2 Personvernforordningen og personopplysningsloven

2.1 Generelt

Forordningen skal verne fysiske personers grunnleggende rettigheter og friheter ved behandlingen av personopplysninger, samtidig som den skal sikre fri flyt av personopplysninger mellom medlemsstatene. Personopplysningsloven av 2018 gjør forordningen til norsk rett ved inkorporasjon, og den utfyller bestemmelsene i forordningen. Det er i tillegg adgang til å utfylle det generelle personopplysningsregelverket i særlovgivning med mer spesifikke regler, jf. forordningen artikkel 6 nr. 2.

Personopplysninger defineres i forordningen som enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. forordningen artikkel 4 nr. 1.

Med «behandle» menes enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger – automatisert eller ikke – som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. forordningens artikkel 4 nr. 2.

2.2 Grunnprinsipper for behandling av personopplysninger

Forordningen fastsetter i artikkel 5 sju grunnprinsipper for behandling av personopplysninger. Prinsippene henger sammen, og angir rammer og krav som må følges ved enhver behandling av personopplysninger. Det følger av artikkelen at den behandlingsansvarlige må kunne dokumentere at disse prinsippene overholdes. All behandling av personopplysninger må være lovlig, rettferdig og åpen. Det betyr blant annet at det må foreligge et gyldig rettslig grunnlag før behandling av personopplysninger kan skje, et såkalt behandlingsgrunnlag.

Personopplysninger kan kun samles inn til spesifikke, uttrykkelig angitte og berettigete formål. Konkrete formålsangivelser er særlig viktig da det er forbud mot å behandle opplysninger videre for formål som er å regne som uforenlige med det opprinnelige formålet. Forenlighetsvurderingen vil vanskeliggjøres dersom formålet er for vidt angitt. Med et uttrykkelig angitt og konkret formål vil det i større grad være enkelt å angi hvilke personopplysninger som er adekvate, nødvendige og relevante for å oppfylle formålet (prinsippet om dataminimering).

Tilsvarende gjelder prinsippet om lagringsbegrensing, som krever at opplysninger skal slettes når formålet er oppfylt. For øvrig fremgår det av artikkel 5 at personopplysningene skal være korrekte og oppdaterte, og at de skal underlegges tilstrekkelig informasjonssikkerhet.

Det følger av artikkel 5 nr. 2 at den behandlingsansvarlige er ansvarlig for og må kunne påvise at disse prinsippene overholdes. Dette omtales gjerne som ansvarlighetsprinsippet.

2.3 Behandlingsgrunnlag

2.3.1 Generelt

For å kunne behandle personopplysninger kreves det et behandlingsgrunnlag.

Reglene om behandlingsgrunnlag følger av forordningen artikkel 6, som sier at behandlingen bare er lovlig dersom ett av vilkårene i nr. 1 bokstav a til f er oppfylt, hvorav bokstav c og e er mest aktuelle, se nedenfor.

Som tidligere personopplysningslov, gir forordningen artikkel 6 nr. 1 bokstav c grunnlag for behandling som er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige. Artikkel 6 nr. 1 bokstav e gir adgang til behandling når dette er «nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt».

Artikkel 6 nr. 3 har følgende ordlyd:

«3. Grunnlaget for behandlingen nevnt i nr. 1 bokstav c) og e) skal fastsettes i

• a) unionsretten eller

• b) medlemsstatens nasjonale rett som den behandlingsansvarlige er underlagt.

Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandlingen nevnt i nr. 1 bokstav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Nevnte rettslige grunnlag kan inneholde særlige bestemmelser for å tilpasse anvendelsen av reglene i denne forordning, blant annet de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og framgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling, slik som dem fastsatt med henblikk på andre særlige behandlingssituasjoner som nevnt i kapittel IX. Unionsretten eller medlemsstatenes nasjonale rett skal oppfylle et mål i allmennhetens interesse og stå i et rimelig forhold til det berettigede målet som søkes oppnådd.»

Det følger altså av artikkel 6 nr. 3 at grunnlaget for «behandlingen» nevnt i nr. 1 bokstav c og e «skal fastsettes» i unionsretten eller i medlemsstatenes nasjonale rett. Dette innebærer at artikkel 6 nr. 1 bokstav c eller e ikke alene kan utgjøre behandlingsgrunnlaget, men at den behandlingsansvarlige i tillegg må kunne vise til et supplerende rettsgrunnlag for behandlingen i unionsretten eller nasjonal rett som den behandlingsansvarlige er underlagt. Forordningen skiller seg på dette punktet fra kravene i tidligere personopplysningslov, som ikke stilte et uttrykkelig krav om et slikt supplerende rettsgrunnlag.

Det følger videre av legalitetsprinsippet og EMK artikkel 8 at det rettslige grunnlaget må oppfylle kravet til klarhet, nødvendighet og forholdsmessighet i artikkel 5 nr. 1 bokstav a og b, og fortalepunkt 39. Det fremgår også av forordningens fortalepunkt 41 at det rettslige grunnlaget bør være tydelig og presist, og anvendelsen bør være forutsigbar for personer som omfattes av det.

Forordningen artikkel 9 har reglene om behandling av såkalt særlige kategorier av personopplysninger. Særlige kategorier av personopplysninger er opplysninger om

• rasemessig eller etnisk opprinnelse,

• politisk oppfatning,

• religion,

• filosofisk overbevisning,

• fagforeningsmedlemskap

• genetiske og biometriske kjennetegn som entydig identifiserer en fysisk person,

• helseopplysninger, og

• en fysisk persons seksuelle forhold eller seksuelle orientering

Disse personopplysningskategoriene er av natur særlig sensitive og er derfor gitt et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risiko for den enkeltes grunnleggende rettigheter og friheter. Forordningen har derfor tilleggsvilkår for behandling av slike opplysninger. I henhold til artikkel 9 nr. 1 er behandling av slike personopplysninger i utgangspunktet forbudt, med mindre én av unntaksbestemmelsene i artikkel 9 nr. 2 kommer til anvendelse. I tillegg til de særlige kravene i artikkel 9 nr. 2 må det også foreligge et behandlingsgrunnlag etter artikkel 6, jf. fortalepunkt 51.

Det følger av artikkel 9 nr. 2 at nr. 1 ikke får anvendelse dersom et av vilkårene i bokstav a til j er oppfylt. Særlig aktuelt her er bokstav b, hvoretter behandlingen må være «… nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett». Behandlingen må dessuten være tillatt i unionsretten, nasjonal rett eller tariffavtale som gir «… nødvendige garantier for den registrertes grunnleggende rettigheter og interesser».

2.3.2 Særlig om nødvendighetskravet

Artikkel 6 nr. 1 bokstav e oppstiller et nødvendighetskrav:

• «e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,»

En naturlig språklig forståelse av begrepet «nødvendig» tilsier at det avskjærer vilkårlig behandling uten relevans for saken. Dette innebærer blant annet at det ikke skal innhentes eller på annen måte behandles flere opplysninger enn det som trengs for formålene. Opplysningene skal ha saklig sammenheng med formålet eller formålene som søkes oppnådd ved behandlingen. Det er ikke tilstrekkelig at opplysningene kan være nyttige. Opplysningene må enten alene, eller sett i sammenheng med andre opplysninger, ha betydning i arbeidet eller for å utøve myndighet.

2.3.3 Helautomatiserte avgjørelser

Forordningen artikkel 22 gir særskilte regler for noen behandling av personopplysninger ved helautomatiserte avgjørelser. Den enkelte har i utgangspunktet rett til å ikke være gjenstand for avgjørelser som utelukkende baserer seg på automatisert saksbehandling og som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende, med mindre en av unntaksbestemmelsene kommer til anvendelse, jf. artikkel 22 nr. 1 og 2.

For at en automatisert avgjørelse skal omfattes av artikkel 22, må det for det første skje en behandling av personopplysninger. For det andre må avgjørelsen «utelukkende være basert» på automatisert behandling. Det betyr at delvis automatiserte avgjørelser ikke omfattes. For det tredje må avgjørelsen ha «rettsvirkning» eller «på tilsvarende måte betydelig påvirke» vedkommende. For eksempel vil enkeltvedtak ha slik virkning for den enkelte.

Etter artikkel 22 nr. 2 bokstav b kan det gjøres unntak fra artikkel 22 nr. 1 dersom avgjørelsen er tillatt i henhold til medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, såfremt det er fastsatt «egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser». I henhold til fortalepunkt 71 bør slike garantier omfatte spesifikk informasjon til den registrerte og rett til menneskelig inngripen, til å uttrykke synspunkter, til å få en forklaring på avgjørelser truffet etter automatisert behandling og til å klage over avgjørelsen.

Etter artikkel 22 nr. 4 kan automatiserte avgjørelser ikke bygge på «særlige kategorier personopplysninger», med mindre behandlingen er nødvendig av hensyn til «viktige allmenne interesser» etter artikkel 9 nr. 2 bokstav g og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.

2.3.4 Særskilt om behandling av personopplysninger om barn

Som etter tidligere personvernregler, er utgangspunktet etter forordningen at barn og voksne har samme rettigheter i forbindelse med behandling av personopplysninger. Forordningen inneholder enkelte spredte artikler og fortalepunkter om behandling av barns personopplysninger, men gir ingen samlet enhetlig regulering av temaet.

Fortalepunkt 38 fastslår at barns personopplysninger på generelt grunnlag fortjener et særlig vern, ettersom barn kan være mindre bevisst på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandling av personopplysninger.

Reglene om automatisering i artikkel 22 skiller ikke mellom voksne og barn. I fortalepunkt 71 gis det imidlertid uttrykk for at helautomatiserte avgjørelser ikke bør gjelde barn. Da denne formuleringen ikke er avspeilet i selve artikkelen, antas derfor ikke dette å utgjøre et absolutt forbud mot denne form for behandling i forbindelse med barn, se Artikkel 29-gruppens1 uttalelse WP251rev.01 avsnitt V Børn og profilering. Artikkel 29-gruppen anbefaler på denne bakgrunn at behandlingsansvarlige som hovedregel ikke bør påberope seg unntakene i artikkel 22 nr. 2 for barn.

Artikkel 29-gruppen gir videre uttrykk for at det kan være visse situasjoner hvor det er nødvendig å treffe helautomatiserte avgjørelser som har rettsvirkning for eller på tilsvarende måte betydelig påvirker barn, for eksempel for å beskytte deres velferd. I så fall kan behandlingen foretas blant annet etter unntaket i artikkel 22 nr. 2 bokstav b. I disse tilfeller må den behandlingsansvarlige fastsette egnede tiltak som effektivt beskytter rettighetene og de legitime interessene til barnet.