2 REVISJON AV PERSONREGISTERLOVEN

Justis- og politidepartementet satte ved kgl res 6. oktober 1995 ned et utvalg med hovedoppgave å forberede en generell oppdatering av personregisterlovgivningen i lys av den teknologiske, administrative og økonomiske utvikling på området. Utvalget, som ble ledet av Arne Skauge, har nå avsluttet sitt arbeid med utredningen NOU 1997: 19 Et bedre personvern. Utvalget foreslår at personregisterloven erstattes med en ny lov om behandling av personopplysninger. Utredningen vil bli sendt på høring i juni 1997, og departementet tar sikte på å fremme en odelstingsproposisjon i løpet av 1998. Nedenfor følger en oversikt over noen av de viktigste endringene Skauge-utvalget går inn for.

Personregisterloven regulerer opprettelse og bruk av personregistre. Utvalget foreslår at registerbegrepet ikke lenger skal gjelde som avgrensingskriterium for elektronisk behandling av personopplysninger. Lovforslaget kommer til anvendelse på elektronisk behandling av personopplysninger mer generelt, og på manuell behandling av personopplysninger (dvs behandling uten bruk av elektroniske hjelpemidler) når personopplysningene inngår i eller skal inngå i et personregister. Dette medfører at det nye lovforslaget får et noe videre saklig virkeområde enn personregisterloven.

Personregisterloven bygger på en omfattende forhåndskontroll (konsesjonsplikt) med opprettelse av personregistre. Utvalget foreslår at konsesjonsplikten innsnevres og at det blir lagt større vekt på etterfølgende kontroll med behandling av personopplysninger. Avgrensningen av konsesjonsplikten etter lovforslaget er begrunnet i at personvern er særlig viktig når det benyttes sensitive personopplysninger til å treffe avgjørelser som er av stor betydning for den enkelte. Den etterfølgende kontrollen bygger for det første på en plikt til å sende melding til Datatilsynet om bestemte typer behandling av personopplysninger. Meldingene skal innføres i en offentlig tilgjengelig fortegnelse hos Datatilsynet, og vil gi Datatilsynet informasjon som bl a kan benyttes i kontrolløyemed. For det andre foreslås det at de som behandler personopplysninger skal kvalitetssikre behandlingen og iverksette internkontroll. For det tredje foreslås det at Datatilsynet gis kompetanse til å gi pålegg om at lovstridig behandling av personopplysninger skal opphøre, eller eventuelt stille vilkår som må oppfylles for at behandlingen skal være lovlig. Dersom pålegget ikke etterleves, foreslås det at Datatilsynet skal kunne ilegge en tvangsmulkt som løper inntil forholdet er rettet.

I lovforslaget ligger også at Datatilsynet skal gi mer rettsinformasjon og veiledning om personvern, blant annet ved å oppfordre til og delta i utarbeidelsen av bransjevise atferdsnormer, dvs regler om personvern som ulike bransjer selv fastsetter.

Personregisterloven og forskriftene gitt i medhold av den inneholder få materielle regler, dvs regler som direkte sier noe om hvordan personopplysninger kan eller skal behandles. Mangelen på slike regler i loven har blitt avhjulpet av at Datatilsynet har satt generelle vilkår i sine konsesjoner. Utvalget foreslår at selve loven skal inneholde flere materielle regler. Et konkret eksempel er begrenset adgang til å bruke personopplysninger til et annet formål enn de opprinnelig er innsamlet for.

Personregisterloven er basert på at den enkelte borgers personvernbehov dels varetas gjennom kollektive personverntiltak, som f eks Datatilsynets virksomhet, og dels ved at den enkelte selv er gitt rettigheter som for eksempel rett til innsyn. Utvalget foreslår at den nye loven skal gi bedre individuelle rettigheter på tre områder. For det første pålegges den som bestemmer formålet med behandlingen av personopplysningene (den behandlingsansvarlige) av eget tiltak å sørge for at den enkelte registrerte kan nyttiggjøre seg av rettighetene i loven. Et eksempel på dette er at den behandlingsansvarlige skal informere den registrerte når det innhentes opplysninger om vedkommende. For det andre gis den registrerte nye og utvidete rettigheter som man selv må ta initiativ for å benytte. Eksempler på dette er utvidet innsynsrett, rett til i visse tilfeller å kreve manuell behandling av personopplysninger, og rett til å kreve begrunnelse for beslutninger som bygger på slike behandlinger. Endelig har utvalget lagt vekt på at lovfesting av rettigheter ikke alltid er nok - også de faktiske forholdene må legges til rette slik at det blir praktisk mulig for den registrerte å benytte seg av rettighetene. Dette skal oppnås bl a ved at Datatilsynet skal ha en offentlig tilgjengelig oversikt over behandling av personopplysninger.

I henhold til personregisterloven er Datatilsynet et frittstående forvaltningsorgan. Utvalget foreslår bl a på bakgrunn av EU-direktivet om beskyttelse av personopplysninger m m at Datatilsynet skal være faglig uavhengig av regjeringen og departementene. Regjeringens styringsredskaper vil være å gi forskrifter og å fremme forslag til lovendringer. Det foreslås at Justisdepartementet ikke lenger skal behandle klager over Datatilsynets avgjørelser, og at klagene istedet skal behandles av en nyopprettet klageinstans, Personvernnemnda.

Utvalget foreslår også strengere regler om overvåking, se nærmere om dette under departementets merknader til årsmeldingens kapittel 5 om overvåkning, side 6.

Utvalget har i sitt arbeid blant annet vurdert reglene i EUs direktiv om beskyttelse av personopplysninger m m (Europaparlamentet og rådets direktiv 95/46/EF). Direktivet er EØS-relevant. Det pågår forhandlinger mellom EU og EFTA om innlemming av direktivet i EØS-avtalen. Et punkt som det må tas stilling til, er spørsmålet om permanent og formell observatørstatus for EFTA-landene i den rådgivende arbeidsgruppen som er opprettet i henhold til artikkel 29 i direktivet. Det vil bli fremmet en stortingsproposisjon om samtykke til innlemming av direktivet i EØS-avtalen når forhandlingene er sluttført og EØS-komitéen har fattet vedtak om innlemming.