavhengig av om vedkommende tredjeland har et tilstrekkelig beskyttelsesnivå når det gjelder personvern eller ikke.
Artikkel 26 inneholder til dels vide unntak fra hovedreglene om videregivelse i artikkel 25. Unntakene medfører altså at overføring i visse tilfelle kan skje selv om det aktuelle tredjeland ikke har et tilstrekkelig beskyttelsesnivå.
I artikkel 26 nr 1 bokstav a-f oppstilles en rekke alternative vilkår som kan berettige overførsel av personopplysninger til tredjeland.
Etter nr 1 bokstav b kan overførsel foregå der det er nødvendig av hensyn til gjennomføring av en kontrakt eller en kontraktsinngåelse der den registrerte er part. Bestemmelsen må ses i sammenheng med artikkel 7 bokstav b (som tillater behandling av personopplysninger for kontraktsformål).
Etter nr 1 bokstav d kan overføring skje der det er nødvendig – eller er fastsatt i lov – for å beskytte viktige samfunnsinteresser, eller for at et rettskrav skal kunne fastlegges, gjøres gjeldende eller forsvares. Sistnevnte må ses i sammenheng med artikkel 8 nr 2 bokstav e (som tillater behandling av sensitive personopplysninger dersom dette er nødvendig for å forsvare et rettskrav).
Hva som er viktige samfunnsinteresser må vurderes konkret, men videregivelse kan f eks være påkrevet i forbindelse med internasjonal utveksling av opplysninger mellom skatte- og tollforvaltninger, eller mellom nasjonale sosial- og helsemyndigheter (se fortalen pkt 58).
Etter nr 1 bokstav e kan videregivelse skje der det er påkrevet av hensyn til den registrertes vitale interesser. Denne bestemmelsen er parallell til – og må ses i sammenheng med – artikkel 7 bokstav d.
Overføring av personopplysninger til tredjeland er også omhandlet i fortalen punkt 56 – 60.
16.4 Utvalgets vurderinger
På bakgrunn av direktivets regler er det nødvendig å skille mellom overføring av opplysninger til EØS-land og overføring av opplysninger til tredjeland.
16.4.1 Overføring av opplysninger til EØS-land
Som det fremgår foran krever direktivet at personopplysninger skal kunne utveksles fritt mellom medlemslandene (og EØS-landene), og utvalget legger dette til grunn. Fri utveksling antas å ha klare økonomiske og sosiale fordeler, se fortalen punkt 3) – 6).
Det er på det rene at implementeringen av direktivet fører til at det blir noe lettere enn før å overføre personopplysninger til EØS-land. Rettslig sett skal det være like lett å overføre opplysninger til andre EØS-land som å overføre opplysningene innenfor landets grenser. Overføringen av opplysningene over landegrenser skal ikke støte an mot større rettslige hindre enn innenlands overføring – overføring av opplysninger fra Oslo til Bergen skal rettslig sett likestilles med overføring av opplysninger fra Oslo til f eks Athen eller London.
Uttrykket fri utveksling av personopplysninger kan imidlertid lett gi opphav til misforståelser, og bør derfor presiseres. For det første vil utvalget for ordens skyld understreke at norske taushetspliktregler fremdeles er til hinder for at opplysninger gis videre – uansett om mottakeren befinner seg innenfor Norges grenser eller i et annet EØS-land. For det andre gjelder direktivets krav om fri utveksling av personopplysninger bare innenfor direktivets anvendelsesområde, jf artikkel 3 og kapittel 10 foran. I dette ligger at vi står fritt til å bestemme hvilke regler som skal gjelde for overføring av personopplysninger på områder som direktivet ikke regulerer – f eks politiets og påtalemyndighetens registre (regler om overføring av opplysninger på slike områder er ofte undergitt særskilt regulering). For det tredje må direktivet forstås slik at overføring til et annet EØS-land kan nektes dersom det aktuelle landet ikke har gjennomført EF-direktivet, jf forutsetningsvis artikkel 1 nr 1. Endelig står det enkelte land fritt til å stille krav til overføringsmåten, så framt kravene er de samme for innenlands overføringer. Begrepet fri utveksling må forstås med disse begrensningene når det brukes i det følgende.
Selv med de presiseringene som er nevnt i forrige avsnitt kan en ikke se bort fra at personopplysninger som overføres fra Norge til andre EØS-land blir behandlet annerledes enn de ville blitt i henhold til det norske regelverket. Dette skyldes at direktivet gir medlemslandene en viss frihet til selv å velge hvordan reglene skal være. Og det er ikke bare ulikt regelverk som gjør at overføringer utgjør en fare for personvernet. Opplysninger som overføres plasseres dermed i en ny sosial og kulturell virkelighet – i en annen sammenheng – som gjør at opplysningene kan tillegges et annet innhold enn det de ble tillagt i avsenderlandet. Et stykke på vei kan disse farene avhjelpes ved at det stilles krav til måten opplysningene overføres på. Utvalget viser til de generelle materielle reglene (f eks om krav til sikkerhet) som også gjelder ved videregivelse av opplysninger til utlandet.
Det synes klart at regelen i personregisterloven § 36 første ledd (plikt til å innhente samtykke fra Datatilsynet) ikke er forenlig med direktivets krav om uhindret flyt av personopplysninger innenfor EØS-området. Noe mer tvilsomt kan det være om dagens ordning med meldeplikt (forskriften § 8-1) kan opprettholdes. Ordlyden i direktivet (eller fortalen) oppstiller ikke noe uttrykkelig forbud mot at det enkelte land holder seg orientert om hvilke opplysninger som sendes ut. En meldeplikt som utløses av en (planlagt) overføring vil heller ikke legge materielle hindringer i veien for overføringen. Muligens kan en slik meldeplikt likevel hevdes å stride mot prinsippet om fri flyt av personopplysninger, fordi det på den måten knyttes plikter til overføringen. Uansett foreslår ikke utvalget at overføring av personopplysninger i seg selv utløser meldeplikt. Meldeplikten vil avhenge av om overføringen er en type behandling som etter loven (og forskriften) er meldepliktig.
Datatilsynet vil i de fleste tilfeller være informert om overføringene i samband med den alminnelige konsesjons- eller meldepliktsordningen. Dette skyldes at opplysningene gjerne vil ha vært gjenstand for en eller annen form for behandling før de blir sendt ut av landet, og den forutgående behandlingen vil – ihvertfall der den representerer en personverntrussel – ha vært gjenstand for meldeplikt eller konsesjonsplikt. I så fall vil meldingen eller konsesjonssøknaden fortelle om opplysningene senere skal overføres til et annet land, og eventuelt til hvilke(t) land det er snakk om. Dersom den opprinnelige meldingen ikke inneholdt opplysninger om overførsel av opplysningene til utlandet, må ny melding sendes hvor de nye opplysningene fremgår. I de tilfeller hvor det ikke på forhånd er foretatt noen behandling som utløser meldeplikt i Norge, og overføringen representerer en meldepliktig behandling, vil overføringen måtte meldes til Datatilsynet etter de vanlige reglene. Enkelte overføringer vil ikke utløse meldeplikt, for eksempel når opplysningene som overføres er allment tilgjengelig, jf lovforslaget § 31 tredje ledd.
16.4.2 Overføring av opplysninger til tredjeland
For overføring av personopplysninger til tredjeland, dvs land utenfor EØS-området, gir direktivet det enkelte land større frihet til å utforme reglene selv. Riktignok oppstilles det som hovedregel at det ikke må overføres personopplysninger til land som ikke har et tilfredsstillende beskyttelsesnivå (jf artikkel 25, gjengitt ovenfor), men direktivet åpner som nevnt for en rekke unntak fra denne hovedregelen (jf artikkel 26).
Overføring av personopplysninger til tredjeland krever et mer nyansert regelverk enn overføring av opplysninger innenfor EØS-området. Dette aktualiserer noen problemstillinger som ikke gjør seg gjeldende for overføring innen EØS området, se oversikten i de tre neste avsnittene.
For det første må det trekkes en nedre grense for hva som skal omfattes av reglene – hvor mye skal til før det dreier seg om en overføring som loven bør regulere? (se 16.4.2.1).
For det andre oppstår spørsmålet om den norske loven bør gå lenger i å avskjære overføring enn det direktivet gjør. Hvilke overføringsmuligheter bør vi gjennomføre i norsk lov? (se 16.4.2.2).
For det tredje må utvalget ta stilling til hvilke vilkår som skal stilles for overføring av personopplysninger til tredjeland (16.4.2.3), og endelig må det vurderes hvilket behov det er for tilsyn med slik overføring. Bør det kreves samtykke (konsesjon), eller er det tilstrekkelig med meldeplikt? (se 16.4.2.4).
16.4.2.1 Grensen mot frie overføringer til tredjeland
Verken direktivet eller utvalgets lovforslag regulerer enhver form for overføring av personopplysninger til tredjeland, se grensedragningen bokstav a) – e) nedenfor. Det betyr at overføringer som ikke reguleres av direktivet kan skje selv om rettstilstanden i tredjelandet ikke har et tilstrekkelig beskyttelsesnivå.
16.4.2.1.1 Private aktiviteter
Utvalget presiserer at verken direktivet eller den norske loven får anvendelse på rent personlige aktiviteter (jf 10.1.3.4). Dette medfører at overføring av personopplysninger som ledd i slik aktivitet ikke omfattes av reglene nedenfor. Verken direktivet eller loven er f eks til hinder for å sende personlig e-post til en venn i Afrika, og dette skal heller ikke meldes til tilsynsmyndigheten.
16.4.2.1.2 Skal opplysningene videregis?
I tråd med direktivet regulerer utvalgets lovforslag kun videregivelse av opplysninger til tredjeland. Dette fører bl a til at mange former for midlertidig overføring ikke reguleres. Et eksempel kan være at en forretningsmann tar med sin bærbare PC til USA. Dersom forretningsmannen beholder opplysningene for seg selv, finner det ikke sted noen videregivelse.
16.4.2.1.3 Overføring innen EØS-området via tredjeland
I redegjørelsen for gjeldende rett ble det pekt på at den som overfører elektronisk bare kan bestemme mottaker, og ikke hvilken rute opplysningene skal ta. Dette kan som nevnt f eks føre til at opplysninger som skal overføres til en adressat innenfor Norges grenser overføres via utlandet. Lovforslaget omfatter bare overføring av opplysninger som skal videregis til tredjelandet. Ved en ren transport via tredjelandet finner det åpenbart ikke sted noen videregivelse, og dette reguleres ikke av utvalgets lovforslag. Mer tvil knytter seg til tilfellene der opplysningene mellomlagres i utlandet som ledd i transitt. Det kan hevdes at mellomlagringen er videregivelse. På den andre siden ville en slik bokstavelig tolkning føre til uholdbare tilstander – dette understrekes allerede av at avsenderen normalt ikke har noen anelse om det skjer mellomlagring eller ei.
16.4.2.1.4 Bruk av internasjonale kommunikasjonskanaler
Bruk av internasjonale kommunikasjonskanaler som for eksempel Internett blir stadig mer utbredt, og nye overføringsmåter reiser spørsmål om bruken skal anses som overføring av personopplysninger. Noe generelt svar kan neppe gis – her som ellers må hver kommunikasjonsform vurderes for seg. Nedenfor gis noen nærmere vurderinger knyttet til et par eksempler på kommunikasjonsmuligheter som Internett gir.
Overføring av opplysninger via e-post må i utgangspunktet likestilles med bruk av andre kommunikasjonskanaler. Det forhold at oversendelsen skjer via Internett bør ikke i seg selv føre til at e-post undergis egne regler. Dersom e-post skal reguleres på annen måte enn andre kommunikasjonskanaler, må begrunnelsen være at særlige grunner tilsier dette. Det betyr at kommunikasjon via e-post til en mottager i Norge ikke er å anse som overføring (selv om posten går via utlandet). Det motsatte vil være tilfelle dersom mottageren befinner seg i utlandet. Den beste måten å vareta diskresjonsinteressen er formentlig å gjøre brukerne oppmerksomme på at man tar visse risiki ved å benytte ubeskyttet e-post. På denne måten er det opp til brukerne selv å avgjøre i hvilke tilfelle e-post er en hensiktsmessig kommunikasjonskanal.
Ved bruk av hjemmesider gjøres informasjon tilgjengelig også i utlandet. Mange hjemmesider vil allerede i utgangspunktet være unntatt fra direktivets og lovens anvendelsesområde: Rent personlige (private) hjemmesider omfattes ikke, jf 10.1.3.4. Virksomheters hjemmesider omfattes bare når de inneholder personopplysninger, jf 10.1.1.3 (f eks ren produktinformasjon omfattes ikke).
Hjemmesidene man etter dette står igjen med, kan reguleres på to forskjellige måter. For det første kan man videreføre dagens praksis, slik at å legge ut personopplysninger på en hjemmeside som kontrolleres fra Norge anses som utlevering av opplysningene. I så fall sondres det ikke mellom å gjøre opplysningene tilgjengelige innenfor eller utenfor landets grenser. Velges denne løsningen, reguleres bruk av hjemmesider på Internett av de vanlige reglene for utlevering av personopplysninger (f eks taushetspliktlovgivning) – grenseoverskridelsen fører ikke til særregulering.
En innvending mot å se på slik publisering som et spørsmål om utlevering (og ikke overføring til utlandet) er at det kan være mer betenkelig å gjøre opplysningene tilgjengelig i tredjeland enn innenfor landets grenser. Når opplysningene først gjøres tilgjengelige, er sjansen stor for at de også vil bli lastet ned og brukt i et land der norsk lov ikke gjelder, og hvor Datatilsynet ikke har jurisdiksjon. Alternativet til å se på bruk av hjemmesider som utlevering, er derfor å se på slik bruk som overføring av personopplysninger til utlandet, og la slik bruk (i utgangspunktet) følge reglene som foreslås senere i dette kapitlet.
Utvalget går inn for at publisering på Internett (f eks ved bruk av hjemmeside) er å anse som overføring av personopplysninger til utlandet. Se forøvrig kapittel 17 om forholdet til ytringsfriheten.
16.4.2.2 Hvilke overføringsmuligheter bør gjennomføres i norsk lov?
Direktivet artikkel 26 går langt i å tillate overføring av personopplysninger til tredjeland selv om beskyttelsesnivået ikke er tilstrekkelig. Det er opp til det enkelte land å bestemme om alle mulighetene skal benyttes. For utvalget har det vært avgjørende å se hen til om personvernhensyn varetas på en tilstrekkelig god måte dersom unntakene gjennomføres i norsk rett. Enkelte av unntaksmulighetene i artikkel 26 har i så måte voldt noe tvil. Dette gjelder unntaket i artikkel 26 nr 2 om at overføring kan finne sted dersom det gis avtalegarantier for hvordan opplysningene skal behandles i tredjelandet – den opplysningene gjelder vil normalt ikke være part i avtalen og av den grunn ikke ha noe innflytelse på innholdet.
Utvalget har likevel kommet til at adgangen som direktivet gir til å overføre opplysninger til tredjeland bør benyttes fullt ut. Begrunnelsen for dette er flerdelt. For det første er det vanskelig å ha oversikt over når det kan oppstå legitime behov for å overføre personopplysninger. Følgende eksempel kan illustrere poenget: De færreste U-land lovregulerer personvernspørsmål på en tilfredsstillende måte. Samtidig kan det tenkes situasjoner – for eksempel i forbindelse med et bistandsprosjekt – som kan forsvare at det overføres personopplysninger. Hvilke behov for overføring som kan oppstå i fremtiden er det vanskelig å ha noen kvalifisert oppfatning av i dag, og det er formålstjenlig at loven gir anledning til å løse slike lite forutsigbare behov på en smidig måte. For det andre har det liten betydning å lage strenge regler dersom et annet EØS-land går lenger i å tillate overføring til tredjeland. Det mer restriktive norske regelverket kan lett omgås ved først å overføre opplysningene til det mer liberale EØS-landet, for deretter å overføre det til den endelige destinasjonen. Dette siste forholdet tilsier nært samarbeid mellom EØS-landene både på lovgiverplan og mellom tilsynsmyndighetene.
Under enhver omstendighet er det på det rene at det må etableres rutiner for kontroll av overføring av personopplysninger til tredjeland. Formålet med tilsynet er å sikre at overføringen er forsvarlig ut fra personvernhensyn, se nedenfor 16.4.2.4.
16.4.2.3 Vilkår for overføring til tredjeland
Som det fremgår ovenfor mener utvalget det må legges avgjørende vekt på en vurdering av hvor god personvernbeskyttelse det aktuelle tredjelandet har. Som en følge av at EØS-landene og Kommisjonen må vurdere de ulike tredjelandenes personvernregler vil det raskt etableres en (også for Norge) veiledende praksis.
I tråd med direktivet foreslår utvalget at overføring av personopplysninger kan finne sted dersom beskyttelsesnivået i det aktuelle tredjelandet er tilstrekkelig. Hvorvidt beskyttelsesnivået er tilstrekkelig, skal vurderes ut fra alle reguleringsmetodene som det aktuelle tredjelandet anvender. Viktige momenter i vurderingen av beskyttelsesnivået gis i artikkel 25 nr 2. For eksempel skal det blant annet legges vekt på opplysningenes art og formålet med behandlingen av personopplysningene. Momentene er omtalt i merknadene til lovforslaget § 29. Utvalget vil her nøye seg med å peke på at direktivets oppregning av momenter ikke er uttømmende. Dette betyr at Datatilsynet kan se hen til ytterligere momenter i vurderingen av om beskyttelsesnivået er tilstrekkelig. Et moment som direktivet ikke nevner, men som det er naturlig å tillegge betydelig vekt, er om det aktuelle tredjelandet har forpliktet seg til å oppfylle Europarådets konvensjon (se kapittel 7).
I tillegg til at overføring av personopplysninger kan skje til tredjeland med et tilstrekkelig beskyttelsesnivå, foreslår utvalget at man i tråd med direktivet i visse tilfelle tillater overføring selv om beskyttelsesnivået i det aktuelle tredjelandets lovgivning ikke er tilstrekkelig. Artikkel 26 gir i alt 6 muligheter til eksport til land som ikke har lovgivning med et tilfredsstillende beskyttelsesnivå (se nr 1 bokstav a) – f). Vilkårene er nærmere behandlet i spesialmotivene (se merknadene til lovforslaget § 30). I tillegg kan overføring finne sted dersom mottakeren av personopplysningene gir tilstrekkelige garantier for at privatlivets fred og personenes grunnleggende rettigheter og friheter beskyttes. Garantiene kan fortrinnsvis hjemles i kontraktsbestemmelser, herunder standardkontrakter (jf artikkel 26 nr 4).
Utvalget foreslår også at bestemmelsen i forskriften § 8-1 siste ledd videreføres, slik at overføring kan skje når internasjonale forpliktelser krever dette.
16.4.2.4 Behov for tilsyn med overføringen?
Overføring av personopplysninger til tredjeland kan bare finne sted dersom nærmere bestemte vilkår er oppfylt. Vilkårene vil være nedfelt i loven, og må i utgangspunktet som for all annen lovgivning tolkes av borgerne selv. Det synes imidlertid klart at Datatilsynet – ihvertfall på noen områder – må føre kontroll med at vilkårene for overføringen er oppfylt. Det vil fremgå av meldingsskjemaene, eventuelt konsesjonssøknadene, hvorvidt en har til hensikt å videregi personopplysningene til et tredjeland (se 16.4.1). Dersom den opprinnelige meldingen ikke inneholdt opplysninger om overførsel av opplysningene til utlandet, må ny melding sendes hvor de nye opplysningene fremgår.
Datatilsynet må ha kompetanse til å nekte eller sette vilkår for fortsatt overføring.
Loven bør suppleres med forskriftshjemmel slik at justeringer kan foretas uten å måtte gå veien om lovendring.
17 Forholdet til ytringsfriheten
17.1 Innledning
17.1.1 Oversikt over problemstillingen og utvalgets forslag
Personregisterlovens regler om krav til saklighet og regler om innsyn, retting og sletting m m gjelder også for f eks pressens personregistre. I forhold til personregisterloven har likevel ytringsfrihetsspørsmål vært lite påaktet. At problemstillingen nå har kommet på dagsordenen, skyldes flere forhold som stikkordsmessig kan oppsummeres som nye teknologiske muligheter til å behandle personopplysninger, et mer omfattende saklig virkeområde for loven og flere lovregler om behandling av personopplysninger. Utvalget drøfter i dette kapitlet i hvilken grad det er nødvendig å gjøre unntak fra lovens regler for å finne en rimelig balanse mellom hensynene til personvern og ytringsfrihet. Direktivet artikkel 9 åpner for at slike unntak kan gjøres (se nærmere om artikkel 9 nedenfor).
Utvalget foreslår at det gjøres unntak fra loven der dette er nødvendig for å forene hensynet til ytringsfrihet med personvern. Hvor langt unntaket rekker, beror bl a på tolkningen av Grunnlovens og andre overordnede rettsnormers vern av ytringsfriheten. Dette innebærer at unntak må gjøres der det ville stride mot Grunnloven og internasjonale forpliktelser å la personopplysningsloven få anvendelse. Unntaket åpner imidlertid for at unntak også kan gjøres selv om den aktuelle interessen i ytringsfrihet ikke har grunnlovsvern. Om slike unntak skal gjøres beror på en avveining av personverninteresser mot hensynet til ytringsfrihet. Utvalget gir flere eksempler på hvordan slike avveininger kan gjøres.
17.1.2 Ytringsfrihetskommisjonens arbeid
Regjeringen har ved kongelig resolusjon 23 august 1996 nedsatt en ytringsfrihetskommisjon som vil se nærmere på avgrensningen av grunnlovsvernet for ytringsfrihet mot andre grunnleggende rettigheter og verdier. I kommisjonens mandat (jf pkt 5) heter det blant annet at et sentralt punkt i kommisjonens arbeid vil være å foreta en prinsipiell drøftelse av de interesser som kan komme i strid med denne friheten, og foreta en avveining av disse interessene i forhold til ytrings- og informasjonsfriheten. Utvalget legger til grunn at personvernhensyn er en interesse som ytringsfrihetskommisjonen kommer til å avveie i forhold til ytrings- og informasjonsfriheten. Kommisjonen skal avgi sin innstilling senest 1 juli 1999.
17.1.3 Oversikt over resten av kapitlet
Kapitlet er bygget opp slik at det først gjøres nærmere rede for bakgrunnen til og innholdet i artikkel 9 (17.3). Deretter forklares innholdet i de norske og internasjonale reglene som har betydning for unntaksvurderingene (17.4), før utvalget kommer med sine vurderinger (17.5). Men aller først er det av interesse å undersøke hvordan noen europeiske land (herunder Norge) i dag regulerer forholdet mellom personregisterlovgivning og ytringsfrihet.
17.2 Gjeldende rett i Norge og noen andre europeiske land
Personregisterloven inneholder ikke særregler eller unntak for personregistre som benyttes til de aktivitetene som direktivet nevner i artikkel 9 (jf 17.3). Lovens regler om f eks den enkeltes rett til innsyn i registrerte opplysninger om en selv og reglene om plikt til å rette eller slette uriktige personopplysninger gjelder også for personregistre som f eks benyttes til journalistiske formål. Det eneste unntaket for denne type virksomhet finnes i personregisterforskriften § 2-14 som unntar dags- og ukepressens personregistre til bruk i journalistisk virksomhet fra konsesjonsplikten i personregisterloven § 9.
Andre europeiske stater synes pr i dag å ha regulert forholdet til personregisterlovgivningen på tre forskjellige måter. I enkelte stater inneholder ikke personregisterlovgivningen noe uttrykkelig unntak for media. Dette er situasjonen i bl a Belgia, Spania, Portugal, Sverige og Storbritannia. Andre stater – herunder bl a Norge, Tyskland, Frankrike, Nederland, Østerrike, Finland og i noen grad Italia – har valgt å gjør unntak for media fra deler av personregisterlovgivningen. Endelig har noen stater som f eks Danmark valgt å unnta media fra anvendelsesområdet til den generelle personregisterlovgivningen, og i stedet gi særregler for slik virksomhet.
Oversikten i avsnittet ovenfor illustrerer ulike lovtekniske løsninger, men gir ikke sikre holdepunkter for hvordan de nevnte statene har avveid hensynet til ytringsfrihet mot personvernhensyn. For å vurdere dette, må man bl a også ta hensyn til konstitusjonelle regler, ulovfestede regler og tilsynsmyndighetenes praksis i det enkelte land.
17.3 Nærmere om direktivet artikkel 9
I følge direktivet artikkel 9 skal medlemstatene gjøre unntak fra de fleste av de alminnelige reglene for behandling av personopplysninger som utelukkende finner sted i journalistisk øyemed eller i kunstnerisk eller litterær virksomhet i den grad det er nødvendig for å forene retten til privatlivets fred med reglene for ytringsfrihet. Unntak kan gjøres fra de alminnelige reglene om behandling av personopplysninger (direktivet kapittel II), videregivelse av opplysninger til tredjeland (direktivet kapittel IV) og reglene om tilsynsmyndighetens kompetanse m v (direktivet kapittel VI). Derimot kan det ikke gjøres unntak for media fra reglene i direktivet kapittel I (alminnelige bestemmelser), kapittel III (rettsmidler, ansvar og sanksjoner), kapittel V (atferdskodekser) og kapittel VII (gjennomføringsbestemmelser). I det britiske høringsnotatet (Consultation Paper on the EC Data Protection Directive pkt 4.19 – Home Office 1996) og i Kommisjonens rekommandasjon 1/97 pkt 3 er det uttrykkelig sagt at et generelt unntak for enkelte bransjer, f eks pressens virksomhet, ikke er forenlig med direktivet. Utvalget forstår dette slik at unntak kun kan gjøres der dette er nødvendig av hensynet til ytringsfriheten.
I Kommisjonens rekommandasjon 1/97 oppstilles flere retningslinjer for hvordan artikkel 9 bør gjennomføres i den enkelte stats interne rett. Blant annet understrekes det at unntak må bygge på proporsjonalitetsprinsipper i den forstand at det bare kan gjøres unntak fra direktivbestemmelser som kan true ytringsfriheten, og bare så langt det er nødvendig for å oppnå en tilfredsstillende balanse mellom hensynet til personvern og ytringsfriheten.
Videre fremheves det at unntak ikke er nødvendig dersom direktivbestemmelsene (og forutsetningsvis de enkelte lands forslag til lovbestemmelser) er formulert på en så smidig måte at hensynet til media m v kan varetas på en tilstrekkelig måte innenfor de rammene bestemmelsens ordlyd setter.
For det tredje fremgår det at unntak ikke kan gis utelukkende til utvalgte yrkesgrupper som f eks journalister. Unntakene må gjelde for enhver som behandler personopplysninger for et journalistisk formål. Det er således hensikten med og arten av behandlingen som er avgjørende, og ikke den formelle yrkesmessige statusen til den som forestår behandlingen.
Rekommandasjonen tydeliggjør også at direktivet forutsetter en avveining av to grunnleggende interesser, og at et viktig moment i denne interesseavveiningen er om og eventuelt i hvilken grad den registrerte gis rettigheter i forhold til media – som f eks rett til å komme med replikk eller få rettet uriktige opplysninger. Mer generelt er det av interesse om det foreligger atferdsnormer (som f eks Vær varsom-plakaten) som tar hensyn til den registrertes interesser.
17.4 Omriss av Grl § 100 og EMK artikkel 8 og 10 som skranker for ny lov om behandling av personopplysninger
Ytringsfriheten beskyttes i norsk rett av Grl § 100. Første punktum slår fast at Trykkefrihed bør finde Sted. Ordet bør må leses som skal. Grunnloven oppstiller med andre ord et absolutt forbud mot at det innføres et system med forhåndssensur av bøker eller andre trykte skrifter. Også ordet Trykkefrihed må fortolkes på sin historiske bakgrunn. Bestemmelsen ble gitt som en reaksjon mot det gamle sensursystemet. Det Grunnlovens forfattere først og fremst ville forby var en administrativ og endelig avgjørende forhåndssensur, hvor en skriftlig ytring kunne forbys uten at ytringens lovlighet ble prøvet av domstolene (jf Bredo Morgenstierne, Lærebog i Den norske statsforfatningsret, 2 utg Kristiania 1909 s 638). Juridiske forfattere har imidlertid vært enige om at bestemmelsen også beskytter mot et sensursystem som er underlagt domstolenes judisielle prøvelse. Grunnloven § 100 første punktum må derfor sies å beskytte friheten til å trykke et hvilken som helst skrift uten at dette betinges av en forutgående prøvelse av skriftets lovlighet. Det er verdt å merke seg at Grunnloven på dette punkt ikke sondrer mellom skriftlige ytringers innholdsmessige karakter. Bestemmelsen beskytter ikke bare tradisjonell journalistisk virksomhet, men enhver som tar sikte på publisering i et trykt skrift (f eks historikere, forfattere etc). Videre ville friheten til å trykke vært meningsløs uten friheten til å utgi trykte skrifter. Grunnloven § 100 første punktum sikter derfor ikke bare mot den tekniske trykkeprosessen. Bestemmelsens siktemål er å forby at det legges hindringer i veien for publikasjonen av trykte skrifter (Slik også Eggen i uttrykt vedlegg side 4).
Ytringsfriheten beskyttes også av artikkel 10 i den europeiske menneskerettighetskonvensjonen (EMK) og artikkel 19 i FNs konvensjon om sivile og politiske rettigheter (SP). Ordlyden i EMK artikkel 10 er nokså lik ordlyden i SP artikkel 19. Sett hen til at Den europeiske menneskerettighetskommisjonen og – domstolen har tolket artikkel 10 på en måte som gjør at den har fått omfattende rekkevidde, kan det vanskelig tenkes at SP artikkel 19 setter mer omfattende skranker for lovgivningsmakten (jf Eggen side 1). Utvalget har derfor i hovedsak lagt vekten på EMK artikkel 10, jf direktivets fortale pkt 37. EMK artikkel 8 beskytter privatlivet, og Menneskerettighetsdomstolen har i sin praksis utviklet bestemmelsen slik at den også setter skranker for elektronisk behandling av personopplysninger, jf 9.3.
17.5 Utvalgets vurderinger
17.5.1 Innledning
Utvalget har tidligere pekt på at direktivet nytter uttrykket behandling av personopplysninger på en måte som gjør at direktivets saklige anvendelsesområde blir meget omfattende. Meget av det som ligger innenfor arbeidsområdet til f eks en journalist – f eks arkivundersøkelser, intervjuer, reportasjearbeid m v – vil kunne omfattes (i den grad dette representerer elektronisk behandling eller det opprettes manuelle personregistre).
Hensynet til personvern vil et stykke på vei være varetatt gjennom annen lovgivning som har særlig stor betydning for medias behandling av personopplysninger, som f eks injurielovgivningen og taushetspliktbestemmelser (som begrenser tilgangen til f eks opplysninger om personlige forhold), og brudd på denne lovgivningen kan forfølges rettslig. I tillegg har f eks pressen tradisjonelt lagt vekt på atferdsnormer (som f eks Vær Varsom-plakaten og Redaktørplakaten) og selvdømmeordninger (som f eks Pressens Faglige Utvalg, Fagpressens Faglig-etiske utvalg og NRKs klagenemnd). Det må også tillegges vekt at pressen skal fylle funksjonen som den fjerde statsmakt og uavhengig samfunnsrefser, noe som kan gjøre det nødvendig og ønskelig at myndighetene viser en viss tilbakeholdenhet med myndighetsinngrep og regulering.
På den annen side må det også tas i betraktning at ny teknologi øker mulighetene både for organisasjoner, virksomheter og enkeltpersoner til å behandle personopplysninger med tanke på publisering, og de færreste av disse vil ta hensyn til massemedias egne regler og selvdømmeordninger. Å lage differensierte regler ut fra i hvilken grad den som benytter seg av ytringsfriheten respekterer slike bransjevise atferdsnormer er praktisk vanskelig og av hensyn til ytringsfriheten prinsipielt betenkelig.
Vurderingen av hvilke unntak og modifikasjoner som bør gjøres fra de alminnelige regler av hensyn til ytringsfriheten må skje bl a på grunnlag av Grl § 100 og EMK artikkel 10. Utvalget har på denne bakgrunn valgt å gi en generell regel som gjennomfører direktivet artikkel 9 (se lovforslaget § 5). En slik generell regel tar hensyn til at de overordnede reglene om ytringsfrihet ikke er statiske, men i stadig utvikling (særlig gjelder dette EMK artikkel 10). Nedenfor gis noen eksempler på hvordan unntaksbestemmelsen vil virke. Det sondres i den forbindelse mellom unntak fra materielle regler (dvs regler som direkte sier noe om hvordan personopplysninger kan eller skal behandles), og regler om Datatilsynets kontroll.
17.5.2 Eksempler på unntak fra lovens materielle regler
Enkelte av lovens materielle bestemmelser vil det meget sjelden være behov for å gjøre unntak fra for å finne frem til en rimelig balanse mellom personvern og hensynet til ytringsfriheten. Dette gjelder f eks de generelle bestemmelsen om at personopplysninger bare kan samles inn til lovlige og uttrykkelig angitte formål og bestemmelsen om sikring av personopplysninger. I forhold til andre lovbestemmelser vil derimot slike unntak som den store hovedregelen være påkrevet. Dette gjelder f eks bestemmelsene om bruk av sensitive personopplysninger (lovforslaget § 9), og om bruk av personopplysninger til andre formål enn de opprinnelig er innsamlet for (lovforslaget § 8).
I forhold til en del bestemmelser kan unntaksvurderingen føre til at bestemmelsen delvis får anvendelse så langt dette er forenlig med en rimelig balanse mellom personvern og ytringsfrihet. Dette gjelder f eks bestemmelsen som pålegger den behandlingsansvarlige plikt til å varsle den registrerte når det samles inn opplysninger fra andre kilder enn den registrerte selv (lovforslaget § 21). I en del tilfelle kan hensynet til ytringsfriheten varetas innenfor den rammen bestemmelsens ordlyd setter – for eksempel slik at det ikke er påkrevet med varsel fordi dette ville være uforholdsmessig vanskelig (jf lovforslaget § 21 annet ledd). Dette er imidlertid ikke alltid tilstrekkelig for å finne frem til en tilfredsstillende balanse mellom personvern og hensynet til ytringsfriheten. Plikt til å varsle på et tidlig stadium i journalistiske undersøkelser kan f eks undergrave muligheten til å hemmeligholde reportasjeideer, hvilket igjen kan redusere f eks journalisters og forfatteres mulighet til å sette dagsorden for den offentlige debatt. Varslingsplikten må derfor under enhver omstendighet modifiseres slik at det ikke er å nødvendig å varsle før opplysningene publiseres. Og dersom varsling da ville være uforholdsmessig vanskelig, faller plikten helt bort.
For de ulike innsynsreglene blir spørsmålet om slike regler kan komme i strid med prinsippet om journalisters kildevern (jf Eggen side 2 og 16 flg). Med kildevern menes i vår sammenheng en rett til å nekte å oppgi hvem som har gitt fra seg personopplysningene som er eller som vil bli behandlet. Kildevernet er ikke direkte beskyttet av Grunnloven § 100, og det oppstår neppe noen problemer i forhold til den konstitusjonelle beskyttelsen av ytringsfriheten. EMK artikkel 10 verner imidlertid behovet for kildebeskyttelse. Ethvert inngrep i denne friheten må kunne forsvares som nødvendig i et demokratisk samfunn. I en kjent sak (EMD case of Goodwin vs the UK, judgement of 27 mars 1996, § 39 annet avsnitt) uttalte Menneskerettighetsdomstolen bl a at beskyttelse av kilder er en grunnleggende forutsetning for pressefrihet, og at inngrep i dette vernet krever sterke grunner ( overriding requirement in the public interest). I den utstrekning innsyn vil krenke kildevernet må altså Datatilsynets eller den registrertes innsynsrett kunne begrunnes i tungtveiende grunner for at innsynsretten skal være forenlig med EMK artikkel 10, og nødvendighetsvurderingen må prinsipielt sett foretas i konkrete enkeltsaker. På bakgrunn av den vekt Den europeiske menneskerettighetsdomstolen tillegger kildevernet vil inngrep i dette vernet i form av innsynsrett bare helt unntaksvis kunne forsvares.
Plikten til å gi den som ber om det generell informasjon om behandling av personopplysninger (lovforslaget § 16) er imidlertid så generell og har et så begrenset omfang at det ikke skaper problemer i forhold til kildevernet, se merknadene til denne bestemmelsen.
Videregivelse av personopplysninger til utlandet kan for eksempel skje ved at opplysningene gjøres tilgjengelige på Internett eller via andre internasjonale informasjonskanaler (se nærmere kapittel 16), eller ved at personopplysninger som er publisert i f eks en biografi eller i en avis kjøpes i Norge og tas med til utlandet. Felles for disse overføringsmåtene er at de gjerne er utslag av behandling av personopplysninger i journalistisk øyemed, eller foretatt som ledd i kunstnerisk eller litterær virksomhet. I slike tilfeller må det gjøres unntak fra reglene om videregivelse av opplysningene til utlandet.
17.5.3 Unntak fra Datatilsynets kontroll
Et krav om konsesjon for å behandle personopplysninger som ledd i f eks journalistisk virksomhet ville reist spørsmål i forhold til Grunnloven § 100 første punktum. Selv om formålet med en konsesjonsordning ikke er å etablere noe sensursystem, vil konsesjonsordningen innebære at et administrativt organ (Datatilsynet) har kompetanse til å utøve et betydelig skjønn ved sin konsesjonsbehandling, både mht om konsesjon skal gis og eventuelt på hvilke vilkår. Det kan hevdes å være en teoretisk mulighet for at det i konsesjonsvurderingen kan komme til å bli tatt hensyn til søkerens politiske profil, forholdet til offentlige myndigheter, avisens innhold etc. At det finnes en slik teoretisk mulighet kan tale for å anse konsesjonsplikt som brudd på Grunnlovens forbud mot forhåndssensur, se om en lignende problemstilling Eivind Smith: Konstitusjonelle sider av lovgivning om eierbegrensninger m v i media (Vedlegg VI til NOU 1995: 3 s 143). Lovforslaget legger imidlertid opp til at det bare skal være konsesjonsplikt for behandling av sensitive personopplysninger der opplysningene benyttes til å treffe enkeltvedtak eller andre enkeltavgjørelser som direkte får rettsvirkninger for enkeltpersoner, jf lovforslaget § 33 og § 2 nr 9. Virksomhet som nevnt i artikkel 9 fyller ikke disse vilkårene og vil derfor uansett ikke være konsesjonspliktig. Det vil derfor ikke være nødvendig å gjøre unntak fra konsesjonsplikten av hensyn til ytringsfriheten (slik også Eggen side 4).
Lovforslagets bestemmelser om meldeplikt (se lovforslaget §§ 31 og 32) vil i utgangspunktet få anvendelse på all elektronisk behandling av personopplysninger, herunder behandling av personopplysninger i journalistisk øyemed og kunstnerisk eller litterær virksomhet. Meldeplikten innebærer ikke noe krav om forhåndsgodkjennelse av et administrativt organ, men krever at det sendes inn et skjema som på generelt grunnlag beskriver behandlingen av personopplysningene.
Utvalget kan ikke se at Grl § 100 skulle være til hinder for at også behandling av personopplysninger i bl a journalistisk øyemed omfattes av meldeplikten (slik også Eggen side 8 flg). Meldeplikten gjelder bare generelle opplysninger og ikke opplysninger om den enkelte sak. Det er bare et spørsmål om å gi slik generell informasjon til Datatilsynet, og ikke tale om å etablere grunnlag for noen form for sensur. Det vil derfor ikke være nødvendig å gjøre unntak fra reglene om meldeplikt av hensyn til ytringsfriheten. Spørsmål om å gjøre et slikt unntak blir derfor et spørsmål om hensiktsmessighet.
Det vil variere i hvilken grad Datatilsynet vil kunne gjøre seg nytte av informasjonen som følger av meldingen. For f eks etablert pressevirksomhet er det usikkert om meldingen vil bringe frem opplysninger som ikke allerede er kjent. For andre grupper, f eks virksomheter, organer og enkeltpersoner som benytter seg av ny teknologi til å publisere ytringer, kan meldingene gi informasjon som ikke tidligere var kjent, og som anses som verdifull av hensynet til varetakelse av personvernet. Når utvalget ikke velger å gå inn for et generelt unntak fra meldeplikt for f eks behandling av personopplysninger i journalistisk øyemed, skyldes dette blant annet at artikkel 9 er utformet så vidt at den omfatter mer enn tradisjonell journalistikk, og at det av hensynet til ytringsfriheten neppe bør finne sted noen forskjellsbehandling (se nærmere om dette foran 17.3). Den behandlingsansvarlige ville dessuten uansett ha plikt til å ha visse opplysninger tilgjengelige, jf lovforslaget § 16. Meldeplikten bør derfor gjelde generelt (en annen ting er at pressens behandling av personopplysninger i mange tilfeller vil være unntatt fra meldeplikt etter lovforslaget § 31 tredje ledd).
Forsåvidt gjelder Datatilsynets tilgang på opplysninger (lovforslaget § 38) vises det til fremstillingen foran om unntak fra de materielle reglene, der det konkluderes med at Datatilsynets og den registrertes innsynsrett bør vike i den grad innsynet kommer i konflikt med hensynet til kildevern.
Datatilsynet kan med hjemmel i lovforslaget § 40 gi pålegg om at behandling i strid med loven skal opphøre eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven. Dersom pålegget ikke overholdes kan Datatilsynet ilegge den avgjørelsen retter seg mot en daglig løpende mulkt (lovforslaget § 41).
For virksomhet som omfattes av direktivet artikkel 9 vil Datatilsynets kompetanse til å gi pålegg være begrenset til de tilfellene hvor man ikke har funnet det nødvendig å gjøre unntak fra de materielle reglene av hensyn til ytringsfriheten. Spørsmålet her blir om det av hensyn til ytringsfriheten er grunn til å gjøre ytterligere unntak fra Datatilsynets påleggskompetanse.
Utvalget har ikke funnet grunn til å unnta virksomhet som omfattes av direktivet artikkel 9 fra Datatilsynets kompetanse etter §§ 40 og 41 generelt. Utvalget vil imidlertid presisere at hensynet til ytringsfriheten tilsier at Datatilsynet viser stor tilbakeholdenhet med å bruke denne kompetansen. Grunnloven § 100 er overordnet loven om behandling av personopplysninger og legger føringer på Datatilsynet sin virksomhet. Kompetansen i §§ 40 og 41 må også utøves slik at den ikke kommer i konflikt med Norges internasjonale forpliktelser.
I de tilfellene hvor Datatilsynet ikke finner det mulig eller hensiktsmessig å bruke sin påleggskompetanse, kan det være aktuelt for Datatilsynet å utøve en ombudsfunksjon, hvilket innebærer å komme med kritikk og sette søkelyset på problemstillinger som er viktige ut fra personvernhensyn (dette kan f eks gjøres i årsmeldingen, jf direktivets fortale pkt 37 siste punktum).
Å sørge for at de av lovens regler som gjelder blir respektert, bør for øvrig på området for artikkel 9 først og fremst være en oppgave for de behandlingsansvarlige selv og de forbund og organisasjoner de er medlemmer av (se om pressens etiske regler og selvdømmeordninger i 17.5.1).
Direktivet gir ikke adgang til å unnta fra sanksjoner og domstolskontroll. Dette følger av at direktivet kapittel III som inneholder regler om rettsmidler, ansvar og sanksjoner ikke omfattes av unntakshjemmelen i artikkel 9. Også domstolene må imidlertid tolke lovens bestemmelser i lys av hensynet til ytringsfrihet.
17.5.4 Litt om hva som er journalistisk øyemed og kunstnerisk eller litterær virksomhet
Det er tidligere påpekt at unntak etter artikkel 9 ikke kan gis utelukkende til utvalgte yrkesgrupper, men at unntakene må gjelde for enhver som behandler personopplysninger i journalistisk øyemed eller for kunstnerisk eller litterær virksomhet.
Hvorvidt formålet med og arten av behandlingen faller inn under disse kategoriene må avgjøres konkret. Det er således ikke sikkert at enhver publisering fra en etablert pressevirksomhet skjer i journalistisk øyemed. Samtidig kan en rekke publiseringer fra andre typer virksomheter, enkeltpersoner og organisasjoner skje i slikt øyemed selv om dette ikke vanligvis omfattes av virksomhetens eller organisasjonens formål. En slik grensedragning har også vært foretatt etter personregisterloven i dag. I vedtak 28 februar 1997 stadfestet Justisdepartementet Datatilsynets vedtak om avslag på søknad fra Økonomisk Rapport om tillatelse til å motta og lagre skattelister (opprette personregister som skal gjøre bruk av elektroniske hjelpemidler, jf personregisterloven § 9) for produksjon av skattebøker (Justisdepartementets ref 96/12128 A-AP ALS/kw). Vedtaket bygger på en forutsetning om at Økonomisk Rapports utgivelse av skattebøker ikke er journalistisk virksomhet, jf personregisterforskriften § 2-14 som fritar Dags- og ukepressens personregister til bruk i journalistisk virksomhet [...] fra konsesjonsplikten etter personregisterloven § 9 første ledd.
18 Tilsynsmyndigheten
18.1 Innledning – mandatet og oversikt over kapitlet
I utvalgets mandat bokstav a heter det at utvalget skal vurdere hvilke oppgaver som bør ligge til Datatilsynet i fremtiden. Mandatet pålegger i tillegg utvalget å vurdere hvilken stilling Datatilsynet bør ha i forhold til regjeringen og Justisdepartementet, herunder regjeringen og departementets instruksjons- og kontrollmyndighet.
Når det gjelder spørsmålet om hvilke oppgaver Datatilsynet bør ha i fremtiden, er dette i stor grad allerede behandlet i kapittel 12 om reguleringsteknikker. Mange av reguleringsteknikkene, f eks konsesjons- og meldeplikt, forutsetter et Datatilsyn, og gir således uttrykk for tilsynets fremtidige oppgaver. Under 18.2 vil utvalget komme med noen mer prinsipielle synspunkter på hvilke funksjoner tilsynet bør ha, og hvordan disse bør løses. Dessuten må det vurderes om tilsynet har fått slik kompetanse som direktivet krever at det skal ha.
Hoveddelen av kapittel 18 dreier seg om hvordan tilsynsmyndigheten (Datatilsynet og Personvernnemnda) bør organiseres og plasseres i forhold til forvaltningen for øvrig (18.3). Utvalget foreslår bl a at tilsynsmyndigheten får større uavhengighet av den utøvende makt enn tilfellet er i dag.
Til slutt i kapittel 18 behandles domstolsprøving av tilsynsmyndighetens avgjørelser.
18.2 Datatilsynets oppgaver i fremtiden
18.2.1 Oversikt
Først presenteres noen prinsipielle synspunkter på tilsynets funksjoner i fremtiden (18.2.2). Deretter vurderes forholdet til direktivet (18.2.3).
18.2.2 Noen prinsipielle synspunkter
Datatilsynet bør videreutvikle sin kompetanse og sin kapasitet med tanke på å imøtekomme behov for et miljø som kan identifisere og formulere personverntrusler, og som kan være i stand til å anvise hvorledes de kan unngås eller begrenses. Datatilsynet bør også ha som oppgave å kontrollere om lovbestemmelser og lovhjemlede vedtak faktisk etterleves.
For å nå disse målene vil tilsynet ha behov for informasjon om personopplysningsbrukerne; informasjon om hvem de er, hvor de er og hva de gjør. Innhenting av denne informasjonen kan skje på flere måter, som for eksempel gjennom meldinger, konsesjonsbehandling, kontrollvirksomhet og mer ombuds-preget virksomhet (for eksempel rådgiving).
En av Datatilsynets viktigste funksjoner vil være å bevisstgjøre folk om hvilken betydning deres aktivitet har for personvernet, og om hvilke tiltak som kan settes i verk for å sikre at hensynet til personvern varetas. Manglende kunnskap om personvern kan føre til at personvern ikke tas med i betraktningen, eller til at personvern tillegges mindre vekt enn ønskelig. Foran i utredningen har utvalget pekt på hvor viktig det er at personvernhensyn tas i betraktning ved utviklingen og anvendelsen av nye teknologiske løsninger (se kapittel 4). For at dette skal være mulig må de teknologiske miljøene tilføres kunnskap om personvern. Datatilsynet har kompetanse som forener prinsipiell personverntenkning med teknologisk innsikt, og bør ha som oppgave å stimulere personvernfremmende teknologi i samarbeide med private og offentlige interessenter innen norske IT-miljøer og IT-forskning.
Også andre former for frivillig kontakt mellom Datatilsynet og personopplysnings-brukere er ønskelig. Datatilsynet bør for eksempel medvirke og stimulere til at personvern kan bli en ombuds-funksjon i bedrifter, etater, organisasjoner og interessegrupper. Datatilsynet bør dessuten bruke sin kompetanse til å bistå i utformingen av profesjonsetiske retningslinjer (se kapittel 12.5.9 om bransjevise atferdsnormer).
Mer generelt bør Datatilsynet settes i stand til å påta seg forholdsvis konkret rådgivning ved spørsmål om planlegging, gjennomføring og evaluering av virksomhet innenfor privat og offentlig sektor som har betydning for personvernet. Datatilsynet mottar i dag en rekke henvendelser om å delta i ulike prosjekt- og planleggingsgrupper, men kan av kapasitetshensyn bare imøtekomme et fåtall av henvendelsene (jf Årsmelding for Datatilsynet 1995 i St meld nr 15 1996-97 s 8 v sp).
Selv om utstrakt rådgivning kan føre til kunnskap om og respekt for personvernhensyn, er det grunn til å tro at ikke alle vil respektere personvernet i tilstrekkelig grad. Det er derfor nødvendig at Datatilsynet også har som oppgave å kontrollere at lovens bestemmelser faktisk blir fulgt i praksis. Kontrollen vil iht det nye lovforslaget i noen grad finne sted på forhånd gjennom vurdering av konsesjonssøknader, men fokus vil nå særlig bli satt på etterfølgende kontroll. Den etterfølgende kontrollen baserer seg dels på meldeplikten som gir informasjon til tilsynet om forhold det kan være grunn til å kontrollere, og dels på en kompetansebestemmelse som gir Datatilsynet mulighet til å gi pålegg der kontrollen avslører at loven ikke blir fulgt.
Utvalget ser det som sannsynlig at internasjonaliseringen av personvernspørsmål og utviklingen av internasjonale forpliktende avtaler og institusjoner for varetakelse av personvernhensyn, vil prege arbeidet i Datatilsynet i fremtiden. Dette må få ressursmessige konsekvenser ikke bare for bemanningssituasjonen, men også når det gjelder medarbeidernes kvalifikasjoner.
Det er i denne sammenheng nødvendig å være oppmerksom på at det vil kunne oppstå situasjoner der en utvidelse av Datatilsynets ansvar knyttet til forvaltning av for eksempel internasjonale samarbeidsprosjekter vil kunne skape konflikt eller uklarheter. I særlige ugunstige tilfeller vil dette kunne berøre den tillit og integritet Datatilsynet også i fremtiden vil være avhengig av for å kunne løse sine forvaltningsoppgaver på en god måte.
18.2.3 Forholdet til direktivet artikkel 28
18.2.3.1 Innledning – problemstillingen
Etter artikkel 28 nr 1 skal hvert av medlemslandene utpeke minst én offentlig tilsynsmyndighet som skal påse at reglene som gis til gjennomførelse av direktivet, overholdes. I Norge er denne tilsynsmyndigheten Datatilsynet. Tilsynsmyndigheten(e) skal tillegges en rekke funksjoner, og det er forutsatt at de(n) skal utøve sine oppgaver i full uavhengighet (se nærmere om dette under 18.3). I artikkel 28 nr 2-7 gis utfyllende – men ikke uttømmende – oversikt over tilsynets kompetanse. I det følgende vurderes det om funksjonene som tillegges Datatilsynet i kapittel 12 er tilstrekkelig til å oppfylle direktivet.
18.2.3.2 Høringsarbeid
I henhold til artikkel 28 nr 2 skal Datatilsynet uttale seg bl a når det utarbeides lover og forskrifter av betydning for behandling av personopplysninger. Av personregisterloven § 3 nr 4 fremgår det at Datatilsynet etter henvendelse eller av eget tiltak skal gi uttalelse i generelle spørsmål som gjelder bruk av personopplysninger, men loven oppstiller ikke noen plikt til å høre Datatilsynet slik direktivet gjør. Rent faktisk er direktivet oppfylt, Datatilsynet bidrar allerede aktivt i forskjellig høringsarbeid og på et videre felt enn det direktivet krever. Deltagelse i høringsarbeid bør etter utvalgets syn fortsatt være en viktig oppgave for Datatilsynet. Det bør vurderes om det er hensiktsmessig å endre utredningsinstruksen slik at plikten til å høre Datatilsynet også fremgår av denne.
18.2.3.3 Tilgang til opplysninger m m
I henhold til artikkel 28 nr 3 første strekpunkt skal tilsynsmyndighetene ha kompetanse til å samle inn alle opplysninger som er nødvendige for å kunne utføre tilsynsoppgavene. Tilsynsmyndighetene skal også kunne iverksette undersøkelser og kreve tilgang til personopplysninger som behandles. Slik kompetanse har Datatilsynet i dag, jf personregisterloven § 5, som utvalget foreslår at videreføres i den nye loven (se lovforslaget § 38).
Særlige spørsmål oppstår der den som forklarer seg til Datatilsynet har brutt lovgivningen slik at det kan være aktuelt med strafforfølgning. Etter straffeprosessloven har den som er mistenkt for en forbrytelse rett til å nekte å bidra til sin egen domfellelse ved å forklare seg (jf straffeprosessloven § 90). Denne bestemmelsen gjelder imidlertid bare når strafforfølgning er iverksatt, Datatilsynets mistanker om straffbare forhold er ikke tilstrekkelig. I lys av praksis fra menneskerettighetsdomstolen kan det spørres om retten til å nekte å forklare seg bør utvides til også å gjelde granskningsstadiet i forvaltningssaker. Problemstillingen reiser vanskelige prinsipielle spørsmål av generell karakter som utvalget ikke har hatt anledning til å gå nærmere inn på (jf nærmere Morten Eriksens artikkel Plikt til å uttale seg om egne og nærståendes straffbare forhold i forvaltningssaker i Juristkontakt nr 7 for 1996).
Artikkel 28 nr 3 andre strekpunkt inneholder en rekke beføyelser som skal tilkomme tilsynsmyndighetene. For det første skal de ha kompetanse til å gripe effektivt inn ved behandlinger som omtalt i artikkel 20 (behandlinger som medfører særlige risiki for personers rettigheter og friheter), for eksempel ved å uttale seg før behandlingene iverksettes. Dette kravet er oppfylt gjennom de foreslåtte reglene om konsesjonsbehandling, se 12.5.5 og lovforslaget § 33. I tillegg kreves det at tilsynsmyndighetene skal offentliggjøre uttalelsene på en passende måte. Hva som er passende, sier ikke direktivet noe om. Utvalget mener for sin del at plikten til offentliggjøring er tilstrekkelig varetatt gjennom årsmeldingen, ulike informasjonstiltak for øvrig samt mulighet til innsyn i Datatilsynets dokumenter iht offentlighetsloven.
For det andre følger det av andre strekpunkt i artikkel 28 nr 3 at tilsynsmyndighetene skal ha kompetanse til å kreve at opplysninger blokkeres, slettes eller tilintetgjøres. Datatilsynet har i medhold av personregisterloven § 8 annet ledd kompetanse til å pålegge retting, sletting eller supplering av uriktige opplysninger, og utvalget foreslår at denne bestemmelsen videreføres og suppleres med en ny bestemmelse om sletting av personopplysninger, se nærmere 11.5 og lovforslaget §§ 25 og 26.
For det tredje følger det av andre strekpunkt i artikkel 28 nr 3 at tilsynsmyndighetene enten skal kunne
forby en behandling av personopplysninger, eller
utstede en advarsel til den behandlingsansvarlige, eller
påtale en overtredelse overfor den behandlingsansvarlige, eller
høre nasjonalforsamlingen eller andre nasjonale politiske institusjoner.
Det siste strekpunktet er oppfylt ved at Datatilsynet gjennom sin årsmelding (se nedenfor) hører Stortinget slik direktivet legger opp til. For øvrig gir utvalgets lovforslag § 40 Datatilsynet kompetanse til å gi pålegg om at behandling av personopplysninger i strid med loven skal opphøre eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven, se merknadene til lovforslaget § 40.
I artikkel 28 nr 3 tredje strekpunkt heter det at tilsynsmyndighetene skal kunne bringe overtredelser inn for domstolene, eller gjøre domstolene oppmerksomme på overtredelsene. Det siste alternativet passer best i land med en inkvisisjonsbasert straffeprosess, dvs land der domstolen selv tar initiativ til å forfølge straffbare forhold. Slik norsk straffeprosess er bygget opp, ville det ha liten mening å gjøre domstolene oppmerksomme på et straffbart forhold uten ytterligere oppfølgning. Direktivet er på dette punkt tilstrekkelig gjennomført i norsk rett ved at Datatilsynet kan anmelde overtredelser av personregisterloven til politiet og påtalemyndighetene for strafferettslig forfølgning ved domstolene. Direktivet kan ikke forstås slik at tilsynsmyndighetene selv skal ha påtalekompetanse.
18.2.3.4 Anmodning om kontroll
I henhold til artikkel 28 nr 4 første ledd skal enhver kunne henvende seg til tilsynsmyndighetene og be om beskyttelse av rettigheter og friheter i forbindelse med behandling av personopplysninger. Bestemmelsen omfatter for eksempel tilfeller der den registrerte ønsker å få kontrollert om loven er blitt eller vil bli fulgt. Direktivet pålegger ikke tilsynsmyndighetene å prioritere enhver slik henvendelse, men har plikt til å underrette datasubjektet om hvordan saken er fulgt opp. Bestemmelsen må anses å være gjennomført gjennom Datatilsynets praksis. Tilsynet mottar og behandler mange henvendelser fra enkeltpersoner, jf Årsmelding for Datatilsynet 1995 s 9 h sp:
«Mange av henvendelsene til Datatilsynet tar også opp saker som ikke er direkte knyttet til søknader om oppretting av registre eller å drive konsesjonspliktig virksomhet. Henvendelsene omfatter andre deler av personregisterloven og tar gjerne opp temaer som er aktuelle i samfunnsdebatten eller som knytter seg direkte til enkeltpersoners hverdagsliv. Dette gjelder spørsmål om overvåking, utlegging av skattelister, adressert reklame i posten, innsyn i registre, sletting av opplysninger, bruk av fødselsnummer med mer. Datatilsynet mottok for eksempel 102 skriftlige henvendelser om innsyn i ulike registre i 1995.»
Artikkel 28 nr 4 annet ledd bestemmer at enhver skal ha rett til å anmode om at tilsynsmyndighetene kontrollerer lovligheten av en behandling på områder hvor det i medhold av artikkel 13 er gjort innhogg i individuelle rettigheter. Direktivet må forstås slik at Datatilsynet har plikt til å følge opp denne type saker. Dette kan utledes av siste punktum i annet ledd, hvor det heter at den som har kommet med anmodningen skal underrettes om at det er foretatt en kontroll. Hvor grundig kontrollen skal være, må avgjøres av tilsynsmyndigheten. En slik plikt til å følge opp henvendelser fra borgerne følger av alminnelige forvaltningsrettslige prinsipper, og utvalget ser ikke behov for å lovfeste denne plikten.
18.2.3.5 Årsmelding
I artikkel 28 nr 5 heter det at hver tilsynsmyndighet med regelmessige mellomrom skal utarbeide og offentliggjøre en rapport om sin virksomhet. Dette har Datatilsynet gjort allerede fra starten av i form av sin årsmelding. Årsmeldingen oversendes til regjeringen, som utarbeider en Stortingsmelding om Datatilsynets virksomhet. Stortingsmeldingen inneholder regjeringens merknader til Datatilsynets årsmelding, og Datatilsynets årsmelding følger som trykt vedlegg. Årsmeldingen gir en fyldig oversikt over Datatilsynets virksomhet og over prinsipielt viktige eller nye saksområder.
Utvalget går inn for at det også i fremtiden bør utarbeides en årsmelding. Årsmeldingen vil som i dag ha flere viktige funksjoner – blant annet vil den gi informasjon om tilsynsvirksomhet og prinsipielle personvernspørsmål, og dermed stimulere til og gi grunnlag for debatt.
18.2.3.6 Datatilsynets stedlige kompetanse
Artikkel 28 nr 6 første ledd fastslår at norske tilsynsmyndigheter skal kunne utøve kompetansen som beskrevet i nr 3 (se 18.2.3.3) på norsk territorium og Svalbard uansett hvilken nasjonal lov som regulerer den aktuelle behandlingen av personopplysninger. Datatilsynet kan for eksempel pålegge et utenlandsk selskap som vil publisere personopplysninger i Norge å rette, slette eller supplere uriktige opplysninger i den grad dette er hjemlet i utenlandsk lovgivning (som regulerer virksomheten til det utenlandske selskapet).
Av annet ledd fremgår det at tilsynsmyndighetene skal samarbeide (f eks ved utveksling av opplysninger) i den grad det er nødvendig for å oppfylle tilsynsmyndighetenes plikter. Det er noe uklart om det siktes til samarbeid over landegrensene eller mellom flere tilsynsmyndigheter i ett land. Tolkningsspørsmålet kommer imidlertid ikke på spissen. I Norge vil all myndighetsutøvelse med unntak av regelgivning og klagebehandling foretas av Datatilsynet. Kravet til samarbeid mellom Datatilsynet og klageinstansen i forbindelse med klagebehandling reguleres av forvaltningsloven kapittel VI og alminnelige forvaltningsrettslige regler, og utvalget ser ikke behov for ytterligere regulering. Når det gjelder samarbeid med andre lands tilsynsmyndigheter, er det påkrevet med en lovhjemmel som gjør unntak fra lovbestemt taushetsplikt. Det vil være behov for et slikt samarbeid med andre lands tilsynsmyndigheter fordi tilsynsmyndighetenes kompetanse er begrenset til eget territorium.
18.2.3.7 Taushetsplikt
I artikkel 28 nr 7 heter det at tilsynsmyndighetens medlemmer og ansatte skal ha taushetsplikt om de fortrolige opplysningene de har tilgang til. Personregisterloven inneholder ikke egne regler om taushetsplikt, men ettersom både Datatilsynet (og Personvernnemnda som foreslås opprettet) er forvaltningsorganer, gjelder taushetspliktbestemmelsen i forvaltningsloven § 13. Taushetsplikten etter forvaltningsloven § 13 vil imidlertid ikke alltid være tilstrekkelig omfattende, og det er av avgjørende betydning at den behandlingsansvarlige og databehandleren har tillit til at opplysninger om sikkerhsttiltak m v ikke kommer på avveie. Utvalget foreslår derfor en bestemmelse om taushetsplikt for Datatilsynets ansatte for slike opplysninger, se lovforslaget § 11 tredje ledd.
18.3 Administrasjon av loven – organisering av tilsynsmyndigheten
18.3.1 Oversikt
I 18.3 drøftes hvorledes tilsynsmyndigheten bør organiseres, herunder hvorledes beslutningsprosessen skal være.
Først gis det en oversikt over dagens ordning (18.3.2) og forholdet til EF-direktivet (18.3.3). Deretter redegjøres det for overordnede målsettinger for organisering av denne form for statlig virksomhet (18.3.4). I 18.3.5 behandles den administrative forankringen av Datatilsynet. Utvalget kommer til at dagens ordning på dette punkt i hovedsak bør videreføres, slik at Datatilsynet fortsatt administrativt bør høre under Justisdepartementet. Utvalget vurderer deretter om og eventuelt i hvilken grad Justisdepartementet skal kunne instruere Datatilsynet (18.3.6). Utvalgets konklusjoner er bl a at departementet ikke bør kunne instruere tilsynet om utfallet i enkeltsaker, og ei heller generelt om hvordan loven skal forstås eller forvaltningsskjønnet skal utøves. Datatilsynets ledelse og organisering drøftes under 18.3.7 (herunder spørsmål om Datatilsynet fortsatt skal ledes av et styre). Til slutt vurderes det hvem som skal behandle klager over tilsynets avgjørelser (18.3.8). Utvalget foreslår at Justisdepartementet ikke lenger skal behandle klager, men at klager istedet skal behandles av en uavhengig klageinstans (Personvernnemnda). Opprettelsen av Personvernnemnda reiser en rekke ulike spørsmål (18.3.9). Stortingets kontroll kommenteres avslutningsvis under 18.3.10.
18.3.2 Hovedtrekkene i dagens ordning
I henhold til personregisterloven § 2 er Datatilsynet et frittstående organ underordnet Kongen og det departement Kongen fastsetter. I kongelig resolusjon 8 november 1979 er det bestemt at Datatilsynet er underlagt Justisdepartementet. Uttrykket frittstående markerer bl a at Datatilsynet ikke er en del av departementet. Organiseringen av tilsynet bygger i liten grad på instrukser fra departementet. Dette har gjort det mulig å møte nye utfordringer innenfor en organisatorisk ramme som er fleksibel og som raskt kan endres.
Datatilsynet ledes av et styre med syv medlemmer, jf personregisterloven § 2 annet ledd. Styret behandler i første rekke saker som aktualiserer nye eller endrede problemstillinger for personvernet og saker som berører sentrale samfunnsmessige spørsmål. Alle klagesaker behandles av styret. Styret fatter vedtak i de sakene som legges frem av administrasjonen. I forarbeidene til personregisterloven er det fremhevet at det ved sammensetningen av styret først og fremst skal legges vekt på den enkelte kandidatens personlige egnethet (i motsetning til direkte interessegrupperepresentasjon, jf Ot prp nr 2 (1977-78) s 49). I praksis har det blitt vanlig å oppnevne representanter fra NHO og LO i styret. Styret blir oppnevnt for fire-årsperioder og det er adgang til gjenoppnevning.
I 1996 hadde styret syv møter og behandlet 20 saker. I tillegg ble 25 saker lagt frem til orientering. Femten av sakene ble behandlet som klagesaker og 14 av disse ble sendt over til Justisdepartementet som klageinstans mens én ble omgjort av styret.
18.3.3 EF-direktivet
I direktivet artikkel 28 nr 1 heter det at tilsynsmyndigheten skal kunne utøve sine funksjoner i full uavhengighet. I dette avsnittet drøftes direktivets krav til uavhengighet mer generelt. Den nærmere rekkevidden av direktivets uavhengighetskrav vurderes konkret i tilknytning til spørsmålene om administrativ forankring, instruksjonsmyndighet og klagebehandling.
Utvalget vil først understreke at uavhengighet er et relativt begrep. Fullstendig uavhengighet fra alle andre samfunnsinstitusjoner er ikke mulig – dette følger allerede av at det må bevilges penger til driften av tilsynsvirksomheten. Spørsmålet blir derfor hvor uavhengig direktivet krevet at Tilsynsmyndigheten må være. Flere forhold har betydning for graden av uavhengighet, se nærmere 18.3.6 og 18.3.8 om bl a instruksjonsmyndighet og behandling av klagesaker.
Ettersom direktivet legger opp til at tilsynsmyndigheten skal være et forvaltningsorgan, er det videre naturlig å tolke direktivet slik at kravet til uavhengighet relaterer seg til den utøvende statsmakt, dvs regjeringen/departementet.
Når direktivets krav til uavhengighet skal presiseres videre, er det naturlig å feste seg ved at det er under utøvelsen av sine tilsynsoppgaver at tilsynsmyndigheten skal være uavhengig av regjeringen/departementene, se nærmere om dette nedenfor. Uavhengigheten skal være faglig (funksjonell). Noen skarp grense mot administrativ uavhengighet er det imidlertid ikke.
18.3.4 Overordnede målsettinger for organisering av denne formen for statlig virksomhet
I NOU 1989: 5 En bedre organisert stat (Hermansen-utvalget) drøftes hvorledes ulike former for statlig virksomhet bør organiseres. Følgende generelle hensyn og krav fremheves (jf s 149 – 150):
Politisk styrbarhet
faglig og innholdsmessig
samordningsmessig
Faglig kvalitet og verdiforankret selvstendighet
Effektivitet
kostnadseffektivitet
formålseffektivitet
Rettsstatsverdier
rettssikkerhet og likebehandling
offentlighet
Interesserepresentasjon og de ansattes medbestemmelse
Fornyelses- og omstillingsevne.
Med politisk styrbarhet menes at statsmakten for å kunne påvirke samfunnsutviklingen må kunne styre sine utførende virksomheter. Styring kan skje på flere måter, for eksempel gjennom regelverk og gjennom instrukser. Om graden av selvstendighet heter det at (jf s 64 h sp):
«Institusjoner der den rent faglige virksomheten har stor betydning, vil ofte reelt sett kunne ha en stor grad av selvstendighet i den konkrete utforming av sin virkemåte. Styringsrelasjonene må derfor utformes konkret og tilpasses arten av virksomheten og fullmaktsforholdene. Dette er like mye et organisasjons- og administrasjonsfaglig som et forvaltningsrettslig spørsmål. Avveiningen mellom politisk styrbarhet og faglig selvstendighet må avgjøres konkret. Kravet til politisk styrbarhet vil derfor måtte oppfylles på noe ulike måter alt etter hva slags statlig engasjement virksomheten kanaliserer og hva formålet med engasjementet er.»
Utvalget har lagt stor vekt på en konkret tilpassing av politisk styrbarhet innenfor de rettslige og faktiske rammene utvalget er bundet av. Et særlig trekk ved organiseringen av Datatilsynet er at politisk styring slik utvalget ser det i stor grad bør skje gjennom lov- og forskriftsvedtak, og ikke gjennom instrukser (dette utdypes nedenfor).
Faglig kvalitet og verdiforankret selvstendighet er spesielt viktig for et frittstående tilsynsorgan som Datatilsynet. Utøvelsen av virksomheten krever mye informasjon, nærhet til saksfeltet og høy faglig juridisk og teknologisk kompetanse. Dette er utdypet i 18.2.2 ovenfor.
Effektivitet kan presiseres nærmere til henholdsvis kostnadseffektivitet og formålseffektivitet. Med kostnadseffektivitet forstås forholdet mellom tilførte ressurser og den ytelsen organet frembringer. Datatilsynet har helt fra starten av hatt stor kostnadseffektivitet og ytet en imponerende innsats til tross for beskjedne ressurser. Den andre måten å måle effektivitet på er formålseffektivitet, dvs hvor godt forvaltningsorganet når de mål som er satt for virksomheten. En står her overfor vurderinger som er særdeles komplekse og vanskelige. Det er mulig at enda større formålseffektivitet kunne vært oppnådd dersom regelverket hadde vært utformet slik at Datatilsynet i mindre grad hadde måttet behandle trivielle konsesjonssøknader. Dette har utvalget foreslått endret ved å innsnevre området for konsesjonsplikt, se kapittel 12.5.5. For øvrig kan ikke utvalget se at hensynet til formålseffektivitet tilsier en annen organisering av Datatilsynet enn i dag.
Hensynet til interesserepresentasjon har tradisjonelt ikke stått særlig sterkt når forvaltningsorganer skal organiseres. Datatilsynets styre er riktignok bredt sammensatt med blant annet representanter fra LO og NHO, men oppnevningen har hele tiden i tråd med lovgivers ønske vært basert på faglig og personlig egnethet og ikke på noe ønske om interesserepresentasjon. Utvalget har ikke sett det som ønskelig å vektlegge hensynet til interesserepresentasjon sterkere enn i dag.
I NOU 1989: 5 heter det om rettsstatshensyn bl a at (s 71 flg):
«I det norske samfunnet og i den norske forvaltningen har rettsstatsverdier og hensynet til rettssikkerhet en sentral plass. Den enkelte skal være beskyttet mot overgrep og vilkårlighet fra forvaltningen, og skal ha mulighet både til å skaffe seg oversikt over og innsikt i sin rettsstilling i forhold til myndighetene, og til å forsvare sine rettslige interesser. Rettsstillingen skal kunne forutberegnes, avgjørelser truffet av forvaltningsorganene skal kunne påklages til overordnet ledd med mindre klageadgangen er avskåret, og enhver har krav på å bli likebehandlet med andre som fremmer tilsvarende saker.»
Rettsstatshensyn vil som i dag varetas av bl a forvaltningsloven, offentlighetsloven og ulovfestet forvaltningsrett. Datatilsynet er et forvaltningsorgan, og saksbehandlingsreglene i forvaltningsloven – herunder regler om saksopplysning, varsel, innsyn, begrunnelse og klagebehandling – får anvendelse på vanlig måte. Dersom det begås formelle feil, og disse kan ha påvirket vedtakets innhold, kan vedtaket settes tilside som ugyldig, jf prinsippet i forvaltningsloven § 41.
Utvalget har vurdert om det er behov for å supplere de generelle reglene i forvaltningsloven med spesielle regler for Datatilsynets virksomhet. Generelt sett foreligger det ikke erfaringer som tilsier at det er behov for slike spesielle regler. Utvalget har lagt vekt på å videreføre norske rettssikkerhetstradisjoner, bl a ved å opprettholde den administrative klageadgangen til tross for at direktivet ikke krever dette. Rettssikkerhetshensyn danner også bakgrunnen for utvalgets forslag om en faglig uavhengig og bredt sammensatt klageinstans.
Lovforslaget vil for øvrig vareta rettsstatshensyn bedre enn i dag ved at loven selv i større grad gir uttrykk for hvordan personopplysninger skal eller bør behandles (se kapittel 11, avsnitt 12.5.7 og kapittel 21). Når slike regler kan leses rett ut av loven, blir det lettere for den enkelte å vite hva han eller hun har å forholde seg til.
18.3.5 Datatilsynets administrative forankring
18.3.5.1 Dagens ordning
Det følger av underordningsforholdet til regjeringen/departementet at det i utgangspunktet tilligger departementet å fastsette nødvendige organisatoriske bestemmelser (jf Ot prp nr 2 (1977-78) s 70 h sp). Det samme gjelder ansettelsesmyndigheten, jf tjenestemannsloven § 5 nr 1. Regjeringen bestemmer videre innholdet i budsjettforslaget som fremmes for Stortinget.
18.3.5.2 Utvalgets vurderinger
Ettersom Datatilsynet også i fremtiden bør ha kompetanse til å treffe rettslig bindende avgjørelser (for eksempel konsesjonsvedtak og pålegg om sletting), taler mye for at det ikke ville være forenlig med konstitusjonelle regler å la tilsynet være direkte underlagt Stortinget (slik som f eks Sivilombudsmannen er). Dette ble lagt til grunn i Føyen-utredningen s 55 (vedlegg 6 til St meld nr 14 (1983-84), av departementet i den etterfølgende behandlingen av lovforslaget (jf Ot prp nr 34 (1986-87) s 10 og av Eivind Smith i utredning på oppdrag fra utvalget. Utvalget legger derfor til grunn at tilsynet fremdeles skal være administrativt underlagt regjeringen og et departement. Selv om administrative spørsmål kan være av betydning for hvordan tilsynsmyndigheten utfører sine oppgaver, er en slik løsning ikke i strid med direktivets krav til uavhengighet (se ovenfor hvor det legges til grunn at uavhengigheten gjelder faglige spørsmål).
I forbindelse med behandlingen av Føyen-utredningen ble det vurdert om tilsynet burde underordnes et annet departement enn Justisdepartementet. Alternativene var Statsministerens kontor og det daværende Forbruker- og administrasjonsdepartementet. Regjeringen la avgjørende vekt på bl a Justisdepartementets generelle ansvar for rettssikkerhets- og personvernspørsmål. Innordning under Statsministerens kontor ville kreve en styrking av kontoret for å administrere et spesielt felt, hvilket ikke var ønskelig (Ot prp nr 34 (1986-87) s 10 – 11). Justiskomiteen var enig i regjeringens vurderinger (jf Innst O nr 64 for 1986-87 s 2 – 3), og utvalget ser ikke grunn til å foreslå at Datatilsynet underordnes et annet departement enn Justisdepartementet.
18.3.6 Regjeringens/departementets instruksjonsmyndighet
18.3.6.1 Dagens ordning
Med instruksjonsmyndighet menes kompetanse til å bestemme hvordan Datatilsynet skal forholde seg til for eksempel lovtolkning og skjønnsutøvelse.
Uttrykket frittstående i personregisterloven § 2 tolkes gjerne slik at Datatilsynet er unntatt fra den alminnelige instruksjonsmyndighet som tilligger Justisdepartementet i egenskap av overordnet organ. Dette innebærer for det første at Justisdepartementet er avskåret fra å instruere Datatilsynet om utfallet i enkeltsaker. Det samme gjelder trolig generelle instrukser om lovtolkning og om hvordan forvaltningsskjønnet (f eks interesseavveiningen i konsesjonsspørsmål) skal utøves (se nærmere om disse spørsmålene Selmer i Samfunn – rett – rettferdighet, Festskrift til Torstein Eckhoff TANO 1986). Departementets instruksjonsmyndighet innskrenker seg i så fall til rent organisatoriske- og arbeidsmessige forhold.
18.3.6.2 Utvalgets vurderinger
Spørsmålet om og eventuelt i hvilken grad regjeringen/departementet bør kunne instruere Datatilsynet er særskilt fremhevet i utvalgets mandat (se 18.1). Utvalget ser det som hensiktsmessig å avklare i loven hva departementet skal kunne instruere Datatilsynet om. I denne vurderingen står kravet til uavhengige tilsynsmyndigheter sentralt.
For en nærmere vurdering må det presiseres hva slags instrukser det er snakk om. Instruksjonsmyndighet kan omfatte
å bestemme utfallet (herunder skjønnsutøvelsen) i en bestemt sak (som er til behandling hos tilsynet)
generelle instrukser om lovtolkning
generelle instrukser om skjønnsutøvelse
generelle instrukser om saksbehandling (rutiner)
instruks om prioritering av saker/saksområder
instruks om organisatoriske forhold.
Å gi departementet kompetanse til å instruere Datatilsynet om utfallet i enkeltsaker vil ikke være forenlig med direktivets krav til (faglig) uavhengighet (se ovenfor). Det samme gjelder generelle instrukser om lovtolkning og skjønnsutøvelse. Departementets mulighet til å direkte påvirke innholdet i Datatilsynets faglige avgjørelser vil derfor begrense seg til å gi materielle forskrifter til loven.
Når det derimot gjelder adgangen til å instruere om organisatoriske- og arbeidsmessige forhold, taler sammenhengen med budsjettansvaret for at departementet beholder sin instruksjonsmyndighet på dette punktet. Departementet skal i forbindelse med budsjettbehandlingen sette mål og veilede i tråd med gjeldende lover og regler og retningslinjer for oppfølgning av underliggende virksomheter. Målene vil gjerne være av nokså generell karakter, mens den mer detaljpregete og fortløpende planleggingen og prioriteringen forestås av tilsynet selv. Departementets etatsstyring må ta hensyn til at tilsynsmyndigheten skal være faglig uavhengig.
18.3.7 Ledelse og organisering av Datatilsynet
18.3.7.1 Datatilsynets styre
Som nevnt i 18.3.2 ledes Datatilsynet i dag av et styre, jf personregisterloven § 2 annet ledd. I spørsmålet om Datatilsynet fortsatt bør ledes av et styre har utvalget delt seg i to.
Utvalgets leder og medlemmene Apenes, Kristiansen, Meinich og Schartum går inn for at når det opprettes en bredt sammensatt og faglig kompetent klageinstans (se 18.3.8 og 18.3.9), vil det ikke være behov for å videreføre dagens styreordning.
Medlemmene Bredengen, Gundersen, Hestnes, Håøy og Koch går inn for at dagens ordning med et bredt sammensatt og faglig kompetent styre bør videreføres fordi opprettelse av nytt klageorgan etter disse medlemmenes mening ikke har betydning for spørsmålet om hvorledes Datatilsynet bør organiseres.
Utvalget har lagt vekt på å gjøre omfattende rede for begge gruppenes synspunkter for på den måten å legge til rette for senere overveielser hos høringsinstansene, i departementet og i Stortinget.
Utvalgets leder og medlemmene Apenes, Kristiansen, Meinich og Schartum mener at dagens ordning med et eget styre for Datatilsynet bør avvikles, når det opprettes en egen klageinstans (se 18.3.8 og 18.3.9).
Disse medlemmene mener en ordning med et faglig kompetent styre vil innebære en tre instans behandling av klagesaker. Disse medlemmene finner ingen grunn til å fravike en normal ordning med behandling i to instanser. Samtidig erkjenner disse medlemmene at det i vanskelige og prinsipielle enkeltsaker kan være behov for en grundigere saksbehandling enn i mer kurante saker. Slike behov kan imidlertid på tilstrekkelig måte dekkes gjennom interne tiltak i Datatilsynet. Dessuten kommer Datatilsynet til i enda større grad enn i dag å ha en bred kontaktflate utad og på den måten tilføres faglig kompetanse. I tillegg ligger det i kortene at samarbeidet med tilsynsmyndighetene i andre land, særlig med EU-land, vil øke betraktelig i tiden som kommer, med den erfaringsutveksling som dette innebærer. Det må også tas i betraktning at det gjerne er prinsipielle og tvilsomme saker som påklages, og i så fall vil klageinstansen (som forutsetningsvis er enda mer kompetent enn styret ville vært) behandle saken. Klageinstansen kan også gripe inn og omgjøre avgjørelser av eget tiltak dersom vilkårene i forvaltningsloven § 35 er oppfylt.
Disse medlemmene erkjenner at Datatilsynets styret gjennom sin aktive rolle i enkeltsaksbehandlingen i tiden siden personregisterloven trådte i kraft, har etablert seg som en instans med stor faglig autoritet. Disse medlemmene mener imidlertid at det er av vesentlig betydning at en lykkes med å etablere en ny og uavhengig klageinstans med tilstrekkelig kompetanse og autoritet (se 18.3.8 og 18.3.9). Dersom styreordningen opprettholdes, vil en lett kunne få to reellt konkurrerende klageinstanser. Dette vil vanskeliggjøre en tilfredsstillende etablering av en øverste klageinstans.
Disse medlemmene mener at det ikke er behov for et styre for Datatilsynet som behandler administrative saker. Disse medlemmene viser til at styrebehandling er gjennomført i bare en tredjedel av direktoratlignende organer, og er etter det disse medlemmene kjenner til helt ukjent i ombudsmannsmodellen (som det på mange måter er nærliggende å sammenlikne Datatilsynet med). Det er også av betydning at etatens størrelsesmessig er beskjeden med sine drøyt tyve medarbeidere – og at etaten neppe vil vokse vesentlig i årene fremover. Et virksomhetsstyre på 7 medlemmer utgjør ca 1/3 av det totale antall ansatte i Datatilsynet. Disse medlemmene mener at dette ikke vil representere en forsvarlig ressursbruk. En fortsatt styreordning i tillegg til klageinstansen vil dessuten medføre at saksbehandlingen blir unødvendig omstendelig. Disse forholdene tilsier at styrets administrative bistand ikke er så viktig at den er noe tungt argument for å opprettholde styret. Samtidig understreker disse medlemmene betydningen av at Datatilsynet disponerer tilstrekkelig administrative ressurser.
Medlemmene Bredengen, Gundersen, Hestnes, Håøy og Koch mener Datatilsynet fortsatt skal ledes av et styre. En viktig begrunnelse for dette er Datatilsynets uavhengighet, som innebærer at tilsynet ikke er underlagt direkte politisk styring fra Regjeringen. Det er lite hensiktsmessig å ha styre i etater og direktorater som kan instrueres direkte fra Regjeringen og departementene. For mer uavhengige forvaltningsorganer kan imidlertid et balansert sammensatt styre være en hensiktsmessig arena for avveining av ulike interesser og hensyn forut for at avgjørelser treffes. Styret kan gi det uavhengige Datatilsynet større legitimitet i samfunnet. Det forutsettes at styrets sammensetning ikke rokker ved tilsynets faglige uavhengighet. Kandidater til styre må velges ut fra egnethet, samfunnsmessig innsikt og evne til å være med på å ta i bruk og utvikle de nye virkemidler Datatilsynet får gjennom den nye loven. Da et styre varetar bestemte roller i en virksomhet, er virksomhetens størrelse ikke avgjørende for om det er behov for styre eller ei, ei heller for styret størrelse.
Disse medlemmene mener at den politiske styringen fra overordnet departement vil begrenses til fastsettelse av forskrifter og til signaler som gis i forbindelse med de årlige budsjettproposisjoner og tildelingsbrev, samt Stortingsbehandlingen av Datatilsynets årsmelding. Styret vil derfor ha den løpende etatstyringen og styringsdialogen med Datatilsynets administrasjon: vedta og følge opp strategi- og virksomhetsplaner, årsmelding og evaluering av tilsynets virksomhet og følge opp tilsynets budsjett og regnskap.
Disse medlemmene mener at styret skal behandle saker som aktualiserer nye eller endrede problemstillinger for personvernet og saker som berører sentrale samfunnsmessige spørsmål, herunder drøfte spørsmål knyttet til internasjonalt samarbeide på personvernområdet. Med det nye settet av virkemidler Datatilsynet får, må styret spille en aktiv rolle i prioritering, utforming og bruk av disse virkemidlene gjennom å utforme strategier og planer for Datatilsynets virksomhet. Den nye loven innebærer mindre vekt på konsesjoner og større vekt på virkemidler som etterfølgende kontroll, tilsyn, rådgivning og veiledning. Et aktivt styre kan, etter disse medlemmenes syn, sammen med Datatilsynets administrasjon bidra til å utvikle formålseffektive strategier for å vareta personvernhensynet i informasjonssamfunnet.
Disse medlemmene mener at styret vil tilføre Datatilsynet både faglig og administrativ kompetanse, som må sees i sammenheng og i forhold til tilsynets oppgaver slik de fremkommer i loven. Med sin brede sammensetning og høye faglige kompetanse har styret hittil bidratt vesentlig til opparbeidelsen av den sterke posisjon Datatilsynet har i dag og representerer i seg selv en verdifull ressurs for tilsynet. Med den endring i virkemiddelbruk, de videre fullmakter Datatilsynet får gjennom den nye loven og med et mer uavhengig Datatilsyn, mener disse medlemmene at et bredt sammensatt kollegialt organ vil gi tilsynet økt legitimitet, bedre samfunnsmessig forankring og bidra til aksept av de nye reguleringsmåtene.
Disse medlemmene mener at Datatilsynet trolig fortsatt vil ha en ressurssituasjon som vil kreve jevnlig vurdering og prioritering av virkemiddelbruken, en prioritering som styret må medvirke aktivt til. Departementet er avskåret fra å delta i denne dialogen fordi Datatilsynet er faglig uavhengig. Tilsvarende vil klageinstituttet være en form for reaktiv tilbakemelding, mens et styre med sin rolle kan bidra til et mer proaktivt Datatilsyn som tidlig fanger opp signaler og eventuelt justerer strategi og virkemiddelbruk. Styret bør behandle og treffe avgjørelser i saker av prinsipiell karakter, fastsette forskrifter (dersom departementet delegerer slik kompetanse) og ta opp klagesaker før eventuell oversendelse til Personvernnemnda. Klagesaker vil, selv om styret ikke er å betrakte som en egen behandlingsinstans, gi viktige signaler om forhold som kan tilsi revurdering av strategi og virkemiddelbruk. Styret har som administrasjonen, anledning til å omgjøre påklagede vedtak. Dersom styret fjernes, vil en også fjerne dagens ordning med at prinsipielle saker undergis bred behandling i styret og gå over til en ordning hvor bare klagesakene vil få en slik behandling og da i klageinstansen. Disse medlemmene ser en slik omlegging som uheldig.
Disse medlemmene mener at sammensetningen av styre bør baseres på samme kriterier som i dag. Kongen, etter innstilling fra Justisdepartementet, bør som i dag oppnevne styret og bestemme hvem som skal være leder og nestleder. Det bør utarbeides generelle retningslinjer for styret i Datatilsynet som klargjør styrets mandat, fullmakter, ansvar og roller. Det faller utenfor utvalgets mandat å utdype dette i detalj.
Disse medlemmene understreker at styret vil ha en helt annen rolle, vareta helt andre oppgaver og ha en helt annen nærhet og løpende oppfølging av Datatilsynets virksomhet enn det Personvernnemnda vil og bør ha (se 18.3.9).
18.3.7.2 Datatilsynets direktør
Datatilsynets direktør bør fremdeles være uavsettelig embetsmann. Det stillingsvern og den uavhengighet dette gir, gjør det lettere å føre kritisk tilsyn med offentlig virksomhet. I en del andre ledende stillinger i offentlig forvaltning er det vanlig å ansette for en bestemt periode (åremål). Bruk av åremålsstilling er et virkemiddel som gjør det mulig å oppnå en best mulig balanse mellom hensynet til kontinuitet og behovet for fornyelse. Utvalget har kommet til at regjeringen bør ha anledning, men ikke plikt til å ansette Datatilsynets direktør på åremål.
Datatilsynets direktør er i dag utnevnt av Kongen i statsråd. Utvalget går inn for å videreføre denne ordningen. At regjeringen utnevner direktøren er naturlig fordi Datatilsynet driver utøvende myndighet, og i samsvar med utnevningen av lederne i andre direktorater og ombud (med unntak av Stortingets ombudsmann for forvaltningen). Det kunne komme i konflikt med Stortingets kontrollerende rolle dersom Stortinget skulle utnevne direktøren. Fordelen med å la Stortinget utnevne direktøren ville bl a være at utnevningsprosessen trolig ville vekke bred debatt om hvem som burde ansettes i stillingen. Utvalget har imidlertid ikke ansett dette som tungtveiende nok til å kunne begrunne en endring av dagens ordning.
18.3.8 Klager over Datatilsynets avgjørelser
18.3.8.1 Dagens ordning
I dag behandles klager over Datatilsynets enkeltvedtak av Justisdepartementet. I saker som angår Justisdepartementet (f eks når Justisdepartementet er registereier) avgjøres klagesaken av Kongen i statsråd etter at Administrasjonsdepartementet (nå Planleggings- og samordningsdepartementet) har forberedt klagesaken. Nedenfor presenteres noen hovedtrekk i dagens ordning. Lee Bygrave gir i sin bok Personvern i praksis (Cappelen Akademisk Forlag, Oslo 1997) en gjennomgåelse av Justisdepartementets behandling av klager på Datatilsynets avgjørelser i perioden 1980 – 1996, og utvalget viser til denne fremstillingen for en mer inngående gjennomgåelse av dagens praksis.
Avgjørelsene som Datatilsynet treffer kan påklages dersom avgjørelsen er et enkeltvedtak og den som ønsker å klage enten er part i saken eller har rettslig klageinteresse (forvaltningsloven § 28). Datatilsynets og departementets praksis viser at ideelle organisasjoner har blitt ansett som klageberettigete, mens klager fra enkeltpersoner som er eller kan tenkes å bli registrert i et register som utgangspunkt ikke kan påklage vedtak om samtykke til å opprette registeret. Som regel kommer klagene fra den som ikke har fått konsesjon til å opprette et register, eller der det er satt konsesjonsvilkår som klageren synes er for strenge.
Fristen for klage er tre uker fra klageren er underrettet om Datatilsynets vedtak (jf forvaltningsloven § 29). Praksis viser at Datatilsynet og Justisdepartementet ofte har behandlet klager selv om de har kommet inn for sent og kunne vært avvist (jf oppreisningsregelen i forvaltningsloven § 31). Dersom det klages over Datatilsynets vedtak, vil Datatilsynets administrasjon oversende saken til styret, som etter samråd med administrasjonen vurderer om førsteinstansvedtaket bør omgjøres, eller om vedtaket bør opprettholdes slik at klagesaken oversendes klageinstansen (Justisdepartementet).
Justisdepartementet har full kompetanse i klagesaken. Det betyr at departementet kan overprøve alle tilsynets vurderinger, og selv avgjøre om f eks konsesjon skal gis. Som regel tar klagebehandlingen i departementet mellom tre og seks måneder. Departementets avgjørelse i klagesaken kan ikke påklages videre til Kongen i statsråd, men saken kan bringes inn for domstolene. Dette skjer svært sjelden (se nærmere om grunnene til dette i drøftelsen av om det er behov for klageadgang). Etter det utvalget kjenner til er det bare én klagesak som hittil er behandlet av domstolene (se Rt 1994 s 691 Psykoseregisterdommen hvor det ble reist krav om sletting og oppreisning).
18.3.8.2 Er det behov for klageadgang?
Det er naturlig å avklare innledningsvis om det er behov for å kunne kreve Datatilsynets enkeltvedtak overprøvet uten å måtte anlegge rettssak. I norsk forvaltningsrett er den store hovedregelen at enkeltvedtak kan påklages. Direktivet krever imidlertid ikke at det skal være adgang til administrativ klage (klage til et forvaltningsorgan), og det enkelte land står fritt på dette punktet. Klageordningen koster tid og ressurser, hvilket kan tilsi at adgangen til å kreve administrativ dobbelbehandling bør falle bort.
Flere grunner taler likevel for at det som i dag bør være klageadgang. Samfunnsmessige hensyn taler for klageadgang fordi behandlingen av klagesakene vekker debatt og interesse for saksfeltet. Like viktig er hensynet til klageren. Dersom det ikke skal være klageadgang, må den som ønsker å få overprøvd Datatilsynets vedtak bringe saken inn for domstolene. Klagebehandling vil ofte ta kortere tid enn domstolsbehandling. Dessuten er det billigere – ihvertfall sammenlignet med de tilfellene der saksøkeren selv må betale saksomkostningene som rettssaken fører med seg. I tillegg vil en domstolsprøving i tråd med læren om forvaltningens frie skjønn innskrenke seg til å være en prøving av Datatilsynets bevisbedømmelse, saksbehandling og lovtolkning. Forvaltningsskjønnet (f eks interesseavveiningen etter personregisterloven § 11) i den enkelte sak vil som den store hovedregelen ikke bli overprøvet av domstolene, og det er gjerne disse vurderingene som byr på tvil. Endelig vil domstolene i all hovedsak nøye seg med å prøve gyldigheten av tilsynets vedtak, og ikke selv avgjøre om f eks konsesjon skal gis. Det beste resultatet den private part kan håpe på ved domstolsbehandling er følgelig å få kjent tilsynsmyndighetens vedtak ugyldig, slik at saken må behandles på nytt av Datatilsynet. Erfaringene med personregisterloven viser at den private part så å si aldri bringer Datatilsynets avgjørelse inn for domstolene.
En klage over Datatilsynets vedtak vil dessuten ofte kunne starte en offentlig diskusjon om prinsipielle avveininger mellom personvernhensyn og andre hensyn. Slike diskusjoner kan være nyttig på flere måter; de kan bidra til en god opplysning av saken (alle hensyn kommer frem) og kan dessuten ha en folkeopplysende funksjon.
Utvalget vil på denne bakgrunnen gå inn for at det også i fremtiden bør være anledning til å få overprøvet Datatilsynets avgjørelser uten å måtte bringe saken inn for domstolene.
18.3.8.3 Skal Justisdepartementet fremdeles behandle klager over Datatilsynets vedtak?
Et neste grunnleggende spørsmål er om Justisdepartementet fremdeles skal behandle klager over Datatilsynets avgjørelser, eller om dette skal utføres at et forvaltningsorgan som er uavhengig av regjeringen og departementet.
Det er ikke noe konstitusjonelt i veien for å legge kompetanse til å behandle klager til et uavhengig forvaltningsorgan (jf Eivind Smiths utredning, vedlegg 5). Avgjørende er om det av ulike grunner er nødvendig eller ønskelig.
Den norske statsforvaltning er hierarkisk oppbygget. Øverst i hierarkiet står Kongen som etter den tradisjonelle hovedregel er politisk leder av og har politisk ansvar for statsadministrasjonen for øvrig. Under sin behandling av Ingvaldsen-komiteens innstilling (jf Tid S 1976 – 77 s 9 og Stort forh 1977 s 4077) sa Stortinget seg enig i at unntak fra å organisere forvaltningsapparatet i et hierarki under politisk ledelse må begrunnes i særlige hensyn. Stortinget har etter det utvalget kjenner til ikke gitt uttrykk for et annet syn senere.
Å legge klagebehandling til et organ som er uavhengig av regjeringen og departementet vil være et unntak fra den alminnelige forvaltningsstrukturen. Regjeringen er den nærmeste til å ha overordnet styring med og ansvar for utformingen av personvern- og IT-politikken, og å avgjøre klagesaker er et virkemiddel for å gjennomføre politiske målsettinger på området. Avgjørende blir om det likevel foreligger særlige hensyn som kan begrunne opprettelsen av en uavhengig klageinstans.
Sentralt i denne diskusjonen står direktivets krav til uavhengige tilsynsmyndigheter. Slik reglene er i dag, kan Justisdepartementet ved å behandle klagesaker bestemme hvordan Datatilsynet skal behandle liknende saker i fremtiden. Grunnen til dette er at departementets begrunnelse i en klagesak ofte er av prinsipiell eller generell karakter, slik at den sier noe om hvordan departementet vil avgjøre liknende klagesaker i fremtiden. Og hvis Datatilsynet vil unngå å få avgjørelsene omgjort av klageinstansen, må tilsynets praksis i førsteinstansbehandlingen være i samsvar med det syn departementet har gitt uttrykk for i tidligere klagesaker. Kompetanse til å behandle klager innebærer med andre ord en mulighet til å styre/instruere Datatilsynets praksis – en styringsmulighet som synes vanskelig å forene med direktivets krav til uavhengighet. Også en selvstendig klageinstans sine avgjørelser vil påvirke Datatilsynets praksis, men påvirkningen kommer da fra et organ som selv er tilsynsmyndighet i direktivets forstand, og ikke fra den utøvende statsmakt. Gjennomføringen av direktivets krav til uavhengighet er slik utvalget ser det et tungtveiende argument for å opprette en selvstendig klageinstans.
Det finnes enkelte andre argumenter som trekker i samme retning.
Opprettelsen av en uavhengig klageinstans kan føre til at avgjørelser i klagesaker oppfattes som uhildet og sterkere faglig begrunnet. Hensynet til effektivitet, særlig i form av rask saksbehandlingstid, kan også tale for at klagesakene bør behandles av en uavhengig klageinstans.
Endelig kan det være at klagesaksbehandling ikke bør være noen naturlig oppgave for departementene i fremtiden. St meld nr 35 (1991-92) om statens forvaltnings- og personalpolitikk kan tas til inntekt for at departementene i hovedsak skal være sekretariater for politisk ledelse og lede sektorpolitikken på departementets ansvarsområde. Faglige spesialfunksjoner og enkeltsaksbehandling skal primært håndteres av forvaltningsorganer utenfor departementene.
Utvalget legger til grunn at direktivets krav til uavhengige tilsynsmyndigheter gjør at dagens ordning med Justisdepartementet som klagebehandler ikke bør opprettholdes, og at det må opprettes en eget forvaltningsorgan til å behandle klager over Datatilsynets avgjørelser. Utvalget finner også en viss støtte for denne løsningen i andre hensyn, bl a i hensynet til effektiv behandling av klagesakene.
Spørsmålet blir så hvordan den nye klageinstansen (Personvernnemnda) bør organiseres, noe som må ses i sammenheng med hvilke krav som bør stilles til Personvernnemnda.
18.3.9 Organisering av Personvernnemnda
18.3.9.1 Innledning og oversikt
Personvernnemnda skal overta en funksjon som Justisdepartementet har i dag. Avgjørelsene i klagesaker legges til grunn i Datatilsynet, og har stor betydning for hvordan personvernet varetas. Det er således helt nødvendig at Personvernnemnda organiseres og bemannes slik at den får tillit og legitimitet i samfunnet. Når Personvernnemnda skal bygges opp er det også av betydning at lovtolkning i snever forstand sjelden blir avgjørende i klagesakene. Forvaltningsskjønnet – konkrete avveininger av personvernhensyn mot andre samfunnsmessige verdier – står derimot sentralt.
I det følgende drøftes den nærmere organiseringen av Personvernnemnda. Det sies også noe om hvilke oppgaver Personvernnemnda bør ha (18.3.9.5). Utvalget har delt seg i et flertall og et mindretall i synet på antall medlemmer i Personvernnemnda og om Kongen bør oppnevne alle medlemmene, eller om oppnevnings-kompetansen bør være delt mellom Kongen og Stortinget, se 18.3.9.2. Utvalget er samstemmig i de øvrige spørsmålene som drøftes i 18.3.9.
18.3.9.2 Hvem bør oppnevne medlemmene i Personvernnemnda?
Et flertall i utvalget bestående av medlemmene Bredengen, Gundersen, Hestnes, Håøy, Koch, Kristiansen og Meinich går inn for at Personvernnemnda bør bestå av fem medlemmer. Samtlige av medlemmene og lederen bør oppnevnes av Kongen. På denne måten er det gode muligheter til å oppnå at Personvernnemnda får en godt koordinert sammensetning, og det skapes klare linjer i forholdet mellom regjeringen og Stortinget. Disse medlemmene mener på prinsipielt grunnlag at det vil være uheldig å dele oppnevningen av medlemmene i klageinstansen mellom Kongen og Stortinget. Å bringe Stortinget inn i oppnevningen av et forvaltningsorgan som Personvernnemnda vil være, ville innebære at Stortinget tildeles utøvende myndighet. Oppnevning dels av Kongen og dels av Stortinget vil dessuten kunne føre til at det vil være vanskeligere å sikre at Personvernnemnda får en tilfredsstillende sammensetning kompetansemessig. Flertallet minner dessuten om at når Stortinget behandlet personregisterloven gikk komiteflertallet (de borgerlige partiene) inn for at styrets medlemmer skulle oppnevnes av Stortinget etter forslag av Kongen, som også skulle foreslå hvem som skulle være styrets formann og varaformann (Innst O nr 47 for 1977-78 s 5), men at forslaget ikke fikk tilstrekkelig tilslutning i den videre behandlingen av lovforslaget.
Et mindretall i utvalget, bestående av utvalgets leder og medlemmene Apenes og Schartum mener i likhet med flertallet at det er viktig å ta vare på den tradisjonelle og konstitusjonelle rollefordelingen mellom Stortinget og Kongen, og slutter seg til flertallets prinsipielle syn på at det normalt bør være Kongen som oppnevner medlemmene i forvaltningsorganer. Disse medlemmene mener imidlertid at det i dette konkrete tilfellet gjør seg gjeldende særskilte forhold som likevel kan begrunne en delt oppnevningsmyndighet. For det første vektlegger disse medlemmene at den nyopprettede Personvernnemnda får et stort ansvar og en særlig viktig oppgave når den skal overta en oppgave som tidligere ble utført av et departement. For det andre berører personvernspørsmål hele befolkningen og gjelder et grunnleggende verdivalg i tilknytning til den videre utvikling og anvendelse av informasjonsteknologi i samfunnet. I slike spørsmål erkjenner disse medlemmene at Stortinget vil kunne representere en verdifull kanal med selvstendig betydning. For å sikre at Personvernnemnda får en så bred og demokratisk forankring i befolkningen som mulig ser disse medlemmene det som riktig å foreslå at oppnevningsmyndigheten deles mellom Kongen og Stortinget slik at Kongen oppnevner fem medlemmer, og at Stortinget deretter etter innstilling fra Stortingets valgkomite oppnevner Personvernnemndas leder og nestleder (tilsammen syv medlemmer i Personvernnemnda). En slik ordning vil understreke at personvern er en grunnleggende og omforent verdi i det norske samfunnet. Mindretallet presiserer for ordens skyld at det ikke er meningen at medlemmene i Personvernnemnda skal være fungerende stortingsrepresentanter – meningen er at Stortinget skal gis myndighet til å oppnevne (noen av) medlemmene i et forvaltningsorgan som skal treffe rettslig bindende avgjørelser. Også Stortinget forutsettes å basere sin oppnevning på kandidatenes faglige skikkethet – ikke deres partipolitiske tilhørighet. Medlemmene som velges av Stortinget er ikke å betrakte som representanter for Stortinget eller for noe politisk parti.
18.3.9.3 Bemanningen av Personvernnemnda
Det må stilles kvalifiserte krav til hvem som skal kunne sitte i Personvernnemnda, som skal overta en funksjon som i dag tilligger Justisdepartementet. Medlemmenes kvalifikasjoner vil være avgjørende for om Personvernnemnda klarer å bygge opp den legitimitet og tillit den må ha for å vareta sin funksjon på en tilfredsstillende måte.
Personvernnemndas leder og nestleder bør tilfredsstille kravene til dommere, jf domstolsloven §§ 53 og 54 annet ledd. Dette betyr ikke at vedkommende må være dommer, men at han eller hun må være kvalifisert til et dommerembete. For øvrig finner ikke utvalget det hensiktsmessig å formalisere kompetansekravene til medlemmene i Personvernnemnda. Avgjørende må være om vedkommende kandidat er egnet til å foreta avveiningen av personvern mot andre samfunnsinteresser som Personvernnemnda kommer til å foreta når den behandler klager, og til å overskue rekkevidden av de beslutningene som treffes.
Personvernnemnda bør sikres både kontinuitet og fornyelse, hvilket tilsier at medlemmenes funksjonstid bør være på fire år. Ideelt sett tilsier kravet til uavhengighet et forbud mot gjenoppnevning. Av hensynet til tilfredsstillende rekruttering går imidlertid utvalget inn for at medlemmene kan gjenoppnevnes én gang.
18.3.9.4 Bør Personvernnemnda ha andre oppgaver enn å behandle klager?
Personvernnemnda skal behandle klager, og har i tillegg anledning til å gripe inn på eget initiativ og omgjøre Datatilsynets avgjørelser dersom de alminnelige vilkårene for omgjøring i forvaltningsloven § 35 er oppfylt. Dette er rent faglige oppgaver. Spørsmålet er om Personvernnemnda i tillegg bør tillegges enkelte administrative gjøremål.
I tråd med at det er departementet som har det overordnede administrative ansvaret for tilsynet, er det naturlig at det er departementet og/eller et eventuelt styre og ikke Personvernnemnda som tar opp eventuelle administrative spørsmål med tilsynet. Også flere andre argumenter taler for en slik løsning. For det første er det viktig å synliggjøre at Personvernnemnda er et selvstendig forvaltningsorgan. For det andre kan det være lettere å rekruttere folk med de ønskede faglige kvalifikasjoner dersom Personvernnemnda utelukkende skal beskjeftige seg med faglige spørsmål.
Personvernnemnda bør orientere om behandlingen av klagesakene i tilsynsmyndighetens årsmelding.
18.3.9.5 Nærmere om forholdet mellom Datatilsynet og Personvernnemnda
Personvernnemnda vil være et eget uavhengig forvaltningsorgan, og er overordnet Datatilsynet ved behandling av enkeltvedtak. Etter forvaltningslovens regler (se forvaltningsloven § 28 flg) vil Personvernnemnda ha full kompetanse i klagesaker. Den kan overprøve Datatilsynets rettsanvendelse, faktumbedømmelse og skjønnsutøvelse (f eks om det skal gis konsesjon, og eventuelt på hvilke vilkår), og selv treffe avgjørelse i saken. Det er ikke bare realitetsavgjørelser som kan være gjenstand for klage, men også f eks beslutning om å ilegge tvangsmulkt for å gjennomføre et vedtak.
Personvernnemnda bør av hensyn til en reell totrinnsbehandling ved klage ikke ha kompetanse til å instruere Datatilsynet om utfallet i enkeltavgjørelser som er til behandling hos Datatilsynet. På den annen side er det klart at Personvernnemnda gjennom sine avgjørelser i klagesaker og gjennom eventuelle omgjøringsvedtak kan gi tilsynet veiledning om hvorledes denne type saker bør avgjøres i fremtiden, herunder hvordan loven skal tolkes og forvaltningsskjønnet utøves.
18.3.9.6 Nærmere om forholdet mellom Personvernnemnda og departementet
Personvernnemnda skal være rettslig uavhengig av regjeringen og departementet. Dette innebærer blant annet at regjeringen og departementet ikke kan instruere Personvernnemnda om utfallet i enkeltsaker, og ei heller gi generelle instrukser om lovtolkning eller skjønnsutøvelse (departementet kan imidlertid gi materielle forskrifter der loven gir hjemmel for dette). Regjeringen og departementet kan heller ikke av eget tiltak omgjøre vedtak som Personvernnemnda har truffet. Uavhengigheten i forhold til regjeringen og departementet knytter seg med andre ord til Personvernnemndas realitetsbehandling av klagesaker.
På samme måte som i forhold til Datatilsynet vil Personvernnemnda administrativt være underordnet regjeringen/departementet forsåvidt gjelder bl a budsjettansvar og spørsmål om arbeidsordning som loven ikke tar stilling til.
18.3.9.7 Særlig om Personvernnemndas kompetanse i saker der regjeringen/departementet er part
Foran er det lagt til grunn at det skal opprettes en uavhengig klageinstans som skal behandle klager over Datatilsynets avgjørelser. I enkelte tilfelle kan det tenkes at Kongen og/eller departementet er part i en slik klagesak. Spørsmålet blir dermed om den uavhengige Personvernnemnda også skal avgjøre klager i slike saker. Problemstillingens konstitusjonelle side er vurdert av Eivind Smith (se vedlegg 5), som legger til grunn til at det ikke er noe konstitusjonelt i veien for at Personvernnemnda avgjør slike saker. Utvalget kan i det vesentlige slutte seg til Smiths begrunnelse og konklusjon. Dermed gjenstår å vurdere om det er ønskelig at Personvernnemnda avgjør klagesaker der Kongen og/eller departementet er part. Alternativet ville først og fremst være å la Kongen i statsråd bestemme utfallet i saken.
Utvalget ser klare fordeler med å la Personvernnemnda avgjøre samtlige klager over avgjørelser som Datatilsynet treffer. Blant annet hensynet til en helhetlig praksis og anvendelse av Personvernnemndas betydelige kompetanse på området tilsier dette.
18.3.10 Stortingets kontroll
Dersom det viser seg at tilsynsmyndigheten treffer prinsipielle avgjørelser som stortingsflertallet finner uheldig, er det naturlig for Stortinget å sørge for praksisendring gjennom lovendring. Kontroll kan også finne sted ved behandling av tilsynsmyndighetens budsjetter, og ved behandlingen av Stortingsmeldingen om Datatilsynets årsmelding. Selv om departementet ikke lenger vil treffe avgjørelser i klagesaker eller instruere om hvordan Personvernnemnda skal avgjøre klagesakene, og at departementet av den grunn ikke kan kritiseres for behandlingen av disse, betyr ikke dette at regjeringen/statsråden er fritatt for ansvar på saksfeltet. Stortinget kan f eks holde regjeringen/statsråden ansvarlig dersom forskriftene til loven ikke er tilfredsstillende eller det ikke settes av tilstrekkelige budsjettmidler.
18.4 Domstolsprøving av tilsynsmyndighetens avgjørelser
18.4.1 Gjeldende rett
Spørsmålet om domstolsprøving av Datatilsynets og Justisdepartementets avgjørelser etter personregisterloven reguleres av alminnelige sivilprosessuelle regler. I tråd med læren om forvaltningens frie skjønn vil domstolene kun i unntakstilfelle etterprøve tilsynets eller departementets utøvelse av forvaltningsskjønnet, se utvalgets merknader ovenfor under 18.3.8.2.
18.4.2 EF-direktivet artikkel 22
EF-direktivet artikkel 22 pålegger det enkelte medlemsland å sikre at enhver som mener at hans rettigheter etter nasjonal lovgivning om behandling av personopplysninger er krenket, skal kunne bringe saken inn for domstolene. Direktivbestemmelsen er ikke til hinder for at medlemslandene gir egne regler om administrativ klageadgang, og heller ikke for at det på nasjonalt plan gis regler om at administrativ klageadgang må være uttømt før saken kan bringes inn for domstolene.
18.4.3 Utvalgets vurderinger
Artikkel 22 om mulighet for domstolsprøving antas å være i overensstemmelse med gjeldende norsk rett, og utvalget ser ikke noe stort behov for å foreslå lovendringer.
Utvalget har særskilt vurdert om Datatilsynets avgjørelser ikke skal kunne bringes inn for domstolene før klageadgangen er benyttet, men kommet til at de meget få tilfellene det måtte være snakk om ikke begrunner en slik ordning.
19 Sanksjoner
19.1 Innledning
Foran i utredningen er det gjort rede for hvordan utvalget mener reglene for behandling av personopplysninger best kan utformes. Utvalget har lagt vekt på å få frem at personverninteresser er viktige samfunnsinteresser, og på å utforme reglene på en måte som gjør at de – innenfor de rammene bl a direktivet setter – er mest mulig praktikable. Dette er viktige forutsetninger for at reglene i størst mulig grad skal bli respektert og etterlevd. Temaet i dette kapitlet er hvilke rettslige følger det skal få at loven eller vedtak fattet i medhold av loven likevel ikke overholdes.
Artikkel 24 ( Sanktioner) i EF-direktivet pålegger medlemsstatene å fastsette sanksjoner for overtredelse av de nasjonale bestemmelser som gis til gjennomføring av direktivet:
«Medlemstaterne træffer de nødvendige foranstaltninger til at sikre, at dette direktiv gennemføres i fuldt omfang, og de fastsætter bl. a. de sanktioner, der skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til dette direktivs gennemførelse.»
Sanksjonene som direktivet taler om kan være straffebestemmelser, men det er ikke noe krav i direktivet om at overtredelser skal straffesanksjoneres. Formålet med bestemmelsen er å sikre at direktivet gjennomføres i fullt omfang, men den enkelte staten står relativt fritt til selv å bestemme hvilke sanksjoner som bør benyttes. Det samme gjelder artikkel 10 i Europarådskonvensjonen, hvor det heter at hver part plikter å innføre hensiktsmessige sanksjoner.
Nedenfor drøftes ulike former for offentlige sanksjoner (se 19.2 om straff og 19.4 om bl a tvangsmulkt) og en form for privat sanksjon (se 19.3 om erstatning og oppreisning).
19.2 Straff
19.2.1 Gjeldende rett
Personregisterloven § 38 kriminaliserer både forsettlige og uaktsomme overtredelser. Straffansvaret gjelder bare ved overtredelse av enkelte av lovens regler, se § 38 første ledd. Begrunnelsen for dette er at enkelte av lovens regler ble ansett for å være for skjønnsmessige til at overtredelser burde straffes, jf Ot prp nr 2 (1977-78) s 97 venstre spalte.
Unnlatelse av å etterkomme pålegg om sikring etter personregisterloven § 8 b rammes ikke av straffebestemmelsen i § 38. Dette skyldes antagelig en forglemmelse. Tidligere ble slike pålegg gitt med hjemmel i personregisterloven § 11 og overtredelse av vilkår fastsatt med hjemmel i § 11 var straffesanksjonert i § 38. Etter en endring av loven i 1987 (da § 8 b ble tilføyd) ble ikke straffebestemmelsen endret tilsvarende. Det er imidlertid ikke tvil om behovet for sanksjoner også på dette området.
Straffebudet i personregisterloven § 38 inneholder ikke noen begrensning med hensyn til subjekt (jf uttrykket den som), og retter seg f eks mot ansatte og tjenestemenn, og mot innleide konsulenter eller andre hjelpere.
Inntil 1991 inneholdt personregisterloven § 39 regler om straff for juridiske personer. Regelen var begrunnet med at det i et foretak med flere ansatte lett kan oppstå uklare ansvarsforhold, og at det da kan virke urimelig å legge skylden på en enkeltperson. Det ble også lagt vekt på at en regel om foretaksansvar gir et bedre grunnlag for utmåling av bot enn om ansvaret skulle ligge på en enkelt ansatt (jf Ot prp nr 2 (1977-78) s 97 høyre spalte). Personregisterloven § 39 ble opphevet fordi bestemmelsen ville være overflødig etter at det ved lov 20 juli 1991 nr 66 ble innført en generell regel om foretaksstraff i straffeloven kapittel 3 a. I motsetning til personregisterloven § 39 får straffelovens bestemmelser om foretaksstraff også anvendelse på offentlig virksomhet (jf Ot prp nr 27 (1990-91) s 29 høyre spalte). Med bestemmelsen i straffeloven § 48 a første ledd er det gitt generell hjemmel for å ilegge foretak (definert i annet ledd) straff i form av bot. Foretaket kan også fradømmes retten til å utøve virksomheten eller forbys å utøve den i visse former, se straffeloven § 48 a tredje ledd siste punktum sammenholdt med straffeloven § 29.
19.2.2 Utvalgets vurderinger
Når det gjelder straff som sanksjon ved overtredelse av loven og regler og vedtak fattet i medhold av denne, går utvalget i hovedsak inn for å videreføre dagens regler. I tråd med anbefalingen i Ot prp nr 27 (1990-91) s 11 høyre spalte bør foretaksstraff fremdeles reguleres i straffeloven. Hensynet til forutberegnelighet varetas ved at gjerningsbeskrivelsen fortsatt vil finnes i særloven.
Forsåvidt gjelder straff for fysiske personer, kan det reises spørsmål ved om uaktsomme overtredelser fremdeles skal være straffbare, eller om dette kan være for strengt, særlig for den som på grunn av små ressurser kan ha vansker med å kartlegge rettslige og faktiske konsekvenser som persondatabehandlingen medfører. Utvalget har imidlertid funnet det mest formålstjenlig å videreføre dagens regel. Det legges i den forbindelse vekt på at den som ut fra sine personlige forutsetninger har gjort så godt han har kunnet, normalt ikke vil ha utvist straffbar uaktsomhet selv om handlemåten strider mot en objektiv norm for forsvarlig opptreden, jf NOU 1992: 23 Ny straffelov – alminnelige bestemmelser s 119 venstre spalte. Utvalget har også lagt vekt på at det i dag er vanlig å kriminalisere uaktsomme handlinger på særlovgivningens område, noe som blant annet skyldes at krav til forsett kan skape betydelige bevisproblemer. Straffelovkommisjonen går i sin innstilling inn for at uaktsomme handlinger bør kriminaliseres i noe større utstrekning enn i dag, jf NOU 1983: 57 s 146 – 147 og NOU 1992: 23 s 122 høyre spalte. Endelig understreker utvalget at det bare er et utvalg av lovens bestemmelser som vil bli gjort straffbare, se nedenfor om legalitetsprinsippets krav til rimelig klar angivelse av den straffbare handling.
Utvalget mener også at dagens regel om medvirkning bør videreføres.
Utvalget går inn for at strafferammen i større grad bør tilpasses straffverdigheten av overtredelsen. Dagens strafferamme er den samme for lovbrudd av nokså ulik karakter. Overtredelse av reglene for behandling av personopplysninger kan i spesielt graverende tilfeller få store konsekvenser for den fornærmede, og etter utvalgets syn er det her behov for et noe mer nyansert system. Utvalget foreslår derfor at straffen under særdeles skjerpende omstendigheter kan settes til fengsel i inntil to år. Dette gjelder også ved uaktsomme overtredelser, men graden av skyld vil ha betydning i vurderingen av om det foreligger særdeles skjerpende omstendigheter. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det forøvrig legges vekt på faren for stor ulempe eller fare for den registrerte, den tilsiktede vinning ved overtredelsen, overtredelsens varighet og omfang og på om den skyldige tidligere er straffet for overtredelse av tilsvarende overtredelser. Noen strengere strafferamme enn dette er det neppe behov for – reguleringen her må ses i sammenheng med straffelovens bestemmelser om datakriminalitet (jf oversikten i Datakriminalitet, ØKOKRIMs stensilserie nr 9, Oslo 1995).
Legalitetsprinsippet slik det er nedfelt i straffeloven § 96 krever at lovbestemmelser som skal straffesanksjoneres må ha en viss grad av presisjon – det må stilles opp relativt faste kriterier for når noe skal være straffbart. I dagens lov er dette løst slik at det bare er et utvalg av lovens bestemmelser der overtredelser straffesanksjoneres. Utvalget legger til grunn at ikke alle bestemmelsene i den nye loven er tilstrekkelig presise til at de bør straffesanksjoneres. Dette gjelder for eksempel §§ 7, 8, 9 og 10. Se forøvrig merknadene til lovforslaget § 42.
19.3 Erstatning og oppreisning
19.3.1 Oversikt over gjeldende rett
Personregisterloven § 40 pålegger kredittopplysningsforetak objektivt erstatningsansvar (ansvar selv om det ikke er utvist uaktsomhet):
«Har foretak som driver virksomhet som nevnt i § 13, meddelt opplysninger i strid med bestemmelser gitt i eller i medhold av loven her, eller meddelt opplysninger som viser seg uriktige eller åpenbart misvisende, skal foretaket erstatte det tap som påføres den opplysningene gjelder. Dette gjelder uten hensyn til om det er utvist skyld fra noen som har opptrådt på vegne av eller i tjeneste hos firmaet.»
Alternativet åpenbart misvisende opplysninger har særlig betydning ved meddelelse av vurderinger, for eksempel i forbindelse med et kredittopplysningsforetaks vurdering av en persons kredittverdighet.
Det er foretaket som er erstatningsansvarlig i henhold til bestemmelsen, ikke enkeltpersonene som har handlet på vegne av foretaket. Datatilsynet har antatt at ansvaret ikke gjelder for virksomheter som er unntatt etter forskrift 21 desember 1979 § 4-2.
Erstatningsansvaret etter § 40 gjelder påvist økonomisk tap, som f eks ekstra utgifter i forbindelse med nektet kreditt og advokat- og telefonutgifter.
For andre virksomheter enn kredittopplysningsforetak finnes det ingen lovregel i personregisterloven, men det alminnelige ulovfestede uaktsomhetsansvaret vil gjelde også her.
Personregisterloven gir i dag ikke grunnlag for å kreve erstatning for skade som ikke har resultert i noe økonomisk tap. Oppreisningsregelen i skadeserstatningsloven § 3-6 gjelder bare ved ærekrenkelser og krenking av privatlivets fred (slik disse begrepene brukes i straffeloven §§ 246 flg og 390).
19.3.2 Internasjonale regler
Artikkel 23 i EF-direktivet ( Ansvar) pålegger medlemsstatene å gi nærmere regler om erstatningsansvar for den registeransvarlige:
«1. Medlemsstaterne fastsætter bestemmelser om, at enhver, som har lidt skade som følge af en ulovlig behandling eller enhver anden handling, der er uforenlig med de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, har ret til erstatning for den forvoldte skade fra den registeransvarlige.
2. Den registeransvarlige kan helt eller delvis fritages for erstatningsansvar for skade, hvis han beviser, at han ikke er skyld i den begivenhed, der medførte skaden.»
Direktivet oppstiller i utgangspunktet et objektivt erstatningsansvar (ansvar uten skyld). Uttrykket lidt skade kan etter sin ordlyd hevdes å omfatte både skade som resulterer i et økonomisk tap, og skade som ikke resulterer i et økonomisk tap. Det er imidlertid usikkert om direktivet må forstås på denne måten. I andre EØS-land synes meningene å være delte, og tolkningsspørsmålet må anses som uavklart.
I artikkel 23 nr 2 åpnes det for at den registeransvarlige helt eller delvis kan fritas for ansvar dersom han godtgjør at han ikke er skyld i den begivenhet som var årsak til skaden. Et slikt ansvar – culpaansvar med omvendt bevisbyrde – vil være mindre strengt for skadevolderen enn et objektivt ansvar.
19.3.3 Justiskomiteens uttalelser i Innst S nr 80 (1991-92)
I Innst S nr 80 (1991-92) fra justiskomiteen om personvern, erfaringer og utfordringer og om Datatilsynets årsmelding for 1990, uttalte komiteen følgende om erstatningsspørsmålet (s 11 høyre spalte):
« Komiteen viser til gjeldende erstatningsregler i personregisterloven, der kredittopplysningsvirksomhet er pålagt et objektivt ansvar for tap som måtte oppstå ved at det er registrert feil opplysninger. Komiteen vil be Regjeringen vurdere om det er ønskelig å utvide ansvarsregelen i § 13 til andre typer registre, f. eks. offentlig virksomhet, og også om det bør innføres en lovhjemmel for oppreisningserstatning. Komiteen viser til at oppreisningsregelen i § 3-5 stiller svært strenge krav for å tilkjenne erstatning, og at det bør vurderes om det i hvert fall innen visse bransjer kan være grunnlag for erstatning på et mindre strengt grunnlag.»
Utvalget er i sitt mandat bedt om å vurdere de forslag justiskomiteen har kommet med.
19.3.4 Utvalgets vurderinger
19.3.4.1 Oversikt
Nedenfor drøftes først om det skal være objektivt eller subjektivt erstatningsansvar når det foreligger økonomisk tap, og deretter om det bør kunne kreves erstatning for ikke økonomisk tap (oppreisning).
19.3.4.2 Erstatning for økonomisk tap
19.3.4.2.1 Bør det lovfestes regler om erstatning for alle former for virksomhet som omfattes av loven?
I dag er det bare erstatningsansvar for kredittopplysningsforetak som reguleres i personregisterloven. Spørsmålet her er om den nye loven bør regulere erstatningsansvaret til alle former for virksomhet som omfattes av loven.
Utvalget har kommet til at en slik løsning er mest oversiktlig, og best egnet til å gjennomføre direktivet. Om en slik endring reelt sett innebærer et strengere ansvar enn i dag for andre virksomheter enn kredittopplysningsforetak, avhenger av hvilket ansvarsgrunnlag som legges til grunn, se nedenfor.
19.3.4.2.2 Objektivt eller subjektivt ansvarsgrunnlag?
Det eneste eksemplet vi i norsk rett i dag har på objektivt erstatningsansvar i denne sammenheng er personregisterloven § 40, se nærmere ovenfor. For alle andre virksomheter enn kredittopplysningsvirksomhet gjelder det vanlige ulovfestete culpaansvaret.
Objektivt erstatningsansvar blir tradisjonelt benyttet der det er en stadig, typisk og ekstraordinær skaderisiko ved virksomheten. I slike tilfelle kan virksomheten innkalkulere ansvaret som en driftsutgift, og objektivt ansvar kan ha en gunstig preventiv effekt.
For de fleste typer virksomheter som omfattes av loven er det lite naturlig å tale om at behandlingen av personopplysninger i seg selv utgjør en typisk, stadig og ekstraordinær skaderisiko. Behandlingen er et nødvendig ledd i en hovedvirksomhet, og ikke noe mål i seg selv. Et unntak er kredittopplysningsvirksomhet, hvor misbruk av personopplysninger nettopp utgjør en slik risiko.
Utvalget går på denne bakgrunn inn for at den behandlingsansvarlige skal være ansvarlig for forvoldelse av økonomisk tap, men at skadevolderen slipper ansvar dersom han eller hun godtgjør at vedkommende ikke har utvist uaktsomhet (se merknadene til lovforslaget § 43).
For kredittopplysningsforetak bør det som i dag gjelde et objektivt ansvar. Utvalget bemerker i den forbindelse at erstatningsansvar i medhold av personregisterloven § 40 svært sjelden forekommer, og på at eventuelle urimelige følger av et objektivt erstatningsansvar kan avhjelpes gjennom lempning etter skadeserstatningsloven § 5-1.
Erstatningsansvaret påhviler i begge tilfelle den behandlingsansvarlige og på den driftsansvarlige dersom denne er en annen enn den behandlingsansvarlige. Ansvaret gjelder ved overtredelse av loven og forskrifter gitt i medhold av den, samt når tilsynsmyndighetens vedtak ikke overholdes og dette påfører noen skade.
19.3.4.3 Oppreisning
19.3.4.3.1 Er det behov for en oppreisningsregel?
Sandvik-utvalget foreslo I NOU 1974: 20 lovregler om erstatningsansvar, herunder regler om erstatning for ikke-økonomisk tap. For kredittopplysningsforetak skulle ansvaret være objektivt. Seip-utvalget (som utredet offentlige personregistre) fant ikke grunn til å foreslå særlige erstatningsregler. Når det ikke ble foreslått regler om oppreisning skyldes dette dels at effektivisering av lovreglene etter Seip-utvalgets syn burde skje gjennom straffetrusselen, og dels fordi det utfra hensynet til den enkelte syntes lite naturlig å anvende økonomiske kompensasjonssynspunkter. Departementet fant ikke grunn til å foreslå noen oppreisningsregel, jf Ot prp nr 2 (1977-78) s 62:
«En innføring av særlige oppreisningsregler bør etter departementets oppfatning ikke skje med mindre det er et klart behov for en videregående adgang til å tilkjenne ikke-økonomisk erstatning på dette området. Departementet har ikke funnet at de foreliggende utredninger godtgjør at det er et slikt behov. [...] Behovet for slike særlige sanksjoner mot slike krenkelser antas forøvrig å være tilstrekkelig varetatt ved regler som er foreslått om straff og erstatning.»
Jon Bing og Cato Schiøtz har i en artikkel i Jussens Venner 1977 s 241 – 270 argumentert for en egen oppreisningsregel for personregisterkrenkelser, se også Jon Bing i Lov og Rett 1977 s 433-434. Forfatterne mener at et vanlig erstatningsansvar vil ha liten verdi på dette området, fordi det sjelden vil kunne dokumenteres noe økonomisk tap. Dessuten pekes det på at en oppreisningsregel kan gjøre straffetrusselen mer effektiv, fordi den krenkede trolig oftere vil melde forholdet til politiet for på den måten å få oppreisningskravet pådømt i straffesaken.
Både Sverige, Danmark og Finland har regler om oppreisning ved misbruk av personopplysninger. Erfaringene går i hovedsak ut på at det har vært få saker med krav om slik oppreisning, og at beløpene gjennomgående har vært små.
Utvalget er i tvil om det er behov for en oppreisningsregel. Erstatningsregler har tradisjonelt både et preventivt og et reparerende formål. Om det av preventive grunner er behov for en oppreisningsregel, kommer blant annet an på hvor effektivt en mener at de eksisterende sanksjonsmidlene virker. Den objektive erstatningsregelen i personregisterloven § 40 er svært sjelden brukt, selv om den kan ha virket som et ris bak speilet. Straffereglene har heller ikke blitt mye brukt. Den mest effektive sanksjonen i dag er trolig at Datatilsynet kan trekke tilbake personregisterkonsesjonen. Om en oppreisningsregel vil styrke prevensjonen utover dette, kommer blant annet an på hvor stor risiko det er for at det rettes krav mot en, og på hvor alvorlig en venter at reaksjonen vil bli.
For den skadelidte vil en oppreisningssum til en viss grad kunne virke reparerende, selv om det ikke alltid vil være like passende å bøte skaden med penger.
En fare med en oppreisningsregel kan være at oppreisningssummen blir meget høy, med de uheldige virkninger dette kan ha. Sett hen til de gjennomgående lave beløp norske domstoler har tilkjent i oppreisningssaker hittil, er det imidlertid liten grunn til å frykte en slik utvikling. Og under enhver omstendighet kan det dersom det er behov lovfestes regler om maksimalt oppreisningsbeløp.
Utvalget har etter atskillig overveielse lagt avgjørende vekt på at det er uhyre vanskelig å finne et adekvat økonomisk uttrykk for denne type skade som ikke har resultert i noe økonomisk tap. Sett fra skadelidtes side vil det gjennomgående være atskillig mer tilfredsstillende dersom skadevolderen pålegges å sørge for at følgene av skaden blir minst mulig. Utvalget går derfor inn for at gjenopprettingsregelen i personregisterloven § 8 første ledd siste punktum videreføres og videreutvikles, slik at skadelidte har plikt til å sørge for at feilen så vidt mulig ikke får betydning for den registrerte. Utvalget legger til grunn at en slik løsning – sett i sammenheng med flere andre godt utbyggede sanksjonsmidler – tilfredsstiller direktivets krav til ansvarsregler.
19.4 Andre sanksjoner
19.4.1 Problemstilling
På bakgrunn av at behandling av personopplysninger blir stadig mer utbredt, og behovet for å sørge for forsvarlig bruk av personopplysninger dermed stadig blir viktigere, kan det stilles spørsmålstegn ved om straff og erstatning er tilstrekkelig effektive sanksjoner. Mens strafforfølgning er ressurskrevende og kan ta lang tid, forutsetter erstatningssanksjonen at den skadelidte selv gjør sitt krav gjeldende. Selv om erstatningsreglene som utvalget foreslår kan føre til at det blir noe lettere å få tilkjent erstatning enn etter dagens regler, er det grunn til å tro at mange skadelidte heller ikke i fremtiden ønsker eller har ressurser til å forfølge sitt krav innen rettsapparatet. Utvalget har derfor funnet det hensiktsmessig å vurdere om det foreligger andre sanksjonsmuligheter som et supplement til straff og erstatning.
Datatilsynet har i dag lovhjemmel til å komme med påbud, men har ingen sivilrettslige økonomiske sanksjonsmidler dersom påbudet ikke blir fulgt opp. Det blir imidlertid stadig vanligere å gi tilsynsorganer adgang til å iverksette sivilrettslige administrative sanksjoner som et supplement til straffesanksjoner. Nedenfor gis en redegjørelse for og vurdering av to former for myndighet som det kan være aktuelt å gi til tilsynsmyndigheten; rett til å ilegge tvangsmulkt, og rett til å gi forelegg om inndragning av vinning.
19.4.2 Tvangsmulkt
En etterhvert vanlig form for administrativ sanksjon i norsk rett er bruk av tvangsmulkt, dvs en løpende mulkt som ilegges av myndighetene, og som gjerne forhøyes over tid inntil en uønsket atferd (f eks overtredelsen av et pålegg gitt i medhold av loven) opphører. Denne sanksjonsformen er – med større eller mindre variasjoner – lovfestet i en rekke formelle lover, jf for eksempel kredittilsynsloven § 10 siste ledd (hjemmel for Kredittilsynet til å ilegge daglig mulkt ved overtredelse av påbud), børsloven § 6 annet ledd (hjemmel for daglig løpende mulkt dersom opplysningsplikten ikke oppfylles) og konkurranseloven § 6-4 (mulkt kan ilegges dersom et enkeltvedtak ikke respekteres).
Etter utvalgets syn bør også tilsynsmyndigheten på personvernområdet gis mulighet til å ilegge en løpende mulkt der dette finnes nødvendig for å sikre at enkeltvedtak som er truffet i medhold av loven etterleves (lovforslaget § 41). Mulkten bør kunne pålegges både overfor fysiske og juridiske personer, og størrelsen bør fastsettes av tilsynsmyndigheten ut fra alminnelige forvaltningsrettslige prinsipper, herunder hensynet til forholdsmessighet mellom mål og virkemidler. Vedtak om bruk av tvangsmulkt vil være enkeltvedtak i forvaltningslovens forstand, og vil kunne påklages til Personvernnemnda. Mulkten begynner ikke å løpe før enten klagefristen er ute, eller – hvis vedtaket påklages – på det tidspunkt Personvernnemnda eventuelt opprettholder førsteinstansens vedtak. Effektivitetshensyn tilsier at vedtaket om å ilegge mulkt er tvangsgrunnlag, jf tvangsloven § 7-2 bokstav e.
19.4.3 Inndragning
Som det fremgår ovenfor, foreslår utvalget at tilsynsmyndigheten gis hjemmel til å ilegge tvangsmulkt dersom enkeltvedtak truffet i medhold av loven ikke overholdes. Spørsmålet blir videre om det er behov for å gi tilsynsmyndigheten ytterligere sivilrettslige sanksjonsmuligheter. I konkurranseloven § 6-5 er Konkuransetilsynet gitt myndighet til å utferdige forelegg om avståelse av vinning dersom vinningen er oppnådd ved overtredelse av konkurranseloven eller vedtak i medhold av loven. Dersom forelegget ikke vedtas, har Konkuransetilsynet tre måneder på å reise sivilt søksmål mot den forelegget er rettet mot. Hvis det reises straffesak, kan kravet om vinningsavståelse tas med i straffesaken som inndragningskrav etter straffeloven § 34 (den alminnelige inndragningsregelen i straffeloven).
Utvalget har kommet til at Datatilsynet neppe har behov for ytterligere sanksjonsmidler.
20 Økonomiske og administrative konsekvenser av utvalgets forslag
20.1 Innledning
Utvalget har foreslått tildels betydelige endringer i både personvernregelverket og administrasjonen av dette, se kapittel 10 – 19 hvor forslagene er nærmere omtalt. I disse kapitlene er administrative og økonomiske konsekvenser av mulige alternativer flettet inn i utvalgets vurderinger. Dette gjelder særlig kapittel 18 om tilsynsmyndighetens organisasjon og oppgaver. Utvalget har forøvrig ikke hatt mulighet til å foreta nøyaktige beregninger av forslagets økonomiske konsekvenser. Det er ikke i dag mulig og heller neppe hensiktsmessig å gi noen begrunnet oppfatning om detaljerte budsjettspørsmål. Utvalget vil av disse grunner nøye seg med å gi en oversikt over hovedtrekkene av de økonomiske og administrative konsekvensene forslaget innebærer.
20.2 Konsekvenser for Justisdepartementet
Utvalget foreslår at klager over Datatilsynets vedtak ikke lenger skal behandles av Justisdepartementet, men istedet av en egen sakkyndig Personvernnemnd. Dette medfører at Justisdepartementet får frigitt ressurser som ellers ville gått med til klagebehandling.
Departementet må sørge for at det opprettes en Personvernnemnd. Personvernnemndas medlemmer, som forutsettes å være høyt kvalifiserte, vil fungere som medlemmer ved siden av andre stillinger eller verv på samme måte som medlemmene av dagens Datatilsynsstyre. Det forutsettes at honorarene fastsettes på en måte som sikrer tilstrekkelig kvalifiserte medlemmer. I tillegg vil Personvernnemnda trolig ha behov for et sekretariat på 1-2 personer som det i så fall må avsettes midler til.
20.3 Konsekvenser for Datatilsynet
20.3.1 Innledning
Tilsynsvirksomhet på grunnlag av den nye loven blir en viktig samfunnsoppgave. Nye måter å bruke personopplysninger på krever nye tilsynsverktøy. Utvalget har i tråd med dette foreslått at Datatilsynet gis til rådighet et bredt spekter av oppgaver og reguleringsredskaper, samt en betydelig fleksibilitet og valgfrihet mht hvordan oppgavene skal prioriteres og virkemidlene skal benyttes. Forslagene medfører at Datatilsynet i en overgangsperiode vil ha behov for betydelige økte ressurser, både i form av økt kompetanse hos de ansatte og i form av opprusting av teknisk utstyr.
Nedenfor kommenteres nærmere noen økonomiske og administrative virkninger det nye reguleringsregimet har og kan ha for Datatilsynet.
20.3.2 Omleggingen av konsesjonsordningen – meldeplikt
Utvalget foreslår at konsesjonsplikten skal begrenses i forhold til dagens ordning. Dette vil frigjøre ressurser som konsesjonsbehandlingen i dag båndlegger, og overgangen til et system med meldeplikt i kombinasjon med en redusert konsesjonsplikt vil isolert sett føre til en redusert arbeidsmengde for tilsynet. Også en meldepliktordning forutsetter imidlertid en eller annen form for oppfølgning av meldingene. Hvordan denne oppfølgningen skal skje, er opp til tilsynet selv, og utvalget vil nøye seg med å komme med noen innspill om hvorledes den administrative behandlingen av meldingene kan gjennomføres.
En delvis automatisering av meldingsbehandlingen vil kunne spare manuell arbeidsinnsats hos tilsynet, og åpne for mer effektiv kontroll. Automatiseringen av meldepliktordningen kan deles inn i rutiner for innsamling og oppdatering av meldingene, rutiner for bearbeiding av meldingsopplysningene, og rutiner for kommunikasjon med de meldepliktige.
Når det gjelder rutiner for innsamling av meldingene kan det være hensiktsmessig å la den meldepliktige velge om han eller hun vil benytte en elektronisk melding eller en tradisjonell papirmelding (jf Den norske IT-veien, Bit for bit, rapport fra Statssekretærutvalget for IT pkt 3.3.6). Forsåvidt gjelder elektroniske meldinger kan dette gjennomføres ved å legge meldingsskjemaet ut på Datatilsynets tekstvevsider, slik at meldinger kan sendes over nettet i et på forhånd fastlagt format. For den gruppen av meldepliktige som har tilgang til nettet vil bruk av elektroniske meldinger fremstå som brukervennlig og billig. Utvalget understreker at en meldepliktsordning i de nærmeste årene ikke utelukkende kan baseres på en elektronisk innrapportering, og at det må stilles samme innholdskrav til begge meldingsmåtene.
Forsåvidt gjelder rutiner for bearbeiding av innholdet i meldingene, kan det være hensiktsmessig å sørge for at opplysningene gjøres søkbare. På denne måten kan ny teknologi benyttes til å bearbeide og trekke informasjon ut av meldingene. Dette forutsetter at meldingene foreligger i maskinlesbar form (noe som f eks kan oppnås ved å tillate meldinger sendt med elektronisk post og ved å scanne innkomne papirmeldinger). For at meldingene skal gi størst mulig nytte for tilsynet, vil det være en fordel om meldingene inneholder indikatorer for personverntrusler og kriterier som i en søkeprosess gjør det mulig å skille mellom ulike former for virksomheter. Eksempler på søkekriterier kan være overføring av opplysninger til tredjeland, hvor søket vil gi en oversikt over behandlingsansvarlige som har gitt melding om at overføring skjer. Datatilsynet kan på dette grunnlaget foreta en stikkprøvebasert kontroll for å undersøke om vilkårene for slik overføring er oppfylt, og – dersom vilkårene ikke er oppfylt – gi pålegg om at overføringen ikke skal finne sted.
Det tredje settet av administrative rutiner knyttet til meldingsbehandlingen gjelder kommunikasjon med de meldepliktige. Den meldepliktige bør få en kvittering om at meldingen er mottatt. Dersom det er benyttet elektronisk melding, kan det være aktuelt å gi en elektronisk kvittering. Sammen med kvitteringen kan det også sendes informasjon om rettigheter som tilkommer den registrerte.
Utvalget understreker at automatiseringen ikke må komme mellom saksbehandlerne og de meldepliktige, men snarere etablere kontakten mellom disse og bedre mulighetene for prioritert innsats.
20.3.3 Etterfølgende kontroll og rådgivning
Datatilsynet vil i henhold til utvalgets forslag få flere hjemler til å gripe inn i etterkant og forby eller sette vilkår for behandling av personopplysninger som ikke respekterer lovens nye materielle regler. I tillegg er det ønskelig at Datatilsynet skal yte betydelig bistand på frivillig basis der det ønskes råd om hvordan personvern kan varetas. For at Datatilsynet skal kunne fylle disse oppgavene kreves trolig noe større ressurser enn tilsynet har i dag.
20.3.4 Datatilsynets styre
Utvalget er delt i spørsmålet om Datatilsynet fortsatt skal ledes av et styre (se 18.3.7). En videreføring uten styre vil naturlig frigjøre de ressurser som i dag tilføres styret. Opprettholdes dagens styreordning forventes ressursbehovet å bli omtrent som i dag.
20.3.5 Bør Datatilsynet i større grad være selvfinansierende?
Datatilsynet har i dag inntekter på i underkant av en million kroner hvert år (for budsjetterminen 1997 er det kalkulert med samlede inntekter på 897.000 kroner, jf St prp nr 1 (1996-97) s 98). Inntektene skyldes hovedsaklig at virksomhetene som reguleres i personregisterloven kapitlene 5 – 8 betaler et gebyr på kr 3.000 hvert år. Gebyrordningen har hjemmel i personregisterloven § 5 om dekning av utgifter til kontrollvirksomhet og er fastsatt i forskrift 12 desember 1988 nr 1010. (Datatilsynets utgifter er i 1997 i underkant av 10 millioner kroner). I Sverige er tilsynet selvfinansierende ved at det betales gebyr for de oppgaver tilsynet utfører.
Utvalget ser det ikke som ønskelig at Datatilsynet skal være fullstendig selvfinansierende i den forstand at alle utgifter dekkes inn gjennom gebyrer av ulik art. Generelt sett er det grunn til å være varsom med å kreve særskilt betaling for myndighetsutøvelse. En slik utvikling ville foruten prinsipielle betenkeligheter også medføre arbeid med å inndrive forfalte gebyrer. Det bør som i dag være adgang til å kreve dekning av utgiftene ved kontroll.
Forsåvidt gjelder innsending av meldinger, er utvalget derimot skeptisk til å knytte en betalingsplikt til meldingen. Erfaringer fra andre områder viser at en slik ordning kan føre til at enkelte unnlater å melde fra for på den måten å omgå betalingsplikten. Ettersom meldingene i det nye reguleringsystemet vil stå sentralt i kommunikasjonen mellom Datatilsynet og de behandlingansvarlige, er det viktig å legge forholdene til rette for at meldingsplikten faktisk etterleves.
Datatilsynet driver i dag med utstrakt informasjonsvirksomhet, og utvalget ser det som ønskelig at dette arbeidet videreutvikles. For deler av informasjonsmaterialet kan det være naturlig å kreve betaling dersom borgerne ønsker å motta materialet. Dette gjelder for eksempel publikasjonen Spor, og for kurs og seminarer som Datatilsynet arrangerer. Utvalget understreker at det er en forutsetning at store deler av informasjonsvirksomheten til Datatilsynet fortsatt skal være gratis for brukerne. Gratis i betydningen uhindret tilgang til informasjon er særlig viktig fordi personvernhensyn trolig av mange (ofte feilaktig, se kapittel 3) oppfattes som motsetning til effektivitetshensyn og økonomiske interesser, og av den grunn nedprioriteres.
Muligheten til å ilegge tvangsmulkt dersom pålegg fra Datatilsynet ikke etterleves vil kunne gi inntekter til staten.
20.4 Konsekvenser for de behandlingsansvarlige
Forslaget gir den enkelte som opplysningene gjelder flere individuelle rettigheter, bl a mer omfattende innsynsrett og krav på varsel ved enkelte former for innsamling av opplysninger. Dette vil påføre de behandlingsansvarlige kostnader. Hvor store kostnadene ved bruken av rettighetene vil bli, er for mange rettigheters vedkommende avhengig av hvor mange registrerte som benytter seg av retten. I dag blir individuelle rettigheter som krever initiativ fra den enkelte relativt sjelden brukt. Skulle det vise seg at bruk av disse rettighetene medfører merkbare kostnader, vil det være naturlig å innkalkulere kostnadene som driftsutgifter. Ettersom bruken og kostnadene forbundet med bruken av individuelle rettigheter formentlig vil fordele seg jevnt på de behandlingsansvarlige, og tilsvarende rettigheter finnes i andre EØS-land, er det ikke grunn til å tro at kostnadene i særlig grad vil virke konkurransevridende eller vanskeliggjøre lovlig behandling av personopplysninger. Det bør i denne sammenheng også minnes om at forslaget til ny lov i stor grad bygger på et EF-direktiv som Norge – uansett kostnader – har forpliktet seg til å gjennomføre, og at lovforslaget ikke legger opp til vesentlig mer kostnadskrevende ordninger enn det direktivet medfører.
Utvalget antar at kostnadene ved varsling kan begrenses ved at varsel gis når den behandlingsansvarlige av andre grunner kommer i kontakt med den registrerte.
Den reduserte konsesjonsplikten vil gjøre det lettere å sette i gang med en del behandlingsformer som tidligere ville krevd konsesjon.
Flere materielle regler i loven har blant annet som formål å gjør det lettere for den behandlingsansvarlige å vite hva han har å forholde seg til.
Deltagelse i utarbeidelsen av bransjevise atferdsnormer vil kreve ressurser, men er frivillig og kan på sikt ha positive økonomiske virkninger fordi reglene virker avklarende. Deltagelse i slikt arbeid kan også være et konkurransefortrinn fremfor virksomheter som ikke deltar, fordi forbrukerne ser på varetagelsen av personvern som noe positivt.
Den behandlingsansvarlige som ikke plikter å sende melding eller søke om konsesjon plikter like fullt å ha viss informasjon tilgjengelig, se lovforslaget § 16. Den informasjonen som skal holdes tilgjengelig vil imidlertid som regel allerede foreligge ved utarbeidelsen av behandlingssystemet, og ofte også kreves av andre myndigheter. Merkostnadene her må derfor anses som ubetydelige.