7 Behandling av personopplysninger
7.1 Gjeldende rett
Retten til privatliv er vernet etter Grunnloven § 102 og Den europeiske menneskerettskonvensjon (EMK) artikkel 8. Både lagring og deling av personopplysninger vil kunne utgjøre et inngrep i retten til privatliv. Når det gjelder offentlige myndigheters behandling av personopplysninger, har Den europeiske menneskerettsdomstolen (EMD) lagt til grunn en lav terskel for hva som vil utgjøre et inngrep. Ved utformingen av alminnelig lovgivning må staten holde seg innenfor grensene Grunnloven og EMK trekker opp.
Barns rett til privatliv er i tillegg beskyttet av FNs barnekonvensjon, som er innlemmet i norsk rett gjennom menneskerettsloven. Etter artikkel 16. 1. skal ingen barn utsettes for vilkårlig eller ulovlig innblanding i sitt privatliv, sin familie, sitt hjem eller sin korrespondanse, eller ulovlige angrep mot sin ære eller sitt omdømme. Videre følger det at barnet har rett til lovens beskyttelse mot slik innblanding eller slike angrep.
Offentlige myndigheters behandling og deling av personopplysninger må være i overensstemmelse med EUs personvernforordning (forordning om vern av fysiske personer ved behandling av personopplysninger og om fri flyt av slike opplysninger, også kjent som GDPR). Personvernforordningen er innlemmet i norsk rett gjennom personopplysningsloven, jf. personopplysningsloven § 1.
Personopplysninger er enhver opplysning om en identifisert eller identifiserbar fysisk person. Alle former for behandling av personopplysninger, slik som innsamling, registrering, lagring, utlevering og sammenstilling er omfattet av forordningen, jf. personvernforordningen artikkel 4 nr. 2.
For å kunne behandle personopplysninger må det foreligge et gyldig rettsgrunnlag, et såkalt behandlingsgrunnlag, etter personvernforordningen artikkel 6. Videre skal personopplysninger bare samles inn til bestemte angitte formål, og det skal ikke samles inn flere opplysninger enn nødvendig for å oppnå formålet.
De ulike behandlingsgrunnlagene det er mulig å basere behandlingen på, følger av personvernforordningen artikkel 6 nr. 1 a til f. Etter bokstav e kan personopplysninger behandles når det er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Behandling må i tillegg være målrettet og forholdsmessig sett opp mot formålet. Etter bokstav e gjelder et krav om et såkalt supplerende rettsgrunnlag. Det er lagt til grunn i forarbeidene til personopplysningsloven, Prop. 56 LS (2017–2018) punkt 6.3.2, at i alle fall lov- eller forskriftsbestemmelser kan utgjøre et supplerende rettsgrunnlag.
Ved utformingen av det supplerende rettsgrunnlaget, må det tas hensyn til EMK artikkel 8 og Grunnloven § 102, i tillegg til legalitetsprinsippet i Grunnloven § 113. Etter legalitetsprinsippet og EMK artikkel 8 må rettsgrunnlaget oppfylle kravet til klarhet, nødvendighet og forholdsmessighet. Det rettslige grunnlaget bør være tydelig og presist, og anvendelsen bør være forutsigbar for personer som omfattes av det. En mer inngripende behandling av personopplysninger tilsier et strengere krav til utformingen av det supplerende rettsgrunnlaget. Det kan innebære at rettsgrunnlaget bør angi utdypende vilkår for behandlingen av personopplysninger, slik som hvilke personopplysninger som kan behandles, av hvem, og formålsbegrensninger.
Ved behandling av såkalte særlige kategorier av personopplysninger gjelder i tillegg kravene i personvernforordningen artikkel 9. Særlige kategorier personopplysninger omfatter blant annet etnisk opprinnelse, politisk oppfatning, religion og filosofisk overbevisning, helse, seksuelle forhold eller seksuelle orientering, jf. artikkel 9 nr. 1. Behandling av slike opplysninger kan skje dersom det er nødvendig av hensyn til allmenne interesser, forutsatt at behandlingen skjer på grunnlag av nasjonal rett som skal «stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser», jf. artikkel 9 nr. 2 bokstav g.
Etter personvernforordningen artikkel 10 kan opplysninger om straffedommer eller lovovertredelser behandles dersom det er tillatt i henhold til medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter.
Personopplysninger kan brukes til statistikk og forskning uten at dette anses som et uforenlig formål med det opprinnelige innsamlingsformålet, jf. personvernforordningen artikkel 6 nr. 4 og 5 nr. 1 bokstav b. Også særlige kategorier av personopplysninger kan behandles for slike formål uten samtykke fra den registrerte, forutsatt at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte, jf. personopplysningsloven § 9 første ledd. En forutsetning er at statistikken er anonym og kun viser aggregerte data, jf. fortalen til personvernforordningen punkt 162. Behandling av personopplysninger, inkludert særlige kategorier av personopplysninger til statistiske formål, skal skje i tråd med de nødvendige garantier etter artikkel 89 nr. 1. Etter artikkel 89 er tiltak for å sikre dataminimering sentralt.
7.2 Hjemmel og vilkår for behandling av personopplysninger
7.2.1 Forslaget i høringsnotatet
I høringsnotatet redegjorde departementet for at mangfoldsrådgiverne i IMDi og Bufdir ved sekretariatsoppgavene i Kompetanseteamet ikke har et tilfredsstillende behandlingsgrunnlag for behandling av opplysninger i sitt arbeid mot negativ sosial kontroll og æresmotivert vold. Departementet viste til at de bistår utsatte i enkeltsaker (førstelinjetjeneste) og i den forbindelse har behov for å samle inn, nedtegne og lagre personopplysninger og bruke personopplysninger i saksbehandling, men i dag mangler rettslig grunnlag for dette i regelverket.
Departementet redegjorde for at de øvrige offentlige organene representert i hjelpetjenestene, har et tilfredsstillende grunnlag for behandling av personopplysninger i eget sektorlovverk. Det gjelder representantene fra AVdir, Bufdir ved veiledning etter barnevernsloven, IMDi ved veiledning i bosettingsspørsmål, Hdir, POD og UDI i Kompetanseteamet. Departementet presiserte at også spesialutsendingene for integreringssaker har tilfredsstillende behandlingsgrunnlag i utenrikstjenesteloven for sitt arbeid.
I høringsnotatet foreslo departementet en egen bestemmelse om behandling av personopplysninger i den særskilte innsatsen mot negativ sosial kontroll og æresmotivert vold, i § 4, for å gi et behandlingsgrunnlag for mangfoldsrådgiverne i IMDi, Bufdir ved sekretariatsoppgavene i Kompetanseteamet og IMDis representant i Kompetanseteamet ved veiledning om negativ sosial kontroll og æresmotivert vold.
Departementet foreslo at disse offentlige organene kan behandle personopplysninger når det er «nødvendig» for å utføre oppgaver nevnt i loven eller gitt i medhold av loven.
Departementet foreslo i lovforslaget § 4 fjerde ledd en hjemmel for nærmere regulering i forskrift av hvilke offentlige organer som har adgang til å behandle opplysninger etter bestemmelsen, hvilke personopplysninger som kan behandles og andre regler om behandling av personopplysninger.
7.2.2 Høringsinstansenes syn
20 av høringsinstansene har uttalt seg om forslaget om behandling av personopplysninger i § 4. Av disse støtter storparten hovedtrekkene i forslaget, eventuelt med merknader, blant annet Akershus fylkeskommune, Barneombudet, Bufdir, Flerkulturelt råd i Akershus fylkeskommune, Foreldreutvalget for grunnskoleopplæringen, IMDi, Nordland fylkeskommune, Oslo kommune og UDI.
Datatilsynet viser til at behandlingsformålene er vidt formulert i forslaget og uttaler at når kriteriene skal favne alle omstendigheter, blir det både vagt og vanskelig å håndtere for de som skal bruke regelverket. De mener det kan medføre at de som anvender regelverket ikke bruker hele det tenkte anvendelsesområdet, for ikke å gjøre feil. Tilsynet anbefaler at det utredes nærmere om bestemmelsen skal oppstille ulike rammer eller terskler for når personopplysninger kan behandles, sett opp mot de konkrete og aktuelle sakene. Det påpekes også at det følger av høringsnotatet at personvernkonsekvensene for tredjepersoner er store og at det i høringsnotatet likevel raskt blir konkludert med at også personverninngrepet for denne kretsen av personer vil være forholdsmessig. Datatilsynet mener at det er en svakhet med forslaget at det ikke er gjort en mer omfattende og dyptgående vurdering av de ulike aspektene med personvernet til de personene som blir berørt.
UDI uttaler at loven i svært liten grad regulerer hvilke oppgaver som skal utføres, med unntak av det som fremgår av § 3 første ledd.
Bufdir og Antirasistisk senter mener loven bør presisere at personopplysninger ikke kan brukes til andre formål, for eksempel i utlendingssaker eller politisaker. Direktoratet viser til at representantene fra POD, UDI og Nav kan få personinformasjon som utløser plikter i eget sektorregelverk. For eksempel kan politiets etterforskningsplikt være til hinder i arbeidet med bo- og støttetilbudet, hvor utsatte personer må dele opplysninger med Bufdir og politiet om sin trusselsituasjon, som kan inkludere opplysninger om straffbare forhold og utløse en etterforskningsplikt for politiet. Bufdir erfarer at utsatte trekker seg fra hjelpetilbudet av frykt for at informasjonen de deler, blir brukt som grunnlag for en etterforskning mot deres vilje. Antirasistisk senter mener en slik begrensning er viktig for å unngå at tillit til hjelpeapparatet svekkes og at minoriteter utsettes for uforholdsmessige inngrep i privatlivet. Også MiRA-Senteret uttaler at tilliten til hjelpeapparatet er avgjørende for at utsatte kvinner tør å søke hjelp og at dette er særlig viktig for kvinner som lever med vold, kontroll eller trusler fra familie eller nærmiljø.
Advokatforeningen har innspill til vilkåret om at opplysninger skal deles når det er «nødvendig». De mener at bestemmelsen peker på relativt brede formål i § 3 og mener lovteksten eller forskriften bør være mer konkret og gi et tydeligere rammeverk for hva det er forsvarlig å dele av opplysninger, når og hvordan. De uttaler at
Det vil være stor forskjell på hva som er «nødvendig» å dele og behandle for å gi generell veiledning på en skole og hva som er «nødvendig» for å stanse et umiddelbart forestående tvangsekteskap.
Man bør ikke regne med at alle førstelinjeansatte i offentlig organer, som NAV, UDI, skoler, barnevernstjenesten osv., har inngående kjennskap til læren om nødvendighet, som vi finner i lovgivningen om menneskerettigheter (EMK) og personvern (GDPR). Advokatforeningen er bekymret for at lovgiver skyver tolkningsansvaret og -risikoen over på ansatte i det offentlige, som ikke har nødvendig kunnskap til å kunne følge den kompliserte læren om nødvendighet som finnes i rettspraksis og juridisk teori.
Politidirektoratet legger til grunn at forslaget til ny lovhjemmel i § 4 og § 5 ikke er ment å endre reguleringen av politiets behandling, herunder utlevering, av personopplysninger og mener dette må synliggjøres i det videre lov- og forskriftsarbeidet. Også Datatilsynet etterspør en nærmere vurdering og utredning av hvordan lovforslaget passer med politiregisterlovens regler om behandling, og særlig deling, av opplysninger til politimessige formål.
7.2.3 Departementets vurdering
Paragrafen regulerer behandlingen av personopplysninger i arbeidet i særskilt innsats mot negativ sosial kontroll og æresmotivert vold, og stiller vilkår for behandlingen. Paragrafen skal også ivareta personvernet til de utsatte og andre personer.
Bestemmelsen i § 4 første ledd må ses i sammenheng med § 2 om definisjoner og § 3 om hjelpetjenestene og oppgavene deres.
Forslaget gir hjemmel for behandling av personopplysninger der det er avdekket mangler ved eksisterende behandlingsgrunnlag. Det innebærer at mangfoldsrådgiverne i IMDi og Bufdir ved sekretariatsoppgavene i Kompetanseteamet får et behandlingsgrunnlag for personopplysninger, i tråd med anbefalingene i den eksterne utredningen (punkt 2.3).
Forslaget vil i tillegg innebære at IMDis representant i Kompetanseteamet får et nytt behandlingsgrunnlag, for behandling av personopplysninger ved veiledning om negativ sosial kontroll og æresmotivert vold. På tilsvarende måte vil forslaget kunne gi andre offentlige organer representert i hjelpetjenestene behandlingsgrunnlag for veiledning om denne tematikken, dersom det avdekkes behov.
Etter lovforslaget § 4 første ledd, skal disse offentlige organene kunne behandle personopplysninger, inkludert særlige kategorier personopplysninger og opplysninger om straffbare forhold og lovovertredelser, når det er nødvendig for å utføre oppgaver etter § 3 første og andre ledd. Hjemmelen omfatter den eller de personene som utfører oppgaver i hjelpetjenestene.
Grunnlaget for behandling av personopplysninger følger av § 3 første ledd, som beskriver hjelpetjenestene og oppgavene deres, jf. punkt 2.4.2. Hjelpetjenestenes oppgaver slik de fremgår av bestemmelsen, vil utgjøre formålet med behandlingen av personopplysninger. Grunnlaget følger i tillegg av § 3 andre ledd, som er en forskriftshjemmel for å kunne gi forskrift om støttetilbud, støtteordninger og annen bistand for personer i målgruppen for den særskilte innsatsen, for eksempel det nasjonale bo- og støttetilbudet eller ordningen for dekning av utgifter til hjemreise fra utlandet.
Bestemmelsen i § 4 første ledd vil ikke gi de øvrige offentlige organene representert i hjelpetjenestene et nytt behandlingsgrunnlag. Det gjelder representantene for AVDir, Bufdir ved veiledning om barnevernsloven, Hdir, IMDi ved veiledning om bosetting, POD og UDI i Kompetanseteamet, som det er vurdert at har tilfredsstillende behandlingsgrunnlag i sektorregelverket. Det samme gjelder spesialutsendingene for integreringssaker.
Behandlingen av personopplysninger i det ordinære tjenesteapparatet, som skole, krisesentre, politi, barnevern, utenrikstjenesten og helse- og omsorgstjenestene, er ikke foreslått regulert særskilt i loven.
I høringsnotatet foreslo departementet som et eget behandlingsalternativ at opplysninger kan behandles når det er nødvendig for å utføre oppgaver relatert til oppgavene nevnt i § 3 første ledd. Bakgrunnen er at tjenestene kan ha behov for å behandle personopplysninger i forbindelse med oppgaver som ikke følger direkte av tjenestenes mandat, men skjer i forbindelse med gjennomføringen av disse oppgavene. Departementet opprettholder denne adgangen, men vurderer at det ikke er behov for at hjemmelen gis i et eget alternativ, og viderefører ikke dette alternativet i lovbestemmelsen i § 4. Adgangen til å behandle opplysninger ved relaterte oppgaver er etter departementets vurdering omfattet av første alternativ om «nødvendig for å utføre oppgaver nevnt i § 3 første ledd».
Personopplysninger kan behandles når det er «nødvendig» for å utføre oppgaver nevnt i loven eller gitt i medhold av loven. Vilkåret innebærer at det ikke skal innhentes eller på annen måte bli behandlet flere opplysninger enn det som trengs for formålet, og at opplysningene skal være relevante og ha saklig sammenheng med formålet med behandlingen. Opplysningene må enten alene eller sett i sammenheng med andre opplysninger kunne ha betydning for å ivareta formålet. Nødvendighetskravet vil være oppfylt også dersom det er nødvendig å behandle en opplysning for å avklare om den er relevant for den konkrete saken. Bestemmelsen åpner eksempelvis opp for at de offentlige organene representert i hjelpetjenestene kan vurdere alle personopplysninger som kan være relevante for å avklare om en person kan være utsatt for negativ sosial kontroll eller æresmotivert vold.
Datatilsynet anbefaler å oppstille ulike rammer eller terskler for når personopplysninger kan behandles sett opp mot de konkrete og aktuelle sakene. Også Advokatforeningen peker på at hva som er «nødvendig» å dele vil være ulikt avhengig av hva saken gjelder. Departementet vurderer at det er et tilstrekkelig vilkår for behandling av personopplysninger at behandlingen er «nødvendig» for å løse oppgavene nevnt i loven. Avhengig av hva den konkrete saken gjelder, vil ulike opplysninger og ulik bruk av opplysningene kunne være nødvendig. Som det fremgår i punkt 2.4.2, kan hjelpetjenestene veilede og bistå i ulike saker, om blant annet trusler og vold, tvangsekteskap eller ulike former for negativ sosial kontroll, inkludert ufrivillig opphold i utlandet. De som anvender regelverket, vil være nærmest til å vurdere hvilke opplysninger det i de konkrete sakene er nødvendig å behandle. Vilkåret om nødvendighet setter samtidig skranker for anvenderens skjønn. Anvendelsen av bestemmelsen vil kunne omtales nærmere i veileder til loven og ved behov reguleres nærmere i forskrift. Det er en begrenset krets av personer som skal anvende regelverket, og god og lik opplæring i regelverket vil derfor være mulig. Departementet vurderer at disse forholdene vil sørge for tilstrekkelig forutberegnelighet for de som skal bruke regelverket, og for utsatte og eventuelle tredjepersoner.
Enkelte høringsinstanser er bekymret for at innsamlede opplysninger kan benyttes til andre formål enn de ble innsamlet for, for eksempel i utlendingssaker eller politisaker. Departementet mener dette er konsekvenser som allerede følger av sektorregelverket og vurderer det ikke som aktuelt å gjøre unntak fra disse. Det innebærer at i den grad representanter fra for eksempel UDI, POD eller AVdir mottar opplysninger som utløser plikter etter sektorregelverket, gjelder sektorregelverket for representantenes behandling av opplysningene.
Når det gjelder Datatilsynets innspill om behov for ytterligere vurderinger av personvernkonsekvenser for tredjepersoner, ble dette vurdert i høringsnotatet. Departementet uttalte at forslaget vil kunne ha store personvernkonsekvenser for denne gruppen, som følge av at opplysningene kan handle om sensitive forhold som vold, religion, etnisitet og lovovertredelser, at tredjepersonene ofte ikke har kjennskap til at behandlingen finner sted, og at opplysningene kan bli behandlet, og særlig delt mellom ulike offentlige aktører og i alvorlige tilfeller brukes til påtale og straffeforfølgning eller tiltak etter barnevernsloven. Disse vurderingene er del av bakgrunnen for forslaget om å fastsette rammer for behandling av personopplysninger i formell lov, jf. også punkt 7.1.
Departementet holder fast ved at i saker som omhandler mulige straffbare forhold, vil behandling av opplysninger om tredjepersoner kunne være et forholdsmessig inngrep i personvernet og privatlivet. Det gjelder ikke minst dersom tredjepersonen selv er volds- eller trusselutøver, eller dersom tredjepersoner er barn som er berørt av handlingene direkte eller indirekte og formålet med behandlingen faller inn under lovforslaget § 3. Departementet viser til at personopplysninger i alle tilfelle bare skal innhentes, lagres og deles i den utstrekning det er nødvendig for å gi bistand i saken. Vilkåret innebærer at det kan behandles personopplysninger om tredjepersoner i en kartleggings- og undersøkelsesfase for å avklare hva saken gjelder og om det er nødvendig med ytterligere oppfølging. Også her gjelder at opplysningene må ha en saklig sammenheng med formålet.
7.3 Utgangspunktet om samtykke og adgangen til å gjøre unntak
7.3.1 Forslaget i høringsnotatet
Departementet foreslo i § 4 andre ledd at personopplysninger så langt som mulig skal innhentes i samarbeid med den som ber om bistand, eller slik at personen har kjennskap til innhentingen. Departementet uttalte at personopplysninger som utgangspunkt ikke skal behandles eller deles mot den utsattes samtykke, med mindre det er nødvendig for å yte forsvarlig bistand.
Departementet bemerket at det i alle tilfelle vil være viktig at den utsatte får informasjon om hvordan tjenestene bruker opplysningene, og hvilke konsekvenser det kan få.
7.3.2 Høringsinstansenes syn
AVdir, Barneombudet, Datatilsynet, IMDi, NIM, UDI og Sør-Øst politidistrikt har uttalt seg om forslaget i § 4 andre ledd om at opplysningene så langt som mulig skal innhentes i samarbeid med personen som ber om bistand. Høringsinstansene støtter at opplysninger som utgangspunkt ikke skal behandles eller deles uten de utsattes samtykke, men har etterlyst en klargjøring av vurderingen. Datatilsynet uttaler at de er enig i at samtykke ikke er et egnet rettslig grunnlag etter personvernregelverket, særlig for tredjepersoner, men støtter at lovutkastet legger opp til at innhentingen av de utsattes personopplysninger hovedsakelig skal skje i samråd med de utsatte selv.
Instansene etterlyser samtidig en klargjøring av når opplysninger kan behandles uten samtykke. Barneombudet foreslår at det inntas en tydelig definisjon av hvor terskelen for hva som er forsvarlig bistand ligger, og mener at dersom forsvarlig bistand er et vilkår for deling av informasjon, bør det tas inn i loven. Ombudet mener det er behov for en felles forståelse av hva som ligger i forsvarlig bistand i denne regelen, avvergingsplikten og meldeplikten til barnevernstjenesten.
NIM viser til at personopplysninger så langt som mulig skal innhentes i samarbeid med personen som ber om bistand eller slik at personen har kjennskap til innhentingen, og at det i merknadene heter at det «i alle tilfelle» vil «være viktig at den utsatte får informasjon om hvordan tjenestene bruker opplysningene, og hvilke konsekvenser det kan få». De mener det dermed er uklart hva som ligger i «så langt som mulig».
7.3.3 Departementets vurdering
Av bestemmelsen følger at personopplysninger som utgangspunkt skal innhentes i samarbeid med den utsatte eller slik at den utsatte har kjennskap til innhentingen. Dette innebærer ikke et krav om samtykke etter personvernforordningen, men er kun en føring i loven om at personopplysningene så langt som mulig skal innhentes i samarbeid med den utsatte.
Bestemmelsen bruker ikke begrepet samtykke, men forutsetningen om at den utsatte som utgangspunkt skal være klar over og medvirke til innhentingen, forutsetter i praksis samtykke fra personen.
Bestemmelsen er begrunnet i hensynet til personenes tillit til tjenestene, som kan svekkes dersom det åpnes for behandling av mange og sensitive personopplysninger uten at personen har kjennskap til det.
Ettersom bestemmelsen kun oppstiller et utgangspunkt om innhenting i samarbeid med personen, er det adgang til å innhente opplysninger uten medvirkning fra den utsatte.
Opplysninger kan alltid behandles mot den utsattes samtykke dersom straffelovens avvergingsplikt eller meldeplikten til barneverntjenesten foreligger, eller der det følger av sektorlovgivningen ellers. I andre tilfeller må hjelpetjenestene kunne behandle opplysninger dersom andre omstendigheter i saken gjør at frivillighetsprinsippet ikke kan benyttes, for eksempel dersom saken er brakt inn via et familiemedlem, en venn eller annen kontaktperson av den utsatte.
Departementet vil vurdere en nærmere klargjøring av vilkår for innhenting av opplysninger i forskrift til loven.
7.4 Bruk av personopplysninger til statistikk og analyser
7.4.1 Forslaget i høringsnotatet
Departementet foreslo i § 4 tredje ledd at personopplysninger skal kunne brukes til utarbeidelse av statistikk og analyse, dersom formålet ikke kan oppnås ved bruk av anonymiserte opplysninger. Forslaget innebærer et selvstendig behandlingsgrunnlag for viderebehandling av personopplysninger til statistikk som ikke er anonym, det vil si hvor informasjonen i statistikken gjør det mulig å identifisere enkeltpersoner.
Forslaget uttrykker også at det skal benyttes anonymiserte opplysninger dersom det er mulig. Formuleringen er i tråd med prinsippet om dataminimering i personvernforordningen artikkel 5 nr. 1 bokstav b og nødvendige garantier etter personvernforordningen artikkel 89.
7.4.2 Høringsinstansenes syn
NIM og UDI har uttalt seg om § 4 tredje ledd om bruk av personopplysninger til statistikk.
Direktoratet mener at høringsnotatet ikke i tilstrekkelig grad har problematisert behovet for å benytte personopplysninger til utarbeidelse av statistikk, og mener det bør adresseres hvem som skal være behandlingsansvarlig for behandlingen av personopplysninger. Det blir vist til at det er den behandlingsansvarlige som må sikre at løsningen har innebygd personvern, og at den registrertes rettigheter etter personvernregelverket ivaretas og etablerer nødvendige garantier i tråd med personvernforordningen artikkel 89.
NIM er positiv til at departementet henviser til minste inngreps prinsipp ved at statistikken som utgangspunkt skal benytte anonymiserte opplysninger, men mener det er uklart når departementet vurderer at behovet for å benytte personopplysninger vil kunne eksistere.
7.4.3 Departementets vurdering
Departementet viderefører forslaget, med en justering.
Departementet foreslår i § 4 tredje ledd en hjemmel for bruk av innsamlede opplysninger til analyser for innsikt og utvikling av hjelpetjenestene etter § 3 første ledd.
Behandlingsgrunnlaget for viderebehandling av personopplysninger til ikke-anonym statistikk, videreføres ikke.
Hjelpetjenestenes saksstatistikk brukes til to formål: til utarbeidelse av statistikk til offentlig tilgjengelige rapporter og til interne analyser for innsikt og utvikling av tjenestene samt kompetanseheving.
I statistikken som publiseres i offentlig tilgjengelige rapporter tas det grep for å hindre enhver mulighet for identifisering av enkeltpersoner. Her foreligger derfor ikke behov for et behandlingsgrunnlag som tillater bruk av personopplysninger, og dette videreføres ikke. Viderebehandling av personopplysninger til anonym statistikk krever ikke et selvstendig behandlingsgrunnlag, og vil være lovlig på grunnlag av bestemmelsen i § 4 første ledd, jf. personvernforordningen artikkel 5 nr. 1 bokstav b.
Statistikken over alle innkomne saker, som benyttes internt til analyser for innsikt og utvikling, inneholder en rekke flere opplysninger om enkeltpersoner, blant annet mer detaljerte bekymringskategorier. Den eksterne utredningen viste til at det foreligger mulighet for å identifisere enkeltpersoner basert på informasjonen i denne statistikkløsningen, siden den inneholder et større omfang av opplysninger. Opplysninger som indirekte kan bidra til å identifisere en person, er å regne som personopplysninger. For denne interne statistikken som benyttes til analyser mv., er det derfor behov for et selvstendig behandlingsgrunnlag (jf. punkt 7.1).
Departementet foreslår at § 4 tredje ledd gir selvstendig behandlingsgrunnlag for bruk av innsamlede opplysninger til utarbeidelse av analyser for innsikt og utvikling av hjelpetjenestene etter § 3 første ledd. Analysene må være utarbeidet av disse hjelpetjenestene og gjelde oppgavene etter samme bestemmelse. Analysene skal være uten individualiserende kjennetegn, med mindre det er nødvendig ut fra formålet med behandlingen. Dette er i tråd med prinsippet om dataminimering etter personvernforordningen artikkel 5 første ledd bokstav c.
Departementet vil vurdere nærmere regulering av behandlingsgrunnlag for statistikkløsningen i forbindelse med fastsettelse av forskrift til loven.
7.5 De registrertes rettigheter
7.5.1 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet en hjemmel til å regulere krav til behandlingen av personopplysninger nærmere i forskrift. Departementet foreslo videre i forslaget til forskrift § 4, som lå vedlagt høringen av lovforslaget, at de offentlige organene nevnt i forskriften § 1 er behandlingsansvarlige for egen behandling av personopplysninger.
7.5.2 Høringsinstansenes syn
Om lag 10 høringsinstanser har innspill som gjelder de registrertes rettigheter etter personvernforordningen, og har etterspurt nærmere vurderinger, blant andre Asker kommune, Barneombudet, Datatilsynet, Den norske legeforening, FRI, Kirkens bymisjon, Norges Kristne Råd og Norges Røde Kors.
Datatilsynet etterlyser en bredere og mer inngående vurdering av den registrertes rettigheter, slik som oppbevaring, lagringstid og sammenstilling av opplysninger. Tilsynet mener forslaget bør oppstille flere personverngarantier enn det som fremgår av høringsforslaget, ettersom både formålet med loven, og adgangen til å både behandle og dele personopplysninger og taushetsbelagt informasjon etter Datatilsynets vurdering er vidt formulert. De viser til at barn har en rett på særskilt beskyttelse av sitt personvern og savner vurderinger av hvordan organene skal forholde seg til ulike personvernrettigheter og garantier når den som er utsatt eller tredjeperson er et barn. Samlet sett mener Datatilsynet at forslaget ikke inneholder en tilstrekkelig omfattende og utfyllende vurdering av personverninngrepet og personvernkonsekvensene, særlig knyttet til barn.
Kirkens bymisjon støtter at informasjonsplikten ikke skal gjelde overfor tredjeparter når den utsatte selv ber om bistand, slik det er adgang til etter personvernforordningen artikkel 14 nr. 5 bokstav d og slik det er omtalt i den eksterne utredningen vedlagt høringsnotatet. Det er et nødvendig unntak for å sikre at personer våger å søke hjelp uten frykt for utilsiktet eksponering. Samtidig mener Kirkens bymisjon at denne typen unntak ikke bør gjelde overfor den utsatte selv og at når andre enn den utsatte gir opplysninger, må tjenestene fortsatt være forpliktet til å informere den det gjelder, i tråd med artikkel 14. De mener dette er helt avgjørende for å bevare tillit og ivareta retten til privatliv, særlig når delingen kan ha direkte konsekvenser for den utsattes sikkerhet, relasjoner og fremtidige samarbeid med tjenestene.
Norges Kristne Råd mener retten til innsyn, retting og sletting etter personvernforordningen artikkel 15 – 17 bør komme frem av lovteksten, og mener det bør innføres krav om periodisk sletting av data.
FRI anbefaler at det etableres særskilte personverngarantier for opplysninger knyttet til kjønns- og seksualitetsmangfold.
7.5.3 Departementets vurdering
Spørsmål knyttet til de registrertes rettigheter er ikke særskilt omtalt i høringsnotatet. Opplysninger lagres per i dag ikke i egne journalsystemer for hjelpetjenestene, men i arkivsystemene til de offentlige organene representert i hjelpetjenestene. Disse organene er underlagt reglene i personopplysningsloven og personvernforordningen ved sin behandling av personopplysninger. Det inkluderer retten til informasjon i artikkel 12 – 14, og rett til retting og sletting i artikkel 16 og 17.
Arkivloven gjelder også for de offentlige organene representert i hjelpetjenestene, med egne regler om arkiv og lagring mv.
Departementet vil vurdere høringsinstansenes innspill om regulering av de registrertes rettigheter og behandlingen av personopplysninger nærmere i forbindelse med fastsettelse av forskrift til loven.
Når det gjelder barns personvernrettigheter, vurderer departementet at barn bør få alderstilpasset informasjon om hvordan opplysninger brukes og deles. Også dette vil reguleres nærmere i forskrift til loven.
Når det gjelder personopplysninger om tredjepersoner, kan hjelpetjenestene ofte ha behov for å behandle personopplysninger om slike personer siden sakene kan inneholde opplysninger om både familiemedlemmer og andre nærstående i tillegg til den utsatte personen. Dette kan være opplysninger om familietilknytning, vold, religion og etnisitet. Det kan være behov for at opplysningene behandles uten at personen har kjennskap til det. Behandlingen utgjør et inngrep i privatlivet til disse tredjepersonene.
Informasjonsplikten etter artikkel 14 er ikke absolutt. Personvernforordningen artikkel 14 nr. 5 bokstav d og personopplysningsloven § 16 første ledd bokstav d gir unntak fra informasjonsplikten for opplysninger omfattet av lovfestet taushetsplikt. De ansatte i de offentlige organene representert i hjelpetjenestene, er alle underlagt taushetsplikt etter forvaltningsloven § 13 om opplysninger om noens «personlige forhold». En persons opplysninger som handler om å være utsatt, eller stå i fare for å bli utsatt, for negativ sosial kontroll eller æresmotivert vold, vil være underlagt taushetsplikt, også overfor tredjepersoner opplysningene handler om. De behandlingsansvarlige i medhold av personvernforordningen artikkel 14 nr. 5 bokstav d og personopplysningsloven § 16, kan derfor lovlig unnlate å informere tredjepersoner om at det behandles personopplysninger om dem.
Departementet viser til at dersom tredjepersoner mottar informasjon om opplysningene som behandles, kan det ha som konsekvens at utsatte ikke ønsker å kontakte tjenestene for hjelp av frykt for at det blir kjent for andre. Opplysningene i sakene handler i tillegg ofte om slikt som fysisk og psykisk helse, slektskap og familieforhold, seksualitet, frykt for vold mv., som den enkelte kan ønske å holde for seg selv. Departementet anerkjenner at behandling av opplysninger utgjør et inngrep i privatlivet og personvernet til tredjepersoner, men vurderer at hensynet til den utsatte og tilliten til tjenestene tilsier at det likevel ikke skal gjelde en plikt til å informere tredjepersoner om at det behandles personopplysninger om dem.
Departementet vurderer at det ikke er behov for å etablere særlige personverngarantier for behandling av opplysninger om kjønns- og seksualitetsmangfold, slik FRI etterspør. Departementet viser til at slike opplysninger i alle tilfelle kun skal behandles når det er «nødvendig» for nærmere definerte formål.