4 Gjeldende rett
4.1 Personopplysningsloven og straffegjennomføringsloven
Hovedregelen i personopplysningsloven er at det må foreligge et behandlingsgrunnlag etter enten § 8 eller § 9. I tillegg gjelder grunnkravene ved behandling av personopplysninger etter lovens § 11. Ved behandling av sensitive personopplysninger kreves det i tillegg konsesjon etter personopplysningsloven § 33 første ledd dersom behandlingen ikke er unntatt fra konsesjonsplikten etter femte ledd.
Det fremstår som rimelig klart at behandling av personopplysninger ved utveksling av informasjon mellom politiet og kriminalomsorgen er sensitive opplysninger i personopplysningslovens forstand. Personopplysningsloven § 9 regner opp de tilfeller hvor sensitive opplysninger kan behandles. Etter § 9 kan sensitive opplysninger bare behandles når ett av vilkårene i personopplysningsloven § 8 er oppfylt og behandlingen oppfyller ett av vilkårene i § 9 første ledd bokstav a til h. Det første kravet er normalt oppfylt dersom behandlingen er tillatt etter et av alternativene i § 9. Etter første ledd bokstav b kan sensitive personopplysninger behandles når det er hjemmel i lov.
Begrunnelsen for å løfte frem krav til lovhjemmel som et særskilt vilkår er nærmere omtalt i forarbeidene til personopplysningsloven Ot.prp. nr. 92 (1998–99):
«Begrunnelsen for dette alternativet er at bestemmelsen her ikke skal oppstille tilleggsvilkår for å behandle personopplysninger når Stortinget allerede har bestemt at behandlingen er nødvendig for å ivareta viktige samfunnsinteresser. Selv om man i slike tilfeller vil kunne benytte seg av alternativene i bokstav a-f som hjemmelsgrunnlag, finner departementet det naturlig å fremheve lovhjemmel som et selvstendig vilkår for å kunne behandle personopplysninger. Om behandlingen er så forankret i lov at dette alternativet får anvendelse, må avgjøres ved å tolke loven som eventuelt hjemler behandlingen. Hjemmelskravet er relativt, slik at det kreves klarere hjemmel jo større personvernmessige konsekvenser behandlingen kan få.»
Personopplysningsloven graderer ikke sensitivitet, men det er naturlig å legge vekt på en slik gradering når en vurderer hjemmelskravet. Samtidig vil den tvangssituasjonen som domfelte og innsatte befinner seg i, forsterke kravet til tydelig lovhjemmel. Jo mer inngripende behandlingen er for den registrerte jo klarere lovhjemmel er det krav om.
En må ha konsesjon fra Datatilsynet for å behandle sensitive personopplysninger etter personopplysningsloven § 33 første ledd. Konsesjonsplikten gjelder likevel ikke behandling av sensitive personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i lov. Etter straffegjennomføringsloven § 2 skal «straffen gjennomføres på en måte som tar hensyn til formålet med straffen, som motvirker nye straffbare handlinger, som er betryggende for samfunnet og som innenfor disse rammene sikrer de innsatte tilfredsstillende forhold».
For å oppnå lovens formål forutsettes det et visst samarbeid og informasjonsutveksling mellom kriminalomsorgen og politiet. Straffegjennomføringsloven inneholder også sentrale føringer om virksomheten til og organiseringen av kriminalomsorgen. Samtidig setter den rammer for straffegjennomføringen overfor etaten og domfelte og innsatte. Straffegjennomføringsloven er en særlov som hjemler en aktivitet som gjør det nødvendig å behandle personopplysninger. I følge Datatilsynet er dette likevel ikke nok til å frita behandlingen fra konsesjon og Justis- og beredskapsdepartementet ble gitt pålegg om å etablere et tilstrekkelig hjemmelsgrunnlag for behandling av personopplysninger i kriminalomsorgen i kontrollrapport av 25. januar 2008. Dette resulterte i et nytt kapittel 1a om behandling av personopplysninger i kriminalomsorgen jf. Prop. 151 L Endringar i forvaltningslova og straffegjennomføringslova (behandling av personopplysningar i kriminalomsorga, innsyn i benådningssaker o.a.).
Nytt kapittel 1a, trådte i kraft den 20. september 2013, og omhandler kriminalomsorgens generelle behandling av personopplysninger. Etter § 4c bokstav b kan kriminalomsorgen behandle personopplysninger for å opprettholde ro, orden og ivareta sikkerheten for ansatte, innsatte og samfunnet for øvrig.
Et av spørsmålene som skulle utredes av Infoflyt-utvalget var hvorvidt bestemmelsene i kapittel 1a gir tilstrekkelig hjemmel også for Infoflyt-systemet. Utvalget har kommet frem til at bestemmelsene ikke gir tilstrekkelig hjemmel for behandling av personopplysninger i Infoflyt-systemet, verken for domfelte og innsatte eller andre personer.
Infoflyt-utvalget har i sin rapport lagt til grunn at Infoflyt-systemet i sin nåværende form faller innenfor personopplysningslovens virkeområde. Begrunnelsen er at det er mulig å finne frem til personer via journalføringen av dokumenter som skjer i Justis- og beredskapsdepartementets dokumentasjonssenter samt via Kriminalomsorgens fangsakssystem KOMPIS.
4.2 Informasjon og innsyn
Etter personopplysningsloven §§ 19 og 20 har den behandlingsansvarlige informasjonsplikt overfor den registrerte, uavhengig av om opplysningene samles inn fra den registrerte selv eller fra andre. Informasjonsplikten skal sikre at den registrerte får kunnskap om behandlingen av opplysninger. Dette innebærer at den registrerte skal informeres om sentrale forhold ved behandlingen, som for eksempel hvem som er behandlingsansvarlig, hva som er formålet med behandlingen og om opplysningene vil bli utlevert og eventuelt til hvem.
Personopplysningsloven § 18 regulerer både allmennhetens og de registrertes rett til innsyn. En av de sentrale rettighetene som registrerte personer har er innsyn i de opplysningene som er registrert om dem. Etter bestemmelsens første ledd har enhver rett til å kreve innsyn i hva slags behandling av personopplysninger en behandlingsansvarlig foretar i tillegg til informasjon om for eksempel navn og adresse på den behandlingsansvarlige, hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter og formålet med behandlingen. Etter annet ledd har den som er registrert i tillegg rett til å kreve innsyn i de opplysninger som behandles om vedkommende og sikkerhetstiltakene ved behandlingen. Personopplysningsloven har ingen unntak basert på at den registrerte antas å kjenne til opplysningene, slik den har for informasjonsplikten. Derimot gjelder de samme unntakene fra innsynsretten som for informasjonsplikten etter personopplysningsloven § 23 om taushetsbelagte opplysninger mv.
4.3 Plikter i loven som er særlig sentrale for Infoflyt-systemet
Særlig sentrale for behandlingen av personopplysninger mellom politiet og kriminalomsorgen er kravene til planlagte tiltak for informasjonssikkerhet og internkontroll. Det kreves at virksomheten gjennomfører risiko- og sårbarhetsanalyse (personopplysningsforskriften § 2-4) og dokumenterer resultatene av denne. Lovens § 13 stiller krav til informasjonssikkerhet og til at sikkerhetstiltakene er dokumentert. Dette innebærer planlegging og gjennomføring av systematiske og egnede informasjonssikkerhetstiltak for å sikre konfidensialitet, integritet og tilgjengelighet.
Lovens § 14 om internkontroll pålegger den behandlingsansvarlige en plikt til å vurdere behov for tiltak for å innfri kravene i personvernlovgivningen. En viktig del av dette er å sikre opplysningenes kvalitet (integritet). Tiltakene kan være organisatoriske, juridiske, fysiske eller kompetansegivende.
Opplysninger skal normalt slettes når formålet ikke lenger begrunner behandling, se personopplysningsloven §§ 11 første ledd bokstav e, 27 og 28. Om det er nødvendig å bevare opplysningene lenger enn det opprinnelige formålet tilsier, må dette reguleres.
Reglene i personopplysningsloven gjelder for alle som behandler personopplysninger, og vil således være supplerende for annen regulering som gjelder innenfor det enkelte rettsområdet ved at de kommer inn dersom noe ikke er særlig regulert.
4.4 Tilsyn og klage
Datatilsynet er det sentrale tilsynsorganet i henhold til personopplysningsloven og etter noen spesiallover, særlig innen helsefeltet og lov om Schengen Information System (SIS). Datatilsynet kan gi pålegg om opphør eller atferdsendring, og har i tillegg et sanksjonsregime de kan benytte i form av tvangsmulkt, overtredelsesgebyr og anmeldelse til politiet. Personopplysningsloven inneholder en straffehjemmel, jf. § 48 og det kan også ilegges erstatning i noen tilfeller, jf. lovens § 49.
4.5 Politiregisterloven
Lov 28. mai 2010 nr. 16 om behandling av personopplysninger i politiet og påtalemyndigheten (politiregisterloven) trådte delvis i kraft 27. september 2013. En større del av loven trer i kraft 1. juli 2014.
Politiregisterloven gjelder ikke for kriminalomsorgens behandling av personopplysninger. Infoflyt-utvalget har imidlertid foreslått at politiregisterloven kapittel 8 (§§ 49-54), § 55 første ledd nr. 3, og §§ 59 og 60 skal gjelde tilsvarende ved kriminalomsorgens behandling av personopplysninger i Infoflyt-systemet. Kapittel 8 (§§ 49-54) omhandler informasjonsplikt, innsyn, retting, sperring og sletting.
Datatilsynet kan ikke gi pålegg om innsyn i opplysninger som politiet har unntatt fra innsynsretten av hensynet til kriminalitetsbekjempelse, nasjonal og offentlig sikkerhet, gjennomføring av strafferettslige reaksjoner, vern av andre personer enn den registrerte eller mottakerorganets lovpålagte kontrolloppgaver. Tilsynet kan heller ikke gi pålegg om overholdelse av politiregisterlovens regler om utlevering, taushetsplikt og vandelskontroll.