Prop. 56 LS (2017–2018)

Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen

Til innholdsfortegnelse

2 Bakgrunnen for lovforslaget

2.1 EUs personvernforordning

EUs personvernforordning ble vedtatt i april 2016 og erstatter EUs personverndirektiv fra 1995, som er gjennomført i den gjeldende personopplysningsloven. Forordningens overordnede formål er å sikre vern av personopplysninger, ensartede regler i EU/EØS og fri utveksling av personopplysninger mellom EU/EØS-landene. Forordningen oppstiller et omfattende regelverk, blant annet om de grunnleggende prinsippene og vilkårene for å behandle personopplysninger, rettigheter for enkeltpersoner, overføring av personopplysninger over landegrensene og om tilsyn og sanksjoner. Reglene gjelder for både private og offentlige aktører.

Forordningens formål, systematikk, terminologi og grunnprinsipper er i betydelig grad en videreføring av 95-direktivet og personopplysningsloven av 2000. De materielle reglene i forordningen er i stor grad en videreføring og videreutvikling av gjeldende rett. Samtidig innebærer reglene en rekke endringer, både på detaljnivå og av mer grunnleggende karakter. De registrertes rettigheter er på flere punkter styrket. Videre gir forordningen enkelte nye rettigheter, blant annet en rett til å overføre personopplysninger fra en tjenestetilbyder til en annen, såkalt dataportabilitet. For behandlingsansvarlige bortfaller melde- og konsesjonsplikten og erstattes med nye plikter til dokumentasjon og konsekvensvurderinger samt forhåndsdrøftinger med tilsynsmyndigheten. Det innføres videre en plikt til å ha personvernombud for offentlige myndigheter og for visse private behandlingsansvarlige. Videre kan Datatilsynet ilegge vesentlig høyere overtredelsesgebyrer. Det innføres også en mer effektiv tilsynsordning på europeisk nivå, ved at behandlingsansvarlige i utgangspunktet kun skal behøve å forholde seg til én tilsynsmyndighet i EU/EØS, den såkalte ettstedsmekanismen.

EUs personvernforordning ble foreslått av Kommisjonen 25. januar 2012. Det ble i den forbindelse vist til at det europeiske personopplysningsregelverket må oppdateres for å kunne ivareta den enkeltes personvern i møte med den nye teknologiske virkeligheten. Det ligger også økonomiske fordeler i et nytt og oppdatert personvernregelverk, ved at forbrukernes tillit og villighet til å kjøpe varer og tjenester over internett vil styrkes. Videre vil en ny forordning kunne avbøte de utfordringer som ligger i at det gjeldende personverndirektivet ikke er gjennomført på en harmonisert måte i EU. Ytterligere en målsetting med personvernforordningen var å fjerne unødvendige administrative byrder for bedrifter som ligger i dagens regelverk, blant annet meldeplikten.

Departementet sendte Kommisjonens forslag til ny personvernforordning på høring 19. april 2012 med høringsfrist 1. august 2012. En rekke høringsinstanser ga innspill til forslaget. Generelt var høringsinstansene positive til et nytt europeisk personopplysningsregelverk, men høringsinstansene var delte i synet på om regelverket burde gis i form av en forordning eller et direktiv. Videre hadde høringsinstansene en rekke innspill til utformingen av forordningens enkelte artikler. Departementet har sett hen til innspillene ved utarbeidelse av norske posisjoner i forbindelse med Rådets behandling av forordningen.

Norge har normalt ikke adgang til å delta i Rådets behandling av EØS-rettsakter, men som følge av at forordningen fra Kommisjonens side ble ansett Schengen-relevant da forslaget ble fremmet, har Norge kunnet delta i Rådets forhandlinger på arbeidsgruppenivå. Norges generelle posisjon under forhandlingene i Rådet har vært å gå imot forslag som bidrar til å svekke den enkeltes personvern i forhold til beskyttelsesnivået i personopplysningsloven. Samtidig har det vært viktig for Norge at regelverket ikke skal legge unødvendige byrder på næringslivet, særlig på små og mellomstore bedrifter. Norge har derfor gått inn for en balansert tilnærming, der det avgjørende er å sikre individets rettigheter samtidig som næringslivets behov for et praktisk anvendbart og kostnadseffektivt regelverk ivaretas.

I desember 2015 ble det oppnådd enighet i forhandlingene om den nye forordningen, og den ble formelt vedtatt av EU i april 2016 og publisert i EU-tidende 4. mai 2016. Forordningen får anvendelse direkte i EU 25. mai 2018.

2.2 Høring

Justis- og beredskapsdepartementet sendte høringsnotat med forslag til ny personopplysningslov på høring 6. juli 2017. Høringsfristen var 16. oktober 2017.

Høringsnotatet ble sendt til følgende høringsinstanser:

  • Departementene

  • Barneombudet

  • Bioteknologirådet

  • Brønnøysundregistrene

  • Datatilsynet

  • Departementenes sikkerhets- og serviceorganisasjon

  • De nasjonale forskningsetiske komiteene

  • Direktoratet for forvaltning og IKT

  • Direktoratet for arbeidstilsynet

  • Direktoratet for samfunnssikkerhet og beredskap

  • Domstoladministrasjonen

  • Finanstilsynet

  • Folkehelseinstituttet

  • Forbrukerombudet

  • Forbrukerrådet

  • Forskningsrådet

  • Fylkesmennene

  • Helsedirektoratet

  • Konkurransetilsynet

  • Kulturrådet

  • Kunnskapssenteret for helsetjenesten

  • Medietilsynet

  • Nasjonal kommunikasjonsmyndighet

  • Nasjonal sikkerhetsmyndighet

  • Norges Bank

  • Nasjonalbiblioteket

  • Personvernnemnda

  • Petroleumstilsynet

  • Politidirektoratet

  • Politiets sikkerhetstjeneste

  • Regjeringsadvokaten

  • Regelrådet

  • Riksadvokaten

  • Riksarkivet

  • Sekretariatet for konfliktrådene

  • Sivilombudsmannen

  • Skattedirektoratet

  • Statens arbeidsmiljøinstitutt

  • Statens helsetilsyn

  • Statens institutt for rusmiddelforskning

  • Statens sivilrettsforvaltning

  • Statistisk sentralbyrå

  • Statens innkrevingssentral

  • Sysselmannen på Svalbard

  • Teknologirådet

  • Tolldirektoratet

  • Utdanningsdirektoratet

  • Utlendingsdirektoratet

  • Økokrim

  • De regionale helseforetakene

  • Senter for rettsinformatikk

  • Universitetene

  • Advokatforeningen

  • ALT

  • Amnesty International Norge

  • Arbeidsmiljøsenteret

  • Bedriftsforbundet

  • Bilimportørenes Landsforening

  • Bluegarden AS

  • Civita

  • Den Norske Dataforening

  • Den norske Dommerforening

  • Den norske legeforening

  • EVRY ASA

  • Experian Norge

  • Finans Norge

  • Forskerforbundet

  • Forskningsstiftelsen Fafo

  • Frivillighet Norge

  • Hovedorganisasjonen Virke

  • Human Rights Alert Norway

  • ICJ-Norge

  • IKT-Norge

  • Institutt for samfunnsforskning

  • Juridisk rådgivning for kvinner

  • Juristforbundet

  • Jushjelpa i Midt-Norge

  • Jussbuss

  • Jussformidlingen

  • Jusshjelpa i Nord-Norge

  • KS

  • Landkreditt Bank AS

  • Landsorganisasjonen i Norge

  • Landsrådet for Norges barne- og ungdomsorganisasjoner

  • Lederne

  • Nordia Law Advokatfirma AS

  • NORDMA

  • Norges Ingeniør- og Teknologorganisasjon

  • Norges Rederiforbund

  • Norges Taxiforbund

  • Norsk Journalistlag

  • Norsk Kennel Klub

  • Norsk Presseforbund

  • Norsk Redaktørforening

  • Norsk senter for forskningsdata

  • Norsk senter for informasjonssikring

  • Næringslivets Hovedorganisasjon

  • Næringslivets sikkerhetsorganisasjon

  • Næringslivets Sikkerhetsråd

  • Privatsykehusenes fellesorganisasjon

  • SAMFO – Arbeidsgiverforening for samvirkeforetak

  • Sopra Steria AS

  • Sparebankforeningen

  • Telenor Norge AS

  • Transportbrukernes Fellesorganisasjon

  • Transportøkonomisk institutt

  • Unio

  • Yrkesorganisasjonenes Sentralforbund

Departementet mottok realitetsuttalelser fra:

  • Arbeids- og sosialdepartementet

  • Finansdepartementet

  • Forsvarsdepartementet

  • Helse- og omsorgsdepartementet

  • Kulturdepartementet

  • Kunnskapsdepartementet

  • Nærings- og fiskeridepartementet

  • Utenriksdepartementet

  • Administrasjonen i De nasjonale forskningsetiske komiteene

  • Arbeids- og velferdsdirektoratet

  • Arkivverket

  • Barneombudet

  • Bioteknologirådet

  • Brønnøysundregistrene

  • Datatilsynet

  • Den nasjonale forskningsetiske komité for naturvitenskap og teknologi

  • Den nasjonale forskningsetiske komité for samfunnsvitenskap og humaniora

  • Departementenes sikkerhets- og serviceorganisasjon

  • Direktoratet for e-helse

  • Direktoratet for forvaltning og IKT

  • Direktoratet for samfunnssikkerhet og beredskap

  • Finanstilsynet

  • Folkehelseinstituttet

  • Forbrukerombudet

  • Forbrukerrådet

  • Helsedirektoratet

  • Innovasjon Norge

  • Kripos

  • Kulturrådet

  • Medietilsynet

  • Nasjonal kommunikasjonsmyndighet

  • Nasjonal sikkerhetsmyndighet

  • Nasjonalbiblioteket

  • Nordland politidistrikt

  • Norges Bank

  • Oslo byfogdembete

  • Oslo politidistrikt

  • Politidirektoratet

  • Politiets sikkerhetstjeneste

  • Politiets utlendingsenhet

  • Regelrådet

  • Skattedirektoratet

  • Statens arbeidsmiljøinstitutt

  • Statens helsetilsyn

  • Statens lånekasse for utdanning

  • Statens pensjonskasse

  • Statens sivilrettsforvaltning

  • Statens vegvesen

  • Statistisk sentralbyrå

  • Sør-Øst politidistrikt

  • Tolldirektoratet

  • Universitets- og høgskolerådet

  • Utdanningsdirektoratet

  • Utlendingsdirektoratet

  • Larvik kommune

  • Oslo kommune

  • Rogaland fylkeskommune

  • Vestfold fylkeskommune

  • Bane NOR SF

  • Gassco AS

  • Helse Bergen HF

  • Helse Nord RHF

  • Helse Nord-Trøndelag HF

  • Helse Stavanger HF

  • Helse Sør-Øst RHF

  • Helse Vest RHF

  • Norsk rikskringkasting AS

  • Oslo universitetssykehus HF

  • Sporveien Oslo AS

  • Statnett SF

  • Universitetssykehuset Nord-Norge HF

  • Høgskulen i Volda

  • Norges idrettshøgskole

  • Norges teknisk-naturvitenskapelige universitet

  • Politihøgskolen

  • Universitetet i Bergen

  • Universitetet i Oslo

  • Universitetet i Tromsø – Norges arktiske universitet

  • Advokatforeningen

  • Akademikerne

  • Anne Karen Seip

  • Arbeidsgiverforeningen Spekter

  • ASIS Norge

  • Attac Norge

  • BDO AS

  • Bisnode Norge AS

  • Brækhus Advokatfirma DA

  • Coop Norge SA

  • Den norske historiske forening

  • Den norske legeforening

  • Den norske Revisorforening

  • DHL Express (Norway) AS

  • Drivkraft Norge

  • Fagforbundet

  • Finans Norge

  • Foreningen Kommunal Informasjonssikkerhet

  • Forskerforbundet

  • Forskningsinstituttenes Fellesarena

  • Frivillighet Norge

  • Get TDC

  • Graveteamet på rusfeltet

  • Herbjørn Andresen

  • Hovedorganisasjonen Virke

  • IT-politisk råd i Den Norske Dataforening

  • J.K. Baltzersen

  • Juristforbundet

  • Kantar TNS AS

  • Kirkerådet

  • Kollektivtrafikkforeningen

  • KS

  • Landsorganisasjonen i Norge

  • Nei til EU

  • NHO Service

  • Norges Ingeniør- og Teknologorganisasjon

  • Norges Rederiforbund

  • Norges Røde Kors

  • NorgesGruppen ASA

  • Norsk Arkivråd

  • Norsk Presseforbund, Norsk Journalistlag og Norsk Redaktørforening

  • Norsk senter for forskningsdata

  • Norwegian Eksterngransking Organization

  • Næringslivets Hovedorganisasjon

  • Næringslivets Sikkerhetsråd

  • Personvernombud innen og i tilknytning til helse og forskning

  • Redd Barna

  • Regnskap Norge

  • SAMFO – Arbeidsgiverforening for samvirkeforetak

  • Sopra Steria AS

  • Tekna – Teknisk-naturvitenskapelig forening

  • Telenor Norge AS

  • Telia Norge AS

  • TV 2 AS

  • Unio

  • Virke inkasso

  • Virke markedsanalyse

  • Yrkesorganisasjonenes Sentralforbund

Følgende instanser uttrykte at de ikke hadde merknader eller ikke ønsket å uttale seg:

  • Klima- og miljødepartementet

  • Landbruks- og matdepartementet

  • Samferdselsdepartementet

  • Domstoladministrasjonen

  • Riksadvokaten

  • Finansieringsselskapenes Forening

  • KS Bedrift

2.3 Rammene for arbeidet med ny personopplysningslov og omtalen av forordningen i proposisjonen her

2.3.1 Rammene for arbeidet med ny personopplysningslov – videre utredning og etterkontroll

I arbeidet med proposisjonen og den forutgående høringen har et styrende hensyn for departementet vært å kunne fremme et forslag om ny personopplysningslov som gjennomfører EUs personvernforordning i tide til at loven kan tre i kraft samtidig som eller så snart som mulig etter at forordningen får anvendelse i EU 25. mai 2018. Innenfor rammen av dette arbeidet har departementet konsentrert seg om endringer som er klart knyttet til gjennomføringen, og har i mindre grad kunnet prioritere å utrede behovet for mer inngående systematiske eller innholdsmessige endringer av gjeldende rett. Ved utformingen av de supplerende lovbestemmelsene som foreslås i proposisjonen her, har departementet derfor tatt sikte på å videreføre gjeldende rett så langt forordningen åpner for dette, med unntak av tilfeller hvor forordningens regler eller system tilsier at gjeldende rett bør endres, eller der det er holdepunkter for at gjeldende rett av andre grunner bør endres, og det er nokså klart hva endringene i så fall kan og bør gå ut på.

Høringsinstansene har generelt stilt seg positive til at det gis en ny norsk personopplysningslov som gjennomfører personvernforordningen. Enkelte høringsinstanser har likevel tatt til orde for at det bør foretas ytterligere utredninger av diverse temaer. Dette gjelder ikke bare spørsmål som forordningen reiser, men også spørsmål som oppstår etter gjeldende norsk rett. Spørsmål som ikke er blitt utredet i forbindelse med proposisjonsarbeidet, vil følges opp videre av Justis- og beredskapsdepartementet etter at proposisjonen er fremlagt. Høringen har blant annet vist at det kan være grunn til å se nærmere på hvordan ytrings- og informasjonsfriheten bør være regulert i personopplysningsloven, om unntakene i personopplysningsloven av hensyn til rikets sikkerhet har en dekkende og hensiktsmessig utforming, og om bestemmelsen som gjør unntak fra personopplysningslovens saklige virkeområde for saker som behandles eller avgjøres i medhold av rettspleielovene, bør endres.

Forholdet mellom offentleglova og personopplysningsloven vil bli nærmere vurdert i sammenheng med arbeidet med evaluering av offentleglova. I denne sammenheng vil også høringsuttalelsene om dette temaet bli vurdert.

Departementet legger også opp til en etterkontroll etter at loven har virket noen år. En etterkontroll vil i første rekke fokusere på de nasjonale supplerende reglene i personopplysningsloven, og i mindre grad på reglene som følger direkte av forordningen og som det primært tilligger EU å kontrollere. Det må imidlertid ved en etterkontroll av de nasjonale supplerende reglene sees hen til utviklingen i tolkningen og praktiseringen av forordningens regler. For så vidt gjelder etterkontroll av reglene i forordningen, følger det av artikkel 97 at Kommisjonen senest 25. mai 2020 og deretter hvert fjerde år skal fremlegge en rapport med en vurdering og gjennomgåelse av forordningen, samt ved behov foreslå nødvendige endringer. Ved en etterkontroll kan det etter departementets syn være særlig aktuelt å se nærmere på ordningen med personvernombud, reglene som gjør unntak fra de registrertes rettigheter, reglene om behandling for forsknings-, arkiv- og statistikkformål, reglene om administrative sanksjoner, avviklingen av konsesjonsordningen og aldersgrensen på 13 år for samtykke etter forordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i artikkel 8 nr. 1. Det kan vurderes om reglene har en hensiktsmessig utforming og om de fungerer tilfredsstillende. Virkninger av at straffansvaret for overtredelse av personopplysningsloven ikke videreføres, kan også vurderes.

2.3.2 Omtalen av forordningen i proposisjonen her

En rekke høringsinstanser har etterlyst veiledning om det nærmere innholdet i forordningens enkelte bestemmelser og forholdet til gjeldende rett. For så vidt gjelder de nasjonale supplerende bestemmelsene som foreslås i proposisjonen her med hjemmel i forordningen, inneholder proposisjonen på vanlig måte både alminnelige motiver og spesialmerknader. For så vidt gjelder forordningens enkeltbestemmelser, er det etter departementets syn mindre naturlig å utforme generelle motiver og spesialmerknader, da forordningen allerede er vedtatt i EU. Slike uttalelser fra departementets side ville heller ikke ha samme rettskildemessige betydning som ved utarbeidelse av nasjonale lovbestemmelser.

Departementet har forståelse for at det kan være behov for ytterligere veiledning om innholdet i forordningen enn det som gis i proposisjonen her, samt høringsnotatet. Etter forordningen artikkel 57 påligger det Datatilsynet å gi veiledning om forordningen. Departementet viser i denne forbindelse til at Datatilsynet har publisert en betydelig mengde veiledningsmateriale på sine hjemmesider, blant annet om behandlingsansvarliges og databehandleres plikter. Videre er det publisert en betydelig mengde juridisk litteratur om forordningen, både på norsk, andre skandinaviske språk og engelsk, og departementet legger til grunn at ytterligere litteratur vil bli publisert i tiden fremover. Med tiden vil det også genereres rettspraksis som vil bidra til å avklare tolkningsspørsmål.

2.4 Bestemmelse om informasjonsdeling i forbindelse med bekjempelse av arbeidslivskriminalitet

I høringsnotatet foreslo departementet en egen lovbestemmelse som understreket at formålsbegrensningen i personvernforordningen ikke er til hinder for at offentlige myndigheter som har til oppgave å håndheve lovgivningen om arbeidsmiljø, trygd, skatter og avgifter, utveksler informasjon så langt dette er nødvendig for å utføre tilsynsoppgavene, se lovutkastet i høringsnotatet § 12. Høringen viste at flere høringsinstanser mente bestemmelsen på flere punkter var uklar, og departementet fremmer i proposisjonen her ingen bestemmelse som tilsvarer bestemmelsen som ble foreslått i høringsnotatet. Departementet vil i stedet følge opp forslaget i et eget høringsnotat snarest mulig.

2.5 Stortingets anmodningsvedtak nr. 98, 2. desember 2016

Stortinget vedtok 2. desember 2016 følgende anmodningsvedtak til regjeringen: «Stortinget ber regjeringen vurdere om dagens personopplysningslov er tilstrekkelig til å ivareta personvern på en best mulig måte, inkludert barn og unges personvern.»

Anmodningsvedtaket følges opp i proposisjonen her ved at det foreslås en ny norsk personopplysningslov som erstatter og opphever gjeldende personopplysningslov. Den nye loven, som gjennomfører EUs personvernforordning, gir et godt og sterkt personvern. Samtidig bidrar forordningen til et mer enhetlig personvernregelverk i hele EØS, noe som kommer både norske individer og norsk næringsliv til gode.

2.6 Innlemmelse av forordningen i EØS-avtalen

For at forordningen skal bli folkerettslig bindende for Norge, må den innlemmes i EØS-avtalen ved beslutning i EØS-komiteen. I EØS-komiteens beslutning vil det samtidig bli inntatt enkelte tilpasninger til rettsakten slik at den passer for EØS/EFTA-statene.

Det er svært begrensede muligheter for tilpasninger av de materielle bestemmelsene i forordningen, og departementet har heller ikke foreslått slike i forhandlingene med EU. Derimot er det nødvendig med enkelte tekniske tilpasninger. Videre er det nødvendig med en tilpasningstekst som sikrer det norske Datatilsynet deltakelse i Personvernrådet på best mulig måte. Det legges også opp til å videreføre muligheten for EØS/EFTA-statene til å anvende Kommisjonens beslutninger om beskyttelsesnivået for personopplysninger i tredjestater og internasjonale organisasjoner før slike beslutninger innlemmes i EØS-avtalen, slik dette er regulert i tilpasningsteksten til 95-direktivet. Det vises til kapittel 36 om det nærmere innholdet i utkastet til EØS-komiteens beslutning og om de konstitusjonelle vurderingene knyttet til disse tilpasningene.

2.7 Nordisk og andre lands rett

De øvrige nordiske landene og EU-landene for øvrig arbeider for tiden med å forberede nasjonal gjennomføring av forordningen. En prinsipiell forskjell mellom henholdsvis Norge og de andre EØS/EFTA-landene og EU-landene er at forordningen gjelder som nasjonal rett i EU-landene uten ytterligere vedtakelse. Det er likevel behov for nasjonale supplerende regler også i EU-landene.

I Sverige fremmet den svenske regjeringen 15. februar 2018 en proposisjon om ny dataskyddslag som erstatter den gjeldende personuppgiftslagen, se Proposition 2017/18:105. Forslaget inneholder bestemmelser som utfyller forordningens regler. Blant annet foreslås det at forordningens regler skal gjelde også utenfor EU-rettens saklige virkeområde, at tilsynsmyndigheten skal kunne ilegge gebyr mot offentlige myndigheter, og at den nasjonale aldersgrensen for barns samtykke ved informasjonssamfunnstjenester settes til 13 år. Det foreslås at straffebestemmelsen oppheves slik at overtredelser av loven kun vil sanksjoneres av overtredelsesgebyr. Videre inneholder forslaget generelle regler som åpner for behandling av særlige kategorier av personopplysninger, samt generelle regler om unntak fra den registrertes rettigheter.

Det danske justisdepartementet fremmet 25. oktober 2017 forslag til Folketinget om ny dansk databeskyttelseslov som inneholder supplerende nasjonale bestemmelser til forordningen, se Lovforslag L 68 2017–18. Det foreslås der at forordningen skal gjelde også utenfor EU-rettens virkeområde. Videre inneholder forslaget blant annet regler som åpner for behandling av særlige kategorier av personopplysninger, samt generelle regler om unntak fra den registrertes rettigheter. Det foreslås at den nasjonale aldersgrensen for barns samtykke ved informasjonssamfunnstjenester settes til 13 år. Videre inneholder forslaget regler om tilsyn og sanksjoner, herunder bestemmelser om straff.

Til forsiden