4 Rettslege utgangspunkt for handsaming av personopplysningar
4.1 Personvernforordninga
4.1.1 Innleiing
Personvernforordninga er innlemma i EØS-avtalen og gjord til norsk rett gjennom lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven). Personvernforordninga skal verne dei grunnleggande rettane og fridomane til fysiske personar ved handsaming av personopplysningar, samstundes som ho skal sikre fri flyt av personopplysningar mellom medlemsstatane.
Personopplysningar er i forordninga definerte som alle opplysningar om ein identifisert eller identifiserbar fysisk person, jf. personvernforordninga artikkel 4 nr. 1. Alle former for handsaming av personopplysningar er omfatta av forordninga. Med «handsaming» meiner ein alle operasjonar eller rekker av operasjonar som blir gjorde med personopplysningar, anten dei er automatiserte eller ikkje, jf. forordninga artikkel 4 nr. 2. Typiske døme på handsaming er innsamling, registrering, lagring, tilpassing, endring, attfinning, bruk, utlevering, samanstilling eller samkøyring og sletting.
Personvernforordninga stiller mellom anna opp grunnleggande prinsipp og vilkår for handsaming av personopplysningar. Den handsamingsansvarlege har ansvaret for at dei grunnleggande prinsippa og vilkåra er oppfylte til kvar tid.
4.1.2 Grunnprinsippa i personvernforordninga
Personvernforordninga artikkel 5 stiller opp dei grunnleggande prinsippa for handsaming av personopplysningar.
Personopplysningar skal handsamast på ein lovleg, rettferdig og open måte med omsyn til den registrerte, jf. personvernforordninga artikkel 5 nr. 1 bokstav a. Dette blir omtalt som prinsippet om lovleg, rettferdig og open handsaming. Prinsippet inneber mellom anna at den handsamingsansvarlege må sørgje for at handsaminga har tilstrekkeleg handsamingsgrunnlag i tråd med personvernforordninga artikkel 6.
Føremålsavgrensingsprinsippet inneber at personopplysningar skal samlast inn for spesifikke, uttrykkeleg definerte og rettmessige føremål og ikkje vidarehandsamast på ein måte som ligg utanfor desse føremåla, jf. personvernforordninga artikkel 5 nr. 1 bokstav b. Denne føresegna slår fast at vidarehandsaming for arkivføremål i allmenta si interesse, for føremål som er knytte til vitskapleg eller historisk forsking, eller for statistiske føremål ikkje skal reknast for å ligge utanfor dei opphavlege føremåla, så sant handsaminga skjer i samsvar med artikkel 89 nr. 1.
Vidare skal personopplysningar vere adekvate, relevante og avgrensa til det som er nødvendig for føremåla dei blir handsama for, jf. personvernforordninga artikkel 5 nr. 1 bokstav c. Dette blir gjerne omtalt som dataminimeringsprinsippet.
Prinsippet om korrekte opplysningar, jf. personvernforordninga artikkel 5 nr. 1 bokstav d, inneber for det første at personopplysningar skal vere korrekte og om nødvendig oppdaterte. For det andre må ein setje i verk alle rimelege tiltak for å sikre at personopplysningar som er ukorrekte med omsyn til føremåla dei blir handsama for, utan opphald blir sletta eller retta.
Lagringsprinsippet inneber at personopplysningar skal lagrast slik at det ikkje er mogleg å identifisere dei registrerte i lengre periodar enn det som er nødvendig for føremåla som personopplysningane blir handsama for, jf. personvernforordninga artikkel 5 nr. 1 bokstav e. Vidare kan personopplysningar lagrast i lengre periodar dersom dei berre vil bli handsama for arkivføremål i allmenta si interesse, for føremål som er knytte til vitskapleg eller historisk forsking, eller for statistiske føremål, i samsvar med personvernforordninga artikkel 89 nr. 1, så sant det blir gjennomført eigna tekniske og organisatoriske tiltak som krevst etter personvernforordninga for å sikre rettane og fridomane til dei registrerte.
Personopplysningar skal dessutan handsamast på ein måte som sikrar tilstrekkeleg tryggleik for personopplysningane, medrekna vern mot uautorisert eller ulovleg handsaming og mot utilsikta tap, øydelegging eller skade, ved bruk av eigna tekniske eller organisatoriske tiltak, jf. personvernforordninga artikkel 5 nr. 1 bokstav f. Dette kan omtalast som prinsippet om integritet og konfidensialitet.
Til slutt blir det i ansvarsprinsippet i artikkel 5 nr. 2 slått fast at den handsamingsansvarlege er ansvarleg for og skal kunne påvise at dei seks grunnleggande prinsippa som er gjorde greie for ovanfor, blir følgde.
4.1.3 Krav om handsamingsgrunnlag
For å kunne handsame personopplysningar lovleg krevst det eit handsamingsgrunnlag. Før ein set i verk ei handsaming av personopplysningar, må det identifiserast og ligge føre eit handsamingsgrunnlag. Det finst seks alternative handsamingsgrunnlag, som er definerte i personvernforordninga artikkel 6 nr. 1 bokstav a til f. Når Husbanken skal handsame personopplysningar i samband med bustøtta, vil det relevante handsamingsgrunnlaget vere personvernforordninga artikkel 6 nr. 1 bokstav e. Føresegna gir grunnlag for å handsame personopplysningar når «behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Handsaminga kan berre finne stad i den grad ho er nødvendig for å utføre ei slik oppgåve eller utøve slik offentleg myndigheit.
For å støtte seg på handsamingsgrunnlaget i personvernforordninga artikkel 6 nr. 1 bokstav e krevst det eit såkalla supplerande rettsgrunnlag. Det følgjer av personvernforordninga artikkel 6 nr. 3 at grunnlaget for handsaminga som er nemnd i bokstav e, skal fastsetjast i unionsretten eller den nasjonale retten i medlemsstaten som den handsamingsansvarlege er underlagd. Når det gjeld handsaminga som er nemnd i nr. 1 bokstav e, skal handsaminga vere nødvendig for å utføre ei oppgåve i allmenta si interesse eller utøve offentleg myndigheit som den handsamingsansvarlege er pålagd. Unionsretten eller den nasjonale retten i medlemsstatane skal oppfylle eit mål i allmenta si interesse og stå i eit rimeleg forhold til det rettmessige målet ein søkjer å oppnå.
I Prop. 56 LS (2017–2018) punkt 6.3.2 skriv Justis- og beredskapsdepartementet følgjande om dei formelle krava til supplerande rettsgrunnlag:
«Etter departementets syn må det legges til grunn at i alle fall lov- og forskriftsbestemmelser kan utgjøre supplerende rettsgrunnlag. Departementet antar at også vedtak fattet i medhold av lov eller forskrift omfattes, ettersom det også i disse tilfellene foreligger et lov- eller forskriftsgrunnlag.»
Same stad i forarbeida skriv departementet følgjande om krav til innhaldet i det supplerande rettsgrunnlaget:
«For behandling etter bokstav e kreves det etter ordlyden kun at formålet med behandlingen skal være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet, noe som kun er en gjentagelse av ordlyden i bokstav e. Det synes derfor å være tilstrekkelig etter ordlyden at det supplerende rettsgrunnlaget gir grunnlag for å utøve myndighet eller å utføre en oppgave i allmennhetens interesse, og at det er nødvendig for den behandlingsansvarlige å behandle personopplysninger for å utøve myndigheten eller utføre oppgaven som følger av det supplerende rettsgrunnlaget.»
I Prop. 56 LS (2017–2018) punkt 6.4 er det også lagt til grunn at kravet til supplerande rettsgrunnlag må tolkast i lys av Den europeiske menneskerettskonvensjonen (EMK) artikkel 8 og Grunnlova § 102, jf. også Rt. 2015 s. 93. Grunnlova fastset i § 113 legalitetsprinsippet, som går ut på at inngrep frå styresmaktene overfor den enkelte må ha heimel i lov. Ei inngripande handsaming tilseier strengare krav til utforminga av det supplerande rettsgrunnlaget. Om det ligg føre eit tilstrekkeleg supplerande rettsgrunnlag, er dermed avhengig av ei konkret vurdering, mellom anna av kor inngripande handsaminga av personopplysningar er.
4.1.4 Handsaming av særlege kategoriar av personopplysningar og opplysningar om straffedomar og lovbrot
Handsaming av særlege kategoriar av personopplysningar, som definert i personvernforordninga artikkel 9 nr. 1, er i utgangspunktet forbode. Slike opplysningar kan likevel handsamast dersom eit av unntaka i artikkel 9 nr. 2 er oppfylt. For Husbanken vil eit relevant unntak kunne vere artikkel 9 nr. 2 bokstav g, som handlar om handsaming som er «nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser».
Handsaming av personopplysningar om straffedomar og lovbrot eller tilknytte tryggingstiltak på grunnlag av artikkel 6 nr. 1 skal berre utførast under kontroll av ei offentleg myndigheit eller dersom handsaminga er tillaten etter unionsretten eller den nasjonale retten (i medlemsstatane) som sikrar nødvendige garantiar for rettane og fridomane til dei registrerte, jf. personvernforordninga artikkel 10.
4.1.5 Vidarehandsaming av personopplysningar
Som nemnt i punkt 4.1.2 lovfestar forordninga artikkel 5 nr. 1 prinsippet om føremålsavgrensing. Det følgjer vidare av føresegna at det i utgangspunktet er forbode å vidarehandsame opplysningar med føremål som ikkje kan seiast å ligge innanfor det opphavlege føremålet. I tråd med personvernforordninga artikkel 6 nr. 4 kan personopplysningar likevel handsamast for føremål som ligg utanfor dei opphavlege førmåla dersom vidarehandsaminga «bygger på den registrertes samtykke eller på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1». Det må altså ligge føre eit særskilt rettsgrunnlag for sjølve vidarehandsaminga.
Personopplysningslova §§ 8 og 9 stiller opp nasjonale særreglar for handsaming av personopplysningar for arkivføremål i allmenta si interesse, føremål som er knytte til vitskapleg eller historisk forsking eller statistiske føremål. Paragraf 9 handlar om særlege kategoriar av personopplysningar. Føresegna gjeld også tilsvarande for handsaming av opplysningar om straffedomar og lovbrot, jf. personopplysningslova § 11 første ledd. Personopplysningslova §§ 8 og 9 handlar berre om handsaming for arkiv-, statistikk- eller forskingsføremål, og ikkje til dømes handsaming for analyseføremål.
Personvernforordninga har ingen særskilde føresegner om bruk av personopplysningar i test, men stiller opp krav om innebygd personvern og personvern som standardløysing i artikkel 25. Bruk av syntetiske testdata i staden for reelle data vil vere eit viktig bidrag til å oppfylle desse krava. Med syntetiske testdata meiner ein data som ikkje inneheld personopplysningar som kan knytast til ein identifisert eller ikkje-identifisert person. Dette er fiktive data som er laga med testføremål. Fiktive testdata skal verke realistiske, slik at dei gir eit best mogleg testresultat. Reelle data, også kalla produksjonsdata, er derimot personopplysningar som kan knytast til ein identifisert eller identifiserbar person. Anonymiserte data er reelle data som er avidentifiserte. Dette vil seie at dataa ikkje lenger kan knytast til éin eller fleire identifiserte eller identifiserbare personar, verken no eller i framtida.
Testar skal gjennomførast på ein måte som gir best mogleg personvern. Det klare rettslege utgangspunktet er derfor at testing skal skje ved bruk av anonymiserte eller aller helst fiktive data. Verksemder som meiner dei kan argumentere for at det er strengt nødvendig å bruke personopplysningar i test for å sikre eit rett resultat, må derfor ha gode rutinar for å vurdere og dokumentere vala sine. Ved sida av å vurdere om det er nødvendig å bruke personopplysningar, skal ein mellom anna vurdere om verksemda har rettsleg grunnlag for å bruke personopplysningar i test. Vidare skal også dei andre grunnleggande prinsippa og krava i personvernregelverket vurderast, medrekna prinsippet om dataminimering, føremålsavgrensing, oppfyllinga av rettane til dei registrerte og kravet om informasjonstryggleik.
4.1.6 Heilautomatiserte avgjerder
Personvernforordninga artikkel 22 utgjer ei rettsleg avgrensing i kva tilgang forvaltninga har til å automatisere sakshandsaminga. Føresegna stiller som utgangspunkt opp eit forbod mot å ta visse automatiserte avgjerder. Sjølv om artikkel 22 nr. 1 etter ordlyden gir uttrykk for «en rett» for den enkelte til ikkje å vere gjenstand for slike avgjerder, følgjer det av praksis frå EU-domstolen at artikkel 22 skal forståast som eit forbod, jf. EU-domstolen sin dom i sak C-634/21 SCHUFA Holding avsnitt 52.
For at ei avgjerd skal vere omfatta av forbodet i artikkel 22, må det ligge føre «en avgjørelse som utelukkende er basert på automatisert handsaming, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende».
Ordlyden tilseier at ein kan stille tre overordna vilkår. For det første må det takast ei avgjerd. For det andre må avgjerda berre vere basert på automatisert handsaming. For det tredje må avgjerda anten ha rettsverknad for individet eller på tilsvarande måte i vesentleg grad påverke vedkommande. I punkt 71 i fortalen til personvernforordninga blir det trekt fram at «et automatisk avslag på en søknad om kreditt på internett eller e-rekruttering uten menneskelig inngripen» vil vere eit døme på ei automatisk individuell avgjerd. Utover dette gir personvernforordninga noko avgrensa rettleiing rundt kva som skal reknast som ei slik avgjerd.
Etter artikkel 22 nr. 2 bokstav a til c er det tre unntak som kan gjerast frå forbodet i artikkel 22 nr. 1. Etter bokstav a og c kan det gjerast unntak dersom den automatiserte avgjerda anten er nødvendig for å inngå eller oppfylle ein avtale mellom den registrerte og ein handsamingsansvarleg, eller dersom avgjerda er basert på eit uttrykkeleg samtykke frå den registrerte. Unntaka i bokstav a og c er i liten grad aktuelle for utøving av offentleg myndigheit og blir ikkje omtalte nærmare i det følgjande.
Etter bokstav b kan det gjerast unntak frå artikkel 22 nr. 1 dersom avgjerda er tillaten etter den nasjonale retten (i medlemsstatane) som den handsamingsansvarlege er underlagd, så sant det er fastsett «egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser». Etter punkt 71 i fortalen bør slike garantiar omfatte spesifikk informasjon til den registrerte og rett til menneskeleg inngrep, til å uttrykke synspunkt, til å få ei forklaring på avgjerder som er tekne etter automatisert handsaming, og til å klage over avgjerda.
Etter artikkel 22 nr. 4 kan automatiserte avgjerder ikke bygge på «særlige kategorier personopplysninger», med mindre handsaminga er nødvendig av omsyn til «viktige allmenne interesser» etter artikkel 9 nr. 2 bokstav g og det er innført eigna tiltak for å verne rettane, fridomane og dei rettmessige interessene til den registrerte.
Særleg om handsaming av personopplysningar om barn
Utgangspunktet etter forordninga er at barn og vaksne har same rettar i samband med handsaming av personopplysningar. Forordninga inneheld enkelte spreidde artiklar og fortalepunkt om handsaming av personopplysningane til barn, men gir inga samla einskapleg regulering av temaet.
Fortalepunkt 38 i forordninga slår fast at personopplysningane til barn på generelt grunnlag fortener eit særleg vern, ettersom barn kan vere mindre bevisste på aktuelle risikoar, konsekvensar og garantiar, og på dei rettane dei har når det gjeld handsaming av personopplysningar.
Reglane om automatisering i artikkel 22 skil ikkje mellom vaksne og barn. I punkt 71 i fortalen blir det gitt uttrykk for at heilautomatiserte avgjerder ikkje bør gjelde barn. Fordi denne formuleringa ikkje er avspegla i sjølve artikkelen, kan ein gå ut frå at det ikkje er eit absolutt forbod mot denne forma for handsaming i samband med barn.
Artikkel 29-gruppa, det tidlegare rådgivande EU-organet i personvernspørsmål som nå er avløyst av Det europeiske personvernråd (EDPB), tilrår at handsamingsansvarlege som hovudregel ikkje bør vise til unntaka i artikkel 22 nr. 2 for barn, sjå Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679. Der kjem det vidare fram at det kan vere visse situasjonar der det er nødvendig å ta heilautomatiserte avgjerder som har rettsverknad for eller på tilsvarande måte vesentleg påverkar barn, til dømes for å verne om velferda deira. I så fall kan handsaminga gjerast mellom anna etter unntaket i artikkel 22 nr. 2 bokstav b. I desse tilfella må den handsamingsansvarlege fastsetje eigna tiltak som effektivt vernar rettane og dei legitime interessene til barnet. Departementet legg dette til grunn.
4.2 Bustøttelova
Bustøttelova og tilhøyrande forskrift om bustøtte regulerer vilkåra for tildeling og utrekning av den statlege bustøtta, og gir nærmare reglar om gjennomføring og forvaltning av ordninga. Paragrafane 8 til 8 c i lova regulerer handsaming av personopplysningar i tilknyting til bustøtte. Føresegna i § 8 regulerer innhenting og handsaming av personopplysningar for sakshandsaminga av bustøtte. Det blir gjort greie for det nærmare innhaldet i føresegna i punkt 5.1. Føresegnene i §§ 8 a og 8 b regulerer masseinnhenting av opplysningar for kontrollføremål, mens § 8 c regulerer innhenting av opplysningar frå tredjeperson for kontroll i enkeltsaker. Føresegnene vart vedtekne før personvernforordninga vart inkorporert i norsk rett i 2018.