4 Proporsjonalitet og avveging av ulike samfunnsomsyn
4.1 Generelt om vurderinga av behandling av personopplysningar i det offentlege
Omsynet til personvernet må vurderast opp mot andre viktige samfunnsomsyn og interesser i ei såkalla proporsjonalitetsvurdering. Dette inneber ofte vanskelege avvegingar mellom omsyn som kvar for seg er viktige. Avveginga krev grundige vurderingar frå område til område. Vektige motomsyn kan for eksempel vere meir effektiv offentleg tenesteyting, kontrollføremål, kriminalitetsførebygging, ytringsfridom og tilrettelegging for gode helse- og omsorgstenester. I ei avveging er det sjeldan eit spørsmål om berre to alternative løysingar. Normalt inneheld vurderinga ulike alternative løysingar. Vidare kan ein ofte setje i verk ulike tiltak for å minske ulemper og utnytte fordelar ved dei alternative løysingane. Som eksempel kan ein nemne tilgangskontroll som tiltak for å hindre unødvendig spreiing av personopplysningar i pasientjournalar og klientbasert logging (òg kalla innsynslogging) som tiltak for å motverke såkalla «snoking». Problemstillingar rundt tilgangskontroll og klientbasert logging blir omtala nærmare i kapittel 9.6.
Noreg er eit velferdssamfunn, og det offentlege har eit stort ansvar for å drive tenesteyting til folket. For å sikre innbyggjarane velferdstenester av god kvalitet er oppgåvene ofte gitt til forvaltninga gjennom lovverket. Lovverket stiller òg gjerne krav til sjølve tenesteytinga, til dømes premissar som må vere til stades for at innbyggjaren skal ha rett på ytinga.
Det er nødvendig for forvaltninga å kunne samle inn og registrere informasjon om innbyggjarane for å kunne fastsetje rettane og pliktene deira. Sakbehandlingsreglane i forvaltningslova stiller òg krav til at ei sak skal vere så godt opplyst som råd er, og det fører igjen med seg at informasjon, medrekna personopplysningar, blir innsamla, registrerte og behandla. Behandling av personopplysningar kan vere ein nødvendig føresetnad for at forvaltninga kan drive saksbehandling og tenesteyting, men er sjeldan noko mål i seg sjølv. Når lovgivaren fastset ein rett til å behandle personopplysningar, er det viktig å synleggjere proporsjonalitetsvurderingane som ligg bak, slik at ein kan prøve premissane for vurderinga lovgivaren har gjort.
4.2 Helse- og omsorgstenester
Ved yting av helse- og omsorgstenester kan det vere vanskeleg å avgjere på førehand kva opplysningar som er nødvendige. Då treng ein ofte å hente inn mykje informasjon om einskildpersonen for å sikre han eller ho best moglege tenester. Relevante og nødvendige opplysningar om pasienten og helsehjelpa skal skrivast i journal for kvar einskild pasient, jf. helsepersonellova kapittel 8. Behandling av helseopplysningar i samband med helsehjelp har såleis heimel i lov. Journalen dokumenterer helsehjelpa og skal vere tilgjengeleg for helsepersonell som treng han når dei yter helsehjelp.
Ei operativ og velfungerande informasjonsforvalting i helse- og omsorgstenesta skal vere med å dokumentere gitt helsehjelp, betre kvaliteten på diagnostikk og behandling og styrkje kunnskapsgrunnlaget for førebyggjande arbeid. Dette inneber at informasjonsforvaltinga skal gjere sitt til å ta vare på grunnleggjande pasienttryggleik.
Det er ei utfordring at dokumentasjonen inneheld store mengder sensitive personopplysningar. Kjernen i utfordringa er å vege to pasientinteresser mot einannan – at opplysningane er tilgjengelege for helsepersonellet, må vegast mot at pasienten ønskjer så stor konfidensialitet som råd. Desse to interessene kan dra i ulike retningar. I ei velfungerande helse- og omsorgsteneste gjer dei denne typen avvegingar dagleg og på mange ulike nivå. Målet er å finne ein god balanse mellom desse interessene. Godt personvern er ein viktig del av pasienttryggleiken. Samfunnsutviklinga, med auka bruk av teknologi, stiller stadig større krav til effektivitet og omstillingar i helse- og omsorgstenesta. Elektroniske system inneber ofte ei større samling av opplysningar med auka høve til å stille saman og spreie personopplysningar enn det som var mogleg med tidlegare papirjournalar. Samstundes opnar den tekniske utviklinga òg for betre ivaretaking av personvernet. Viktigast er kan hende at det er mogleg å logge oppslag for å førebyggje såkalla «snoking», effektive system for tilgangskontroll og at det er mogleg å kryptere opplysningar. Dette blir nærmare drøfta i kapittel 9.5 og 9.6.
Hovudtyngda av opplysningane som blir behandla i helse- og omsorgstenesta, er underlagd teieplikt etter helsepersonellova og forvaltningslova. Teieplikt er viktig, mellom anna for å ta vare på tilliten mellom pasientane og helse- og omsorgstenesta.
Sjølvråderetten og retten til konfidensialitet har fått stor vekt i ordskifta dei siste tiåra. Desse omsyna må like fullt vegast mot behovet for å ha den kunnskapen som er nødvendig for å kunne kontrollere effekten av behandlinga, og eventuelt for å påvise svake punkt i pasienttryggleiken og mogelege skilnader sjukehusa imellom. God kunnskap om medisinske tilstandar og effekten av behandlinga har ikkje berre noko å seie for pasienten det gjeld, men òg for andre pasientar og samfunnet elles. Kvar einskild pasient bør ha eit reelt høve til å finne ut om behandlinga han eller ho får, er trygg, og om det er skilnader i kvalitet mellom ulike behandlingar og metodar. Regjeringa meiner at det ikkje er nokon motsetnad mellom personvern og pasientinteresser. Personvern er i stor grad eit spørsmål om at pasienten opplever respekt for integritet og menneskeverd, og er slik sett ei pasientinteresse. Både gode helsetenester og godt personvern gagnar pasienten. Dette er mellom anna kome til uttrykk i pasient- og brukarrettslova, der det følgjer av føremålsføresegna at lova skal fremje tilliten mellom pasient og helseteneste og ta vare på respekten for liv, integritet og menneskeverd hos kvar einskild pasient.
Utgreiinga frå Personvernkommisjonen legg vekt på at helse- og omsorgssektoren står overfor personvernutfordringar. Regjeringa er samd i denne vurderinga. Desse utfordringane er bakgrunnen for at det gjennom mange år har gått føre seg eit systematisk arbeid for å styrkje personvernet i helse- og omsorgssektoren, både organisatorisk, juridisk og teknologisk. Regjeringa vil halde fram arbeidet med å styrkje personvernet mellom anna ved å leggje til rette for loggføring av interne oppslag i større register. Sjå nærmare omtale i kapittel 9.6.3.
For å ta vare på personvernet bør ein gjennomføre tiltak som hindrar eller motverkar uautorisert behandling og spreiing av opplysningar. Dette kan vere reglar om teieplikt, logging av oppslag i journalar og tilgangskontroll. Ein bør leggje til rette for «innebygd» personvern i dei ulike systema som blir nytta, og staten bør som innkjøpar spørje etter gode system. Vidare er informasjon om rettar og plikter for helsepersonell og brukarar eit viktig tiltak.
4.3 Kriminalitetsførebygging
Kriminalitet er eit trugsmål mot liv, tryggleik, livskvalitet og livsutfalding for den einskilde og mot samfunnet som heilskap. Omsynet til kriminalitetsførebygging veg derfor tungt ved utforminga av reglane som styrer informasjonsbehandlinga i politiet. Det er viktig å leggje til rette for at politiet er i stand til å motverke kriminalitet. Omsynet til personvernet må likevel tryggjast på dette området, og i somme tilfelle veg personvernomsyn tyngre enn omsynet til kriminalitetsførebygging.
I avveginga av dei to omsyna spelar det mellom anna inn kor alvorleg kriminalitet det er tale om å hindre. Strafferamma for handlinga som blir granska, ligg ofte til grunn i vurderingar av kva opplysningar politiet kan hente inn. Vidare vil ein leggje vekt på kor sensitive opplysningar det er tale om, og kor stor den samla integritetskrenkinga for den registrerte er.
Førebygging av kriminalitet står ikkje alltid i motsetnad til personvernet. For eksempel er det i tråd med begge desse omsyna å hindre at overgrepsbilete blir tilgjengelege på nett, eller å førebyggje identitetstjuveri.
Regjeringa meiner datainnsamling i samband med kriminalitetsførebygging er nødvendig og ønskjeleg for å førebyggje, hindre og granske kriminalitet. Det er likevel viktig at ein tryggjar personvernet i så stor grad som råd, og at det blir gjennomført grundige utgreiingar av kvifor ein treng tilgang til personopplysningane. Dataminimalitet er eit mål. Tiltak som tek vare på personvernet, kan vere reglar om teieplikt og krav til trygging av register (logging, kryptering og så vidare).
4.4 Utdanning
Personopplysningar blir nytta til mange ulike føremål i utdanningssektoren og i barnehagane. Ein fellesnemnar er at personopplysningane blir nytta til å tilby tenester av tilfredsstillande kvalitet. For skoleeigarar spesielt, men også for barnehageeigarar, kan bruk av personopplysningar vere nødvendig for å oppfylle lovpålagte oppgåver. Skoleeigarar har til dømes plikt til å ha eit tilfredsstillande psykososialt skolemiljø og mange nyttar i den samanhengen systemet SWIS, som på bakgrunn av ein systematisert dokumentasjon gjer det mogleg å vedta tiltak for å betre læringsmiljøet på skolen. Til dømes nyttar Fylkeskommunane personopplysningar for å dimensjonere skoletilbodet i vidaregåande opplæring, og personopplysningar er nødvendige for skoleeigarar som har plikt til å fatte vedtak om spesialundervisning. I slike samanhangar må omsyn til personvern mellom anna bli vekta opp i mot omsynet til at elevane skal få den skolen dei har krav på. Det er viktig at det ikkje blir behandla meir personopplysningar enn nødvendig, samstundes er det til dømes avgjerande at ei sak blir så godt opplyst som mogleg før vedtak blir fatta.
Både kvar einskild skule og kvar einskild barnehage behandlar personopplysningar for å kunne gi elevar og barn i barnehage tilfredsstillande oppfølging. Universitet og høgskular har òg oversikt over studentane og lærarane til bruk i administrasjonen. Slike register er etter personopplysningsforskrifta unntekne frå konsesjonsplikta. Unntaksheimelen viser at det alt er gjort ei vurdering av at dette er nødvendig behandling i desse sektorane, og at behandlingane ikkje fører med seg store personvernkrenkingar.
St.meld. nr. 41 (2008-2009) Kvalitet i barnehagen strekar under at dokumentasjon, informasjonsutveksling og dialog er ein nødvendig føresetnad for å tryggje ein god overgang frå barnehage til skule. Viss skulen får god informasjon om kvart barn før skulestart, kan dette hjelpe skulen med å leggje til rette for ein individuell læringsgang alt frå skulestart. Dokumentasjonen er eit viktig grunnlag for kontakten mellom foreldra, barnehagen og skulen. Føremålet må vere å gi eit godt utgangspunkt for tidleg og riktig innsats når barnet byrjar på skulen
St.meld. nr. 44 (2008–2009) Utdanningslinja strekar under at overføring av opplysningar om fråvære og karakterar frå grunnskulen til vidaregåande skule er viktig. Dette er ikkje direkte regulert i opplæringslova, men av allmenne føresegner i forvaltningslova og personopplysningslova. Hovudregelen er at slike overføringar skal ha grunnlag i samtykke. Det er derfor ei særleg utfordring om overføring kan skje med heimel i andre rettslege grunnlag dersom ein meiner dette særleg trengst, til dømes av omsyn til det beste for barnet. Det er viktig å få til gode overgangar i skulen for kvar einskild elev. Dette er omtala i Meld. St. 22 (2010–2011) Motivasjon – Mestring – Muligheter, Ungdomstrinnet. Der blir det særleg understreka at overgangen mellom hovudstega i læringsgangen og mellom de ulike skuleslaga er viktige fasar i læringsgangen til elevane. Overgangar har mellom anna påverknad på karakterane til elevane og dessutan på gjennomføringa deira av vidaregåande opplæring. Kampen mot fråfall i vidaregåande skule er høgt prioritert frå regjeringa. Følgjande er sagt i meldinga:
«For å få gode overganger både fra barnetrinnet til ungdomstrinnet og fra ungdomstrinnet til videregående opplæring, er det viktig at den skolen eleven skal begynne på, får tilstrekkelig informasjon til å kunne tilrettelegge best mulig for den enkelte elev så raskt som mulig. Samtidig er dette personopplysninger som må behandles med varsomhet og i tråd med gjeldende regelverk.»
I Meld. St. 18 (2010–2011) Læring og Fellesskap blir det òg uttrykt at det ikkje finst reglar i opplæringslova eller barnehagelova som særskilt heimlar tilgang til opplysningar om personlege tilhøve ved overgang frå barnehage til skule, mellom grunnskule og vidaregåande skule eller mellom ulike etatar.
Overføring av personopplysningar mellom barnehage og skule og skular imellom inneber spreiing av personopplysningar. Utvekslinga av informasjon er som hovudregel basert på samtykke frå dei føresette. På denne måten held ein kontroll med eigne personopplysningar samstundes som barnehagen/skulen får det nødvendige kunnskapsgrunnlaget for å leggje kvardagen til rette for barnet/eleven. Regjeringa legg til grunn at det er nødvendig å behandle personopplysningar i denne samanhengen. Personvernet til den registrerte blir teke vare på gjennom bruk av samtykke. Regjeringa legg vidare til grunn at behandling av personopplysningar som hovudregel er nødvendig for å få teneste av ønska kvalitet i utdanningssektoren.
4.5 Behandling av personopplysningar i Arbeids- og velferdsetaten (Nav)
Tilsette i Arbeids- og velferdsetaten behandlar mange sensitive personopplysningar og opplysningar som kjem inn under teieplikta. Samtidig er tilgang til personopplysningar i Arbeids- og velferdsetaten avgjerande for å løyse dei lovpålagde oppgåvene til etaten. Teieplikta for tilsette i Arbeids- og velferdsetaten er streng. Dette er noko etaten er særs merksam på. Betydelege ressursar blir nytta for å ta vare på personvernet til brukarane.
Problemstillingar knytte til teieplikt og ivaretaking av personvern dukkar opp i ei rekkje samanhengar i verksemda til Arbeids- og velferdsetaten. Dette er mellom anna sentrale tema i kompetanseplanar og haldningsskapande arbeid blant dei tilsette. Omsynet til teieplikt og personvern legg føringar for den fysiske utforminga av Nav-kontora, for organiseringa av einingane i etaten og for kjøp av nye IKT-system. Arbeids- og velferdsetatens bruk av personopplysningar til kontrollføremål blir omtala i kapittel 5.3.
Behandling av ei stor mengd personopplysningar er forpliktande. Etaten må balansere omsynet til effektiv sakshandsaming, korrekte vedtak og nødvendig kontroll mot den retten kvar einskild har til personvern.
Moderne IKT-system og saksbehandlingsverktøy er avgjerande for effektiv verksemd og kvalitativt god forvaltning av tenestene og stønadene etaten yter. Teknologien gjer det mogleg å styrkje personvernet, men fører òg med seg enkelte farar. Systema inneber mellom anna at personopplysningar om svært mange brukarar er samla i sentrale databasar. Dette krev gode system og rutinar for tilgangskontroll, innsynslogging og informasjonssikring. Datatilsynet har ved kontrollar både i sentrale og lokale einingar i 2007, 2010 og 2012, funne brot på krava til fortruleg behandling i personopplysningslova. Manglane gjeld særleg tilpassing og kontroll av tilgangar og logging av enkeltoppslag i saksmapper. Arbeids- og velferdsetaten har dei siste åra òg fått kritikk frå Riksrevisjonen for liknande tilhøve og for manglar i implementering og etterleving av det styringssystemet etaten har for IKT-sikring, og uttak og oppfølging av loggar, sist i Dokument 1 (2011-2012). Riksrevisjonen viser mellom anna til at etaten har utfordringar knytte til sletting av brukartilgangar og til avgrensing av brukartilgangar i saksbehandlingssystemet for barnebidrag.
Arbeids- og velferdsetaten arbeider planfast og langsiktig for å lukke avvik som blir påpeikte av Datatilsynet og Riksrevisjonen. Planane og tiltaka som er sette i verk, følgjer tre hovudspor. For det første blir det stilt krav til at nye IKT-system i moderniseringsprogrammet skal setje etaten betre i stand til å oppfylle krava i personsopplysningslova. For det andre har Arbeids- og velferdsetaten utarbeidd sentrale leiande dokument for personvern og informasjonssikring, som no blir implementerte i etaten. For det tredje blir det sett i verk ei lang rekkje kortsiktige tiltak.
Til dels kompliserte regelverk og produksjonsprosessar og ein kompleks organisasjon gjer det utfordrande å leggje til rette for ein føremålstenleg IKT-struktur som oppfyller alle krava i personopplysningslova. Bruk av mange gamle og fragmenterte IKT-system frå tidlegare etatar gjer utfordringane endå større. Programmet for IKT-modernisering vil i perioden 2013–2019 etablere ei ny plattform for framtidige saksbehandlingsløysingar på stønadsområda til Arbeids- og velferdsetaten. I kravspesifikasjonen til nye systemløysingar er det sett følgjande absolutte krav til personvern og informasjonstryggleik:
«Arbeids-og velferdsetaten skal oppfylle krav i personopplysningsloven med forskrifter med særlig vekt på konfidensialitet, integritet, lagring og logging.»
IKT-moderniseringa inneber mellom anna nye løysingar for administrasjon og kontroll av tilgangar og loggar.
Planane for IKT-moderniseringa har eit tidsperspektiv på seks år. Det er derfor nødvendig at etaten i mellomtida gjennomfører kortsiktige tiltak for å redusere risiko. Dette arbeidet er etaten godt i gang med. Mellom anna er alle landsdekkjande tilgangar og tilgangar til sensitive data gjennomgått og på enkelte område kraftig reduserte. Logging av oppslag og kontroll med at det ikkje blir gjort uautoriserte oppslag, er på plass for dei to IKT-systema med tilgang til mest personleg informasjon. Tilsvarande ordningar blir etablerte for fleire system i løpet av 2012 og 2013. Kostnader og verknadstid for nye tiltak må haldast opp mot at fleire av løysingane etter ei viss tid vil bli skifta ut.
Det er eit mål for Arbeids- og velferdsetaten at den tilgangen dei tilsette har til personopplysningar, ikkje skal overskride det kvar einskild har sakleg behov for. Tilgangar er derfor avgrensa både ut frå kva rolle den tilsette har i verksemda, og ut frå geografi. Arbeids- og velferdsetaten har òg etablert logging av tryggleikshendingar i alle IKT-systema i etaten. Dei siste åra har etaten lagt ned mykje arbeid i å betre oppfølginga og kontrollen av desse systema.
Arbeids- og velferdsetaten har utarbeidd og operasjonalisert sentrale, leiande dokument for personvern og informasjonssikring. Styringssystemet er bygd opp med utgangspunkt i ein internasjonal standard. Lokal implementering av rutinane og retningslinene i dei leiande dokumenta har høg prioritet i etaten, sidan mellom anna oppgåva med å sikre tilstrekkeleg tilpassing av korleis dei tilsette får tilgangar og slettar tilgangar som ikkje lenger er i bruk, i hovudsak er eit lokalt ansvar.
I 2011 innførte etaten elektronisk behandling av dokument og elektronisk arkivering på viktige saksområde. Elektronisk behandling av dokument fører til effektivisering av fleire prosessar i behandlinga av saker, betre kontroll med mottak av søknader og dokumentasjon frå brukarar og dessutan enklare og tryggare utveksling av dokument og informasjon mellom einingane i etaten. Dette inneber ein vesentleg reduksjon av risikoen for tap av og uautorisert tilgang til dokument med personopplysningar.
Trass i at etaten behandlar fleire millionar saker årleg, får Arbeids- og velferdsetaten få klagar over misbruk av personopplysningar. Etaten har arbeidd målretta med haldningsskapande tiltak knytte til teieplikt og personvern. I rapportane Datatilsynet har skrive frå tilsyn med Arbeids- og velferdsetaten, har tilsynet lagt til grunn at det er høgt medvit om personvern i etaten, at etatsleiinga tek personvernutfordringane på alvor, og at etaten arbeider godt med problema.
Arbeids- og velferdsdirektoratet har stilt følgjande krav til behandling av personopplysningar i Arbeids- og velferdsetaten:
Dei tilsette i etaten skal ha tilstrekkeleg kunnskap om krav i personopplysningslova som har noko å seie for arbeidsoppgåvene deira.
Etaten skal sørgje for at all behandling av personopplysningar har eit klårt definert og dokumentert føremål, før det blir sett i verk behandling. Personopplysningane som blir nytta, skal vere tilstrekkelege, relevante, korrekte og oppdaterte.
Behandlinga av personopplysningar i etaten skal delast inn i behandlingsområde som tek utgangspunkt i fagområde som logisk høyrer saman. Behandlingsområda er underlagde melde- og konsesjonsplikt til Datatilsynet
Personopplysningar skal vere tilgjengelege for brukaren slik at kvar einskild sjølv kan ta vare på innsynsretten sin og vere med på å sikre kvaliteten på opplysningane, i tillegg til at Arbeids- og velferdsetaten kan bidra til aktiv brukarmedverknad.
Etaten skal leggje til rette for gode rutinar som sikrar dei rettane brukaren har etter personopplysningslova.
Etaten skal sikre at opplysningar er korrekte og ikkje blir lagra lenger enn det som er nødvendig for å oppnå føremålet med behandlinga, og tidsperioden etaten har heimel til å lagre opplysningane.
Ved handtering av krav om innsyn skal etaten følgje reglane i offentleglova, forvaltningslova og personopplysningslova.
Etaten skal sikre brukarar som er utsette for trugsmål, med skjermingskode frå Skatteetaten (kode 6 og kode 7) slik at det ikkje blir utlevert opplysningar om bustadadresse eller annan informasjon som kan avsløre kvar brukaren held til.
Avtaler med tredjepart skal innehalde alle relevante krav til personvern, informasjonstryggleik og beredskap.
Teieplikta gjeld for alle som arbeider for etaten. Kvar enkelt skal signere teieplikterklæringa til etaten og vere kjend med kva teieplikta inneber.
Etaten skal ha ei organisering av arbeidsoppgåver som medverkar til reduksjon av innsyn i og tilgang til personopplysningar og til at teieplikta blir teken vare på ved behandling av personopplysningar.
Etaten skal syte for at teieplikta blir teken vare på i samråd med brukaren, samhandlingspartnarane og andre aktørar.
Informasjon som kjem inn under teieplikta, skal aldri utleverast utan tilstrekkeleg og klår heimel eller samtykke.
Det skal førast ei samla oversikt i dei ulike fagmiljøa og einingane der etaten rutinemessig utleverer opplysningar som kjem inn under teieplikta.
Regjeringa ser det slik at Arbeids- og velferdsetaten er i ein god prosess med å sikre at personopplysningar blir behandla på ein trygg måte. Slik det kjem fram ovanfor, har etaten visse utfordringar, særleg når det gjeld tilpassing av tilgangskontrollar og oppfølging av loggar. Etaten søkjer ein god balanse mellom å løyse forvaltningsoppgåvene sine med eksisterande teknologi og å fylle krava til personvern og informasjonstryggleik. Regjeringa forventar betring av informasjonstryggleiken og personvernet på stønadsområda etter kvart som etaten får moderne IKT-støtte. Det er viktig at etaten i perioden fram til dei nye systema kjem på plass, held fram med arbeidet med kortsiktige risikoreduserande tiltak.
4.6 Ulike offentlege kontrollføremål
Meir og meir av rettshandhevinga i samfunnet blir lagd til offentleg forvaltning. Oppgåver som tradisjonelt har lege hos politi, påtalemakt og domstolar, medrekna det å avdekkje lovbrot og å påleggje sanksjonar, høyrer no inn under ulike forvaltningsorgan.
Det vernet som gjeld for ein som er sikta i ei straffesak, gjeld ikkje automatisk i ei forvaltningssak. Då må ein ta vare på rettsvern- og personvernomsyn gjennom allmenne krav til mellom anna legalitet og god samanheng mellom opplysningane og bruken.
4.6.1 Avveging mellom behovet for kontroll og rettsvern
Norsk rettstradisjon byggjer på stor tillit mellom innbyggjarane og staten. Staten legg som utgangspunkt til grunn at innbyggjarane følgjer dei rettsreglane som til kvar tid gjeld. Når det blir gjennomført tiltak overfor ein einskildperson for å føre kontroll med om vedkomande faktisk følgjer regelverket, må ein ta vare på dei allmenne rettsvernprinsippa og personvernomsyna.
Det er særleg to omsyn som gjer seg gjeldande i samband med offentleg kontroll overfor einskildpersonar, og det er legalitetsprinsippet og det allmenne prinsippet om forholdsmessigheit, jf. EMK artikkel 8. Prinsippa set grenser for kva tiltak staten lovleg kan setje i verk overfor den einskilde.
Forholdsmessigheitsprinsippet krev at eit inngrep i den private sfæren må stå i eit rimeleg tilhøve til dei interessene samfunnet har i å gjennomføre tiltaket. Det må med andre ord skje ei avveging av interesser. Det er eit vilkår at tiltaket uansett ikkje skal vere meir inngripande enn det som er nødvendig for å ta hand om samfunnsinteressene.
Legalitetsprinsippet krev at alle tiltak staten set i verk, og som utgjer inngrep i den private sfæren til den einskilde, skal ha eit rettsleg grunnlag. Legalitetsprinsippet er relativt, slik at kravet til kor sterkt og klårt det rettslege grunnlaget er, blir tilpassa etter kor inngripande tiltaket er.
Når ein skal vurdere kor inngripande eit konkret tiltak er, må ein sjå på om tiltaket er frivillig eller blir påført den einskilde med tvang. Offentlege kontrolltiltak blir ofte gjennomførte utan samtykke frå innbyggjarane, og manglande medverknad kan i somme tilfelle straffast.
Det har vidare noko å seie om tiltaket kan krenkje den fysiske integriteten til den einskilde. Dette er typisk tilfelle når det skal gjerast kroppsvisitering eller i heimen til ein person.
Tiltak som fører med seg behandling av sensitive personopplysningar, er gjennomgåande meir inngripande enn tiltak som berre fører med seg behandling av ikkje-sensitive opplysningar. Føremålet med offentlege kontrolltiltak er ofte å sikre etterleving av regelverket. Dette kan føre med seg at det blir avdekt strafflagde handlingar. Opplysningar om at nokon er mistenkt for ei strafflagd handling, er opplysningar som er rekna for å vere sensitive. Vidare vil kontrollar, i tilfelle der dette er relevant for kontrollføremålet, kunne innebere at det blir innhenta sensitive opplysningar.
Det har òg noko å seie kor vidt behandlinga av personopplysningar femner, både med tanke på talet på registrerte, mengda av opplysningar om den einskilde og kor lenge behandlinga skal halde fram.
Endeleg har det noko å seie om tiltaket fører med seg spreiing av eksisterande personopplysningar. Dersom kontrollorganet berre behandlar opplysningar det alt sit inne med, er det mindre inngripande enn dersom organet hentar inn nye opplysningar for kontrollføremålet.
4.6.2 Vurderinga av forholdsmessigheit
Offentlege kontrolltiltak kan føre med seg store inngrep i personverninteressene til den einskilde. Tiltaka blir i stor grad gjennomførte med tvang og fører ofte med seg behandling av sensitive personopplysningar. Kontrollorgana har i mange tilfelle rett til å hente inn store mengder opplysningar frå andre offentlege organ og tredjepartar, medrekna sensitive personopplysningar. Offentlege kontrolltiltak kan berre setjast i verk dersom det ligg føre tungtvegande interesser som krev at kontrollen skal gjennomførast. EMK artikkel 8 set grenser for kva kontrolltiltak lovgivaren kan vedta. I praksis er denne avgrensinga likevel mest av teoretisk interesse, fordi opplistinga femner særs vidt.
Ulike samfunnsinteresser har ulik vekt. Vitale interesser, som ivaretaking av liv og helse, veg normalt særs tungt. Reint økonomiske interesser veg mindre, men kan likevel få stor vekt dersom det økonomiske utslaget er stort. Reine ordensomsyn har relativt lita vekt.
Det er krevjande å vege samfunnsinteressa i eit kontrolltiltak mot personvernomsyn. For det første er personvernet ei ideell interesse som ein ikkje lett kan måle, og dermed vanskeleg kan vege mot reint økonomiske eller andre målbare interesser. Vidare er det slik at personverninteressene først og fremst er individuelle, medan samfunnsinteressa er kollektiv. Dei som får personvernet krenkt, er med andre ord i mindretal.
Samtykke frå den registrerte er ofte rekna for å vere det føretrekte rettslege grunnlaget ved behandling av personopplysningar. Det er samtykke som best tek vare på sjølvråderetten til den einskilde. Når det gjeld offentlege kontrollføremål, er likevel samtykke lite eigna. For det første er styrketilhøvet mellom stat og innbyggjar ofte så skeivt at ein kan spørje om samtykket verkeleg er frivillig. For det andre veg samfunnsomsyna ofte så tungt at sjølvråderetten til den registrerte uansett må setjast til side.
4.6.3 Innhenting av opplysningar frå parten sjølv
Dersom den einskilde sjølv får høve til å leggje fram personopplysningane som er nødvendige for å klårgjere ei forvaltningssak, får vedkomande betre kontroll med eigne opplysningar. Han eller ho får kontroll med kva opplysningar som blir behandla, og kvar dei blir henta frå. Dermed kan vedkomande vurdere om opplysningane er relevante og tilstrekkelege for saka, og om dei har god nok kvalitet, før han gir dei frå seg. Dette tek normalt vare på grunnleggjande personvernomsyn, så framt manglande innlevering av opplysningar ikkje fører til tvangstiltak eller mistanke om uærlegdom.
Ved innhenting av opplysningar for offentleg kontroll, er det likevel gode grunnar til heilt eller delvis å byte ut eller supplere opplysningane frå parten sjølv med opplysningar som blir henta frå andre kjelder. Personvernomsyna må då først og fremst tryggjast gjennom å gi den registrerte informasjon om innhentinga og høve til motsegn.
4.7 Forsking
For alle moderne samfunn er det ei stor utfordring å finne ein god balanse mellom satsing på forsking som kan utvikle ny og samfunnstenleg kunnskap og teknologi, og behovet samfunnet har for å verne seg mot moglege og utilsikta skadeverknader av forskinga. Det er òg ei stor utfordring å finne fram til metodar, vurderingar og verdiar som skal avgjere kva avgrensingar forskinga skal ha. Etisk refleksjon må derfor vere med i alle ledda i eit velfungerande forskingssystem. Her kjem òg personvernet inn.
Ivaretaking av personvernomsyn er eit grunnleggjande forskingsetisk prinsipp. Bruk av personopplysningar i forsking er tydeleg regulert, og forskarane må rette seg etter fleire ulike regelsett og godkjenningsinstansar.
Tilgang til forskingsdata er viktig for eit ope samfunn, for læring og for styrking av rolla kunnskapen har i samfunnet. Men den generelle teknologiske utviklinga utfordrar personvernet også innan forskinga, for eksempel gjennom at det blir fleire måtar å drive kontroll og overvaking på. Dette kan påverke rettane til den einskilde forskingsdeltakaren.
Betre utnytting av forskingsdata gjer resultata meir etterprøvelege og fremjar kvaliteten i forskinga. Det er derfor eit mål i forskingspolitikken å leggje til rette for open tilgang til offentleg finansierte forskingsdata. Det blir mellom anna arbeidd for å følgje opp OECDs prinsipp og retningslinjer frå 2007 om tilgang til offentlig finansierte forskingsdata. I dette arbeidet må ein òg ta vare på personvernaspektet, for eksempel gjennom reglar om tilgang og vilkår for bruk av personopplysningar.
Tilhøvet til personopplysningslova
Forskingsprosjekt som inneber behandling av personopplysningar, fell inn under personopplysningslova og er som hovudregel meldepliktige til Datatilsynet, så framt prosjekta er godkjende av personvernombodet for forsking i verksemda. Helsefagleg forsking blir som hovudregel regulert av helseforskingslova. Prosjekta må som utgangspunkt leggjast fram for dei regionale komiteane for medisinsk og helsefagleg forskingsetikk (REK), men dei må òg vurderast mot helseregisterlova.
Norsk samfunnsvitskapleg datateneste (NSD) er personvernombod for forskings- og studentprosjekt som blir gjennomførte ved universitet, statlege høgskular, vitskaplege og private høgskular, ei rad helseføretak og andre forskingsinstitusjonar. Hovudoppgåvene til NSD er å vurdere om forskings- og studentprosjekt fyller krava i personopplysningslova og helseregisterlova med tilhøyrande forskrifter, og å gi informasjon og rettleiing til institusjonane og til kvar einskild forskar og student om forsking og personvern. NSD skal òg halde systematisk og offentleg oversikt over alle behandlingar dei har godkjent, og hjelpe den registrerte med å ta vare på rettane sine.
For prosjekt som blir vurderte som konsesjonspliktige, sender personvernombodet søknad til Datatilsynet på vegne av forskaren eller studenten. Prosjektet kan ikkje setjast i gang før Datatilsynet har gitt konsesjon (førehandsgodkjenning). Når søknader om konsesjon skal avgjerast, legg Datatilsynet mellom anna vekt på om behandlinga av personopplysningane kan medføre ulemper for den einskilde. Datatilsynet kan gi konsesjon under føresetnad av at visse vilkår blir oppfylte. Slike vilkår er rettsleg bindande for forskarane. Både NSD og Datatilsynet gjer såleis vurderingar der føremålet med forskinga og det ein ønskjer å oppnå, blir vege opp imot personvernomsyn.
Krav til samtykke
Som hovudregel skal forskingsprosjekt som inkluderer personar, berre setjast i gang etter eit frivillig, uttrykkeleg og informert samtykkefrå deltakarane. Informantane har til kvar tid rett til å avbryte deltakinga si, utan at dette får negative konsekvensar for dei. Dei det blir forska på må få informasjon som gjer at dei kan forstå forskingsfeltet, følgjene av å ta del i forskingsprosjektet og føremålet med forskinga.
Behovet for lettfatteleg informasjon til deltakarane er særleg stort viss forskinga inneber ei eller anna form for risiko for deltakarane. Deltakarane må få reelt høve til å reservere seg mot å ta del i forskinga, utan utilbørleg press eller ulemper for dei sjølve. Forskaren skal sjå til at informasjonen faktisk er forstått av informantane.
Kravet om samtykke skal førebyggje krenkingar av personleg integritet. Eit frivillig, uttrykkeleg og informert samtykke gjer det mogleg å gjennomføre forsking som inneber ein viss risiko for belastningar for den einskilde. Det er utarbeidd eigne retningsliner for korleis ein på visse vilkår kan drive forsking som inkluderer menneske med redusert eller manglande samtykkekompetanse. Innhenting av opplysningar til bruk i forsking kan òg gjerast ved fritak frå teieplikta i § 13 d i forvaltningslova. Samtykke som grunnlag for behandling av personopplysningar, er nærmare omtala i kapittel 6.4.
Konfidensialitet
Tillit, lojalitet og fortrulegskap er grunnelement i det ansvaret forskaren har for den det blir forska på. Fortrulegskap inneber at tilgangen til informasjon blir avgrensa til dei som er autoriserte for tilgang. Fortrulegskapen blir normalt skjerpt etter kor sensitiv informasjonen er, og også etter kor utsett den det blir forska på, er.
Opplysningar om personar som tek del i forskingsprosjekt, skal behandlast «forsvarleg», det vil seie at ein skal handtere opplysningane i samsvar med lover og reglar, eventuelt òg i samsvar med lovnader som er gitt til den opplysningane gjeld. Metodekravet om etterprøveleg forsking inneber at ein ikkje alltid kan sikre fortrulegskap ved historiske og personretta studiar. For einskildindividet kan det liggje eit vern i at forskaren anonymiserer eller avidentifiserer innsamla data. Samstundes fører dette i dei fleste tilfelle til at kontrollen av forskingsprosjektet og av om resultata er gyldige, blir vanskelegare, og kan tene like mykje til vern av forskaren som av den som har gitt forskaren informasjon.
Reint metodisk kan det somme tider vere nødvendig å fire på andre vitskaplege standardar for å sikre fortrulegskapen. Dette gjeld ikkje minst det vitskaplege idealet om at ein skal kunne etterprøve forskinga. I utgangspunktet krev etterprøving av forskinga at forskaren publiserer tilstrekkeleg informasjon til at andre kan gjere prosedyrane opp att og etterprøve resultata. Kravet om fortrulegskap kan for eksempel innebere at ein må samle resultata i grupperingar eller modifisere omtalar eller verdiar for å sikre at informasjon ikkje let seg spore attende til einskildindivid eller særleg sårbare grupper. Sjølv om dette kan gjere det vanskelegare å etterprøve forskinga, er det viktig å respektere fortrulegskapen. Denne potensielle konflikten inneber at det er viktig at forskaren på førehand har tenkt igjennom kva konkrete strategiar ein kan leggje opp til for å sikre høg etisk standard, og samstundes, så langt råd er, ta vare på prinsippet om etterprøving av forsking.
4.8 Arbeidsliv
Personvern i arbeidslivet handlar om ei interesseavveging mellom behovet arbeidsgivaren har for å kontrollere kva som går føre seg i verksemda, og behovet arbeidstakaren har for vern av personleg integritet og personlege opplysningar. Det rettslege utgangspunktet er den ulovfesta retten arbeidsgivaren har til å organisere, leie, kontrollere og fordele arbeidet – den såkalla styringsretten til arbeidsgivaren. Styringsretten er avgrensa av lov, tariffavtaler og individuelle avtaler og rettspraksis.
Skal ein finne balanserte løysingar mellom interessene til arbeidsgivaren og arbeidstakaren, må ein vege desse interessene mot einannan. Høvet arbeidsgivaren har til å setje i verk kontrolltiltak, kviler normalt på ei avveging mellom kva kontroll verksemda treng, kva karakter tiltaket har, og kor inngripande kontrollen verkar på arbeidstakaren. Det skal gjerast ei konkret vurdering i kvart tilfelle. Skal kontrolltiltaket vere lovleg, må interessa arbeidsgivaren har i å setje i verk tiltaket overstige ulempene arbeidstakaren blir påført.
Eksempel på kontrolltiltak er kameraovervaking i arbeidslokala, overvaking av telefonbruk, kontroll av e-post eller kva internettsider arbeidstakaren nyttar, lokalisering og sporing gjennom til dømes mobiltelefonar eller GPS, tilgangskontroll som viser kvar den tilsette er, bruk av «hemmeleg kunde» eller ransaking/kroppsvisitering.
Dei allmenne vilkåra som må vere oppfylte for at eit kontrolltiltak skal vere lovleg, knyter seg til omgrepa saklegheit og proporsjonalitet, som er velkjende arbeidsrettslege normer. Omgrepet sakleg grunn (sakleg føremål) femner om ei lang rekkje tilhøve. Både teknologi, økonomi, tryggleik, arbeidsmiljø og helsemessige tilhøve kan gi sakleg grunn for kontrolltiltak.
Saklegheitskravet har to hovudelement. For det eine må ein ha eit sakleg føremål med kontrolltiltaket som er forankra i sjølve verksemda. For eksempel kan rusmiddeltesting av flygarar vere sakleg sjølv om det same kontrolltiltaket for kontorpersonell ikkje har sakleg grunn. Det blir òg kravd at tiltaket er eigna til å avdekkje det ein vil kontrollere, det vil seie at det er føremålstenleg (testresultata må vere pålitelege, elles er dei ikkje eigna). For det andre gjeld kravet om sakleg grunn gjennom heile behandlingstida, det vil seie at kontrolltiltaket må stoppe når behovet eller føremålet som grunngav tiltaket, ikkje lenger er til stades.
Momenta i saklegheitsvurderinga er òg relevante i ei vurdering av om eit isolert sett sakleg kontrolltiltak fører med seg urimelege ulemper for arbeidstakarane. Dersom kontrolltiltaket fører med seg eit ikkje ubetydeleg inngrep i personleg integritet, respekt, privatliv eller liknande, er vilkåra for å gjennomføre kontrollen i utgangspunktet berre oppfylte i unntakstilfelle. Motsett skal det mykje til for at meir tradisjonelle kontrolltiltak i arbeidslivet, som tidsregistrering, tilgangskontroll, produksjons- og resultatkontroll eller kontroll i samband med konkret mistanke om strafflagde handlingar, blir rekna som urimelege.
Ved vurderinga av rimeleg samsvar må ein òg sjå på summenav kontrolltiltak i verksemda. Sjølv om eit kontrolltiltak isolert sett er i samsvar med lovkrava, kan gjennomføringa av det reknast som ulovleg dersom tiltaket fører til at ein går ut over den forsvarlege tolegrensa for arbeidstakaren eller sjølve arbeidsmiljøet, vurdert ut frå summen av tiltak i bedrifta.
Dei arbeidsrettslege reglane om kontroll og reglane i personopplysningslova om behandling av personopplysningar, må tolkast og praktiserast i lys av kvarandre. Dei arbeidsrettslege reglane inneheld den same norma for personvern som personopplysningslova byggjer på, men dei to regelsetta bruker ulike omgrep.
Kravet arbeidsretten stiller om sakleg grunn, fører normalt til at vilkåret i personopplysningslova om rettkomen interesse i å behandle personopplysningar, er oppfylt. Vilkåret om rimeleg samsvar/proporsjonalitet inneber normalt at omsynet til personvernet til arbeidstakaren må vurderast opp mot dei rettkomne interessene til arbeidsgivaren.
Alle typar helsekontrollar, både kliniske og biologiske, må i utgangspunktet reknast som inngrep i den personlege integriteten til den einskilde arbeidstakaren. Slik kontroll er derfor avgrensa til det som er strengt nødvendig ut frå omsynet til verksemda. Helseundersøking av dei tilsette krev heimel i lov og er berre lovleg dersom stillinga inneber ein særleg risiko, eller når det er nødvendig for å verne liv eller helse. Med stilling som inneber særleg risiko, meiner ein stillingar der utøvaren rutinemessig kjem i situasjonar der konsekvensane av feil er særleg store (anten for vedkomande sjølv, for tredjepersonar eller for samfunnet), og der det må stillast særlege krav til aktsemd og merksemd. Dersom vilkåra er til stades, kan undersøkingane til dømes femne om rusmiddeltesting. Kravet om at undersøkinga må vere nødvendig, skal tolkast strengt. Faren må vere alvorleg og stå fram som konkret, nærliggjande og sannsynleg.
Ei av dei vanlegaste formene for kontrolltiltak, som det òg er mange spørsmål rundt, er høvet arbeidsgivaren har til innsyn i e-postkassa til arbeidstakarane. Dette spørsmålet er særleg regulert i personopplysningsforskrifta kapittel 9. Vilkåra for innsyn i postkassa til arbeidstakarane er
«når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten» eller «ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed».
Men saksbehandlingsreglane om informasjon og drøfting i arbeidsmiljølova skal òg leggjast til grunn ved dette kontrolltiltaket. Det tyder at arbeidsgivaren må drøfte med dei tilsette i kva tilfelle ein kan gå ut frå at det trengst innsyn, og korleis eit slikt innsyn kan gjennomførast. Alle tilsette skal gjerast kjende med kva rutinar ein har i verksemda på dette området. Tilsvarande gjeld for bruk av kameraovervaking i samsvar med reglane i personopplysningslova.
4.9 Bokføringsplikt i handel og finans
Bokføringsplikta er regulert i bokføringslova1 og bokføringsforskrifta2 og har som føremål å sikre tilfredsstillande registrering og dokumentasjon av dei økonomiske aktivitetane til bokføringspliktige.
For å vere i samsvar med føremålet må bokføringa oppfylle dei grunnleggjande bokføringsprinsippa som går fram i bokføringslova § 4. Dette inneber m.a. at bokføringa må vere fullstendig, og at bokførte opplysningar må vere dokumenterte på ein måte som syner at dei er rettkomne. Vidare er det ein føresetnad for etterkontroll at det er teke vare på dokumentasjonen.
Dei grunnleggjande bokføringsprinsippa er nærmare operasjonaliserte gjennom reglar i bokføringslova og bokføringsforskrifta. Reglane fører i mange tilfelle til at personopplysningar blir behandla. For eksempel inneber krava til innhaldet i sals- og kjøpsdokumentasjon at ein skal opplyse om partane, og det er òg reglar om dokumentasjon av løn, reise- og opphaldsutgifter m.m. som kan innebere plikt til registrering og lagring av opplysningar som kan knytast til ein einskildperson. I somme tilfelle kan dokumentasjonen innehalde ei rekkje personopplysningar.
Etter bokføringslova § 13 gjeld det krav til lagring av pliktig rekneskapsrapportering, spesifikasjonar av pliktig rekneskapsrapportering, dokumentasjon av bokførte opplysningar m.m. og nummererte brev frå revisor i ti år. Avtaler, brevskifte med viktige tilleggsopplysningar, utgåande pakksetlar og prisoversikter som skal utarbeidast i samsvar med lov eller forskrift, skal lagrast i tre år og seks månader.
Lagring av personopplysningar i det omfanget bokføringsregelverket legg opp til, kan utfordre personvernet. Det blir stundom lagra særs detaljert informasjon om kvar kundane har vore, kva dei har kjøpt, og når dei gjorde transaksjonane. Dette er informasjon som kan seie mykje om rørslene og handlingane til den einskilde, og misbruk kan få alvorlege følgjer for den opplysningane gjeld. Informasjonen må derfor vere underlagd nødvendig sikring. Samstundes er det viktig å gjere gode analysar av personvernkonsekvensar når lagringsplikt blir vedteken eller endra, slik at lagring av kjøpsdetaljar blir avgrensa til eit nødvendig minimum.
4.10 Samandrag og tilrådingar
Ved behandling av personopplysningar må ofte ulike omsyn vegast mot einannan, og det må gjerast ei proporsjonalitetsvurdering. Vurderinga skal synleggjerast, slik at ho kan etterprøvast og diskuterast.
Behandling av opplysningar til kontrollføremål ved utøving av offentleg myndigheit skal vere nødvendig. Det er viktig å vurdere tiltak som kan minske eventuelle ulemper for personvernet. Slike tiltak kan for eksempel vere innsynslogging, kryptering, informasjonsavgrensing og sikring av gode rutinar internt i kvart einskilt organ.
Boks 4.1 Hovudpunkt kapittel
Avveging av ulike interesser og proporsjonalitetsvurderingar skal synleggjerast, slik at dei kan etterprøvast og diskuterast.
Ein kan berre behandle personopplysningar til offentlege kontrollføremål når det er nødvendig. Det skal vurderast tiltak som kan minske eventuelle ulemper for personvernet. Aktuelle tiltak kan vere tilgangsstyring og innsynslogging, kryptering, informasjonsavgrensing og sikring av gode rutinar i kvart einskilt organ.