11 Personvernkonsekvenser

Arbeids- og velferdsforvaltningen, Statens pensjonskasse og pensjonstrygdene for sjømenn og fiskere behandler en stor mengde personopplysninger om et stort antall borgere. Mange av opplysningene som behandles er særlige kategorier personopplysninger, som opplysninger om helseforhold. Også opplysninger som ikke regnes som særlige kategorier personopplysninger, kan oppleves private og personlige.

Behandling av personopplysninger, som ikke er basert på samtykke, innebærer et inngrep i personvernet til borgerne i den forstand at de selv ikke kan bestemme over behandlingen av egne personopplysninger. Opplysningene som forslaget gjelder, er imidlertid helt nødvendige for at de aktuelle myndighetene skal kunne behandle krav om ytelser og tjenester, og for at den enkelte sikres disse i samsvar med de respektive lovene.

Personopplysninger kan kun samles inn til spesifikke, uttrykkelig angitte og berettigete formål, jf. artikkel 5 nr. 1 bokstav b. Med et uttrykkelig angitt og konkret formål vil det i større grad være enkelt å angi hvilke personopplysninger som er adekvate, nødvendige og relevante for å oppfylle formålet (prinsippet om dataminimering). Prinsippene her vil ivaretas gjennom de rammene som er nedfelt i de respektive lovene som er grunnlag for behandlingen av personopplysningene. Behovet for opplysninger vil variere med vilkårene som er fastsatt for den enkelte ytelse. For eksempel i saker om barnetrygd, vil nødvendige opplysninger hovedsakelig omfatte fødselsdato og bosted, som er registrert i folkeregisteret. I saker om uføretrygd/uførepensjon vil det være behov for en rekke opplysninger knyttet til vilkårsfastsettelsen, for eksempel helseopplysninger, opplysninger om nedsatt inntektsevne og gjennomgått hensiktsmessig behandling og arbeidsrettede tiltak mv.

Personvernforordningen artikkel 5 nr. 1 bokstav f fastsetter at personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling, og mot utilsiktet tap, ødeleggelse eller skade ved bruk av egnede tekniske eller organisatoriske tiltak (prinsippet om integritet og konfidensialitet).

Det er videre forbudt å oppbevare personopplysninger lenger enn det som er nødvendig for formålet de ble samlet inn for.

Departementet forutsetter at de aktuelle myndighetene sørger for at personopplysningene er korrekte og oppdaterte, at de underlegges tilstrekkelig informasjonssikkerhet og at de slettes når formålet er oppfylt. Myndighetene må videre sørge for å iverksette tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger. Arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn og Garantikassen for fiskere må ha strenge og detaljerte retningslinjer for behandling av personopplysninger som ivaretar kravene i personvernforordningen. Departementet vil dessuten peke på at de nevnte myndighetene har taushetsplikt, noe som er viktig for borgernes rettssikkerhet og personvern.

Forslaget om en uttrykkelig generell hjemmel for behandling av personopplysninger medfører ikke noen større konsekvenser for personvernet enn det som følger av gjeldende rett, fordi myndighetene ikke gis utvidet adgang til å behandle personopplysninger. Et slikt klart rettsgrunnlag vil imidlertid bidra til økt åpenhet og forutsigbarhet for de registrerte.

For at helautomatiserte avgjørelser skal være tillatt, stiller personvernforordningen artikkel 22 nr. 2 bokstav b krav om at det fastsettes egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Dette kreves også etter artikkel 22 nr. 4 for behandling av særlige kategorier personopplysninger.

Utformingen av tiltakene må være basert på en konkret vurdering av den aktuelle behandlingen. Forvaltningslovens regler om veiledningsplikt, kontradiksjon, innsyn, begrunnelse og klage må i utgangspunktet anses å være et vesentlig bidrag til å oppfylle forordningens krav om egnede tiltak. Garantiene i forvaltningsloven er imidlertid minimumsgarantier, og i tillegg kan det derfor måtte kreves at den behandlingsansvarlige iverksetter andre tiltak som er egnet til å redusere den økte risiko en automatisert behandling anses å medføre. Eksempler på hva som forøvrig kan være egnede tiltak, fremkommer blant annet av fortalepunkt 71 og av EDPBs veileder om automatiserte avgjørelser.1 Det kan for eksempel være nødvendig å regulere krav til jevnlig kontroll og revisjon av de benyttede regler/algoritmer for å begrense faren for feil.

Departementet anser at den registrertes personvernrettigheter etter forordningen er tilstrekkelig ivaretatt gjennom lovforslaget her og tiltakene som er angitt ovenfor.