2 Bakgrunnen for lovforslaget
2.1 Gjeldende rettstilstand nasjonalt og internasjonalt
Personregisterloven 9 juni 1978 nr 48 gir generelle regler om registrering og informasjonsbehandling i organer for stat eller kommune og for privat næringsvirksomhet, foreninger eller stiftelser. Loven omfatter ikke bare opprettelse av personregistre, men også annen bruk av personopplysninger i visse typer virksomhet. Det er gitt ulike forskrifter til loven om blant annet innsynsrett i registre, unntak fra konsesjonsplikten og fjernsynsovervåking.
Personvern generelt og behandling av personopplysninger spesielt varetas også av en rekke andre lover og lovbestemmelser. Straffeloven har i kapittel 23 regler om ærekrenkelser som verner den enkeltes æresfølelse og omdømme. Straffeloven § 390 hjemler straff for «den som krenker privatlivets fred ved å gi offentlig meddelelse om personlige eller huslige forhold». Straffeloven § 145 a forbyr hemmelig avlytting av samtaler mellom andre, med unntak for forbrytelser mot rikets sikkerhet og narkotikasaker, jf straffeprosessloven kapittel 16 a. Åndsverkloven § 45 c forbyr i utgangspunktet gjengivelse eller offentlig visning av et fotografi som avbilder en person uten samtykke fra vedkommende.
Både forvaltningsloven og ulike andre lover har regler om taushetsplikt for ansatte i stat eller kommune for det de gjennom arbeidet får vite om noens personlige forhold. Personregisterlovens bestemmelser om innsynsrett supplerer de mer generelle bestemmelsene i forvaltningsloven og offentlighetsloven om innsyn i forvaltningens saksdokumenter.
Arbeidsmiljøloven § 12 har regler om at teknologi og arbeidsorganisasjonen skal legges opp slik at arbeidstakerne ikke utsettes for uheldige psykiske belastninger, samtidig som arbeidsgiverne pålegges å holde arbeidstakerne og deres tillitsvalgte orientert om systemer og planlagte endringer i systemer som nyttes ved planlegging og gjennomføring av arbeidet. Utplassering av overvåkingsutstyr på arbeidsplassen vil utløse plikt for arbeidsgiveren til å orientere arbeidstakerne og deres tillitsvalgte. Innenfor rammen av blant annet arbeidsmiljølovgivningens regler vil behandling av personopplysninger i virksomheter også i visse tilfeller være regulert nærmere i avtaler mellom arbeidsgiverne og arbeidstakerne, jf f eks hovedavtalen mellom LO og NHO.
I tillegg til de lovfestede og avtalefestede reglene om personvern har vi et ulovfestet personvern som er domstolskapt og som relaterer seg til ulike forhold som beskyttelse av navn, innsyn i egen legejournal og bruk av såkalt overskuddsinformasjon i etterforskningssammenheng. Prinsippet om rett til innsyn i egen legejournal er senere blitt lovfestet i legeloven 13 juni 1980 nr 42 § 46.
I en videre forstand omfatter det ulovfestede personvernet også mellommenneskelige regler for sosial atferd og moralregler. Denne type ikke-rettslige atferdsnormer vil ofte være vel så betydningsfulle i praksis som de rettslige, ettersom mange personvernspørsmål ikke er egnet til å rettsliggjøres.
Det finnes forskjellige internasjonaleregelsett som er av betydning for utformingen av norske regler om behandling av personopplysninger. De internasjonale reglene kan deles i to hovedkategorier; konvensjoner m v som er folkerettslig bindende for Norge, og anbefalinger som ikke er rettslig forpliktende.
Europarådets konvensjon 28 januar 1981 nr 108 om personvern i forbindelse med elektronisk databehandling av personopplysninger ble ratifisert av Norge 20 februar 1984 og tok til å gjelde 1 oktober 1985. Formålet med konvensjonen er å sikre respekten for frihet og andre grunnleggende rettigheter i forbindelse med lagring og håndtering av personopplysninger som blir foretatt ved hjelp av edb. Konvensjonen inneholder minimumsregler, og de ulike landene står fritt i å gi dem som opplysningene gjelder rettigheter som går ut over det som følger av konvensjonen. Europarådskonvensjonen er senere fulgt opp med ulike rekommandasjoner (anbefalinger) som tar for seg mer avgrensede områder og gir mer detaljerte regler enn konvensjonen.
Rådet i EU vedtok 24 oktober 1995 et direktiv om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (direktiv 95/46/EF). Direktivet har som siktemål å etablere felles reguleringsprinsipper og et ensartet vern i hele EU-området for behandling av personopplysninger. Personverndirektivet bygger i utgangspunktet på prinsippene i Europarådets konvensjon om beskyttelse av personopplysninger, men forutsetter også på enkelte punkter endringer i norsk lovgivning. Hovedpunktene i direktivet og forhandlingene om innlemmelse av direktivet i EØS-avtalen er nærmere beskrevet under punkt 2.4.
Organisasjonen for økonomisk samarbeid og utvikling (OECD) utviklet i 1980 retningslinjer for beskyttelse og utveksling av persondata over landegrensene.
Også i Europarådets menneskerettskonvensjon 4 november 1950 og i FN-konvensjonen om sivile og politiske rettigheter av 1966 finnes det artikler som har betydning for den enkeltes rett til privatliv og personlig integritet, jf nærmere om dette i personregisterlovutvalgets utredning kapittel 9.
2.2 Personregisterlovutvalget
Personregisterloven regulerer et område hvor den teknologiske utviklingen går svært raskt. Den teknologiske og økonomiske utviklingen skaper hele tiden nye utfordringer for personvernet. De senere årene har det både nasjonalt og internasjonalt vært en stor diskusjon om i hvilken retning personregisterlovgivningen bør gå. En rekke land har i løpet av de siste 20 årene fått ny personregisterlovgivning, og flere internasjonale regler på området er vedtatt eller under utarbeidelse.
Den norske personregisterloven har ved flere anledninger vært endret siden vedtakelsen i 1979, men har ikke vært underkastet noen totalrevisjon. Justisdepartementet fant i 1995 at tiden var inne for å foreta en generell gjennomgåelse av personregisterloven. Regjeringen oppnevnte derfor 6 oktober 1995 et utvalg for å utrede behovet for endringer i personregisterlovgivningen. Utvalget fikk følgende mandat:
«Utvalget bør i utgangspunktet stå fritt til å ta opp alle sider ved personregisterloven og tilstøtende lovgivning som utvalget mener bør utredes og eventuelt endres. Utvalgets hovedoppgave bør være å forberede en generell oppdatering av personregisterlovgivningen i lys av den teknologiske, økonomiske og administrative utvikling på området. De forslag som legges fram må ligge innenfor Norges internasjonale forpliktelser. De administrative og økonomiske konsekvensene av utvalgets forslag må også utredes.
Utredningen skal bl a omfatte følgende punkter:
a. Personregisterlovens konsesjonsordning
Etter personregisterloven § 9 kreves det konsesjon fra Kongen for å opprette personregistre som skal gjøre bruk av elektroniske hjelpemidler. Videre kreves det konsesjon for å opprette andre personregistre dersom de skal inneholde følsomme opplysninger. Det er ved forskrift gjort en rekke unntak fra konsesjonsplikten. Myndigheten til å gi konsesjon er delegert til Datatilsynet.
Utvalget skal vurdere hvilken regulerings- og kontrollordning som kan/bør velges dersom EUs direktiv om beskyttelse av personopplysninger blir gjort til en del av EØS-avtalen, se også bokstav d nedenfor. I denne forbindelse skal utvalget vurdere alternative regulerings- og kontrollmåter, f eks regulering/kontroll gjennom meldeplikt og forholdsnormer.
b. Datatilsynets rolle
Datatilsynets oppgaver er nærmere angitt i personregisterloven kapittel 2. Etter § 3 skal Datatilsynet bl a avgi uttalelser, råd og rettleiing om bruk av personregistre og personopplysninger. Etter § 4 skal Datatilsynet føre fortegnelse over konsesjonspliktige personregistre. I § 5 har Datatilsynet hjemmel til å gjennomføre tilsyns- og kontrolloppgaver. Ved siden av disse lovfestede oppgavene har Datatilsynet fått delegert myndighet etter loven. Viktigst her er myndigheten til å gi konsesjon etter § 9.
Etter § 2 sammenholdt med kgl res 8 november 1979 er Datatilsynet et frittstående organ underordnet Kongen og Justisdepartementet.
Utvalget skal foreta en vurdering av hvilke oppgaver som bør ligge til Datatilsynet i framtiden. I denne forbindelse skal det vurderes hvilken stilling Datatilsynet bør ha i forhold til regjeringen og departementet, herunder regjeringens og departementets instruksjons- og kontrollmyndighet. Utvalget skal i denne forbindelse vurdere hvilke løsninger som kan/bør velges dersom EUs direktiv om beskyttelse av personopplysninger blir vedtatt og gjort til en del av EØS-avtalen, se også bokstav d nedenfor.
c. Varslingsplikt, innsynsrett
(1) Stortinget traff 21 april 1994 vedtak der det ba om at Regjeringen legger fram for Stortinget to konkrete forslag til endringer i personregisterloven. I vedtaket heter det:
«1. Stortinget ber Regjeringen legge fram forslag til endringer i lov om personregistre, slik at eieren av et personregister som hovedregel plikter å varsle personene som registreres eller er registrert, om registreringen, dens omfang og formålet med denne.
2. Stortinget ber Regjeringen legge fram forslag til endringer i lov om personregistre, slik at loven får en formålsparagraf som slår fast retten til vern mot utilbørlig inngripen i menneskers privatliv.»
Utvalget skal vurdere og legge fram forslag til lovbestemmelser i tråd med vedtaket. Forholdet til de relevante bestemmelsene i EUs direktiv om beskyttelse av personopplysninger om dette må også vurderes, se også bokstav d nedenfor.
(2) Etter personregisterloven § 7 er hovedregelen for edb-registre at «alle har rett til å få opplyst hvilke opplysninger om dem selv som lagres eller bearbeides ved elektroniske hjelpemidler». Unntak gjelder for opplysninger i registre som bare blir brukt til statistikk, forsking og generelle planleggingsformål. Videre er det gjort unntak for opplysninger «som det må anses utilrådelig at vedkommende får kjennskap til, av hensyn til deres helse eller forholdet til personer som står dem nær». I manuelle registre har den registrerte som hovedregel bare innsyn i personregistre i organ for stat eller kommune. Derimot har den registrerte i utgangspunktet ikke innsyn i det som er registrert om vedkommende i private registre. Med hjemmel i § 7 fjerde ledd er det ved forskrift fastsatt at det også skal være rett til innsyn i visse private registre.
Utvalget skal foreta en generell vurdering av bestemmelsene om innsynsrett i personregisterloven § 7. Det skal særlig vurdere om innsynsretten i forhold til private manuelle registre bør utvides. I forhold til offentlige registre skal utvalget vurdere om det er grunn til i større grad å harmonisere innsynsrettsbestemmelsene i personregisterloven § 7 med andre lovbestemmelser som gir innsynsrett i personopplysninger, f eks forvaltningsloven §§ 18 og 19. Forholdet til de relevante bestemmelsene i EUs direktiv om beskyttelse av personopplysninger om dette må også vurderes, se også bokstav d nedenfor.
d. Internasjonale regler og utenlandsk rett
(1) EU-kommisjonen la i 1992 fram et revidert utkast til direktiv om beskyttelse av personopplysninger. Direktivet ble endelig vedtatt sommeren 1995.
Utvalget skal vurdere hvilke lovendringer EUs direktiv om beskyttelse av personopplysninger vil kreve i personregisterloven og annen lovgivning, samt foreslå eventuelle lovendringer. Utvalget kan også ta opp til vurdering andre sider av direktivet.
(2) Europarådets konvensjon 28 januar 1981 om persondatabeskyttelse setter krav til og rammer for medlemslandenes lovgivning. Norge ratifiserte konvensjonen uten forbehold 20 februar 1984. Personregisterloven antas å oppfylle konvensjonens krav. Utvalgets forslag til lovendringer skal ligge innenfor konvensjonens rammer og tilfredsstille dens krav.
Europarådet har med utgangspunkt i konvensjonen vedtatt en rekke rekommandasjoner om persondatabeskyttelse. Utvalget skal ved sine vurderinger og eventuelle forslag ta særlig hensyn til rekommandasjonene.
(3) Utvalget skal i sitt utredningsarbeid også se hen til andre relevante internasjonale dokumenter.
(4) Norge var av de første land i Europa som fikk en generell lov om personregistre. De siste 15 år har en rekke land vedtatt regler om personregistre. Edb-teknologien reiser i stor grad de samme spørsmål, utfordringer og problemer i de ulike land. Hvordan andre land har valgt å regulere dette området vil derfor kunne være nyttig informasjon i forbindelse med arbeidet med ny norsk lovgivning. Utvalget bør derfor - så langt det finner det nødvendig - innhente opplysninger om andre lands rett.
e. Forholdet til forskriftsverket
Det er i medhold av personregisterloven gitt nærmere forskrifter. Utvalget skal ikke gjennomgå forskriftene ut over det utvalget måtte finne nødvendig for å oppfylle mandatets øvrige punkter. Utvalget skal derimot vurdere om gjeldende fullmaktsbestemmelser er tilfredsstillende og tilstrekkelige, og bes særskilt vurdere hjemmelen for å fastsette bestemmelser om datasikkerhet.
f. Lovtekniske spørsmål
Utvalget skal stå fritt med hensyn til om forslaget skal munne ut i et utkast til en helt ny lov om personregistre eller utkast til endringer i den eksisterende lov.
g. Andre spørsmål
Fra forskjellig hold har det i tiden etter forrige lovrevisjon blitt pekt på forhold ved personregisterloven som bør vurderes endret. Justisdepartementet ber utvalget særlig vurdere følgende:
Spørsmål om utvidelse av ansvarsbestemmelsen i personregisterloven § 40 samt utvidelse av oppreisningsansvaret, se Innst S nr 80 for 1991-92 s 11.
Spørsmål om personregisterloven bør gis anvendelse på virksomhet som driver salg, vedlikehold m v av edb-utstyr og gjennom denne virksomheten får tilgang til personopplysninger, samt informasjonsformidlingsvirksomhet, se Rapport om databehandlingsvirksomhet 26 januar 1994 (Datatilsynet).»
Utvalget har vært kalt personregisterlovutvalget eller Skaugeutvalget. Utvalgets utredning som ble avgitt som NOU 1997: 19 Et bedre personvern. Da utredningen ble avgitt hadde utvalget følgende medlemmer:
konserndirektør Arne Skauge (leder)
direktør Georg Apenes
rådgiver Mette Bredengen
sekretær Pål Gundersen
advokat Arne Dag Hestnes
spesialrådgiver Jostein Håøy
spesialrådgiver Jens C. Koch
rådgiver Ewy Kristiansen
dommerfullmektig Tonje Meinich
professor Dag Wiese Schartum.
Sekretærer for utvalget var rådgiver Mari Bø Haugstad og førstekonsulent Knut Erik Sæther.
2.3 Høringen
Justisdepartementet sendte personregisterlovutvalgets utredning på høring 16 juni 1997 til følgende institusjoner og organisasjoner:
Departementene
Arbeidsdirektoratet
Brønnøysundregistrene
Datatilsynet
Forbrukerombudet
Forbrukerrådet
Kredittilsynet
Likestillingsombudet
Norges Bank
Regjeringsadvokaten
Riksadvokaten
Riksarkivet
Riksbibliotektjenesten
Rikstrygdeverket
Statistisk Sentralbyrå
Statens Datasentral a.s.
Statskonsult
Stortingets ombudsmann for forvaltningen (Sivilombudsmannen)
Akademikernes Fellesorganisasjon
Creditreform Norge A/S
Den norske Advokatforening
Den norske Dommerforening
Den norske Dataforening
Den norske Bankforening
Den norske lægeforening
Det juridiske fakultet, Oslo
Det juridiske fakultet, Bergen
Det norske universitetsråd
Finansieringsselskapenes Forening
Fiskebåtredernes Forbund
Handels- og Servicenæringens Hovedorganisasjon
Industrivernet
Institutt for rettsvitenskap, Tromsø
Juss-buss
Juridisk rådgivning for kvinner
Kommunedata A/L
Kommunenes Sentralforbund
Landsorganisasjonen i Norge
Legemiddelindustriforeningen
Markeds- og mediainstituttet
Norges allmenvitenskapelige forskningsråd
Norges Forskningsråd
Norges Forsikringsforbund
Norges Ingeniørorganisasjon - NITO
Norges Juristforbund
Norges Kreditorforbund
Norges Markedsdata A/S
Norges Markedsføringsforbund
Norges Registrerte Revisorers Forening
Norges Statsautoriserte Revisorers Forening
Norges statsbaner
Norsk Gallup Institutt A/S
Norsk Journalistlag
Norsk Markedsanalyse Forening
Norsk Presseforbund
Norsk Redaktørforening
Norske Annonsørers forbund
Norske Avisers Landsforening
Norske Boligbyggelags Landsforbund
Norske Inkassobyråers Forening
Norske Kredittopplysningsbyråers Forening
Norske Regnskapsbyråers Forening
Norske Sivilingeniørers Forening NIF
Næringslivets Hovedorganisasjon
Opinion A/S, c/o FAFO
Rettspolitisk Forening
Registrerte Revisorers Forening
Reklamebyråforeningen
Sparebankforeningen i Norge
Telenor A/S
Yrkesorganisasjonenes Sentralforbund
Flere andre organisasjoner har i tillegg kommet med merknader. Høringsfristen var satt til 16 september 1997, men mange uttalelser kom etter fristen. Det kom uttalelser fra i alt 75 instanser. Følgende instanser har avgitt realitetsuttalelse:
Advokatforeningen
Akademikernes Fellesorganisasjon
Barneombudet
Bergen Taxi
Brønnøysundregistrene
Datatilsynet
Den nasjonale forskningsetiske komité for samfunnsvitenskap og humaniora
Den norske Bankforening
Den norske Dataforening
Den norske Lægeforening
Det Norske Universitetsråd
Fagforeningene i Datatilsynet (Norske Sivilingeniørers Forening, Norsk Tjenestemannslag, Norges Juristforbund)
Finansdepartementet
Finansieringsselskapenes Forening
Fiskebåtredernes forbund
Forbrukerombudet
Forbrukerrådet
Forskningsrådet
Forsvarsdepartementet
Handels- og servicenæringens hovedorganisasjon
Jernbaneverket
Kirke- utdannings- og forskningsdepartementet
Kredittilsynet
Kriminalpolitisentralen
Kulturdepartementet
Legemiddelindustriforeningen
Likestillingsombudet
LO
Pasientombudet for Akershus fylkeskommune
Norges Bank
Norges Forsikringsforbund
Norske Annonsørers Forbund
Norske Avisers Landsforening
Norske Kredittopplysningsbyråers Forening
Norske Sivilingeniørers Forening
Norsk Journalistlag
Norsk Markedsanalyse forening
Norsk Presseforbund
Norsk Redaktørforening
Norsk Studentunion
Næringslivets Sikkerhetsorganisasjon
Nærings- og handelsdepartementet
Politiets Overvåkingstjeneste
Posten Norge
Riksadvokaten
Riksarkivaren
Riksbibliotektjenesten
Skattedirektoratet
Sparebankforeningen
Statistisk Sentralbyrå
Statskonsult
Stopp JobbMobben
Sysselmannen på Svalbard
Telenor
Toll- og avgiftsdirektoratet
Universitetet i Bergen
Vegdirektoratet
Yrkesorganisasjonenes Sentralforbund
ØKOKRIM
I tillegg har departementet mottatt skriftlige innspill fra direktøren i Datatilsynet og tidligere nestleder i Datatilsynets styre.
Innholdet av høringsuttalelsene blir behandlet senere i proposisjonen i tilknytning til de enkelte forslagene der.
2.4 EU-direktivet om beskyttelse av personopplysninger
EU-direktivet om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (Europaparlamentet og rådets direktiv 95/46 EF) skulle være gjennomført i EU-landene 24 oktober 1998. Etter de opplysningene departementet har innhentet, gjennomførte Sverige, Italia, Hellas og Portugal direktivet innen fristen. Direktivet er EØS-relevant og det har vært forhandlet om innlemmelse av direktivet i EØS-avtalen, jf nærmere nedenfor. 1
Personverndirektivet har som siktemål å etablere felles reguleringsprinsipper og et ensartet vern for behandling av personopplysninger i hele EU-området. I henhold til artikkel 1 skal direktivet sikre fysiske personers grunnleggende rettigheter og friheter, spesielt retten til privatlivets fred, i forbindelse med behandling av personopplysninger. Direktivet har samtidig som formål å sikre fri utveksling av personopplysninger mellom medlemsstatene.
Direktivets bestemmelser gjelder generelt ved behandling av personopplysninger når dette skjer helt eller delvis ved hjelp av edb, samt ved manuell behandling av personopplysninger når opplysningene inngår eller skal inngå i et personregister, jf artikkel 3. Ren privat behandling av opplysninger omfattes ikke av direktivet, heller ikke behandling av personopplysninger innenfor de samfunnsområder som ikke er omfattet av fellesskapsretten (jf f eks statens virksomhet på det strafferettslige området, utenriks-, sikkerhets- og forsvarspolitikk). Som følge av at direktivet opererer med et relativt vidt behandlingsbegrep for elektronisk behandling av personopplysninger, har det et bredere virkefelt enn vår personregisterlovgivning, som i hovedsak knytter virkeområdet til personopplysninger som inngår i et personregister.
Medlemsstatene skal utpeke en eller flere tilsynsmyndigheter som skal påse at bestemmelsene overholdes. Tilsynsmyndigheten skal utøve sine oppgaver i fullstendig uavhengighet, og skal blant annet kunne ha myndighet til å iverksette undersøkelser, gi konsesjoner, stoppe ulovlige behandlinger mm, jf artikkel 28. Alle behandlinger av personopplysninger skal være offentlig tilgjengelige, og tilsynsmyndigheten plikter å føre et register over de behandlingene som meldes. Datatilsynet har i dag oppgaver som i all hovedsak faller sammen med de oppgavene som etter direktivet skal utføres av tilsynsmyndigheten. Det synes imidlertid tvilsomt om det vil være forenlig med direktivets krav til uavhengighet å opprettholde en ordning der Justisdepartementet er klageinstans for Datatilsynets avgjørelser.
Direktivet gir en uttømmende oppregning av hvilke situasjoner som tillater behandling av personopplysninger, jf artikkel 7. Oppregningen åpner imidlertid for en vid grad av skjønn; for eksempel kan slik behandling skje dersom behandlingen er nødvendig av hensyn til en oppgave i samfunnets interesse eller behandlingen hører inn under offentlig myndighetsutøvelse. Personregisterloven inneholder ikke noen slik oppregning.
I utgangspunktet setter direktivet forbud mot å behandle sensitive opplysninger, men åpner samtidig for å gjøre nærmere bestemte unntak, jf artikkel 8. For eksempel kan sensitive opplysninger behandles dersom den det angår samtykker, eller medlemsstatene kan på visse vilkår gjøre unntak fra forbudet dersom dette kan begrunnes i viktige samfunnsmessige interesser. Direktivets angivelse av hva som er å anse som sensitive opplysninger er stort sett sammenfallende med oppregningen i personregisterloven § 6 annet ledd. Nytt i forhold til norsk rett er imidlertid at opplysninger om fagforeningstilhørighet etter direktivet er å anse som en sensitiv opplysning som er underlagt strengere regulering.
Direktivet innfører en aktiv opplysningsplikt for den behandlingsansvarlige ved innsamling av personopplysninger overfor den opplysningene gjelder, jf artiklene 10 og 11. Denne plikten kommer i tillegg til den retten den registrerte skal ha til å kreve innsyn i opplysninger om seg selv, jf artikkel 12. Prinsippet om å varsle ved innsamling av opplysninger er ikke helt nytt i forhold til norsk rett i dag, jf personregisterloven § 19 som krever at kredittopplysningsforetak skal sende melding til den det innsamles opplysninger om når det gis skriftlig kredittopplysning om noen som ikke er næringsdrivende. Direktivet krever imidlertid en betydelig utbygging og utvidelse av dagens ordning.
Direktivet etablerer meldeplikt for den behandlingsansvarlige til tilsynsmyndigheten forut for en behandling av personopplysninger, når behandlingen helt eller delvis skjer ved hjelp av elektroniske hjelpemidler, jf artiklene 18-20. Det kan gjøres unntak fra meldeplikten, både slik at enkelte behandlinger underlegges mildere regulering (forenklet meldeplikt eller fritak fra meldeplikten) og slik at enkelte behandlinger underlegges en strengere regulering (konsesjonsplikt). Ordningen skiller seg fra personregisterlovens system der man i utgangspunktet baserer seg på konsesjonsplikt med nærmere angitte unntak gjennom forskrift.
Direktivet innfører enkelte særlige rettigheter i tilknytning til visse automatiserte avgjørelser og avgjørelsesprosedyrer. For det første kan enhver kreve å få vite hva som ligger til grunn for en slik behandling av opplysninger om en selv, jf artikkel 12 bokstav a tredje strekpunkt. Dette innebærer et krav om en redegjørelse for hvilke behandlingsregler som er lagt inn i dataprogrammet. For det annet har alle rett til å kreve manuell overprøving av visse helautomatiserte behandlinger, jf artikkel 15 nr 1. Den sistnevnte regelen har ikke noe motstykke i norsk lovgivning. Innsyn i behandlingsgrunnlaget vil man i en viss utstrekning kunne kreve hos offentlige behandlingsansvarlige i medhold av forvaltningslovens regler om veiledningsplikt og omgrunngiingsplikt ved enkeltvedtak, jf forvaltningsloven §§ 11 og 25.
Direktivet har i artiklene 25 og 26 regler om overføring av personopplysninger til utlandet. Det skal være fri utveksling av personopplysninger mellom medlemslandene, jf artikkel 1 nr 2, mens det for overføring til tredjeland (land utenfor EU-området) oppstilles ulike grunnprinsipper som skal sikre at overføring bare skal skje til land som har et tilstrekkelig beskyttelsesnivå, jf artikkel 25. Artikkel 26 inneholder imidlertid unntak fra hovedreglene som innebærer at det i en rekke situasjoner kan åpnes for å videreføre opplysninger også til tredjeland som ikke har et tilstrekkelig beskyttelsesnivå. Etter personregisterloven § 36 skal Datatilsynet i utgangspunktet samtykke før personregistre eller opplysninger som skal innføres i et slikt register kan overføres til utlandet. Samtykkekravet er imidlertid redusert til en regel om meldeplikt gjennom personregisterforskriften § 8-1. Datatilsynet kan nekte eller sette vilkår for overføringen. For overføringer som Norge har plikt til å foreta i henhold til en folkerettslig avtale eller som følge av medlemskap i en internasjonal organisasjon, foreligger det heller ikke meldeplikt. Personregisterloven inneholder ikke noen nærmere regulering av hvilke prinsipper som skal legges til grunn for å sikre at personopplysninger ikke blir overført til land med et utilstrekkelig beskyttelsesnivå.
Det har vært ført forhandlinger om innlemmelse av direktivet i EØS-avtalen. Under forhandlingene har man diskutert spørsmål i tilknytning til overføring av opplysninger til land utenfor EØS-området. Bl a har det vært nødvendig å avklare hvilken virkning beslutninger som Kommisjonen måtte treffe om å stanse overføring av personopplysninger til tredjeland som ikke har et tilstrekkelig beskyttelsesnivå, skal ha for EFTA-landene, jf art 25 nr 4 og 6 og art 26 nr 3 og 4. For EFTA-landene har det vært viktig å finne frem til en løsning der EFTA-landene står fritt til å velge om de vil følge Kommisjonens beslutning. Det har også vært forhandlet om å utvide protokoll 37 i EØS-avtalen til å omfatte deltakelse for EFTA-landene i den arbeidsgruppen som opprettes i medhold av artikkel 29 i direktivet og som skal gi råd til Kommisjonen i ulike spørsmål knyttet til behandling av personopplysninger.
Det er ikke klart når direktivet kan behandles i EØS-komiteen. Departementet antar at et vedtak i EØS-komiteen kan være nært forestående.
Siden direktivet er EØS-relevant, har Personregisterlovutvalget i sin utredning tatt hensyn til direktivets bestemmelser.
Etter departementets syn legger direktivet i all hovedsak opp til løsninger som fremmer et godt personvern. Personregisterlovutvalgets forslag viser at direktivets bestemmelser kan gjennomføres på en måte som både styrker personvernet og som tar hensyn til behovet for en fleksibel regulering av et område som er i stadig teknologisk og økonomisk utvikling. De fleste av personregisterlovutvalgets forslag er dessuten begrunnet ut fra behov og hensyn som gjør seg gjeldende uavhengig av direktivets regler. De tilpasningene som det har vært forhandlet om i forbindelse med den planlagte innlemmelsen i EØS-avtalen, har begrenset betydning for lovforslaget, ettersom de knytter seg spesielt til detaljer i reglene om overføring av personopplysninger til utlandet. Departementet finner det derfor hensiktsmessig å fremme et lovforslag som tar hensyn til direktivets regler, selv om ikke direktivet formelt er innlemmet i EØS-avtalen. Departementet legger da også vekt på det ønsket som Stortinget har uttrykt i ulike sammenhenger om å få fremlagt en ny personopplysningslov så snart som mulig. Både nasjonalt og i forhold til samarbeid og informasjonsflyt over landegrensene vil det være en fordel raskt å få på plass en mer tidsmessig personvernlovgivning som i hovedsak er på linje med lovgivningen i våre nærmeste naboland, jf bl a nedenfor under punkt 2.5. Enkelte bestemmelser som knytter seg mer detaljert til overføring av personopplysninger til utlandet, vil det eventuelt kunne være aktuelt å vente med å sette i kraft til direktivet er innlemmet i EØS-avtalen, jf punkt 10.5 i proposisjonen.
2.5 Lovgivningen i de andre nordiske land
Også i de øvrige nordiske land har det vært arbeidet med endringer i personregisterlovgivningen, blant annet for å gjennomføre EU-direktivet om behandling av personopplysninger. Det har vært fortløpende kontakt både mellom utredningsutvalgene og departementene i forbindelse med lovendringsarbeidet. Blant de spørsmål man har diskutert er forholdet til offentlighetsprinsippet og ytringsfrihet.
2.5.1 Sverige
I Sverige ble en ny personuppgiftslag (1998:204) vedtatt i Riksdagen 16 april 1998. Personuppgiftslagen erstatter Datalagen (1973:289) og gjennomfører EU's personverndirektiv. Loven trådte i kraft 24 oktober 1998.
Loven følger i hovedsak EU-direktivets tekst og oppbygning og omfatter all automatisk behandling av personopplysninger, samt manuell behandling av personopplysninger dersom opplysningene inngår eller skal inngå i et register, jf 5 §. Det er gjort unntak for rent privat bruk av personopplysninger, jf 6 §. Bestemmelsene i loven skal ikke anvendes i den utstrekning det vil stride mot bestemmelsene om trykke- og ytringsfrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, jf 7 §. For behandling av personopplysninger som utelukkende foregår for journalistiske formål eller som ledd i kunstnerisk eller litterær virksomhet, er det bare lovens regler om behandlingssikkerhet som får anvendelse. Det er i 8 § gjort unntak fra loven av hensyn til offentlighetsprinsippet gjennom en bestemmelse som presiserer at personuppgiftslagen ikke skal anvendes hvis det innskrenker myndighetenes plikt til å utlevere personopplysninger etter tryckfrihetsförordningen kapittel 2.
Personuppgiftslagen gjelder generelt for alle typer behandlinger av personopplysninger, men kan fravikes gjennom bestemmelser i annen lovgivning, jf 2 §.
Personuppgiftslagen inneholder bestemmelser om grunnleggende krav til behandling av personopplysninger, når behandling av personopplysninger er tillatt og når det er adgang til å overføre slike opplysninger til en annen stat, jf bl a 9, 10 og 33-35 §§.
Loven oppstiller i utgangspunktet et forbud mot å behandle sensitive personopplysninger, men åpner for unntak bl a ved samtykke fra den opplysningene gjelder, behandling for helse- og sykdomsformål og for forskning og statistikk, jf 13-20 §§. Opplysninger om lovovertredelser skal som utgangspunkt bare kunne behandles av offentlige myndigheter, jf 21 §.
Loven pålegger den behandlingsansvarlige å gi de registrerte informasjon om behandlingen av personopplysningene, både når opplysninger samles inn av den behandlingsansvarlige og når den registrerte selv ber om innsyn, jf 23-26 §§. Det er gjort visse unntak fra varslings- og innsynsreglene, bl a for opplysninger som er underlagt lovbestemt taushetsplikt.
Loven inneholder regler om retting av mangelfulle personopplysninger (28 §). Ved fullt ut automatiserte vedtak som har rettslig betydning eller andre merkbare virkninger for den registrerte, har den registrerte med visse unntak krav på å få overprøvd vedtaket manuelt og kan også kreve informasjon om den automatiske behandlingen som ligger til grunn for vedtaket, jf 29 §.
I 31 § stilles det krav til sikringstiltak for å beskytte de personopplysningene som behandles.
Automatisk behandling av personopplysninger skal som hovedregel meldes til tilsynsmyndigheten, jf 36 §. Det er imidlertid gjort omfattende unntak fra meldeplikten, f eks når den behandlingsansvarlige har ansatt et personopplysningsombud som har som oppgave å foreta en selvstendig kontroll av den behandlingsansvarliges behandling av personopplysninger, jf 37-40 §§. Regjeringen kan utferdige forskrift om at automatisk behandling av personopplysninger som kan føre til utilbørlig inngrep i den personlige integritet, skal meldes til tilsynsmyndigheten for forhåndskontroll, jf 41 §.
Overfor behandlingsansvarlige som ikke overholder lovens regler kan tilsynsmyndigheten ilegge tvangsmulkt («vite»), jf 45 §. Den behandlingsansvarlige er erstatningsansvarlig for skade eller krenkelse som påføres den registrerte ved at personopplysninger er behandlet i strid med loven. Erstatningsansvaret kan likevel lempes eller helt falle bort hvis den behandlingsansvarlige beviser at feilen ikke påhviler ham, jf 48 §. Både økonomisk og ikke-økonomisk tap kan kreves erstattet. Overtredelser av lovens regler er også i stor utstrekning straffebelagt, jf 49 §.
Tilsynsmyndigheten er Datainspektionen, som ledes av en direktør tilsatt av regjeringen (Justitiedepartementet) på åremål (seksårsperiode). Datainspektionen har en administrasjon og et styre på 10 medlemmer. Administrasjonen ledes av direktøren, som også er styremedlem. Styret har full kompetanse i faglige og administrative spørsmål, og de viktigste spørsmål skal avgjøres av styret og ikke direktøren. Justitiedepartementet har administrativt og budsjettmessig ansvar for Datainspektionen og gir arbeidsinstruks for Datainspektionen, men kan ikke instruere i enkeltsaker. Klager over Datainspektionens avgjørelser kan bringes inn for den almänna förvaltningsdomstolen. Dersom den behandlingsansvarlige er et forvaltningsorgan, behandles klagen av regjeringen (Justitiedepartementet).
Det er i stor utstrekning delegert forskriftsmyndighet til Datainspektionen.
Personvernet varetas gjennom flere andre lover og regelverk enn personuppgiftslagen. Eksempler på slike lover er kredittupplysningslagen (1973:1173), inkassolagen (1974:182), sekretesslagen (1980:100) og sekretessförordningen (1980:657) samt förvaltningslagen (1986:223).
2.5.2 Danmark
Forslaget til lov om behandling av personopplysninger (lovforslag nr L 44 1998/99) inneholder en ny generell lov om behandling av personopplysninger som skal avløse den gjeldende registerlovgivning (lov nr 293 af 8 juni 1978 om private registre m v og lov nr 294 af 8 juni 1978 om offentlige myndigheders registre). Loven har bl a som formål å gjennomføre EU's personverndirektiv.
Lovforslaget skal gjelde for behandling av personopplysninger som helt eller delvis er gjenstand for elektronisk databehandling, og for ikke-elektronisk behandling av personopplysninger som er eller vil bli innlemmet i et register (manuelle registre), jf § 1. Loven gjelder i utgangspunktet for opplysninger om fysiske personer, men omfatter også behandling av opplysninger om juridiske personer som utføres for kredittopplysningsbyråer, jf § 1 stk 3.
Loven omfatter ikke fysiske personers rent private behandling av personopplysninger, jf § 2. Det gjøres også unntak for behandling av personopplysninger for domstolene i straffesaker, behandling av personopplysninger for Folketinget med tilknyttede institusjoner og behandling som er omfattet av lov om massemedienes informasjonsdatabaser. For behandling av opplysninger som utelukkende finner sted i journalistisk øyemed gjelder bare reglene om behandlingssikkerhet og erstatningsansvar. Det samme er tilfellet for behandling av opplysninger som utelukkende foregår med henblikk på kunstnerisk eller litterær virksomhet, jf § 2 stk 8.
Loven gjelder ikke for behandlinger som utføres for politiets og forsvarets etterretningstjenester, jf § 2 stk 9. For behandlinger som foretas for politi og påtalemyndighet, er det gjort unntak for bestemmelsene om varslingsplikt og bestemmelsene i kapittel 10, som blant annet omfatter adgangen til å kreve uriktige eller villedende opplysninger rettet, jf § 2 stk 2.
Loven inneholder generelle krav til behandlingen av personopplysninger, krav til sikkerheten ved behandlingen og regler om overføring av personopplysninger til tredjeland, jf kapitlene 4, 7 og 11. Det oppstilles grunnleggende vilkår for behandling av personopplysninger, som f eks at innsamling av personopplysninger skal skje til uttrykkelig angitte og saklige formål, og at senere behandling av personopplysningene ikke må være uforenlig med de opprinnelige formålene, jf § 5. § 6 i loven oppstiller generelle vilkår for når det er tillatt å behandle personopplysninger.
Det oppstilles i utgangspunktet et forbud mot å behandle sensitive opplysninger, men åpnes samtidig for unntak fra forbudet, f eks når det foreligger samtykke fra den opplysningene gjelder, når opplysningene allerede er offentliggjort av den registrerte eller når opplysningene skal brukes til statistiske eller vitenskapelige undersøkelser av vesentlig samfunnsmessig betydning, jf § 7. I § 8 er det gitt særlig regler for opplysninger om straffbare forhold.
Den registrerte har krav på informasjon fra den behandlingsansvarlige om behandling av personopplysninger om vedkommende, både når slike opplysninger innsamles av den behandlingsansvarlige og når den registrerte selv ber om innsyn, jf kapitlene 8 og 9. Det er i §§ 30 og 32 gjort flere unntak fra varslings- og innsynsreglene, bl a i den grad den registrertes interesse i å få kjennskap til opplysningene finnes å burde vike for avgjørende hensyn til private eller offentlige interesser. Opplysninger som behandles for den offentlige forvaltning som ledd i administrativ saksbehandling, kan unntas fra innsyn i samme omfang som innsynsretten etter reglene i offentlighetsloven om egenaksess, jf § 32 nr 2.
Den registrerte kan kreve rettet, slettet eller sperret uriktige eller villedende opplysninger, jf § 38. Etter § 39 kan den registrerte i utgangspunktet motsette seg fullstendig automatisert behandling av personopplysninger som munner ut i vedtak som har rettsvirkninger for den registrerte, eller som for øvrig berører den registrerte i vesentlig grad. Den registrerte har også krav på å få vite hvilke beslutningsregler som ligger til grunn for en slik helautomatisk avgjørelse.
Behandling av personopplysninger skal som hovedregel meldes til Datatilsynet før behandlingen iverksettes, jf § 43 og § 48. Det er gitt regler om unntak fra meldeplikten og om plikt til å innhente uttalelse/tillatelse fra Datatilsynet før behandlingen settes i verk, jf §§ 44-47 for offentlige behandlingsansvarlige og §§ 49-51 for private behandlingsansvarlige. Bestemmelsene innebærer bl a at private behandlingsanvarlige må innhente Datatilsynets samtykke før de behandler sensitive opplysninger, opplysninger om straffbare forhold eller andre opplysninger om enkeltpersoners rent private forhold, jf § 50 stk 1 nr 1.
Datatilsynet består av et råd og et sekretariat. Sekretariatet skal ivareta tilsynets daglige virksomhet og ledes av en direktør. Rådet utnevnes av justisministeren og består av en formann som er høyesterettsdommer, og 6 andre medlemmer. Rådet fastsetter nærmere regler om fordelingen av arbeidet mellom rådet og sekretariatet, jf § 55. Datatilsynets avgjørelser kan ikke overprøves administrativt.
Det er i kapittel 6 fastsatt visse særregler for kredittopplysningsbyråers virksomhet.
Datatilsynet skal føre tilsyn med at lovens regler etterleves og kan gi private behandlingsansvarlige pålegg om at ulovlige personopplysningsbehandlinger skal opphøre, eller om at behandlingen bare kan fortsette på nærmere fastsatte vilkår, jf § 59. Overfor offentlige myndigheter kan Datatilsynet treffe avgjørelse om nærmere bestemte regler i loven er overholdt, f eks reglene om varsling og innsyn. I andre tilfeller skal tilsynet avgi uttalelser overfor myndighetene, jf § 60.
Loven inneholder en erstatningsregel som bygger på et uaktsomhetsansvar med omvendt bevisbyrde, jf § 69. Erstatningsplikten omfatter både økonomisk og ikke-økonomisk tap. Den behandlingsansvarlige kan også i stor utstrekning ilegges straff for overtredelser av loven, jf § 70.
2.5.3 Finland
22 april 1999 ble det vedtatt en ny personuppgiftslag som erstatter Personregisterlagen fra 1987 (FFS 471/87) og som trådte i kraft 1 juni 1999.
Den nye loven gjelder for all automatisk behandling av personopplysninger og manuell behandling i den grad personopplysningene utgjør eller er ment å utgjøre et personregister, jf 1 §. Det gjøres unntak bl a for behandling av personopplysninger som utelukkende skjer for privat bruk og personregistre som bare inneholder materiale som er publisert i massemedia, jf 2 §. For personopplysninger som behandles for redaksjonelle, kunstneriske eller litterære formål er det i hovedsak bare reglene om sikring med tilhørende sanksjoner som får anvendelse, jf 2 § siste ledd.
Behandling av personopplysninger må være saklig motivert ut fra den behandlingsansvarliges virksomhet, jf 6 §. Formålet med behandlingen må fastlegges før behandlingen kan starte opp, og senere behandling av opplysningene må ikke være i strid med det opprinnelige formålet, jf 6 og 7 §§.
Loven inneholder bestemmelser om når det er adgang til å behandle personopplysninger, jf 8 og 9 §§.
Loven oppstiller i utgangspunktet forbud mot å behandle sensitive personopplysninger, men gjør unntak fra dette bl a i de tilfellene der den registrerte samtykker og der opplysningene behandles for historisk eller vitenskapelig forskning eller for statistikkføring, jf 11 og 12 §§.
Loven inneholder i kapittel 4 særlige regler om innhenting og registrering av personopplysninger for bestemte formål som f eks forskning, markedsføring, adresseringsvirksomhet og kredittopplysningsvirksomhet.
Den registrerte skal varsles om ulike sider ved personopplysningsbehandlingen, både når opplysninger samles inn fra den registrerte selv og når de hentes inn fra andre, jf 24 §. Den registrerte har også rett til å kreve innsyn i opplysninger som behandles om vedkommende, jf 26 §. Det er gjort unntak fra innsyns- og varslingsreglene, bl a for de tilfellene der innsyn kan skade rikets sikkerhet, forsvaret, forebygging eller etterforsking av straffbare forhold eller der informasjon kan medføre alvorlig fare for den registrertes helse eller for andres rettigheter, jf 24 og 27 §§. Den behandlingsansvarlige har plikt til å rette, slette eller supplere mangelfulle personopplysninger og skal også forhindre at slike opplysninger spres, jf 29 §. Den registrerte kan motsette seg at opplysninger om vedkommende behandles med sikte på direktereklame og annen direkte markedsføring, jf 30 §.
Loven inneholder regler om sikring av personopplysninger, jf 32 § og arkivering, jf 35 §.
Loven oppstiller som hovedregel en meldeplikt for personopplysningsbehandlinger til Dataombudsmannen, jf 36 §. Det åpnes for å gjøre unntak fra meldeplikten, bl a gjennom forskrift.
Tilsynsmyndigheten er delt mellom Dataombudsmannen og Datasekretessnämden (jf Lag om datasekretessnämden og dataombudsmannen, FFS 474/87). Dataombudsmannen har i utgangspunktet rådgivende myndighet, men samtidig vidtgående hjemmel til å foreta undersøkelser. Datasekretessnämnden har kompetanse til å treffe rettslig bindende avgjørelser bl a om opphør av ulovlige personopplysningsbehandlinger, jf 44 §. Nemnda kan i medhold av 43 § også gi tillatelse til å behandle personopplysninger i andre tilfeller enn det som ellers følger av lovens behandlingsregler.
Loven inneholder regler om erstatningsansvar både for økonomisk og ikke-økonomisk tap, jf 47 § og straffebestemmelser, jf 48 §.
2.5.4 Island
Et utredningsutvalg har avgitt en utredning til Justitsministeriet med forslag til en ny lov om behandling av personopplysninger som skal gjennomføre EU's personverndirektiv.
Fotnoter
Direktivet er inntatt i dansk oversettelse som vedlegg 1 til proposisjonen. På de punkter i proposisjonen der enkeltbestemmelser i direktivet blir sitert, har departementet basert seg på en uoffisiell norsk oversettelse. Direktivet vil bli oversatt i sin helhet til norsk når det innlemmes i EØS-avtalen.