6 Vilkår for behandling av personopplysningar
6.1 Generelt om det rettslege grunnlaget for behandling av personopplysningar
Behandling av personopplysningar kan ha grunnlag i samtykke frå dei registrerte, i lovheimel eller i ein av dei nærmare bestemte grunnane i personopplysningslova § 8 bokstavane a til f. Når ein skal behandle sensitive personopplysningar, må ein ha grunnlag i både § 8 og § 9. Dette inneber at det blir stilt strengare krav til heimelsgrunnlag ved behandling av personopplysningar som er sensitive, enn ved behandling av andre personopplysningar.
Boks 6.1 Kva er sensitive personopplysningar
Etter personopplysningslova er sensitive personopplysningar opplysningar om
rasemessig eller etnisk bakgrunn eller politisk, filosofisk eller religiøs oppfatning
at ein person har vore mistenkt, sikta, tiltala eller dømd for ei straffbar handling
helse
seksualitet
medlemskap i fagforeiningar
Også tilsynelatande trivielle opplysningar, som til dømes adresse, kan somme gonger røpe sensitiv informasjon. Dette er blant anna tilfellet for personar som har adresse i fengsel eller i helseinstitusjon.
Andre opplysningar enn dei som lova definerer som sensitive, kan vere opplysningar den registrerte ønskjer å verne. Dette kan til dømes vere opplysningar om økonomiske tilhøve, som mange oppfattar som sensitive. Desse opplysningane er likevel ikkje underlagde det særlege vernet personopplysningslova gir for sensitive personopplysningar.
Behandling av personopplysningar er nødvendig for eit velfungerande samfunn og ein føresetnad for rettsstaten. Ein må kunne samle inn personopplysningar til definerte føremål og kunne bruke opplysningane til desse føremåla. Når det gjeld krav til rettsleg grunnlag for behandling av personopplysningar, er det stor forskjell mellom offentlege styremakter, private aktørar som utfører lovheimla offentlege tenester og oppgåver, og private aktørar. Privatrettsleg bind innbyggjarane seg frivillig ved avtalar, medan myndigheita på det offentlegrettslege området er knytt til lovgiving. Utøving av offentleg myndigheit er bindande utan noka form for samtykke frå innbyggjarane.
Det er ønskjeleg at dei registrerte har så stor råderett over eigne personopplysningar som mogleg. Samtykke som behandlingsgrunnlag står sentralt i denne samanhengen. I den vidare framstillinga vil spørsmålet om lovheimel som behandlingsgrunnlag i første rekkje vere knytt til utføring av lovpålagde offentlege oppgåver, sjølv om dette òg er eit aktuelt behandlingsgrunnlag for private aktørar i visse samanhengar. Samtykke som behandlingsgrunnlag er primært aktuelt i privat sektor, men kan òg vere relevant i offentleg sektor. Enkelte personopplysningsbehandlingar er openbert nødvendige for å utføre lovpålagde offentlege oppgåver, sjølv om behandlinga ikkje har nokon eksplisitt heimel i lov. Då må ein kunne leggje til grunn at lovgivaren har vurdert dei personvernmessige konsekvensane av lova, og at den medfølgjande behandlinga ikkje er så inngripande at ho etter legalitetsprinsippet krev ein klårare lovheimel. Nødvendiggjerande grunnar kan vere aktuelle behandlingsgrunnlag i både offentleg og privat sektor. I offentleg sektor vil til dømes utøving av offentleg myndigheit eller utøving av oppgåver av allmenn interesse kunne vere aktuelle grunnlag for innsamling og bruk av personopplysningar. I privat verksemd kan ein aktuell grunn vere oppfylling av ei avtale med den registrerte.
6.2 Val av behandlingsgrunnlag
Dei tre behandlingsgrunnlaga samtykke, lovheimel og grunn som gjer behandling nødvendig er likeverdige alternativ i personopplysningslova. Samtidig blir samtykke i mange samanhengar framheva som det føretrekte grunnlaget for behandling, i alle fall der dei registrerte har eit reelt val.
I valet mellom samtykke eller nødvendiggjerande grunn som grunnlag for behandling av personopplysningar, går det fram av forarbeida til personopplysningslova1 at personopplysningsbehandlingar i størst mogleg grad bør baserast på samtykke der dette let seg gjere. At den registrerte har kontroll med flyt og bruk av opplysningar om seg sjølv, er grunnleggjande for bruk av andre rettar etter personopplysningsregelverket. Samtykke legg til rette for slik kontroll.
I ei rekkje samanhengar er samtykke likevel ikkje eit eigna grunnlag for behandling av personopplysningar. Behandling av personopplysningar i offentleg forvaltning er i stor grad basert på heimel i lov som ein føresetnad for utøving av offentleg myndigheit eller som ein føresetnad for å utøve ei lovpålagd offentleg oppgåve. Den offentlege tenesta kan vere lovregulert og innebere behandling av personopplysningar, som tenesteyting i arbeids- og velferdsforvaltninga eller i skulesektoren, utan at behandlinga er nærmare omtala i regelverket. Slik tenesteyting blir òg utført av private aktørar. Det vil som regel ikkje vere riktig å la samtykke vere grunnlag for behandling av personopplysningar som er ein nødvendig føresetnad for å kunne ta imot ein lovheimla rett, eller som er nødvendig for utøving av andre lovregulerte oppgåver.
For private aktørar kan det òg vere nødvendig å nytte andre behandlingsgrunnlag enn samtykke. Eit eksempel kan vere behandling av kontaktinformasjon for bruk i direkte marknadsføring. Behandling av kontaktinformasjon er i dei fleste tilfelle lite personverninngripande, og det å bli kontakta for direkte marknadsføring er ikkje eit stort personverninngrep for den enkelte. På den andre sida kan kostnaden ved å innhente samtykke for slike behandlingar vere stor i høve til gevinsten. I slike tilfelle er det til no ikkje vurdert som nødvendig å basere behandlinga på samtykke. At ein ikkje trur at dei registrerte vil gi sitt samtykke til behandlinga, er derimot som hovudregel ikkje eit argument for å velje å basere ei personopplysningsbehandling på eit anna rettsleg grunnlag enn samtykke. Tvert imot kan dette, særleg i privatrettsleg samanheng, haldast for å vere eit godt argument for at behandlinga nettopp bør baserast på samtykke frå dei registrerte.
6.3 Lovheimel og nødvendiggjerande grunn som grunnlag for behandling av personopplysningar
Forvaltninga si innsamling og bruk av personopplysningar er i hovudsak fastsett i lov eller er nødvendig for å utøve offentleg myndigheit. Tilsvarande gjeld for private aktørar som utfører lovpålagde offentlege tenester. Forvaltninga si behandling av personopplysningar må sjåast i samanheng med at behandling av personopplysningar ofte skjer som del av utøvinga av myndigheit. Personopplysningane som blir behandla, må vere relevante og oppdaterte. Langt på veg har derfor det offentlege og dei registrerte dei same interessene når grunnlag for behandling av personopplysningar skal vurderast.
Samtykke er eit lite eigna behandlingsgrunnlag for dei fleste behandlingar av personopplysningar i forvaltninga. Det er for eksempel lite praktisk at innbyggjarane skal kunne setje fram krav om ei yting eller teneste, men samstundes ha rett til å nekte at opplysningar om dei blir behandla for å avgjere om tenesta skal ytast, og i kva omfang. Barnevernet er eit døme på ei offentleg teneste som gjer det nødvendig å behandle personopplysningar utan grunnlag i samtykke. Barnevernet skal sikre at barn og unge som lever under forhold som kan skade helsa og utviklinga deira, får nødvendig hjelp og omsorg til rett tid. For å løyse oppgåvene sine må barnevernet kunne behandle sensitive personopplysningar uavhengig av om foreldra samtykkjer i det.
Somme lover regulerer sjølve behandlinga av personopplysningar, og behandlinga kan stå fram som eit mål i seg sjølv. Helseregisterlova er eit godt eksempel på ei slik lov. Ho gir eit fullt sett med reglar om behandling av helseopplysningar i helse- og omsorgssektoren som langt på veg erstattar personopplysningslova på dette området.
Sidan forvaltninga si utøving av myndigheit byggjer på legalitetsprinsippet, følgjer det av heimel i lov kva oppgåver offentlege styremakter skal utføre. Ein må leggje til grunn at lovgivaren òg har vurdert personvernsidene ved ei vedteken forvaltningsordning som krev at visse personopplysningar blir behandla. Behandling av personopplysningar er sjeldan noko mål i seg sjølv, men berre eit middel for å realisere eit mål. Til dømes er det ein føresetnad at skulen kan behandle opplysningar om elevane for å gi dei den undervisninga dei har krav på. Det vil vere unødvendig tungt og lovteknisk krevjande om lovheimlane i detalj skal regulere kva opplysningar ein kan hente inn, og korleis ein kan behandle dei for at forvaltninga skal kunne ta seg av dei lovpålagde oppgåvene sine.
Lovheimel som behandlingsgrunnlag kan ein ha både der det direkte er gitt heimel til å behandle personopplysningar, og der det er føresett at slik behandling kan skje. Tilsvarande gjeld for private aktørar som utfører lovpålagde offentlege tenester. Kva opplysningar som er dekte av heimelen, må likevel avgrensast til det som er nødvendig og relevant, slik at kravet til forholdsmessigheit og dataminimalitet i personopplysningslova blir oppfylt. Behandling av sensitive personopplysningar treng klårare heimel enn behandling av meir trivielle personopplysningar. Til dømes vil behandling av personopplysningar til kontrollføremål i arbeids- og velferdsforvaltninga krevje klårare heimel enn når plan- og bygningsetaten behandlar personopplysningar i byggjesaker.
Dersom ei grundig vurdering etter legalitetsprinsippet viser at ei personopplysningsbehandling i offentleg verksemd ikkje har slik heimel i lov at lovkravet i personopplysningslova er oppfylt, må ein sjå om personopplysningslova gir eit anna behandlingsgrunnlag. Det er mange offentlege oppgåver som føreset behandling av personopplysningar, og behandlingane vil derfor ofte vere nødvendige for å utøve offentleg myndigheit. Likevel er det ikkje knytt lovheimla rett til å behandle personopplysningar til alle desse offentlege oppgåvene. I slike tilfelle må forvaltninga kunne behandle personopplysningar med heimel i personopplysningslova § 8 bokstav e. Vilkåret seier at ein kan behandle personopplysningar når det er nødvendig for «å utøve offentlig myndighet». Dette er meint å omfatte både situasjonar der offentlege organ gjer vedtak, i tillegg til utøving av meir administrative funksjonar for å ta vare på rettane og pliktene til innbyggjarane. Er opplysningane og behandlinga nødvendig for at styremaktene skal kunne utføre desse lovpålagde oppgåvene, vil behandling derfor oppfylle kravet i personopplysningslova § 8 bokstav e.
I behandlinga av utkastet til ny personvernforordning i EU er det peikt på at den nødvendiggjerande grunnen i personopplysningslova § 8 bokstav e er det mest sentrale behandlingsgrunnlaget for offentlege styremakter. Forvaltningsorgan kan behandle dei personopplysningane som er nødvendige for å gjere enkeltvedtak eller ta andre avgjerder som ledd i å utøve offentleg myndigheit. Dersom forvaltningsorganet ønskjer å samle inn opplysningar som ikkje er relevante for utøving av myndigheit, for eksempel ei brukarundersøking, kan behandlinga ikkje heimlast i § 8 bokstav e.2
Det som er sagt ovanfor, inneber at forvaltninga si behandling av personopplysningar i hovudsak vil ha lovheimel eller vere nødvendig for utøving av offentleg myndigheit. Private aktørar si behandling av personopplysningar i samband med utøving av lovpålagde oppgåver vil som hovudregel òg ha lovheimel. Det kan likevel vere tilfelle der andre behandlingsgrunnlag, for eksempel samtykke, er relevante, typisk i tilfelle der forvaltningsorganet er utanfor kompetanseområdet sitt.
I framtida bør behandling av personopplysningar som er ein nødvendig føresetnad for at den offentlege forvaltninga kan utøve myndigheit og utføre tenester, så langt råd er ha heimel i lov. Som lovheimel reknar ein òg reglar som har som føresetnad at det vert behandla personopplysningar som er nødvendige for å oppfylle eit føremål. Utgreiingar av personvernkonsekvensar i lovgivingsprosessen kan bidra til auka merksemd på behovet for og innretninga av personopplysningsbehandlinga og såleis gi eit betre regelverk og eit betre personvern.
6.4 Samtykke som behandlingsgrunnlag
Samtykke blir i mange samanhengar framheva som det føretrekte grunnlaget for behandling av personopplysningar. Dette er óg stadfesta i internasjonal rett. Samtykke som behandlingsgrunnlag gjeld særleg i privat sektor, der det sjeldan vil vere lovheimel for ei behandling. Brukt riktig vil samtykke som behandlingsgrunnlag kunne gi grunnlag for godt personvern.
6.4.1 Ulike typar samtykke
Krava til eit samtykke i personvernsamanheng er lovregulert. Etter personopplysningslova § 2 nr. 7 skal eit samtykke vere ei frivillig, informert og uttrykkeleg erklæring frå den registrerte om at vedkomande godtek behandling av opplysningar om seg sjølv. Samtykket skal vere ei aktiv handling frå dei registrerte si side der vedkomande klårt og tydeleg godtek å vere del av ei personopplysningsbehandling. Det er ikkje eit krav at samtykket blir gitt skriftleg. Det er likevel den behandlingsansvarlege som har ansvaret for å dokumentere at det er gitt eit gyldig samtykke.
Før han eller ho gir samtykke, skal den registrerte få god og forståeleg informasjon om bruken av personopplysningar. Informasjonen skal seie noko om føremålet med behandlinga, kva opplysningar som blir behandla, og korleis dei blir henta inn, i tillegg til kven som har tilgang til opplysningane. Denne informasjonen skal danne grunnlaget for samtykket og vil vere avgjerande for kor langt samtykket rekk.
Informasjonen må vere godt synleg og lett tilgjengeleg for brukaren, helst samla på éin stad. Ein bør unngå å bruke vanskeleg språk og lange formuleringar. For mykje informasjon kan føre til at brukaren føler avmakt og unngår å setje seg inn i informasjonen, medan for lite informasjon kan føre til at brukaren ikkje forstår omfanget av behandlinga han eller ho samtykkjer i. Begge situasjonane kan føre til at samtykket ikkje tilfredsstiller krava i lova. Dei europeiske datatilsynsstyremaktene synest å vere einige om at ein gjennomsnittleg brukar bør vere i stand til å forstå informasjonen for at den skal vere tilfredsstillande.
Samtykket skal vere frivillig. Dersom det kan vere tvil om den registrerte opplever å ha eit reelt val, bør ikkje behandling av personopplysningar ha grunnlag i samtykke. Eit døme kan vere tilhøvet mellom ein arbeidsgivar og ein arbeidstakar, der arbeidsgivaren normalt vil ha ein vesentleg sterkare posisjon enn arbeidstakaren. Arbeidstakaren kan oppleve eit press for å godta arbeidsgivaren sine vilkår. Tilsvarande kan gjelde ved utøving av offentleg myndigheit, der behandling av personopplysningar kan vere heilt nødvendig for å tryggje rettane og pliktene til innbyggjaren. I slike samanhengar opplever den registrerte at han eller ho ikkje har noko val, og samtykket tilfredsstiller neppe krava i personopplysningslova. Innhaldet i kravet om at samtykket skal vere frivillig, blir omtala nærmare i punkt 6.4.2.
Det kan vere grunn til å vurdere om andre former for aksept frå den registrerte enn eit eksplisitt samtykke kan seiast å tilfredsstille kravet personopplysningslova set til samtykke, og såleis kan danne grunnlag for behandling av personopplysningar. Alternativ til samtykke kan vere reservasjonsrett eller implisitt samtykke/konkludent åtferd. Reservasjonsrett (på engelsk omtala som «opt out») inneber at den registrerte må gjere noko aktivt for å sleppe å bli registrert, medan konkludent åtferd inneber at ein blir halden for å ha godteke behandlinga dersom ein utan protestar innlèt seg på aktivitetar som krev behandling av personopplysningar. Reservasjonsrett blir omtala i kapittel 6.5.
Implisitt samtykke og konkludent åtferd
Det er viktig å skilje mellom samtykke til å delta i ei gitt handling eller aktivitet og samtykke til behandling av personopplysningar som følgjer av denne aktiviteten. Kanskje har den registrerte ikkje reflektert over at ein aktivitet kan medføre bruk av personopplysningar, og derfor ikkje kan seiast å ha gitt samtykke til personopplysningsbehandlinga. Den behandlingsansvarlege må vurdere om ein kan forvente at dei registrerte har forstått at handlinga deira ville medføre bruk av personopplysningar.
«Clickwrap» er ein avtale som blir inngått på nett ved at standardvilkår blir presenterte for brukaren i eit eige vindauge, og brukaren aksepterer desse vilkåra ved for eksempel å klikke på ein «aksept»-knapp. Ofte tek den behandlingsansvarlege inn vilkår om behandling av personopplysningar i standardvilkår i dette «clickwrap»-formatet. Når ein inngår avtale med til dømes ein nettbutikk, vil butikken kunne vise til at det er gitt samtykke til behandling av personopplysningar og/eller elektronisk marknadsføring på denne måten.
Både Datatilsynet og Forbrukarombodet legg til grunn at «click-wrap»-samtykke ikkje oppfyller krava til samtykke etter personopplysningslova og marknadsføringslova mellom anna fordi informasjonen er mangelfull. Forbrukarombodet har det siste året prioritert å få rydda opp i bruk av «clickwrap»-samtykke som grunnlag for behandling av personopplysningar i marknadsføringssektoren. Tilsyn og informasjon til behandlingsansvarlege kan bidra til å redusere problema ytterlegare.
Det eksisterer ikkje noko generelt krav om at samtykke skal vere skriftleg. Sidan det kan vere vanskeleg å vite kva dei registrerte har forstått og teke stilling til ved handlingane sine, kan det vere utfordrande å godtgjere at det er gitt eit implisitt samtykke. Implisitt samtykke kan derfor vere lite eigna som behandlingsgrunnlag etter personopplysningslova med mindre handlingane heilt openbert vil føre til bruk av personopplysningar.
Internasjonalt held ein fast ved at samtykke som grunnlag for behandling av personopplysningar skal vere klårt og tydeleg og innebere ein aktivitet frå den registrerte si side som stadfestar at vedkomande forstår at det vil bli behandla personopplysningar. Regjeringameiner prinsippet om at samtykke helst skal vere ei uttrykkeleg erklæring eller aktiv handling, er eit godt prinsipp som det er viktig å halde fast ved også i tida framover.
6.4.2 Bindingar som påverkar samtykket
For at eit samtykke skal vere eit gyldig grunnlag for behandling av personopplysningar, er eit av krava at det må vere gitt frivillig. Frivillig inneber sjølvsagt at samtykket ikkje kan bli gitt under noka form for tvang. Men òg andre forhold kan påverke den frie viljen, til dømes at det er eit ujamt styrkeforhold mellom partane som inneber at den registrerte ikkje opplever å ha noko reelt val med omsyn til å gi samtykke. Dette kan blant anna vere tilfellet når innbyggjarane er i kontakt med offentlege styremakter. Nokre døme kan vise dei utfordringane den behandlingsansvarlege kan møte, og som kan tilseie at samtykke ikkje er eigna som grunnlag for behandling av personopplysningar.
Samtykkeutfordringar i arbeidslivet
Kontroll og overvaking av tilsette er regulert i arbeidsmiljølova3. Arbeidsgivaren kan berre setje i verk kontrolltiltak som har sakleg grunn i verksemda og ikkje inneber ei urimeleg belastning for arbeidstakaren. Samstundes er behandling av personopplysningar i arbeidslivet regulert i personopplysningslova med forskrifter. Personopplysningar som blir samla inn i samband med kontrolltiltak, skal behandlast i samsvar med reglane i personopplysningslova.
Samtykke som behandlingsgrunnlag kan likevel vere problematisk i arbeidsforhold på grunn av den bindinga arbeidstakaren gjerne opplever til arbeidsgivaren sin. Denne bindinga gjer at partane ikkje nødvendigvis kan reknast som «likeverdige» når samtykket blir gitt, noko som igjen vil ha sitt å seie for om samtykket er frivillig. I Personvernnemnda sitt vedtak i sak PVN 2005-06 Securitas uttrykkjer nemnda dette slik:
«I dette tilfellet fremhever Securitas som arbeidsgiver at en nektelse ikke vil få følger for den aktuelle persons ansettelsesforhold. For den enkelte vil det likevel være nærliggende å oppleve at det vil kunne få konsekvenser for vedkommendes arbeidsforhold. Arbeidsgiver har alltid en viss makt over de ansatte gjennom sin styringsrett. Det vil i skyggen av denne være vanskelig å anse et samtykke fra en ansatt avgitt uten tanke på at nektelse vil kunne ha betydning for fremtiden – selv om arbeidsgiver ikke har til hensikt å utnytte opplysningene til skade for arbeidstaker.»
Samtykke er i mange samanhengar det føretrekte behandlingsgrunnlaget etter personopplysningslova. Systemet i arbeidsmiljølova er annleis. Reglane i arbeidsmiljølova skal verne den tilsette mot usakleg og utilbørleg overvaking og kontroll. Reglane kan ikkje fråvikast til ugunst for arbeidstakarane gjennom samtykke med mindre det er eit særskilt rettsleg grunnlag for det. Slike heimlar finst ikkje i dag, og gjeldande regelverk er derfor til hinder for at arbeidstakaren kan samtykkje i kontrolltiltak som er i strid med krava i arbeidsmiljølova kapittel 9. Individuelt samtykke er ikkje tilstrekkeleg som rettsleg grunnlag for eksempel for innhenting av helseopplysningar eller gjennomføring av medisinske undersøkingar i samband med tilsetjingar. Dette vil vere eit så alvorleg inngrep i den personlege sfæren at samtykke ikkje er tilstrekkeleg heimelsgrunnlag uavhengig av om arbeidstakaren føler seg pressa til å gi det eller ikkje. For slike tilfelle inneheld derfor arbeidsmiljølova uttømande regulering av kva opplysningar arbeidsgivaren har lov til å hente inn, og kva han kan bruke opplysningane til. Reglane i personopplysningsforskrifta om arbeidsgivaren sitt innsyn i e-posten til tilsette er òg utforma slik at dei ikkje kan fråvikast ved avtale til ugunst for arbeidstakaren. Arbeidstakaren i skal ikkje pressast til å «samtykkje» i at arbeidsgivaren får tilgang til e-postkassa.
Samstundes som arbeidsgivaren ikkje har rett til å fråvike reglane til ugunst for arbeidstakaren, er det fullt høve til å avtale kontrolltiltak innanfor rammene som følgjer av lova. Blant anna inneheld hovudavtalen mellom LO og NHO regulering knytt til kontroll- og overvakingstiltak.
I internasjonal samanheng òg blir arbeidsforhold trekte fram som døme på bindingar der samtykke vanskeleg kan bli gitt frivillig. I punkt 34 i fortalen til EUs utkast til personvernforordning er nettopp forholdet mellom arbeidsgivar og arbeidstakar brukt som døme på eit ubalansert styrkeforhold som kan medføre at samtykke ikkje er gitt frivillig, og såleis ikkje eignar seg som grunnlag for behandling av personopplysningar.
Samtykkeutfordringar i helse- og omsorgstenesta
For å behandle helseopplysningar i helse- og omsorgssektoren er utgangspunktet at ein må ha samtykke eller lovheimel. Dette er kome til uttrykk i fleire av helselovene, som til dømes pasient- og brukarrettslova og helseregisterlova. Samtykke er vidare eit sentralt element i medisinsk forskingsetikk, og kravet er derfor òg nedfelt i helseforskingslova.
Hovudregelen i helseregisterlova er at registrering og bruk av helseopplysningar til anna enn helsehjelp skal vere basert på samtykke frå dei registrerte. Samtykke er meint å sikre at den enkelte har innverknad på bruken av helseopplysningar om seg sjølv. Føring av pasientjournal følgjer likevel av lov og er ei plikt som ligg på helsepersonell når dei yter helsehjelp. Føring av journal krev ikkje samtykke frå pasienten. Det same gjeld for dei sentrale helseregistra, som har stor samfunnsnytte. For dei er personvernkonsekvensane vurderte av lovgivaren, og det er gitt utfyllande reglar i lov og forskrift for å sikre personvernet til dei registrerte.
Det er likevel utfordringar knytte til å gi samtykke til behandling av personopplysningar til andre føremål enn det å få helse- og omsorgstenester. Relasjonen mellom lege og pasient blir sjeldan opplevd som likeverdig. Det er derfor viktig at pasienten ikkje blir sett i ein situasjon som inneber ei oppleving av at samtykke vil kunne få innverknad på relasjonen til helsepersonellet og den helsehjelpa som skal ytast.
Overfor pasienten kan det vere ei pedagogisk utfordring å skilje mellom helsepersonellet si rolle som utøvarar av helsehjelp og ei eventuell rolle som forskar. Det å gi eit reelt samtykke føreset ei oppleving av likeverd. Å leggje til rette for samtykke som grunnlag for bruk av personopplysningar i situasjonar der det finst ei binding mellom pasienten og behandlaren, kan vere ei etisk utfordring.
Reservasjonsrett mot behandling av helseopplysningar kan reelt sett innebere større valfridom og gi betre balanse mellom partane i enkelte samanhengar. Dette kan gi pasienten meir ro og tid til å vurdere eige standpunkt før det blir teke ei avgjerd. Behandlingsgrunnlag i lov eller i ein av dei nødvendiggjerande grunnane kombinert med ein reservasjonsrett for den registrerte kan dermed gi pasienten meir reell sjølvråderett og såleis eit betre personvern enn eit strengt krav om samtykke som behandlingsgrunnlag.
6.4.3 Manglande samtykkekompetanse
Samtykkekompetansen til mindreårige
Mindreårige har i dei fleste tilfelle ikkje sjølvstendig samtykkekompetanse. Likevel er det mykje dei kan samtykkje i, avhengig av alder og mognad. I mange samanhengar har mindreårige oppfatningar om behandling av personopplysningar om dei. Dei kan òg bli bedne om å bidra med opplysningar om seg sjølve, til dømes i forskingssamanheng eller ved medisinsk behandling. I nokre samanhengar kan mindreårige sjølve samtykkje i behandling av opplysningar, medan det i andre samanhengar er dei føresette som samtykkjer på vegner av den mindreårige. Somme gonger blir det kravd at begge partar gir samtykke til behandling av personopplysningar. På denne måten unngår ein at dei føresette samtykkjer i noko den mindreårige er sterkt ueinig i, eller omvendt. Barnet sin alder og mognad vil vere eit viktig element i vurderinga av om barnet òg skal høyrast i spørsmålet om behandling av opplysningar.
For å tryggje barns personvern betre tilrådde Justis- og politidepartementet i Prop. 47 L (2011-2012) endringar i personopplysningslova § 11. Lovendringsforslaget vart vedteke, og frå 20. april 2012 følgjer det av personopplysningslova at ein ikkje kan behandle personopplysningar om barn i strid med det som er til beste for barnet. Prinsippet om barnet sitt beste tilseier at der barnet sitt behov for omsorg og vern i praksis ikkje fell saman med interessene til foreldra, må barnet sine interesser og behov gå føre. Dette gjeld òg for samtykke til behandling av personopplysningar. Når føresette samtykkjer i at opplysningar om barnet kan behandlast, skal dei derfor alltid ha barnet sitt beste i tankane. Døme på behandlingar som sjeldan vil vere til barnet sitt beste, kan vere tilfelle der foreldre gjer informasjon om barn tilgjengeleg på nett i saker om barnevern eller barnefordeling.
Spørsmålet om samtykkekompetansen til mindreårige er særleg aktuelt ved behandling av personopplysningar i skule- og barnehagesektoren, i helse- og omsorgssektoren og i forskingssamanheng. I forskingssamanheng legg ein til grunn at samtykke frå føresette normalt er nødvendig når barn under 15 år skal delta i forsking. Det er likevel viktig å ta vare på sjølvråderetten til barnet. I tillegg til samtykke frå foreldra er barns eigen aksept derfor nødvendig frå dei er gamle nok til å gi uttrykk for at dei samtykkjer. I skule og barnehage legg ein òg vekt på barns rett til medverknad og prinsippet om at synspunkta til barna skal leggjast til grunn ut frå alder, føresetnader og mognad. Dette er direkte formulert eller kan tolkast ut frå relevant regelverk på området. Barnet sin rett til å bli rådspurt og sjølv få samtykkje i behandling av personopplysningar må derfor sjåast i lys av både prinsippet om barns rett til medverknad og kravet i personopplysningslova om at personopplysningar ikkje skal behandlast i strid med barnet sitt beste. I helsevesenet er samtykkekompetanse for mindreårige direkte regulert i helseregisterlova jamført med pasient- og brukarrettslova. Av dette regelverket følgjer klåre aldersgrenser for den mindreårige sin rett til å samtykkje i helsehjelp. Graden av sjølvråderett aukar med alderen. På dei nemnde områda er mindreårige sin samtykkekompetanse godt avklåra, og det er ikkje nødvendig med nye tiltak for å tryggje barna sitt personvern.
Det er særlege utfordringar knytte til innhenting av samtykke når mindreårige bruker tenester i informasjonssamfunnet. Barn og unge forstår i mindre grad enn vaksne kva opplysningar som blir lagra om dei, kva opplysningane blir brukte til, og kven som får tilgang til opplysningar dei gir frå seg når dei bruker ulike tenester på nett. Likevel er det eit krav at dei samtykkjer i behandling av personopplysningar for at dei skal få tilgang til ulike tenester, til dømes når dei lastar ned applikasjonar og tenester til mobiltelefonane sine.
Samtykke til marknadsføring i sosiale medium, særleg kommersiell bruk av opplysningar om mindreårige
Bruk av sosiale medium og andre informasjonssamfunnstenester inneber i betydeleg grad eksponering for marknadsføring. Marknadsføringa er ofte spesielt retta mot brukaren ved å vere basert på analysar av nettaktivitetane til brukaren (for eksempel informasjonskapslar som blir lagra på maskina til brukaren og gir informasjon om rørsler på nettet). Barn og unge har ofte vanskeleg for å forstå samanhengen mellom nettaktiviteten og reklamen dei blir eksponerte for. Det kan vere vanskeleg å forklare dei samanhengen mellom «likes» på Facebook og reklamen i Facebook-profilen deira.
Samtykke til at personopplysningar kan nyttast til marknadsføring på nett, blir ofte gitt på lite tydelege måtar. Somme gonger ligg samtykke som ei førehandsinnstilling i tenesta, for eksempel i form av førehandsavkryssa boksar. Andre gonger blir det gitt samtykke til behandling av personopplysningar samtidig som ein takkar ja til sjølve tenesta. I 2005 utarbeidde Forbrukarombodet og Datatilsynet ei rettleiing om innhenting og bruk av barns personopplysningar. Sidan det har utviklinga i barns bruk av tenester i informasjonssamfunnet eksplodert. Brukarane er yngre enn dei var for nokre år sidan, og bruken er langt meir omfattande enn då. Det er derfor grunn til å ha ein open diskusjon om kva mindreårige bør kunne samtykkje i sjølve, og når foreldre eller føresette bør gi samtykke på deira vegner.
På europeisk nivå blir det diskutert om det skal innførast ei aldersgrense for barns samtykkekompetanse i informasjonssamfunnet. Det er gjort framlegg om at føresette skal samtykkje så lenge barnet er under 13 år, og det skal leggjast til rette for at samtykket kan etterprøvast. Dette kan gjerast ved ulike tekniske løysingar, til dømes at samtykke skjer ved stadfesting via e-posten til føresette. Aldersgrensa på 13 år er vald mellom anna fordi dette er aldersgrensa i lovgivinga i USA4.
Det er viktig å ha reglar som kan tryggje personvernet til norske barn på ein god måte, uavhengig av kva ein meiner er godt personvern i vertslandet for ulike sosiale nettsamfunn. Norske barn bruker tenester som blir tilbodne frå andre delar av verda. Ein kan neppe forvente at desse tenestetilbydarane vil tilpasse tenestene sine til eit særnorsk regelverk. Ein kan derimot forvente at dei tilpassar seg til vernenivået i resten av Europa. Samstundes må Noreg ha reglar som på ein god måte tryggjar barns personvern når dei bruker norske nettenester5.
Det er viktig å følgje den internasjonale diskusjonen om korleis ein best kan tryggje barns personvern, både ved bruk av tenester i informasjonssamfunnet og elles, slik at landa kan stå samla i sine krav overfor tenestetilbydarane. Noreg bør vere ein aktiv deltakar og bidragsytar i dette arbeidet, og på best mogleg vis påverke resultata av arbeidet til barna sitt beste. Både personvernstyremaktene og forbrukarstyremaktene kan spele viktige roller i dette arbeidet.
Samtykkeutfordringar når vaksne manglar samtykkekompetanse
Innhenting av samtykke til behandling av personopplysningar om personar med nedsett eller manglande vurderingsevne og især pasientar som lir av demens, reiser særlege utfordringar. Dette er derfor spesielt regulert i helse- og omsorgslovgivinga.
Bruken av velferdsteknologi har lenge vore eit aktuelt tema i helse- og omsorgssektoren. I rapporten frå Hagen-utvalet (NOU 2011: 11 Innovasjon i omsorg) er det blant anna føreslått å innføre og vidareutvikle tryggingsalarmar som har funksjonar for lokalisering av brukaren. Dette er føreslått som ein del av eit nasjonalt program for velferdsteknologi. Utvalet gjer framlegg om å innføre særskild lovgiving knytt til formidling og bruk av varslings- og lokaliseringshjelpemiddel, medrekna behandling av personopplysningar som hjelpemidla genererer6. Også frå anna hald, mellom anna Datatilsynet og Helsedirektoratet, har det vore etterlyst eit klårare regelverk om bruk av varslings- og lokaliseringsteknologi i tenesteytinga til pasientar og brukarar som manglar samtykkekompetanse.
Denne typen hjelpemiddel kan heve kvaliteten på tenestetilbodet og vere positive for pasientar og brukarar, særleg dei som lir av minnetap og demens. Det at pårørande eller helsepersonell kan bli varsla om potensielle farar eller kunne lokalisere personar som er forsvunne, kan bidra til at mange av desse menneska kan leve eit friare og meir normalt liv med meir fysisk aktivitet. Det kan òg bidra til at dei får høve til å bu heime lenger. Samstundes er det viktig at den nye teknologien ikkje erstattar mellommenneskeleg kontakt og sosialt samvær.
Det finst mange ulike teknologisk løysingar, og ein må konkret vurdere val av tiltak for og oppfølging av kvar einskild pasient eller brukar. Sjølv om varslings- og lokaliseringshjelpemiddel (til dømes GPS) kan gi pasientane og brukarane ei auka kjensle av integritet og sjølvstende, må ein òg vurdere tiltaket i eit personvernperspektiv. Behandling av personopplysningar som kan følgje med bruk av slik teknologi, krev eit klårt rettsgrunnlag etter personopplysningslova, helst i form av samtykke frå den registrerte (pasienten eller brukaren). Bruk av samtykke som grunnlag for behandling av personopplysningar er likevel vanskeleg i situasjonar der ein behandlar personar med til dømes demens. For at pasientane eller brukarane skal kunne gi samtykke etter lova, må dei vere i stand til å forstå kva bruken av personopplysningar inneber, det vil seie at dei må ha samtykkekompetanse.
Regjeringa ønskjer å skape rettsleg klårleik og leggje betre til rette for teknologi som kan gi kvar einskild betre høve til utfalding og livskvalitet samstundes som han eller ho får oppfylt behovet for tryggleik. Regjeringa har derfor sendt eit framlegg om lovendring på dette området på høyring. Framlegget gir helse- og omsorgstenesta høve til å ta i bruk varslings- og lokaliseringssystem for demente og andre som manglar samtykkekompetanse.
6.4.4 Gir samtykke alltid godt personvern?
Samtykke som behandlingsgrunnlag er eit viktig element i det å ha råderett over eigne personopplysningar. Råderetten står sentralt i både norske personvernreglar og i EUs arbeid med revisjon av personvernregelverket. I forslaget til revidert regelverk er det tydelegare fokus på reelt samtykke til behandling av personopplysningar. Ein fordel med samtykke som behandlingsgrunnlag er at det stør opp under og legg grunnlag for bruken av mange av dei andre rettane innbyggjarane har i samband med behandling av personopplysningar.
Likevel er det grunn til å spørje om samtykke alltid gir godt personvern. I 2005 gjennomførte Transportøkonomisk institutt ei stor undersøking om folks haldningar til og kunnskap om personvern7 på oppdrag frå Moderniseringsdepartementet og Datatilsynet. Undersøkinga viste at nordmenn flest reflekterer lite over eige personvern. Mange er lite medvitne om korleis opplysningar om dei blir behandla. Berre ein liten del av befolkninga kjenner personvernrettane sine, og endå færre bruker dei rettane regelverket gir dei. Mange gir frå seg personopplysningar sjølv om dei eigentleg ikkje ønskjer å gjere det, til dømes på ulike nettenester. Samstundes viser undersøkinga at befolkninga har tillit til at innsamla personopplysningar blir behandla på ein god måte både i offentleg og privat verksemd.
Ut frå svar i undersøkinga er det grunn til å rekne med at mange samtykkjer i behandling av personopplysningar utan å lese informasjonen dei får i samband med samtykkeerklæringa. Mange seier truleg ja til noko dei ikkje veit kva er. Det er grunn til å tru at dette skjer relativt ofte, og det er urovekkjande. Ikkje minst er det urovekkjande i samanhengar der det blir behandla mange og sensitive personopplysningar over eit langt tidsrom eller til uklåre føremål. Det er òg urovekkjande i samanhengar der innsamla informasjon skal vere tilgjengeleg for ei stor brukargruppe.
Verdien av samtykke som behandlingsgrunnlag har vore framheva og understreka dei siste åra, både nasjonalt og internasjonalt. Det blir lagt generelt stor vekt på at dei registrerte skal ha kontroll med behandling av opplysningar om seg sjølve. Informert samtykke står sentralt i denne samanhengen. Samtykke som behandlingsgrunnlag kan likevel gi eit inntrykk av ein råderett som kanskje ikkje er reell. Ein bør derfor vurdere nøye om ei personopplysningsbehandling eignar seg for å vere samtykkebasert. I nokre samanhengar kan ein spørje om bruk av samtykke som behandlingsgrunnlag nærmast fungerer som ei ansvarsfråskriving for den behandlingsansvarlege. Artikkel 29-gruppa i EU har drøfta dette i sin Opinion 15/2011 on the definition of consent. I oppsummeringa av dette dokumentet skriv arbeidsgruppa at dersom samtykke blir brukt feil, er det illusorisk, og samtykke blir eit utilstrekkeleg behandlingsgrunnlag.
Det er avgjerande at befolkninga blir sett i stand til å ta vare på sitt eige personvern. Samtykke er viktig i denne samanhengen og kan vanskeleg bli erstatta av andre ordningar. Alle tek meir eller mindre gode val på meir eller mindre godt grunnlag. Innbyggjarane bør ha same råderetten over behandling av personopplysningar som over andre forhold som direkte vedkjem dei, til dømes om dei vil forsikre eigedelane sine når dei skal på ferie. At personvernval av og til blir tekne på sviktande grunnlag, er derfor ikkje eit argument mot at samtykke skal vere eit tilrådd behandlingsgrunnlag.
6.5 Reservasjonsrett
Reservasjonsrett kan vere aktuelt der føremålet med eit tiltak ikkje blir oppnådd med bruk av samtykke og ein vurderer at nytta av personopplysningsbehandlinga er vesentleg større enn personvernulempa for dei registrerte. Reservasjonsrett blir mellom anna brukt ved etablering av Nasjonal kjernejournal. Registrering av opplysningar i Nasjonal kjernejournal er lovheimla, men samstundes frivillig ved at kvar einskild pasient har rett til å reservere seg mot å vere med. Seinare uthenting av opplysningar om einskildpasientar frå kjernejournalen er basert på samtykke får pasienten, med unntak av nokre situasjonar, typisk i ein akuttmedisinsk situasjon.
I nokre samanhengar kan reservasjonsrett for den einskilde i kombinasjon med lovheimel som behandlingsgrunnlag òg gi ei oppleving av større valfridom enn registrering med grunnlag i samtykke. Dette gjeld mellom annan der den registrerte på ein eller annan måte er avhengig av tenester frå den behandlingsansvarlege, for eksempel i pasient-lege-relasjonar. I nokre situasjonar kan derfor reservasjonsrett gi godt personvern for den einskilde.
For at dei registrerte skal kunne vurdere om dei ønskjer å reservere seg mot innsamling og bruk av personopplysningar, må dei få informasjon om alle delar av bruken slik at dei blir i stand til å ta eit slikt val. Informasjonen som skal gi grunnlag for å vurdere bruk av reservasjonsretten, bør i det vesentlege vere den same som om behandlinga skulle bli basert på samtykke frå dei registrerte. Det at ein på opplyst grunnlag vel å la vere å reservere seg, er likevel ikkje det same som å samtykkje. Det å gjere noko aktivt er alltid meir krevjande enn passivitet, og ein må gå ut frå at terskelen for å reservere seg er høgare enn for berre stillteiande å akseptere noko. Dermed kan ei løysing med reservasjonsrett ikkje likestillast med ei samtykkeløysing, der den registrerte blir tvinga til aktivt å ta stilling til behandling av personopplysningar.
Det at ein kan reservere seg mot ei behandling av personopplysningar, tek ikkje vare på alle dei same omsyna som det er meininga at samtykkekrava skal tryggje. Reservasjonsrett åleine kan derfor ikkje nyttast som eit behandlingsgrunnlag etter personopplysningsregelverket. Det blir gjerne gitt tilbod om reservasjonsrett fordi ein trur at dei registrerte kan reagere på personopplysningsbehandlinga, og at det derfor er fornuftig å opne for at dei som ikkje ønskjer å ta del i behandlinga, kan sleppe det. To svært ulike personopplysningsbehandlingar som begge bruker reservasjonsrett, er behandling av personopplysningar for bruk i direkte marknadsføring og behandling av personopplysningar i samband med etableringa av den nasjonale kjernejournalen som er nemnd ovanfor. Ingen av desse behandlingane kan rettsleg sett seiast å vere basert på samtykke, men har eit anna rettsleg grunnlag for behandling av personopplysningar. Grunnlaget kan vere varetaking av den rettkomne interessa den behandlingsansvarlege har i å behandle personopplysningar etter personopplysningslova § 8 bokstav c eller ein annan særskild lovheimel. Reservasjonsretten er ikkje eit behandlingsgrunnlag etter personopplysningslova, men kan vere eit personvernfremjande tiltak. Det er viktig å halde fast ved at reservasjonsrett ikkje er det same som at bruk av personopplysningar har grunnlag i samtykke. Regjeringa meiner likevel at reservasjonsrett i mange samanhengar vil gi godt personvern samstundes som det legg til rette for god ivaretaking av allmenne interesser. Dette kan gi grunnlag for å vurdere reservasjonsrett i fleire samanhengar enn det som i dag er tilfellet.
6.6 Samandrag og tilrådingar
I offentleg sektor vil behandling av personopplysningar normalt ha heimel i lov eller eventuelt vere ein nødvendig føresetnad for utøving av offentleg myndigheit. Som heimel reknar ein òg reglar som føreset at det blir behandla personopplysningar som er nødvendige for å oppfylle føremålet med lova. Samtykke bør likevel òg i framtida vere det føretrekte behandlingsgrunnlaget i samanhengar der dei registrerte har eit reelt val med omsyn til om dei vil la seg registrere. Samtykke som behandlingsgrunnlag i offentleg sektor skal berre brukast når grunnlaget for samtykke er reelt. Informasjon om og samtykke til behandling av personopplysningar gir dei registrerte godt grunnlag for å ta vare på sitt eige personvern. Samtykke gir råderett over behandling av eigne personopplysningar. Dette er eit viktig personvernprinsipp, og det blir framheva stadig oftare i personvernsamanheng, både nasjonalt og internasjonalt.
Utgreiingar av personvernkonsekvensar i lovgivingsprosessen kan medverke til større merksemd på behovet for og innretninga på personopplysningsbehandlinga og dermed gi klårare lovheimlar for behandling av personopplysningar.
Samtykke frå mindreårige til behandling av personopplysningar reiser særlege utfordringar. Når føresette skal samtykkje i behandling av personopplysningar på vegner av barn, skal barnet sitt beste alltid leggjast til grunn. Også barnet si meining skal ha vekt.
Å gjere det mogleg for dei registrerte å reservere seg mot behandling av personopplysningar kan vere ei god personvernløysing der personopplysningsbehandlinga er lovleg, men der behandling av opplysningar om den enkelte ikkje er påkravd.
Boks 6.2 Hovudpunkt kapittel
Dei registrerte skal i størst mogleg grad ha råderett over eigne personopplysningar.
Det offentlege si behandling av personopplysningar bør ha heimel i lov eller vere grunngitt i at det er nødvendig for utøving av offentleg myndigheit eller utføring av lovpålagde oppgåver.
I privat verksemd er samtykke det føretrekte behandlingsgrunnlaget der den registrerte har eit reelt val om å la seg registrere.
I somme samanhengar kan lovheimel for behandling av personopplysningar saman med ein reservasjonsrett for dei registrerte gi den mest reelle råderetten for den einskilde.