Prop. 56 LS (2017–2018)

Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen

Til innholdsfortegnelse

6 Behandlingsgrunnlag

6.1 Oversikt

Reglene om behandlingsgrunnlag angir de grunnleggende vilkårene for når behandling av personopplysninger kan finne sted, med andre ord kravene til rettslig grunnlag for behandling av personopplysninger.

I punkt 6.2 gis det en oversikt over behandlingsgrunnlagene i gjeldende personopplysningslov. I punkt 6.3 behandles forordningens regler om behandlingsgrunnlag, jf. artikkel 6. Det gis i punkt 6.3.1 en oversikt over behandlingsgrunnlagene i forordningen artikkel 6. I punkt 6.3.2 drøftes nærmere de særlige spørsmålene som oppstår i forbindelse med at to av behandlingsgrunnlagene i forordningen krever at det kan vises til et ytterligere rettsgrunnlag for behandlingen (såkalt supplerende rettsgrunnlag), jf. artikkel 6 nr. 1 bokstav c og e.

Det er ikke bare forordningen som stiller krav om rettsgrunnlag for behandling av personopplysninger. Når behandlingen er et inngrep i retten til privatliv, stiller også Grunnloven § 102 og EMK artikkel 8 krav til rettsgrunnlaget. Forordningens regler om behandlingsgrunnlag må tolkes og anvendes i lys av disse kravene. Dette behandles nærmere i punkt 6.4.

I punkt 6.5 gås det nærmere inn på adgangen til å gi utfyllende regler om behandlingen i tilknytning til behandlingsgrunnlagene som krever supplerende rettsgrunnlag, jf. artikkel 6 nr. 1 bokstav c og e. I punkt 6.6 gis det en oversikt over forordningens krav om rettsgrunnlag ved viderebehandling av personopplysninger.

Forordningen oppstiller tilleggskrav for behandling av visse typer personopplysninger, jf. artikkel 9 (særlige kategorier av personopplysninger, som i gjeldende lov er kalt «sensitive personopplysninger») og artikkel 10 (opplysninger om straffbare forhold mv.) Disse kravene behandles i henholdsvis kapittel 7 og 8.

6.2 Gjeldende personopplysningslov

I gjeldende personopplysningslov fremgår de alminnelige reglene om behandlingsgrunnlag av § 8. Etter personopplysningsloven § 8 kan behandling av personopplysninger finne sted dersom den registrerte har samtykket, dersom det er en lovfestet adgang til behandling, eller dersom behandlingen er nødvendig for et av formålene i bokstav a til f. Bokstav a gir adgang til å behandle personopplysninger når behandlingen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås. Etter bokstav b kan behandling skje for å oppfylle en rettslig forpliktelse, mens bokstav c gir grunnlag for behandling som er nødvendig for å vareta den registrertes vitale interesser. Bokstav d og e gir adgang til behandling for henholdsvis å utføre en oppgave av allmenn interesse eller utøve offentlig myndighet. Endelig følger det av bokstav f at behandling av personopplysninger også kan finne sted når det er nødvendig for at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til, kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.

For behandling av sensitive opplysninger må i tillegg et av vilkårene i § 9 første ledd være oppfylt.

6.3 Forordningen

6.3.1 Oversikt

Reglene om behandlingsgrunnlag følger av forordningen artikkel 6. Forordningen artikkel 9 og 10 fastsetter ytterligere regler om behandling av særlige kategorier av personopplysninger og om straffedommer og lovovertredelser. Disse kravene behandles i kapittel 7 og 8.

Forordningens regler om behandlingsgrunnlag svarer i stor grad til gjeldende rett, men det er visse forskjeller. Artikkel 6 nr. 1 bokstav a viderefører samtykke som behandlingsgrunnlag. Forordningen åpner ikke for generelle nasjonale regler om krav til samtykke. Det vises til punkt 13.5 om aldersgrensen for barns samtykke etter forordningen artikkel 8. Artikkel 6 nr. 1 bokstav b svarer til gjeldende lov § 8 første ledd bokstav a, og gir grunnlag for behandling av personopplysninger når det er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Artikkel 6 nr. 1 bokstav c svarer til dagens lov § 8 første ledd bokstav b, og gir grunnlag for behandling som er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige. Artikkel 6 nr. 1 bokstav d gir grunnlag for behandling som er nødvendig for å verne den registrertes eller annen fysisk persons vitale interesser. Bestemmelsen viderefører gjeldende lov § 8 første ledd bokstav c, men innebærer også en viss utvidelse, ettersom gjeldende lov ikke omfatter andre personers vitale interesser. Artikkel 6 nr. 1 bokstav e viderefører gjeldende lov § 8 første ledd bokstav d og e, og gir adgang til behandling når dette er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.

Artikkel 6 nr. 1 bokstav f viderefører gjeldende lov § 8 første ledd bokstav f, og gir adgang til å behandle opplysninger på grunnlag av en interesseavveining. Bestemmelsen skiller seg imidlertid på to punkter fra dagens lov. For det første presiserer forordningen at det skal legges særlig vekt på den registrertes interesser når den registrerte er et barn. For det andre kommer artikkel 6 nr. 1 bokstav f ikke til anvendelse på «behandling som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver». Begrunnelsen er at det skal være opp til lovgiver å sørge for et rettsgrunnlag for slik behandling, jf. fortalepunkt 47. Ettersom unntaket fra artikkel 6 nr. 1 bokstav f bare retter seg mot «offentlige myndigheter» og «deres oppgaver», legger departementet imidlertid til grunn at unntaket som utgangspunkt bare gjelder behandling av personopplysninger i forbindelse med utøvelse av offentlig myndighet. Det offentlige må altså ha samme adgang som private behandlingsansvarlige til å benytte artikkel 6 nr. 1 bokstav f i for eksempel kommersiell virksomhet eller i egenskap av å være arbeidsgiver. Rekkevidden av unntaket og de grensedragningsspørsmålene som oppstår, må få sin avklaring gjennom praksis.

Gjeldende lov § 8 første ledd annet alternativ, som gir grunnlag for behandling av personopplysninger når det er «fastsatt i lov at det er adgang til slik behandling», har ingen direkte parallell i forordningen. Forordningen artikkel 6 nr. 1 er uttømmende, noe som innebærer at det må påvises et behandlingsgrunnlag etter et av alternativene i artikkel 6 nr. 1 også når det følger av særlovgivningen at det er adgang til behandlingen. I disse tilfellene vil det være nærliggende å ta utgangspunkt i bokstav c eller e, med særlovgivningen som supplerende rettslig grunnlag, jf. artikkel 6 nr. 2 og 3 og punkt 6.3.2 under.

For behandling av særlige kategorier av personopplysninger kreves det i tillegg at en av unntaksbestemmelsene i artikkel 9 nr. 2 åpner for behandlingen, eventuelt i kombinasjon med nasjonale lovbestemmelser. Se nærmere i kapittel 7 om behandling av særlige kategorier av personopplysninger. Behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak krever i tillegg til behandlingsgrunnlag etter artikkel 6 nr. 1 at vilkårene i artikkel 10 og eventuelle nasjonale bestemmelser er oppfylt, se kapittel 8 om slike personopplysninger.

Departementet knytter i det følgende noen kommentarer til behandlingsgrunnlagene i artikkel 6 nr. 1 bokstav c og e, da disse som følge av artikkel 6 nr. 2 og 3 foranlediger enkelte særlige tolkningsspørsmål.

6.3.2 Nærmere om vilkårene for behandling på grunnlag av artikkel 6 nr. 1 bokstav c og e

Det følger av forordningen artikkel 6 nr. 3 at «grunnlaget for behandlingen» nevnt i nr. 1 bokstav c og e «skal fastsettes» i unionsretten eller i medlemsstatenes nasjonale rett. Dette innebærer etter departementets vurdering at artikkel 6 nr. 1 bokstav c eller e ikke alene kan utgjøre behandlingsgrunnlag, men at den behandlingsansvarlige i tillegg må kunne vise til et supplerende grunnlag for behandlingen, som må finnes i nasjonal rett som den behandlingsansvarlige er underlagt, eller i unionsretten. Forordningen skiller seg på dette punktet fra gjeldende lov § 8 bokstav b, d og e, som ikke stiller krav om slikt supplerende rettsgrunnlag.

Kravet om supplerende rettsgrunnlag for behandling på grunnlag av artikkel 6 nr. 1 bokstav c og e reiser to hovedspørsmål. For det første må det avgjøres hva som kan utgjøre et slikt supplerende rettsgrunnlag etter bokstav c og e. For det andre må det tas stilling til hvilke nærmere krav forordningen stiller til innholdet i det supplerende rettsgrunnlaget.

Når det gjelder det første spørsmålet – hva som kan utgjøre et supplerende rettslig grunnlag etter bokstav c og e – kreves det etter ordlyden et «grunnlag» («basis»). Det følger av fortalepunkt 41 at «når det i denne forordning vises til et rettslig grunnlag eller et lovgivningsmessig tiltak, krever dette ikke nødvendigvis en regelverksakt vedtatt av et parlament». Etter departementets syn må det legges til grunn at i alle fall lov- og forskriftsbestemmelser kan utgjøre supplerende rettsgrunnlag. Departementet antar at også vedtak fattet i medhold av lov eller forskrift omfattes, ettersom det også i disse tilfellene foreligger et lov- eller forskriftsgrunnlag.

Når det gjelder det andre spørsmålet – hvilke nærmere krav forordningen stiller til innholdet i det supplerende rettslige grunnlaget – må det tas utgangspunkt i ordlyden i artikkel 6 nr. 3. Det følger av ordlyden at «[f]ormålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandlingen nevnt i nr. 1 bokstav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.» Videre følger det at rettsgrunnlaget «kan inneholde særlige bestemmelser for å tilpasse anvendelsen av reglene i denne forordning», blant annet vilkårene for behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter. Endelig følger det at unionsretten eller nasjonal rett «skal oppfylle et mål i allmennhetens interesse og stå i et rimelig forhold til det berettigede målet som søkes oppnådd», jf. artikkel 6 nr. 3 siste punktum.

Ordlyden i artikkel 6 nr. 3 sondrer mellom hva det supplerende rettsgrunnlaget «skal» inneholde, og hva rettsgrunnlaget «kan» inneholde. Når det gjelder hva det supplerende rettslige grunnlaget inneholde, tilsier ordlyden etter departementets syn at forordningen stiller forskjellige krav for henholdsvis bokstav c og e.

For så vidt gjelder bokstav c om rettslige forpliktelser, stilles det krav om at formålet med behandlingen skal være «fastsatt» («determined») i det aktuelle rettsgrunnlaget. At formålet skal være «fastsatt» i det supplerende rettsgrunnlaget, kan etter departementets vurdering ikke leses som at det supplerende rettsgrunnlaget må regulere behandling av personopplysninger uttrykkelig. Særlig i lys av den engelske språkversjonen («determined») synes meningen å være at behandlingsformålet skal være bestemt i det supplerende rettsgrunnlaget. Etter ordlyden synes det derfor å være tilstrekkelig at det supplerende rettsgrunnlaget pålegger den behandlingsansvarlige en rettslig forpliktelse som det er nødvendig å behandle personopplysninger for å oppfylle.

For behandling etter bokstav e kreves det etter ordlyden kun at formålet med behandlingen skal være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet, noe som kun er en gjentagelse av ordlyden i bokstav e. Det synes derfor å være tilstrekkelig etter ordlyden at det supplerende rettsgrunnlaget gir grunnlag for å utøve myndighet eller å utføre en oppgave i allmennhetens interesse, og at det er nødvendig for den behandlingsansvarlige å behandle personopplysninger for å utøve myndigheten eller utføre oppgaven som følger av det supplerende rettsgrunnlaget.

Samlet sett taler altså ordlyden i artikkel 6 nr. 3 for at det må påvises et supplerende rettsgrunnlag i unionsretten eller nasjonal rett, men at det ikke er nødvendig at det supplerende rettsgrunnlaget uttrykkelig regulerer behandling av personopplysninger. Departementet viser i denne forbindelse også til artikkel 35 nr. 10, hvor det forutsetningsvis fremgår at det rettslige grunnlaget for behandling etter artikkel 6 nr. 1 bokstav c og e ikke behøver å spesifikt regulere behandlingsaktivitetene.

Heller ikke forordningens fortale gir støtte for et ubetinget krav om at behandlingen av personopplysninger må være regulert uttrykkelig i det supplerende rettsgrunnlaget. Fortalepunkt 45 gir uttrykk for at behandlingen i disse tilfellene bør «ha rettslig grunnlag i unionsretten eller medlemsstatenes nasjonale rett», men at det ikke kreves «en særlig lovbestemmelse for hver enkelt behandling».

Dersom behandlingen av personopplysninger utgjør et inngrep i retten til privatliv etter Grunnloven § 102 eller EMK artikkel 8, kan det imidlertid være nødvendig med et mer spesifikt rettslig grunnlag for behandlingen enn det ordlyden i forordningen kan tilsi. Det følger også uttrykkelig av fortalepunkt 41 at et rettslig grunnlag bør være «tydelig og presist, og anvendelsen av det bør være forutsigbar for personer som omfattes av det, i samsvar med rettspraksisen til Den europeiske unions domstol («Domstolen») og Den europeiske menneskerettighetsdomstol». Med andre ord må forordningens krav om supplerende rettsgrunnlag for behandlingen tolkes og anvendes i tråd med de menneskerettslige kravene til rettsgrunnlag for inngrep i retten til privatliv. Dette innebærer at det må foretas en nærmere vurdering av rettsgrunnlaget og behandlingen, hvor det blant annet må legges vekt på hvor inngripende behandlingen er. Etter omstendighetene kan utfallet av en slik vurdering bli at det kreves et mer spesifikt grunnlag enn det som kan synes å være minimumskravene etter ordlyden i forordningen. Grunnloven § 102 og EMK artikkel 8 behandles nærmere i neste punkt.

6.4 Krav om rettsgrunnlag etter Grunnloven og EMK

Grunnloven § 102 lyder:

«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.
Statens myndigheter skal sikre et vern om den personlige integritet.»

Bestemmelsen kom inn i Grunnloven som ledd i grunnlovsreformen i 2014. Komiteen ga i Innst. 186 S (2013–2014) punkt 2.1.9 side 27 uttrykk for at bestemmelsen «skal leses som at systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke og slettes når formålet ikke lenger er til stede».

Grunnloven § 102 gir ikke anvisning på noen adgang til eller vilkår for å gjøre inngrep i rettigheten. Høyesterett har imidlertid lagt til grunn at det kan gjøres inngrep i retten etter Grunnloven § 102 dersom tiltaket har en tilstrekkelig hjemmel, forfølger et legitimt formål og er forholdsmessig, se Rt. 2014 side 1105 avsnitt 28 og Rt. 2015 side 93 avsnitt 60.

Grunnloven § 102 har klare likhetstrekk med EMK artikkel 8, og må tolkes i lys av denne, jf. Rt. 2015 side 93 avsnitt 57. Det er etter departementets vurdering ikke holdepunkter for at Grunnloven § 102 stiller strengere krav enn EMK artikkel 8 om rettsgrunnlag for behandling av personopplysninger. Ved siden av Grunnloven § 102 må også legalitetsprinsippet, jf. Grunnloven § 113, tas i betraktning. Det følger av Grunnloven § 113 at «[m]yndighetenes inngrep overfor den enkelte må ha grunnlag i lov».

EMK artikkel 8 lyder (i norsk oversettelse):

  • «1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.

  • 2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.»

EMD har i sin praksis lagt til grunn at offentlig myndigheters lagring av personopplysninger som knytter seg til privatlivet i bestemmelsens forstand, utgjør et inngrep i retten etter EMK artikkel 8 nr. 1, se Amann mot Sveits 16.2.2000 avsnitt 65 og S. og Marper mot Storbritannia 4.12.2008 avsnitt 67. Behandling av personopplysninger kan imidlertid utgjøre et inngrep også når det foretas av private, se Vukota-Bojić mot Sveits 18.10.2016 avsnitt 46 til 47.

Begrepet «privatliv» skal i henhold til EMDs praksis tolkes vidt, se S. og Marper mot Storbritannia avsnitt 66 til 67 med videre henvisninger.

Inngrep i retten etter EMK artikkel 8 nr. 1 må kunne rettferdiggjøres etter artikkel 8 nr. 2, som krever at inngrepet må ha tilstrekkelig hjemmel, ha et legitimt formål og være forholdsmessig. Det er kravet om tilstrekkelig hjemmel som er særlig interessant i denne sammenhengen.

Hjemmelskravet («in accordance with the law») innebærer for det første at det er nødvendig med et rettsgrunnlag, noe som gjerne uttrykkes som at inngrepet må ha «sufficient legal basis in domestic law», jf. for eksempel Bernh Larsen Holding AS m.fl. mot Norge 14.3.2013 avsnitt 126. Det følger av EMDs praksis at bestemmelsen ikke oppstiller formelle krav til rettsgrunnlaget, noe som innebærer at både lov, forskrift og uskreven rett mv. kan oppfylle kravet. Det stilles imidlertid krav om at rettsgrunnlaget skal være tilgjengelig og forutberegnelig. Det er kravet om forutberegnelighet som er relevant i denne sammenhengen. I L.H. mot Latvia 29.4.2014 avsnitt 47 er kravet formulert slik:

«Of particular relevance in the present case is the requirement for the impugned measure to have some basis in domestic law, which should be compatible with the rule of law, which, in turn, means that the domestic law must be formulated with sufficient precision and must afford adequate legal protection against arbitrariness. Accordingly the domestic law must indicate with sufficient clarity the scope of discretion conferred on the competent authorities and the manner of its exercise.»

Kravet om tilstrekkelig presisjon og vern mot vilkårlighet kan også innebære et krav om garantier («safeguards»), jf. S. og Marper mot Storbritannia. Saken gjaldt lagring av fingeravtrykk, celleprøver og DNA-profiler, og domstolen uttalte i avsnitt 99:

«The Court agrees with the applicants that at least the first of these purposes is worded in rather general terms and may give rise to extensive interpretation. It reiterates that it is as essential, in this context, as in telephone tapping, secret surveillance and covert intelligence-gathering, to have clear, detailed rules governing the scope and application of measures, as well as minimum safeguards concerning, inter alia, duration, storage, usage, access of third parties, procedures for preserving the integrity and confidentiality of data and procedures for its destruction, thus providing sufficient guarantees against the risk of abuse and arbitrariness.»

Hvilke garantier som er nødvendig, må vurderes i lys av inngrepets art og omfang, se P.G. og J.H. mot Storbritannia 25.9.2001 avsnitt 46. Vurderingen av garantier henger for øvrig tett sammen med proporsjonalitetsvurderingen. I S. and Marper mot Storbritannia fant EMD at det i lys av proporsjonalitetsvurderingen ikke var nødvendig å ta stilling til om lovskravet var oppfylt, jf. avsnitt 99.

Hva som er tilstrekkelig rettsgrunnlag for inngrep, beror på en konkret vurdering, blant annet av hvor inngripende behandlingen er. Etter departementets syn er det imidlertid ikke holdepunkter i EMDs praksis for at det gjelder et unntaksfritt krav om uttrykkelig hjemmel i særlovgivning for behandling av personopplysninger. Departementet legger til grunn at forordningen artikkel 6 nr. 1 bokstav a, b, d og f i seg selv etter omstendighetene kan være tilstrekkelige lovhjemler. Også forordningen artikkel 6 nr. 1 bokstav c og e i kombinasjon med et supplerende rettslig grunnlag som oppfyller kravene etter ordlyden i nr. 3, kan være tilstrekkelig. Videre vil forordningens generelle regler, eksempelvis om personvernombud, forhåndsdrøftinger, den registrertes rettigheter mv., utgjøre garantier i EMKs forstand.

Samtidig er det ikke tvilsomt at forordningens generelle regler, eventuelt i kombinasjon med et supplerende rettsgrunnlag som bare oppfyller minimumskravene etter ordlyden i artikkel 6 nr. 3, ikke alltid vil gi tilstrekkelig spesifikt rettsgrunnlag eller nødvendige garantier i tråd med Grunnloven og EMK. Det blir da nødvendig å utforme mer spesifikke rettsgrunnlag og ytterligere garantier i nasjonal rett, og det vil i mange tilfeller være nødvendig med uttrykkelig hjemmel i særlovgivning. Forordningen må med andre ord tolkes og anvendes i lys av Grunnloven og EMK.

Som beskrevet nærmere i neste punkt følger det av forordningen artikkel 6 nr. 2 og 3 at det i tilknytning til et supplerende rettsgrunnlag for behandling på grunnlag av artikkel 6 nr. 1 bokstav c og e «kan» fastsettes utfyllende og spesifiserende regler om behandlingen. Kravene i Grunnloven og EMK om rettsgrunnlag for inngrep i privatlivet kan etter omstendighetene innebære at det supplerende rettsgrunnlaget inneholde slike mer spesifikke bestemmelser som artikkel 6 nr. 2 og 3 åpner for. Hva som kreves av det supplerende rettsgrunnlaget, kan ikke besvares generelt, men må avgjøres etter en konkret vurdering.

6.5 Nærmere om adgangen til å gi utfyllende nasjonale regler om behandling på grunnlag av artikkel 6 nr. 1 bokstav c og e, jf. artikkel 6 nr. 2 og 3

Forordningen artikkel 6 nr. 2 bestemmer at medlemsstatene kan opprettholde eller innføre mer «spesifikke bestemmelser for å tilpasse anvendelsen av reglene for behandling i denne forordning med henblikk på å sikre samsvar med nr. 1 bokstav c) og e) ved nærmere å fastsette mer spesifikke krav til behandlingen samt andre tiltak som har som mål å sikre en lovlig og rettferdig behandling». Videre følger det av artikkel 6 nr. 3 at det nasjonale supplerende rettsgrunnlaget for behandling etter artikkel 6 nr. 1 bokstav c og e «kan» inneholde bestemmelser om blant annet de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og fremgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling, slik som dem fastsatt med henblikk på andre særlige behandlingssituasjoner som nevnt i kapittel IX.

Departementet forstår artikkel 6 nr. 2 og 3 slik at de åpner for at det i tilknytning til bestemmelser som gir supplerende rettsgrunnlag for behandling etter artikkel 6 nr. 1 bokstav c og e, kan gis eller opprettholdes nasjonale særregler som nærmere regulerer behandlingen. Artikkel 6 nr. 2 og 3 åpner derimot ikke for å gi nasjonale særregler om behandling som bygger på et av de andre behandlingsgrunnlagene i artikkel 6 nr. 1, for eksempel samtykke etter bokstav a eller en interesseavveining etter bokstav f. I disse tilfellene må grunnlaget for nasjonale særregler eventuelt finnes i andre bestemmelser i forordningen som åpner for nasjonal særregulering, for eksempel reglene i kapittel IX. Dersom det behandles særlige kategorier av personopplysninger, åpner også artikkel 9 nr. 2 for visse nasjonale utfyllende regler, se nærmere under i kapittel 7.

Etter ordlyden i artikkel 6 nr. 2 er adgangen til å gi nasjonale særregler avgrenset til tilfeller hvor den aktuelle behandlingen av personopplysninger enten er påbudt for nærmere angitte formål (bokstav c, jf. artikkel 6 nr. 3), eller der behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet (bokstav e). På denne bakgrunn vil det relevante kriteriet for om det kan gis utfyllende regler med grunnlag i artikkel 6 nr. 2 og 3, ikke kunne formuleres som et spørsmål om det er ønskelig eller nødvendig i allmennhetens interesse å ha nasjonale særregler på det aktuelle området – for eksempel om det i allmennhetens interesse er ønskelig eller nødvendig å ha nasjonale regler om kameraovervåking. Det relevante spørsmålet vil i stedet være om den aktuelle behandlingen er nødvendig for å oppfylle en rettslig forpliktelse (bokstav c), eller utføre en oppgave i allmennhetens interesse, eller utøve offentlig myndighet (bokstav e). I disse tilfellene vil det i tilknytning til det nasjonale supplerende rettsgrunnlaget som åpner for behandling, kunne gis nasjonale regler som utfyller forordningens regler, jf. artikkel 6 nr. 2 og 3.

Dette innebærer at det i prinsippet må trekkes en grense mellom behandlinger som har behandlingsgrunnlag i bokstav c eller e og behandlinger som har behandlingsgrunnlag i en annen bokstav – for eksempel bokstav f. I noen tilfeller vil grensedragningen være klar – for eksempel der behandlingen gjøres av offentlige myndigheter som ledd i utførelsen av deres oppgaver. I slike tilfeller vil bokstav c eller e nødvendigvis utgjøre behandlingsgrunnlag, ettersom bokstav f selv bestemmer at den ikke vil kunne utgjøre behandlingsgrunnlag ved offentlig myndighetsutøvelse. Departementet legger til grunn at det med grunnlag i artikkel 6 nr. 2 og 3 i betydelig utstrekning vil være adgang til å gi nasjonale utfyllende regler om det offentliges behandling av personopplysninger.

Når det derimot gjelder private aktørers behandling av personopplysninger, blir grensedragningen vanskeligere. Også private aktørers behandling av personopplysninger kan imidlertid være nødvendig for å oppfylle en rettslig forpliktelse eller utføre en oppgave i allmennhetens interesse, og det kan åpnes for slik behandling gjennom nasjonale supplerende rettsgrunnlag, jf. artikkel 6 nr. 1 bokstav c og e. Adgangen til å gi nasjonale utfyllende regler etter artikkel 6 nr. 2 og 3 er etter ordlyden ikke begrenset til offentlige myndigheters behandlinger av opplysninger. I fortalepunkt 45 fremgår det at det i nasjonal rett bør fastsettes «om den behandlingsansvarlige som utfører en oppgave i allmennhetens interesse eller utøver offentlig myndighet, bør være en offentlig myndighet eller en annen fysisk eller juridisk person underlagt offentlig rett eller, dersom det er i allmennhetens interesse, herunder for helseformål som folkehelse og sosial trygghet og forvaltning av helsetjenester, privatrett, f.eks. en yrkessammenslutning.» Etter departementets syn er det også her forutsatt at private aktørers behandling av personopplysninger kan omfattes av artikkel 6 nr. 1 bokstav c og e og 6 nr. 2 og 3. Departementet understreker imidlertid – som nevnt over – at adgangen til å gi utfyllende regler ikke beror på om det er ønskelig eller nødvendig i allmennhetens interesse å ha nasjonale særregler på det aktuelle området – for eksempel om det i allmennhetens interesse er ønskelig eller nødvendig å ha nasjonale regler om kameraovervåking. Det avgjørende er om behandlingen er nødvendig for å oppfylle en rettslig forpliktelse eller utføre en oppgave i allmennhetens interesse. I hvilken utstrekning det er anledning til å gi nasjonale utfyllende regler som retter seg mot private behandlingsansvarlige, vil bero på en konkret vurdering.

Hva slags nasjonale utfyllende regler som kan gis for behandling basert på artikkel 6 nr. 1 bokstav c og e, beror på en tolkning av artikkel 6 nr. 2 og 3. Etter artikkel 6 nr. 2 kan det opprettholdes eller innføres mer «spesifikke bestemmelser for å tilpasse anvendelsen av reglene for behandling i denne forordning». Dette kan tyde på at adgangen til å gi nasjonale særregler ikke strekker seg lenger enn til å spesifisere de alminnelige reglene i forordningen. Fortalepunkt 10 trekker i samme retning. Det sies der at for så vidt gjelder behandling av personopplysninger på grunnlag av artikkel 6 nr. 1 bokstav c og e, bør medlemsstatene kunne opprettholde eller innføre nasjonale bestemmelser for nærmere å «presisere» anvendelsen av reglene i forordningen.

Artikkel 6 nr. 3 åpner for at det supplerende rettsgrunnlaget for behandling på grunnlag av artikkel 6 nr. 1 bokstav c og e kan inneholde «særlige bestemmelser for å tilpasse anvendelsen av reglene i denne forordning, blant annet de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og framgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling, slik som dem fastsatt med henblikk på andre særlige behandlingssituasjoner som nevnt i kapittel IX».

Det er etter departementets vurdering noe usikkert i hvilken utstrekning det er adgang til å gi nasjonale regler. Departementet legger imidlertid til grunn at det i tilknytning til lovgivning som utgjør supplerende rettsgrunnlag etter artikkel 6 nr. 2 og 3, i alle fall er adgang til å gi regler som nærmere presiserer når opplysninger lovlig kan behandles, hvilke opplysninger som kan behandles og hvordan opplysningene kan behandles. Departementet legger videre til grunn at det som et utgangspunkt synes å være adgang til å gi regler som presiserer de skjønnsmessige generelle prinsippene i artikkel 5 nr. 1, noe som særlig er aktuelt for prinsippet om formålsbegrensning, dataminimering, riktighet, lagringsbegrensning og integritet og konfidensialitet.

Det er noe usikkert om artikkel 6 nr. 2 og 3 også kan åpne for regler som skjerper kravene til behandlingen utover det som ville fulgt av en tolkning av disse generelle prinsippene. I alle fall når det gjelder private behandlingsansvarlige, kan det argumenteres for at forordningens harmoniseringsformål taler mot slike nasjonale regler. Som følge av at forordningens generelle regler er svært skjønnsmessige, vil grensen mellom presiserende og skjerpende regler i alle tilfelle være flytende. Når det gjelder offentlige myndigheters behandling av personopplysninger, kan departementet ikke se at det har vesentlig betydning om de nasjonale reglene presiserer eller skjerper forordningens krav.

Artikkel 6 nr. 2 og 3 kan derimot ikke anses å åpne for nasjonale regler som fastsetter lempeligere krav til behandlingen enn det som ville fulgt av en tolkning av forordningens generelle regler, verken overfor offentlige eller private behandlingsansvarlige. Slike regler må ha grunnlag i bestemmelser som åpner for unntak i nasjonal rett, for eksempel artikkel 23 og 89 nr. 2 og 3 om den registrertes rettigheter.

6.6 Særlig om rettsgrunnlag for viderebehandling

Prinsippet om formålsbegrensning følger av forordningen artikkel 5 nr. 1 bokstav b, som fastsetter at personopplysninger skal «samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene». Forordningen artikkel 6 nr. 4 inneholder nærmere bestemmelser om behandling av personopplysninger for andre formål enn det de var innhentet for. Det følger av denne bestemmelsen at viderebehandling for nye, forenlige formål, er tillatt uten et eget rettsgrunnlag for viderebehandlingen.

Artikkel 6 nr. 4 gir anvisning på en ikke-uttømmende liste av momenter som den behandlingsansvarlige skal ta i betraktning i vurderingen av forenlighet. Det skal tas hensyn til enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen (bokstav a), i hvilken sammenheng personopplysningene er blitt samlet inn, særlig med hensyn til forholdet mellom de registrerte og den behandlingsansvarlige (bokstav b), personopplysningenes art, især om særlige kategorier av personopplysninger behandles i henhold til artikkel 9, eller om personopplysninger om straffedommer og lovovertredelser behandles i henhold til artikkel 10 (bokstav c), de mulige konsekvensene av den tiltenkte viderebehandlingen for de registrerte (bokstav d) og om det foreligger nødvendige garantier, som kan omfatte kryptering eller pseudonymisering (bokstav e).

Dersom det nye formålet ikke er forenlig med innsamlingsformålet, må viderebehandlingen ha grunnlag i lov eller samtykke. At viderebehandlingen må ha grunnlag i lov eller samtykke, innebærer at lovgrunnlaget eller samtykket må knytte seg til selve viderebehandlingen for uforenlige formål. Det er med andre ord ikke tilstrekkelig med et alminnelig behandlingsgrunnlag og et eventuelt supplerende rettslig grunnlag i den forbindelse; det kreves i tillegg et grunnlag for viderebehandlingen. Konsekvensen av at det ikke finnes et grunnlag for viderebehandlingen, er at opplysningene må samles inn på nytt dersom de skal behandles for det nye formålet.

Forordningen artikkel 6 nr. 4 setter skranker for muligheten til å åpne for viderebehandling for uforenlige formål i nasjonal rett. Slike lovbestemmelser må utgjøre «et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1».

Dersom viderebehandlingen skal omfatte særlige kategorier av personopplysninger, vil også artikkel 9 utgjøre en skranke. Artikkel 9 nr. 2 kan stille krav om nasjonale bestemmelser, forholdsmessighet og at det sikres egnede og særlige tiltak for å verne registrertes grunnleggende rettigheter og interesser, se nærmere i punkt 7.1.3 om disse kravene.

Til toppen
Til dokumentets forside