Aktiver Javascript i din nettleser for en bedre opplevelse på regjeringen.no

Prop. 56 LS (2017–2018)

Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen

Til innholdsfortegnelse

10 Den registrertes rettigheter

10.1 Generelt om den registrertes rettigheter og adgangen til å fastsette unntak i nasjonal rett

Den registrertes rettigheter følger av forordningen kapittel III. Bestemmelsene innebærer i stor grad en videreføring av dagens rettstilstand. Etter departementets syn vil rettighetene sikre den registrerte et like godt vern som etter gjeldende personopplysningslov. Samtidig medfører forordningen en presisering og utdyping av flere av rettighetene, og noen nye rettigheter er kommet til. Endelig er det noen av rettighetene i personopplysningsloven som mangler en klar parallell i forordningen. På samme måte som etter gjeldende lov må rettighetene sees i sammenheng med de generelle prinsippene for databehandling, jf. forordningen kapittel II. Rettighetene skal bidra til at prinsippene etterleves, for eksempel vil en rett til innsyn bidra til at behandlingen er åpen og tilgjengelig og til at feilaktige opplysninger kan rettes.

Forordningen artikkel 12 gir visse generelle regler om gjennomføringen av den registrertes rettigheter. Bestemmelsen stiller blant annet krav om forståelig og lett tilgjengelig informasjon og kommunikasjon. Videre plikter den behandlingsansvarlige, på samme måte som etter gjeldende rett, som hovedregel å svare på henvendelser om rettigheter innen én måned, jf. artikkel 12 nr. 3. Fristen kan forlenges med ytterligere to måneder ved behov. Utøvelse av rettighetene skal være gratis, jf. artikkel 12 nr. 5, med unntak for åpenbart grunnløse eller overdrevne krav.

De enkelte rettighetene følger av artikkel 13 til 22, jf. oversikten under. Rettighetene følger direkte av forordningen og åpner i liten grad for tilpasninger i nasjonal rett. Ved siden av de presiseringer og unntak som forordningen oppstiller i de enkelte rettighetsbestemmelsene, gir artikkel 23 på nærmere vilkår adgang til å fastsette unntak fra rettighetene i nasjonal rett.

Forordningen artikkel 23 gir hjemmel for unionsretten og medlemsstatenes nasjonale rett til å fastsette ytterligere begrensninger i den registrertes rettigheter etter artikkel 12 til 22 og artikkel 34, samt artikkel 5 i den utstrekning bestemmelsene der tilsvarer rettighetene og forpliktelsene i artikkel 12 til 22. Begrensningene må overholde det vesentlige innholdet i de grunnleggende rettighetene og frihetene og være nødvendige og forholdsmessige tiltak i et demokratisk samfunn av hensyn til et av formålene i artikkel 23 nr. 1 bokstav a til j.

Etter artikkel 23 nr. 2 skal lovgivning som begrenser den registrertes rettigheter, «når det er relevant, minst inneholde særlige bestemmelser» om formålene med behandlingen eller kategorier av behandling, kategoriene av personopplysninger, omfanget av begrensningene som er innført, garantiene for å unngå misbruk eller ulovlig tilgang eller overføring, spesifisering av den behandlingsansvarlige eller kategoriene av behandlingsansvarlige, lagringsperioder og gjeldende garantier, risikoene for de registrertes rettigheter og friheter og de registrertes rett til å bli underrettet om begrensningen.

10.2 Informasjons- og innsynsrettighetene

10.2.1 Gjeldende rett

Kapittel III om innsyn og informasjon er bygget opp slik at de enkelte rettighetene fremgår av personopplysningsloven §§ 18 til 22, med visse nærmere presiseringer og unntak, mens det i § 23 er gitt visse generelle unntak fra innsyns- og informasjonsrettighetene.

Retten til innsyn følger av § 18, der første ledd gir en rett for enhver til å få generell informasjon fra en behandlingsansvarlig om behandlingen av personopplysninger. Annet ledd gir rett til mer utfyllende informasjon dersom den som ber om innsyn er registrert. Den registrerte kan videre etter tredje ledd kreve en utdyping av informasjonen enhver har krav på etter første ledd. Innsynsrettighetene for den som er registrert, gjelder ikke når personopplysningene behandles utelukkende for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte, jf. § 18 fjerde ledd. Retten til innsyn etter personopplysningsloven gjelder ved siden av reglene om innsyn etter forvaltningsloven og offentleglova, jf. Ot.prp. nr. 92 (1998–99) punkt 5.2.4.5 side 38.

Informasjonsrettighetene følger av personopplysningsloven §§ 19 til 21. I §§ 19 og 20 er det regler om den behandlingsansvarliges plikt til å gi informasjon til den registrerte ved innsamling av opplysninger. Informasjonen skal gis av eget tiltak. Loven sondrer mellom tilfellene der det samles inn opplysninger fra den registrerte, jf. § 19, og der opplysningene samles inn fra andre, jf. § 20. I førstnevnte tilfelle er det bare dersom den registrerte allerede kjenner til informasjonen, at varsling kan unnlates, jf. § 19 annet ledd. Dersom opplysningene samles inn fra andre, har den registrerte heller ikke krav på varsel dersom innsamlingen eller formidlingen er uttrykkelig fastsatt i lov eller varsling er umulig eller uforholdsmessig vanskelig, jf. annet ledd. Personopplysningsloven § 21 pålegger den behandlingsansvarlige en informasjonsplikt ved henvendelser eller avgjørelser som retter seg mot den registrerte på grunnlag av personprofiler.

Endelig har den registrerte etter § 22 rett til informasjon om regelinnholdet i datamaskinprogrammer som ligger til grunn for avgjørelser som fullt ut er basert på automatisert behandling av personopplysninger.

Personopplysningsloven § 23 første ledd oppstiller visse generelle unntak fra innsynsrettighetene og informasjonspliktene i §§ 18 til 22. Etter bokstav a omfattes ikke opplysninger som vil kunne skade rikets sikkerhet, landets forsvar eller forholdet til fremmede makter eller internasjonale organisasjoner dersom de blir kjent. Bokstav b gjør unntak for opplysninger som det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger. Bokstav c gjelder opplysninger som det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær. Opplysningene kan likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot, jf. annet ledd. Etter første ledd bokstav d er det videre unntak for taushetsplikt i medhold av lov. Etter bokstav e omfattes heller ikke opplysninger som utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre. Endelig følger det av bokstav f at innsyns- og informasjonsrettighetene ikke omfatter opplysninger som det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv. Ytterligere unntak og vilkår kan fastsettes i forskrift, jf. § 23 siste ledd.

I personopplysningsloven § 24 er det regler om hvordan informasjon skal gis. I § 17 er det fastsatt forbud mot å kreve vederlag for å gi informasjon eller for å etterkomme andre krav fra den registrerte. Videre er den behandlingsansvarlige etter § 16 pålagt å svare uten ugrunnet opphold og senest innen 30 dager på henvendelser om innsyn eller andre rettigheter. Gjennomføring kan utsettes etter annet ledd dersom særlige forhold gjør det umulig å svare på henvendelsen.

10.2.2 Forordningen

Innsyns- og informasjonsrettighetene er regulert i artikkel 13 til 15. Artikkel 13 gir regler om informasjon som skal gis når det samles inn opplysninger fra registrerte. Bestemmelsen viderefører i stor grad dagens regler i personopplysningsloven §§ 19, 21 og 22, men med noe mer utfyllende krav til informasjon. Videre skal det etter forordningen artikkel 13 nr. 3 gis informasjon også ved formålsendring. Artikkel 13 oppstiller bare ett unntak fra informasjonsplikten, nemlig for de tilfellene der den registrerte allerede har informasjonen, jf. artikkel 13 nr. 4.

Artikkel 14 regulerer informasjonsplikten når opplysningene ikke samles inn fra den registrerte. Også på dette punktet innebærer forordningen en viss presisering og utdyping av informasjonsplikten sammenlignet med gjeldende rett. Unntaksreglene svarer i det vesentlige til dagens unntaksregler, med unntak for informasjonsplikten dersom den registrerte allerede har informasjonen, jf. artikkel 14 nr. 5 bokstav a, dersom det er umulig eller uforholdsmessig vanskelig å gi informasjon, jf. artikkel 14 nr. 5 bokstav b, og dersom innsamlingen eller formidlingen er uttrykkelig fastsatt i lov, jf. artikkel 14 nr. 5 bokstav c. Etter forordningens regel gjøres det i tillegg unntak for opplysninger underlagt taushetsplikt, jf. artikkel 14 nr. 5 bokstav d. Etter gjeldende rett gjelder unntak for opplysninger underlagt lovbestemt taushetsplikt etter den generelle unntaksregelen i personopplysningsloven § 23, jf. første ledd bokstav d.

Innsynsretten reguleres av artikkel 15. Forordningen skiller seg på dette punktet fra gjeldende personopplysningslov ved at den ikke oppstiller noen regel om innsynsrett for enhver, slik det i dag er etter personopplysningsloven § 18 første ledd. Forordningen artikkel 15 gir bare innsynsrett for den registrerte. Reglene om den registrertes innsynsrett vil, på samme måte som de øvrige informasjonsreglene, i det vesentlige videreføre gjeldende rettstilstand med noen utvidelser. Forordningen artikkel 15 har ikke noe særskilt unntak for behandling til historiske, statistiske eller vitenskapelige formål tilsvarende personopplysningsloven § 18 siste ledd.

10.2.3 Forslaget i høringsnotatet

Departementet tok i høringsnotatet utgangspunkt i at gjeldende rett om begrensninger i retten til informasjon og innsyn bør videreføres i den utstrekning forordningen åpner for dette. Departementet foreslo å videreføre unntaket for opplysninger av betydning for rikets sikkerhet, landets forsvar eller forholdet til fremmede makter eller internasjonale organisasjoner. For å tilpasse unntaket til de tilsvarende reglene i offentleglova foreslo departementet at unntaket burde knytte seg direkte til offentleglova §§ 20 og 21, på samme måte som unntaksregelen fra retten til partsinnsyn i forvaltningsloven § 19 første ledd bokstav a. Departementet foreslo å videreføre uendret unntakene for opplysninger som det må antas utilrådelig at den registrerte får kjennskap til, som i medhold av lov er underlagt taushetsplikt eller som det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om.

Departementet la derimot til grunn at det ikke er adgang til å videreføre unntaket for opplysninger i interne dokumenter i gjeldende personopplysningslov § 23 første ledd bokstav e. Departementet la til grunn at en slik begrensning i mange tilfeller vil kunne favne videre enn det som kan anses som nødvendig og proporsjonalt, jf. artikkel 23 nr. 1.

Departementet ga uttrykk for at det i forbindelse med unntaksregler av generell karakter ikke vil være relevant å gi nærmere bestemmelser om alle de forholdene som nevnes i artikkel 23 nr. 2. Det ble vist til at den foreslåtte bestemmelsen regulerte omfanget av begrensningene, jf. artikkel 23 nr. 2 bokstav c, og at kravet om skriftlig begrunnelse tar sikte på å motvirke misbruk av unntakene og at den registrerte blir underrettet, jf. bokstav d og h.

Endelig foreslo departementet å videreføre adgangen til å gi forskrifter med ytterligere unntak fra eller vilkår for bruk av informasjons- og innsynsrettighetene.

10.2.4 Høringsinstansenes syn

Vestfold fylkeskommune, Advokatforeningen, Hovedorganisasjonen Virke, Finans Norge og Get TDC støtter de foreslåtte unntakene fra innsynsretten. Direktoratet for e-helse og Helse Stavanger HF støtter forslagene om unntak fra retten til informasjon og innsyn for opplysninger som det må anses utilrådelig at den registrerte får kjennskap til. Helse Stavanger HF støtter videre forslaget om unntak for taushetsplikt.

Datatilsynet uttaler at det ikke er redegjort tilstrekkelig for om de foreslåtte unntakene er i tråd med forordningen:

«For å kunne videreføre gjeldende rett i ny lov § 13 må det altså foretas en konkret vurdering av om de foreslåtte unntakene er tydelige, presise og forutsigbare nok til at de kan anses i tråd med forordningen. Det fremgår ikke i høringsnotatet at departementet har gjort en slik vurdering. Vi savner en redegjørelse for hvert enkelt unntak i § 13, med henvisning til hvorvidt de er innenfor ordlyden i et eller flere av grunnlagene i artikkel 23 nr.1. Departementet har så langt vi kan se av høringsnotatet heller ikke foretatt noen nærmere vurdering av hvorvidt unntakene er «strengt nødvendige» og «forholdsmessige», selv om det kort slås fast at de er proporsjonale (forholdsmessig).»

Datatilsynet mener videre at kravene i forordningen artikkel 23 nr. 2 ikke er vurdert i tilstrekkelig grad:

«Det bør i proposisjonen vurderes for hvert unntak opplistet i § 13 om det er momenter i artikkel 23 nr.2 som er relevante å ta inn i bestemmelsen. Vi mener behovet for tydelige, presise og forutsigbare unntakshjemler blir desto viktigere når departementet ønsker å basere den norske gjennomføringen på svært generelle unntakshjemler. Spesifisering av momenter i lovtekst kan være helt avgjørende for hvordan avveiningen av interesser slår ut. For eksempel har praksis fra EU-domstolen og EMD særlig pekt på viktigheten av særlige garantier mot misbruk i vurderingen av nasjonale regler.
Vi er ikke enig med departementet i at den foreslåtte § 13 inneholder «særlige bestemmelser» om «omfanget av begrensningene som er innført» jf. artikkel 23 nr.2 bokstav c. Tvert imot mener vi at de fleste av unntakene i § 13 omfattes av flere av unntak i artikkel 23 nr. 1. Det er også vanskelig å se at departementet har foreslått tilstrekkelige garantier mot misbruk, sett opp mot hvor omfattende unntakene er, jf. artikkel 23 nr. 2 bokstav d. Slik vi ser det vil krav om begrunnelse etter § 13 tredje ledd kun være relevant i de tilfeller hvor den registrerte faktisk er klar over at det behandles opplysninger om vedkommende. Dette vil ikke være tilfellet for mange av de situasjoner som kommer inn under unntakene. Da blir garantien fort en papirrettighet uten særlig praktisk betydning.»

Datatilsynet peker på en rekke momenter i forordningen artikkel 23 nr. 2 som etter tilsynets oppfatning er relevante og som bør klargjøres for de foreslåtte unntakene for opplysninger som er av betydning for utenrikspolitiske interesser og nasjonale forsvars- og sikkerhetsinteresser, opplysninger det er påkrevd å hemmeligholde av hensyn til etterforskning mv. av straffbare handlinger, taushetsbelagte opplysninger og opplysninger som det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om.

Arbeids- og velferdsdirektoratet uttaler at det er behov for en utsatt informasjonsplikt og innsynsrett i NAVs kontrollsaker når det er fare for bevisforspillelse eller at en kontrollsak blir avslørt. Direktoratet mener videre at det er behov for en bestemmelse som gir grunnlag for å unnta opplysninger om kilder eller tipsere i kontrollsaker:

«Etter forordningens artikkel 14 nr. 2 bokstav f plikter den behandlingsansvarlige å oppgi fra hvilken kilde personopplysningene kommer fra. NAV har i enkelte saker knyttet til trygdemisbruk eller mulig trygdemisbruk behov for å skjerme kilder («tipsere»).
Dersom NAV i kontrollarbeidet ikke lenger har muligheter til å unnta kildeopplysninger, vil det kunne føre til at viktige informasjonskilder forsvinner. Spesielt kan det gjelde i arbeidet med å avdekke og oppklare organisert/systematisk kriminalitet.»

Også Tolldirektoratet peker på kontrollvirksomheten:

«Det er viktig for myndigheter som utfører kontrolloppgaver at unntaksbestemmelsene i ny personopplysningslov også ivaretar kontrollmyndigheters behov for å gjøre unntak der hemmeligholdelse er nødvendig. Tolletaten mener det ikke er nødvendig å begrense unntaksmuligheten ytterligere.»

Utlendingsdirektoratet uttaler at forholdet mellom innsynsreglene i personopplysningsloven og forvaltningsloven bør klargjøres, og ber departementet vurdere om forvaltningslovens innsynsregler bør harmoniseres med personvernforordningens regler. Videre uttaler Utlendingsdirektoratet at et krav om begrunnelse med henvisning til unntakshjemmelen ved nektelse av innsyn kan virke mot sin hensikt:

«UDI gjør oppmerksom på at kravet i tredje ledd – om at begrunnelsen for hvorfor den registrerte nektes innsyn skal inneholde en presis henvisning til unntakshjemmelen – kan virke mot sin hensikt. For eksempel vil dokumenter i utlendingssaker kunne inneholde opplysninger som den registrerte ikke bør få innsyn i eller ikke bør få informasjon om at eksisterer i det hele tatt. For eksempel opplysninger som berører grunnleggende nasjonale interesser eller utenrikspolitiske hensyn, eller opplysninger som er påkrevd hemmeligholdt av hensyn til forebygging, etterforskning, avdekking og rettslig forfølging av straffbare handlinger. Vi påpeker at det vil være vanskelig å hemmeligholde at slik informasjon eksisterer, dersom et eventuelt avslag på innsyn må begrunnes med at opplysningene er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser (henvisning til § 13 første ledd bokstav a) eller det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølging av straffbare handlinger (henvisning til § 13 første ledd bokstav b).»

En rekke høringsinstanser har uttalt seg om forslaget om ikke å videreføre unntaket for interne dokumenter. Av høringsinstansene som har uttalt seg om spørsmålet, er det bare Datatilsynet som støtter forslaget om ikke å videreføre unntaket. Datatilsynet uttaler:

«Vi er imidlertid positive til at unntaket i personopplysningsloven § 23 første ledd bokstav e ikke videreføres. Vi er enige med departementet i at dette unntaket favner videre enn det som anses som nødvendig og forholdsmessig i artikkel 23 nr. 1. For øvrig mener det samme kunne vært sagt om gjeldende bestemmelse og forholdet til direktivets artikkel 13.»

Advokatforeningen, Arbeidsgiverforeningen Spekter, Juristforbundet, Hovedorganisasjonen Virke, Finans Norge, Næringslivets Hovedorganisasjon, Sporveien Oslo AS, IT-politisk råd i Den Norske Dataforening, SAMFO – Arbeidsgiverforening for samvirkeforetak, Telenor Norge AS og Get TDC mener at unntaket for interne dokumenter bør videreføres.

Advokatforeningen mener at det er legitime grunner til å unnta opplysninger i interne dokumenter fra innsyn:

«Private foretak vil i sin virksomhet, i likhet med den offentlige forvaltning, ha helt legitime behov for å unnta opplysninger i interne dokumenter fra innsyn. Både opplysninger som kan tendere mot forretningshemmeligheter, strategier, prisvurderinger og andre foreløpige vurderinger av forskjellig art, vil det være avgjørende å kunne unnta fra innsyn av hensyn til den interne saksforberedelse.»

Sporveien Oslo AS uttaler at det behov for et slikt unntak i arbeidsforhold:

«Gjeldende personopplysningslov § 23 1. ledd e) er særdeles viktig for arbeidsgivere når arbeidstakere krever innsyn i personalmappe etc, da den gir hjemmel til unntak for interne dokumenter. En god personalforvaltning er avhengig av at ledere kan kommunisere konfidensielt med HR-avdelingen og andre i virksomheten, uten at ansatte skal kunne kreve innsyn i slik intern korrespondanse. Det samme gjelder interne dokumenter. Dette behovet gjelder for hele ansettelsesforholdet, men kanskje spesielt i personalsaker.»

Arbeidsgiverforeningen Spekter, Advokatforeningen og Sporveien Oslo AS mener at det vil skje en forskjellbehandling mellom private og offentlige behandlingsansvarlige dersom unntaket ikke videreføres. Arbeidsgiverforeningen Spekter uttaler:

«Med forslaget som foreligger vil det bli en forskjellsbehandling mellom private og offentlige virksomheter, hvor private bedrifter får mindre muligheter til å gjøre unntak fra innsynsretten. Det er viktig at private bedrifter fortsatt skal kunne unnta opplysninger (forretningshemmeligheter mv).»

Hovedorganisasjonen Virke, Finans Norge og Advokatforeningen mener at det vil ha uheldige økonomiske og administrative konsekvenser dersom gjeldende rett ikke videreføres. Advokatforeningen uttaler:

«Slik Advokatforeningen ser det er konsekvensene av departementets forslag heller ikke på noe vis utredet. Dersom unntaket i pol § 23 1. e) ikke videreføres, vil det medføre uheldige konsekvenser ved at private virksomheter vil bli nødt til å gjennomgå alle interne dokumenter manuelt for å vurdere hvilke opplysninger det skal gis innsyn i.»

Arbeidsgiverforeningen Spekter og Sporveien Oslo AS mener at unntaket for interne dokumenter bør videreføres og samtidig utvides til å omfatte konserninterne dokumenter. Arbeidsgiverforeningen Spekter uttaler:

«Videre bør det i regelverket presiseres at det er behov for unntak fra innsynsretten også for konserninterne dokumenter, ikke bare selskapsinterne. Med konsern forstås også konsernlignende organisasjonsmodeller.»

NHO, SAMFO – Arbeidsgiverforening for samvirkeforetak, Telenor Norge AS og Sporveien Oslo AS mener at et unntak for interne dokumenter i arbeidsforhold kan ha grunnlag i forordningen artikkel 88, som åpner for nasjonale regler om behandling av personopplysninger arbeidsforhold.

10.2.5 Departementets vurdering

10.2.5.1 Opplysninger av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser

Etter departementets vurdering er det behov for å videreføre et unntak fra informasjons- og innsynsretten som åpner for unntak av hensyn til Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser. Departementet foreslår i lovforslaget § 16 første ledd bokstav a å videreføre et slikt unntak, og at unntaket tilpasses de tilsvarende reglene i offentleglova, på samme måte som unntaket fra retten til partsinnsyn etter forvaltningsloven § 19 første ledd bokstav a.

Unntaket omfattes etter departementets syn av formålene i artikkel 23 nr. 1 bokstav a, b, c og e. Det er etter offentleglova §§ 20 og 21 bare anledning til å gjøre unntak når det er «påkravd» av hensyn til utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser. Reglene i offentleglova ivaretar kravene til nødvendighet og proporsjonalitet, jf. forordningen artikkel 23 nr. 1. Etter departementets oppfatning bør det i denne sammenhengen ikke sondres mellom den registrertes innsynsrett etter personopplysningsregelverket og partens innsyn etter forvaltningsloven.

Når det gjelder kravene i forordningen artikkel 23 nr. 2, viser departementet til at den foreslåtte bestemmelsen, sammen med reglene i forvaltningsloven og offentleglova, regulerer omfanget av de innførte begrensningene, jf. artikkel 23 nr. 2 bokstav c. Vilkårene i offentleglova § 20 er dels knyttet til formålet med behandlingen og kategoriene av opplysninger, jf. artikkel 23 nr. 2 bokstav a og b. Virkeområdet til offentleglova, jf. offentleglova § 2, spesifiserer hvilke kategorier av behandlingsansvarlige som omfattes, jf. artikkel 23 nr. 2 bokstav e. Departementet viser videre til begrunnelsesplikten ved nektelse av innsyn, jf. lovforslaget § 16 tredje ledd. Det er etter departementets syn ikke relevant å gi nærmere bestemmelser om lagringsperioder, jf. artikkel 23 nr. 2 bokstav f, eller at loven skal gi uttrykk for risikoene for de registrertes rettigheter og friheter, jf. bokstav g.

Departementet har merket seg Datatilsynets innspill om at det bør være en underretningsplikt når hensynet til hemmelighold ikke lenger gjør seg gjeldende. Etter departementets syn bør et slikt krav ikke fastsettes uten nærmere utredning, da det vil kunne innebære betydelig merarbeid for den behandlingsansvarlige, og det foreslås derfor ikke en slik plikt i denne omgang.

10.2.5.2 Etterforskning mv. av straffbare handlinger

Informasjons- og innsynsrett kan i noen tilfeller være til hinder for forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger. Etter departementets syn bør det fortsatt være adgang til å gjøre unntak fra informasjons- og innsynsretten når det er påkrevd å hemmeligholde opplysningene av hensyn til disse formålene. Departementet foreslår at gjeldende rett videreføres, se lovforslaget § 16 første ledd bokstav b.

Unntaket knytter seg til formålet i artikkel 23 nr. 1 bokstav d, som gjelder «forebygging, etterforskning, avsløring eller straffeforfølgning av straffbare forhold». Etter den foreslåtte bestemmelsen kan den behandlingsansvarlige bare gjøre unntak i den utstrekning det er «påkrevd» i det enkelte tilfellet. Etter departementets vurderinger er dette i tråd med kravene til nødvendighet og forholdsmessighet i artikkel 23 nr. 1.

Datatilsynet gir i høringen uttrykk for at det bør klargjøres hvilke kategorier av behandlingsansvarlige som omfattes, jf. forordningen artikkel 23 nr. 2 bokstav e. Departementet bemerker at behandling av personopplysninger som gjelder forebygging, etterforskning, avsløring eller straffeforfølgning vil, når det behandles av aktørene i straffesakskjeden, reguleres av nasjonal lovgivning som implementerer EUs direktiv om det samme. Dette direktivet hjemler unntak for innsyn i disse tilfellene, jf. direktivet artikkel 15 nr. 1 bokstav b. Det kan imidlertid være tilfeller hvor også andre behandler personopplysninger som kan ha betydning for forebygging, etterforskning, avsløring eller straffeforfølgning av straffbare forhold. I og med at unntaket er knyttet til konsekvensene av informasjons- eller innsynsrett i det enkelte tilfelle, bør derfor ikke anvendelsesområdet begrenses til nærmere bestemte kategorier av behandlingsansvarlige. Artikkel 23 nr. 1 bokstav d, som bestemmelsen bygger på, er heller ikke begrenset til noen bestemte kategorier av behandlingsansvarlige.

På tilsvarende måte knytter unntaket seg ikke til nærmere behandlingsformål, kategorier av behandling, kategorier av personopplysninger eller lagringsperioder, jf. artikkel 23 nr. 2 bokstav a, b og f. Det er etter departementets vurdering først og fremst relevant å angi omfanget av begrensningen og garantier for misbruk, samt underretning om begrensningen, jf. bokstav c, d og h.

Departementet har merket seg Datatilsynets innspill om at det bør være en informasjonsplikt når hensynet til hemmelighold ikke lenger gjør seg gjeldende, for eksempel ved avsluttet etterforskning. Etter departementets syn bør et slikt krav ikke fastsettes uten nærmere utredning, da det vil kunne innebære mye merarbeid for den behandlingsansvarlige, jf. også punkt 10.2.5.1 over. Det foreslås derfor ikke en slik plikt i denne omgang.

10.2.5.3 Personopplysninger som det må anses utilrådelig at den registrerte får kjennskap til

Departementet foreslår å videreføre gjeldende rett om at det kan gjøres unntak fra innsyns- og informasjonsretten for opplysninger som det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær, jf. lovforslaget § 16 første ledd bokstav c, jf. annet ledd. Etter departementets syn er dette et nødvendig og forholdsmessig tiltak for å sikre hensynene nevnt i artikkel 23 nr. 1 bokstav i. Unntaket er dessuten nødvendig for å unngå at den tilsvarende unntaksregelen i forvaltningsloven § 19 første ledd bokstav d uthules av forordningens informasjons- og innsynsrett.

Når det gjelder forordningen artikkel 23 nr. 2, viser departementet til at bestemmelsen angir hvilke kategorier av personopplysninger som omfattes, omfanget av begrensningene og den registrertes rett til underretning, jf. bokstav b, c og h. At opplysningene gjøres kjent for en representant, utgjør en garanti for misbruk av unntaket, jf. artikkel 23 nr. 2 bokstav d og f. Ettersom unntaket retter seg mot opplysningenes art og konsekvensene av at den registrerte får kjennskap til dem, er det etter departementets syn ikke relevant med nærmere bestemmelser om behandlingsformål, behandlingsansvarlige eller lagringsperioder, jf. bokstav a, e og f.

10.2.5.4 Taushetsplikt

Departementet foreslår å videreføre en bestemmelse om at informasjons- og innsynsretten ikke gjelder opplysninger som er underlagt taushetsplikt i lov eller i medhold av lov, jf. lovforslaget § 16 første ledd bokstav d. Når det gjelder informasjonsplikt etter artikkel 14, følger det av forordningen selv at plikten ikke gjelder ved lovfestet taushetsplikt, jf. artikkel 14 nr. 5 bokstav d. Departementet anser det imidlertid som hensiktsmessig å klargjøre i loven at taushetspliktsbestemmelser i særlovgivningen går foran også artikkel 13 og 15.

Datatilsynet gir i sin høringsuttalelse uttrykk for at det bør klargjøres hvilke formål i artikkel 23 nr. 1 bestemmelsen er knyttet til, og at departementet bør gi en begrunnelse for hvorfor den er nødvendig og forholdsmessig. Departementet bemerker til dette at bestemmelsen ikke i seg selv er et grunnlag for unntak fra informasjons- og innsynsretten. Når taushetsplikt er fastsatt i eller i medhold av lov, vil det være de aktuelle taushetspliktsbestemmelsene som utgjør det rettslige grunnlaget for unntak. Den foreslåtte bestemmelsen kan slik sett sies å være overflødig ved siden av de alminnelige reglene om forholdet mellom personopplysningsloven og særlovgivningen, jf. forslaget § 2 første ledd annet punktum. På dette punktet ser departementet imidlertid det som hensiktsmessig med en særlig klargjøring av at særlovgivningen går foran, blant annet fordi brudd på lov- eller forskriftsbestemt taushetsplikt er straffbart, jf. straffeloven §§ 209 og 210.

Departementet bemerker samtidig at det også for taushetspliktsbestemmelser vil være slik at særlovgivningen ikke kan gjøre unntak fra forordningen artikkel 13 eller 15 i større grad enn det forordningen tillater. En nærmere omtale av forholdet mellom forordningen og særlovgivningen, herunder betydningen av EØS-avtalens virkeområde i den forbindelse, gis i punkt 4.5.8.

10.2.5.5 Personopplysninger i interne dokumenter

Etter den någjeldende personopplysningsloven gjelder informasjons- og innsynsretten ikke for «opplysninger som utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre». Unntaket er dels praktisk begrunnet, og det bygger dels på hensynet til den interne saksforberedelse, jf. Ot.prp. nr. 92 (1998–99) side 122–123. Det er imidlertid etter gjeldende rett ikke nødvendig å foreta noen nærmere vurdering av om hensynet til å gjøre unntak gjør seg gjeldende i det enkelte tilfellet. Etter departementets vurdering kan det av denne grunn ikke anses nødvendig eller forholdsmessig å videreføre denne bestemmelsen uendret, jf. artikkel 23 nr. 1.

På bakgrunn av høringen legger imidlertid departementet til grunn at det er et klart behov for et unntak fra innsynsretten av hensyn til den interne saksforberedelse. Departementet går derfor inn for at unntaket videreføres med grunnlag i artikkel 23 nr. 1 bokstav e og i, men med et tilleggsvilkår som skal sikre at det bare gjøres unntak i den utstrekning hensynet til den interne saksforberedelse gjør seg gjeldende, og unntak er nødvendig av hensyn til denne. Det foreslås på denne bakgrunn at gjeldende rett videreføres med et tilleggsvilkår om at det bare er unntaksadgang så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser, se lovforslaget § 16 første ledd bokstav e. Dette vil etter departementets syn utgjøre et proporsjonalt unntak, jf. artikkel 23 nr. 1. Bestemmelsen regulerer omfanget av begrensningen, kategoriene av behandling og garantiene for å unngå misbruk, jf. bokstav artikkel 23 nr. 2 bokstav a, c, d og h.

Flere høringsinstanser har gitt uttrykk for at unntaket for interne dokumenter bør videreføres for at det ikke skal oppstå en forskjell mellom privat og offentlig sektor. Departementet finner derfor grunn til å bemerke at den personopplysningsrettslige innsynsretten gjelder på samme måte overfor både offentlige og private behandlingsansvarlige. Overfor offentlige organer gjelder den personopplysningsrettslige innsynsretten ved siden av retten til innsyn etter forvaltningsloven og offentleglova, og unntakene fra innsynsrett etter forvaltningsloven og offentleglova utgjør ikke unntak fra innsynsretten etter personvernforordningen.

Departementet har merket seg at noen høringsinstanser gir uttrykk for at unntaket for opplysninger i interne dokumenter bør utvides til også å omfatte konserninterne dokumenter. Etter departementets syn bør det ikke foretas en slik utvidelse uten nærmere utredning, jf. punkt 2.3.

10.2.5.6 Åpenbare og grunnleggende private og offentlige interesser

Departementet foreslår endelig å videreføre unntaket for opplysninger som det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om. En slik unntaksbestemmelse ivaretar flere av formålene listet opp i forordningen artikkel 23 nr. 1, herunder særlig bokstav e og i.

Selv om bestemmelsen kan favne over en rekke ulike hensyn, oppstiller den strenge vilkår for unntak, jf. merknadene i Ot.prp. nr. 92 (1998–99) side 122. Departementet bemerker videre at bestemmelsen bare åpner for unntak for nærmere bestemte opplysninger som oppfyller vilkårene. Det vil på vanlig måte foreligge informasjons- og innsynsrett for de øvrige opplysningene. Bare der det vil være i strid med åpenbare og grunnleggende interesser å gi opplysninger om at behandling i det hele tatt finner sted, vil det være aktuelt at den registrerte ikke har noen informasjons- eller innsynsrett overhodet. Etter departementets syn er dette en proporsjonal begrensning, jf. artikkel 23 nr. 1. Ettersom unntaket retter seg mot opplysningenes art og konsekvensene av at den registrerte får kjennskap til dem, blir det ikke relevant med nærmere bestemmelser om behandlingsformål, behandlingsansvarlige eller lagringsperioder, jf. artikkel 23 nr. 2 bokstav a, e og f. Når bestemmelsen omfatter en rekke av de ulike hensynene nevnt i artikkel 23 nr. 1, mener departementet at det som en garanti mot misbruk bør fastsettes en skjerpet begrunnelsesplikt ved nektelse av innsyn basert på grunnlag av bokstav f, jf. forslaget til § 16 tredje ledd. I disse tilfellene bør begrunnelsen suppleres med en angivelse av hvilke hensyn som begrunner hemmelighold.

10.2.5.7 Begrunnelse for nektelse av innsyn

Departementet foreslår å videreføre plikten til skriftlig begrunnelse når det gjøres unntak fra innsynsretten på grunnlag av de foreslåtte unntakene, jf. lovforslaget § 16 tredje ledd. I tillegg foreslås det som nevnt i punkt 10.2.5.6 at begrunnelsen for nektelse av innsyn på grunnlag av sikkerhetsventilen i bokstav f må angi hvilke hensyn som begrunner hemmelighold.

10.2.5.8 Øvrige spørsmål

Departementet har videre merket seg synspunktet til Arbeids- og velferdsdirektoratet om at det kan være behov for en utsatt innsynsrett i kontrollsaker, samt at det bør kunne gjøres unntak for opplysninger om kilder og tipsere. Etter departementets syn er spørsmålene ikke tilstrekkelig utredet til at det kan tas stilling til om det behov for å gi nærmere regler om dette. Unntaksadgangen må derfor inntil videre vurderes etter de alminnelige unntaksreglene.

Det er vanskelig på nåværende tidspunkt å overskue hvilke utslag forordningens regler om informasjons- og innsynsrett vil gi i praksis. Departementet foreslår på denne bakgrunn å videreføre en forskriftshjemmel for unntak fra og nærmere vilkår for informasjonsplikt og innsynsrett.

10.3 Retten til retting, sletting og begrensning av behandling

10.3.1 Gjeldende rett

Personopplysningsloven § 27 gjelder retting av mangelfulle opplysninger. Etter første ledd skal den behandlingsansvarlige av eget tiltak eller på den registrertes begjæring rette personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle. Videre skal den behandlingsansvarlige om mulig sørge for at feilen ikke får betydning for den registrerte, for eksempel ved varsling til mottagere av opplysningene. Ufullstendige eller uriktige opplysninger som kan ha betydning som dokumentasjon, skal som hovedregel rettes ved at opplysningene markeres og suppleres med korrekte opplysninger, jf. annet ledd. Datatilsynet kan imidlertid pålegge sletting eller sperring, jf. tredje ledd.

Personopplysningsloven § 28 oppstiller et forbud mot å lagre unødvendige personopplysninger. Etter første ledd skal personopplysninger ikke lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, og de skal slettes med mindre arkivloven eller annen lov pålegger oppbevaring. Etter annet ledd kan opplysningene likevel lagres for historiske, statistiske eller vitenskapelige formål dersom samfunnets interesse i lagringen klart overstiger ulempene for den enkelte. Tredje ledd gir den registrerte en rett til å få slettet «sterkt belastende» opplysninger om seg selv, dersom dette ikke strider mot annen lov og er forsvarlig ut fra en samlet vurdering av blant annet andres behov for dokumentasjon, hensynet til den registrerte, kulturhistoriske hensyn og de ressurser gjennomføringen av kravet forutsetter. Datatilsynet kan treffe vedtak om at retten til sletting går foran reglene i arkivloven §§ 9 og 18, jf. fjerde ledd.

10.3.2 Forordningen

Artikkel 16 gir rett til retting av uriktige personopplysninger og mangelfulle personopplysninger. Bestemmelsen viderefører i det vesentlige gjeldende rett etter personopplysningsloven § 27. I motsetning til personopplysningsloven har forordningen ingen nærmere regulering av hvordan rettingen skal skje.

Artikkel 17 regulerer retten til sletting, også kalt «retten til å bli glemt». Bestemmelsen gir den registrerte rett til sletting av personopplysninger på en rekke ulike grunnlag, jf. artikkel 17 nr. 1 bokstav a til f. Regelen er imidlertid i stor grad knyttet til om vilkårene for behandling av personopplysningene er oppfylt, og medfører derfor først og fremst en tydeliggjøring og ingen vesentlig utvidelse av plikten til sletting. Retten til sletting av sterkt belastende personopplysninger etter personopplysningsloven § 28 tredje ledd har ingen klar parallell i forordningen.

En ny regel i forordningen sammenlignet med gjeldende norsk rett er at behandlingsansvarlige som har offentliggjort opplysningene skal treffe rimelige tiltak for å underrette andre behandlingsansvarlige som behandler personopplysningene om at den registrerte har bedt om sletting, jf. artikkel 17 nr. 2. Sammen med sletteplikten utgjør dette den såkalte «retten til å bli glemt».

Artikkel 17 nr. 3 gjør en rekke unntak fra retten til sletting, blant annet for utøvelsen av ytrings- og informasjonsfrihet og for behandling for arkiv-, forsknings- og statistikkformål, jf. artikkel 17 nr. 3 bokstav a og d.

En ny rettighet sammenlignet med gjeldende norsk rett er retten til begrensning av behandling, jf. artikkel 18 nr. 1. Begrensning av behandling er i artikkel 4 nr. 3 definert som «merking av lagrede personopplysninger med det som mål å begrense behandlingen av disse i framtiden». Retten inntrer dersom a) opplysningenes riktighet er omtvistet, b) behandlingen er ulovlig og den registrerte motsetter seg sletting av personopplysningene og i stedet anmoder om begrensning, c) behandling ikke lenger er nødvendig, men opplysningene trengs for å fastsette, gjøre gjeldende eller forsvare et rettskrav, eller d) den registrerte har protestert mot videre behandling i medhold av artikkel 21 nr 1, i påvente av en avgjørelse av om videre behandling kan skje. Opplysningene kan bare behandles for visse formål som er nærmere angitt i artikkel 18 nr. 2.

Artikkel 19 inneholder regler om underrettelsesplikt ved retting, sletting og begrensning av behandling etter artikkel 16 til 18. Den behandlingsansvarlige skal selv sørge for å underrette enhver mottager som opplysningene er videreformidlet til om at retting, sletting eller begrensning er utført (med mindre dette viser seg uforholdsmessig vanskelig), og på den registrertes oppfordring opplyse ham eller henne om hvem disse mottagerne er.

10.3.3 Forslaget i høringsnotatet

Departementet foreslo i høringsnotatet ingen unntak fra retten til retting, sletting eller begrensning av behandling.

10.3.4 Høringsinstansenes syn

Kun et fåtall høringsinstanser har uttalt seg om retten til retting, sletting og begrensning av behandling.

Utlendingsdirektoratet uttaler at det må være den behandlingsansvarlige som må avgjøre om personopplysninger er uriktige:

«Utlendingsmyndighetene har en generell utredningsplikt og vil kunne registrere personopplysninger som er innhentet fra andre enn den registrerte selv og som den registrerte ikke nødvendigvis er enig i. For eksempel kan utlendingsmyndighetene fastsette en annen identitet i utlendingssaken enn det den registrerte har opplyst og hevder er den rette. Det må da være adgang til å tilbakevise eventuelle påstander fra den registrerte om at opplysningene ikke er korrekte uten hinder av den registrertes rett til korrigering i henhold til artikkel 16.»

Telia Norge AS mener at det kan være behov for en unntaksregel i visse tilfeller der retting vil være svært ressurskrevende:

«Når det gjelder retten til korrigering etter artikkel 16 mener Telia at det kan være behov for en sikkerhetsventil form av en snever unntaksregel for situasjoner hvor fullstendig korrigering av opplysninger vil være svært ressurskrevende for den behandlingsansvarlige uten at korrigeringen nevneverdig påvirker den videre behandlingen av opplysningene for den registrerte. Som eksempel kan nevnes situasjoner der vi blir enige med en kunde om å korrigere en faktura. Slike fakturaer opprettes på bakgrunn av trafikkdata som er registrert i kommunikasjonsnettverket til operatøren, og endring av data i slike kjernesystemer kan være svært ressurskrevende. Dersom de aktuelle trafikkdataene utelukkende behandles for faktureringsformål, vil korrigeringen av datagrunnlaget ikke påvirke kundens rettigheter eller plikter, og heller ikke den videre behandlingen av opplysningene.»

Norges Rederiforbund mener reglene om sletting er uheldige i arbeidsforhold:

«Som kjent har arbeidsgivere en streng bevisbyrde når det gjelder å påvise saklig grunnlag for oppsigelser. For å oppfylle denne bevisbyrden vil det for arbeidsgivere være maktpåliggende å kunne lagre opplysninger om ansattes arbeidsprestasjoner og advarsler i lang tid. Arbeidsgiver vil ha behov for å lagre advarsler tilbake i tid for å kunne vise til disse som bevis.»

Finans Norge gir uttrykk for at retten til begrensning av behandling kan medføre utfordringer i finansnæringen og i forsikringsvirksomhet:

«Forordningen artikkel 18 nr. 2 tillater likevel behandling for «å fastsette, gjøre gjeldende eller forsvare rettskrav eller for å verne en annen fysisk eller juridisk persons rettigheter eller av hensyn til viktige samfunnsinteresser i Unionen eller en medlemsstat». Finans Norge antar at unntaket må forstås slik at retten til begrensning har liten praktisk betydning der behandlingen skjer på grunnlag av en gjensidige forpliktende avtale med en kunde, jf. artikkel 6 bokstav b, og der behandlingen skjer som følge av en rettslig forpliktelse, jf. artikkel 6 bokstav c. Eksempelvis bør en begjæring om begrenset behandling ikke påvirke et finansforetaks anledning til å forfølge et pengekrav, eller plikten til å utføre myndighetsrapportering og risikoberegninger. Dersom Justisdepartementet er av en annen oppfatning må unntak i medhold av artikkel 23 vurderes.»

10.3.5 Departementets vurdering

Departementet har merket seg Telia Norge AS´ synspunkt om at retting i noen tilfeller kan være svært ressurskrevende, og at det kan være behov for en snever unntaksregel for disse situasjonene. Etter departementets vurdering bør det ikke fastsettes slike unntaksregler før rettighetene har fått virke i praksis. Det samme gjelder etter departementets vurdering for retten til sletting og begrensning av behandling.

Departementet foreslår i denne omgang derfor ingen unntak fra disse rettighetene. Det bemerkes at vilkårene for at retten til sletting etter artikkel 17 og retten til begrensing av behandling etter artikkel 18 skal komme til anvendelse, i seg selv innebærer at disse rettighetene får et relativt begrenset nedslagsfelt.

Til Utlendingsdirektoratets høringsuttalelse bemerker departementet at retten til retting etter artikkel 16 er betinget av at personopplysningene er «uriktige». Departementet kan ikke se at artikkel 16 er til hinder for at et forvaltningsorgan tilbakeviser overfor den registrerte at opplysningene er uriktige. Etter departementets vurdering er det derfor ikke behov for unntak fra artikkel 16 på dette punktet.

Om retten til retting, sletting og begrensning av behandling ved behandling for arkiv, forsknings- og statistikkformål vises det til punkt 11.3.

10.4 Retten til dataportabilitet

10.4.1 Gjeldende rett

Den gjeldende personopplysningsloven gir ingen rett til dataportabilitet.

10.4.2 Forordningen

Retten til dataportabilitet følger av forordningen artikkel 20 nr. 1. Hvis behandlingen baserer seg på samtykke eller kontrakt og behandlingen utføres automatisk, har den registrerte rett til å motta opplysninger om seg selv som han eller hun selv har gitt til den behandlingsansvarlige samt å overføre disse til andre. Opplysningene skal være i et strukturert, alminnelig anvendt og maskinlesbart format. Etter artikkel 20 nr. 2 har den registrerte rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen i den utstrekning det er teknisk mulig.

Etter artikkel 20 nr. 3 gjelder retten til dataportabilitet ikke behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet. Det følger av artikkel 20 nr. 4 at retten til dataportabilitet ikke skal ha negativ innvirkning på andres rettigheter eller frihetsrettigheter.

10.4.3 Forslaget i høringsnotatet

Departementet foreslo i høringsnotatet ingen unntak fra retten til dataportabilitet.

10.4.4 Høringsinstansenes syn

Næringslivets Hovedorganisasjon, Telenor Norge AS og Norges Rederiforbund uttaler at det kan være behov for nasjonale regler om dataportabilitet i arbeidsforhold. Næringslivets Hovedorganisasjon mener at reglene er uklare, og at en ansatt ofte ikke vil ha noen beskyttelsesverdig interesse i dataportabilitet:

«Etter ordlyden i forordningen følger en begrensning av at retten til dataportabilitet kun omfatter opplysninger den ansatte selv har gitt til den behandlingsansvarlige. Det er imidlertid vanskelig å se at dette kriteriet alene er egnet til å gi den nødvendige avklaringen som virksomheten trenger. Vi oppfordrer departementet til å vurdere om det kan være grunnlag for å fastsette nærmere regler om dataportabilitet i ansettelsesforhold med hjemmel i artikkel 88. Etter vårt syn vil en ansatt ofte ikke ville ha noen beskyttelsesverdig interesse knyttet til dataportabilitet fordi mye av det som skjer av behandling vil være spesifikt for den enkelte arbeidsgiver og ikke omfatte opplysninger som er relevante for andre, og for eksempel ikke være aktuelt for videreføring til en ny arbeidsgiver.»

Telenor Norge AS mener at det kan være praktiske vanskeligheter i arbeidsforhold, og uttaler:

«Telenor mener det kan være behov for unntak på arbeidslivsområdet. I arbeidsforhold vil det for eksempel ikke være praktisk mulig for en arbeidsgiver å utlevere alle opplysninger som er blitt behandlet om den ansatte under ansettelsesforholdet, der disse opplysningene er gitt som følge av kontrakt eller samtykke.»

10.4.5 Departementets vurdering

Departementet er enig med høringsinstansene i at det er uklart hvordan en rett til dataportabilitet vil virke i arbeidsforhold, og at en slik rett kan by på praktiske utfordringer. Etter departementets vurdering er det imidlertid på dette tidspunktet ikke tilstrekkelig grunnlag for å fastslå at det bør gis nasjonale regler om dataportabilitet i arbeidsforhold, eller vurdere hva slike regler i så fall bør gå ut på. Dette spørsmålet bør heller vurderes nærmere på et senere tidspunkt når det er klarere hvilke utslag reglene har gitt i praksis.

Departementet foreslår heller ingen unntak fra retten til dataportabilitet. Om retten til dataportabilitet ved behandling for arkiv-, forsknings- og statistikkformål vises det til punkt 11.3.

10.5 Retten til å protestere og til ikke å være gjenstand for avgjørelser som utelukkende er basert på automatisert behandling

10.5.1 Gjeldende rett

En rett til å protestere mot behandlingen finnes ikke i gjeldende personopplysningslov.

Etter § 25 første ledd er den enkelte gitt rett til at fullt automatiserte avgjørelser som nevnt i § 22 overprøves av en fysisk person. Retten gjelder ikke dersom den registrertes personverninteresser varetas på tilstrekkelig måte og avgjørelsen er hjemlet i lov eller knytter seg til oppfyllelse av kontrakt.

10.5.2 Forordningen

Artikkel 21 gir den registrerte en rett til å protestere mot behandling av personopplysninger. Retten gjelder der behandlingen foretas på grunnlag av artikkel 6 nr. 1 bokstav e eller f, herunder ved profilering basert på disse bestemmelsene. Når den registrerte protesterer, plikter den behandlingsansvarlige å stoppe behandlingen av personopplysningene, med mindre den behandlingsansvarlige kan påvise tvingende legitime grunner for behandlingen som veier tyngre enn den registrertes interesser, rettigheter og friheter, eller behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav. Etter artikkel 21 nr. 2 og 3 har den registrerte en særlig rett til å protestere mot behandling av personopplysninger som behandles med henblikk på direkte markedsføring, og den behandlingsansvarlige plikter da å stoppe behandlingen. Etter artikkel 21 nr. 6 har den registrerte rett til å protestere også når personopplysningene behandles for vitenskapelige eller historiske forskningsformål eller for statistiske formål, med mindre behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse.

Artikkel 22 nr. 1 gir den registrerte rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, når avgjørelsen har rettsvirkning eller i betydelig grad påvirker vedkommende. Regelen er i stor grad en videreføring av personopplysningsloven § 25, jf. § 22. Artikkel 22 nr. 2 bokstav a til c gjør unntak fra hovedregelen ved a) behandling i forbindelse med en avtale mellom den registrerte og den behandlingsansvarlige, b) dersom behandlingen er hjemlet i nasjonal rett eller c) dersom behandlingen er basert på samtykke. Etter artikkel 22 nr. 3 skal den registrerte i tilfellene i nr. 2 bokstav a og c ha rett til blant annet menneskelig inngripen fra den behandlingsansvarlige, til å uttrykke sine synspunkter og til å motsette seg avgjørelsen. Endelig følger det av artikkel 22 nr. 4 at avgjørelsene nevnt i nr. 2 ikke kan bygge på særlige kategorier av personopplysninger, med mindre det foreligger samtykke etter artikkel 9 nr. 2 bokstav a eller behandlingen er nødvendig av hensyn til viktige allmenne interesser etter artikkel 9 nr. 2 bokstav g og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser.

10.5.3 Forslaget i høringsnotatet

Departementet foreslo i høringsnotatet ingen nasjonale unntaksregler fra retten til å protestere eller retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling.

10.5.4 Høringsinstansenes syn

Få høringsinstanser har uttalt seg om behov for unntak fra retten til å protestere mot behandlingen. Tolldirektoratet uttaler at det kan være behov for unntak i forbindelse med kontrollmyndigheters behandling av personopplysninger:

«Vi anser det ikke som usannsynlig at det vil kunne komme svært mange henvendelser i saker der den registrerte nettopp vil ha «innsigelser» mot kontrollmyndighetenes (her tollmyndighetenes) behandling av personopplysninger. Samtidig vil det være svært begrenset anledning til å stanse behandlingen, som følge av de oppgaver kontrollmyndighetene er pålagt.
Tolletaten vil således oppfordre til at det vurderes unntak fra innsigelsesretten i art. 21 nr. 1, herunder unntak for den behandlingsansvarliges plikt til å stanse behandlingen eller påvise «tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter». Dette har også en side mot ressursbruk – uten mulighet for å gjøre unntak vil bestemmelsen i art. 21 nr. 1 kunne medføre betydelige krav til ressurser både til løpende administrasjon av ordningen og utvikling av egnede systemløsninger.»

Få høringsinstanser uttaler seg om behov for unntak fra retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling. Finans Norge uttaler at ordlyden i artikkel 22 nr. 2 bokstav a tilsier at kollektive forsikringsavtaler ikke kan gi grunnlag for automatisert behandling, og at det derfor bør etableres en nasjonal lovhjemmel som åpner for dette. Videre mener Finans Norge at det bør fastsettes i nasjonal rett at opplysninger om fagforeningstilhørighet kan være gjenstand for automatiserte avgjørelser uten samtykke:

«Som redegjort for over er fagforeningsopplysninger en sensitiv personopplysning etter forordningen og vi anmoder om at unntaket som følger av dagens forsikringskonsesjon videreføres i lov eller forskrift. Kollektive forsikringsavtaler hvor fagforeningen inngår avtalen vil være aktuelle for automatiserte avgjørelser. Etter forordningen artikkel 22 nr. 4 kreves det imidlertid samtykke fra den registrerte for automatiserte avgjørelser og profilering på sensitive personopplysninger. Også her bør det etter vår vurdering fastsettes en videreføring av dagens konsesjon slik at fagforeningsopplysninger kan være gjenstand for automatiserte avgjørelser og profilering.»

Tolldirektoratet uttaler at det for enkelte deler av etatens virksomhet kan være nødvendig å utarbeide særskilt hjemmel for automatiserte avgjørelser og profilering.

10.5.5 Departementets vurdering

Departementet har merket seg Tolldirektoratets bekymring for at det vil bli mange henvendelser med innsigelser mot kontrollmyndigheters behandling av personopplysninger. Etter departementets vurdering er det ikke på nåværende tidspunkt tilstrekkelige holdepunkter for å fastslå at retten til å protestere vil stille betydelige krav til ressurser for kontrollmyndigheter. Det er uklart både i hvilken utstrekning retten vil bli påberopt, og hvilke ressurser som er nødvendige for å behandle slike henvendelser. Departementet bemerker for øvrig at forordningen artikkel 21 ikke gir noen rett til å protestere mot behandling som skjer på grunnlag av artikkel 6 nr. 1 bokstav c, det vil si behandling som er nødvendig for å oppfylle en rettslig forpliktelse. Det foreslås ingen nasjonale unntak fra retten til å protestere.

Slik departementet vurderer det, er det liten grunn til å benytte adgangen etter artikkel 23 til å gjøre unntak fra retten etter artikkel 22 nr. 1. Artikkel 22 nr. 2 bokstav b åpner for automatisert behandling når det finnes rettsgrunnlag for dette i nasjonal rett. I de tilfellene avtale eller samtykke ikke strekker til som grunnlag for automatisert behandling, bør det i stedet fastsettes slike nasjonale rettsgrunnlag, og ikke gjøres unntak etter artikkel 23. Departementet har merket seg Finans Norges synspunkt om behov for nasjonalt rettsgrunnlag for automatisert behandling. Etter departementets syn er det behov for å utrede disse spørsmålene nærmere. Det foreslås derfor ikke nærmere bestemmelser om automatisert behandling i proposisjonen her.

Til toppen
Til dokumentets forside