Del 3
Utvalgets lovforslag med merknader
21 Merknader til de enkelte bestemmelsene
Kapittel 1 Lovens formål og område
§ 1 Lovens formål
Lovens formål er å bidra til at behandling av personopplysninger skjer i samsvar med grunnleggende personvernhensyn, herunder behovet for tilstrekkelig opplysningskvalitet, personlig integritet og privatlivets fred.
Til § 1
Paragraf 1 inneholder lovens formålsbestemmelse (jf direktivet artikkel 1 nr 1), og er ny i forhold til personregisterloven. Bestemmelsen ligger innenfor rammene av Stortingets vedtak 21 april 1994 (jf utvalgets mandat 2 c) der det heter at:
«Stortinget ber Regjeringen legge fram forslag til endringer i lov om personregistre, slik at loven får en formålsparagraf som slår fast retten til vern mot utilbørlig inngripen i menneskers privatliv.»
Formålsbestemmelsen har flere funksjoner. For det første gir bestemmelsen uttrykk for den overordnede målsettingen som loven skal bidra til at blir oppfylt; at behandling av personopplysninger behandles på en måte som er i samsvar med grunnleggende personvernhensyn.
For det andre vil formålsbestemmelsen være et relevant moment ved tolkning av lovens øvrige bestemmelser. Fomålsangivelsen viser til grunnleggende persovernhensyn. I dette ligger det en henvisning til festnede oppfatninger om personvern, slik dette vil bli nedfelt i praksis fra domstolene, rettsteori og administrative avgjørelser. På den måten vil formålsbestemmelsen på sikt gi rom for og retning til en rettsutvikling, særlig ved anvendelse av skjønnsmessige og vurderingspregede bestemmelser.
Lovforslaget angir flere virkemidler som skal fremme lovens formål. Det etableres en rekke plikter for den behandlingsansvarlige og den registrerte gis ulike rettigheter. I tillegg skal loven etablere holdninger både hos mulige behandlingsansvarlige og registrerte som sammen med de materielle reglene i lovforslaget skal bidra til at behandling av personopplysninger skjer i samsvar med grunnleggende personvernhensyn.
Utvalgets medlem Georg Apenes understreker ønskeligheten av at lovens formålsparagraf får en klar form og et konkret innhold. Den skal inneholde politiske signaler og ha informasjonsverdi. En regulering i lovs form av bruken av personopplysninger henvender seg til så store deler av befolkningen at den bør betraktes som en allmenlov hvis innhold ideelt sett må kunne være tilgjengelig for alle. Sproget i det fremlagte lovforslaget preges av at utvalgets sammensetning domineres av jurister hvorav de fleste er tilknyttet statsadministrasjonen. Forslag om supplerende medlemmer ble avvist av Justisdepartementet. Sproget er ofte tungt og begrepsbruken utpreget juridisk. Med den tid som har stått til utvalgets disposisjon, har det ikke vært mulig å søke profesjonell bistand med sikte på å øke tilgjengeligheten for ikke-jurister. Dette medlemmet legger vekt på at Stortinget i sitt vedtak av 21. april 1994 forutsatte at de pålagte lovrevisjonsarbeidet skulle ta sitt utgangspunkt i en betraktning knyttet til en borgerlig rettighet. Regler og rettshåndhevende institusjoner som har som formål å imøtekomme borgerens krav på personvern, er derfor alle funksjoner av en rettighet den enkelte har. Denne retten bør identifiseres og fastslås i lovens formålsparagraf. Europarådets konvensjon 108 om personvern tar i artikkel 1 utgangspunkt i en ideell rettighet ( right to privacy) og i konvensjonens innledende avsnitt heter det at retten til beskyttelse av privatlivet i en tid der automatisert databehandling spiller en viktig rolle må betraktes på linje med menneskerettighetene og de grunnleggende friheter. Det må derfor være systematisk naturlig og innlede et regelverk, som i det vesentlige omhandler forpliktende krav til den eller de som skal bruke personopplysninger, med å fastslå den rett som utløser plikt. Utviklingen viser at nye muligheter for å registrere viten om, eller et grunnlag for å trekke slutninger om en person eller en gruppe gjennom registrering av adferd, innebærer nye personverntrussler lovgiver bør forholde seg til. Samtidig bør det slås fast at opplysninger eller for eksempel et biologisk materiale som avgis eller samles for et spesielt formål, ikke kan benyttes for andre formål uten samtykke eller annen, lovlig hjemmel. Etter dette medlems mening innebærer den raske og omfattende, nøyaktige innsikt i genetiske sammenhenger at det i fremtiden bør vises større tilbakeholdenhet ved bruk av personopplysninger om avdøde i forhold til tidligere lovgivning. Under henvisning til overstående, foreslår dette medlemmet slik formulering av loven § 1:
Denne lovens hensikt er å sikre at personopplysninger, knyttet til den enkeltes private livsområde, blir innhentet, bearbeidet, oppbevart og benyttet på grunnlag av samtykke, lovhjemmel eller rettslig beslutning. De samme krav stilles til registrering av adferd.
Den enkeltes ukrenkelighet skal respekteres både i privatliv, arbeidsliv og i offentlige sammenhenger.
Enhver har i utgangspunktet råderett over kunnskap denne gir fra seg om seg selv. Opplysninger, eller et materiale som gir grunnlag for opplysninger, skal bare benyttes til det eller de oppgitte formål de innhentes eller samles for.
Unntak skal være hjemlet i lov.
Lovens regler omfatter fysiske personer. De kommer også til anvendelse hvis opplysninger om døde eller juridiske personer kan knyttes til individ eller slekt og opplysningene må antas å være følsomme.
Formannen og utvalgets øvrige medlemmer viser til Apenes forslag og vil peke på at det i utvalget er enighet om mange av de synspunktene som kommer frem i forslaget. Disse medlemmene mener imidlertid at disse synspunktene er ivaretatt i utvalgets forslag til lovens øvrige bestemmelser og at det ikke er hensiktsmessig med en formålsparagraf med materielle regler (regler som direkte gir uttrykk for hvorledes personopplysninger skal eller kan behandles).
§ 2 Definisjoner
Med personopplysning menes opplysninger og vurderinger som direkte eller indirekte kan knyttes til en identifiserbar, fysisk person (den registrerte).
Med behandling av personopplysninger menes enhver operasjon eller serie av operasjoner som utføres på personopplysninger, som for eksempel innsamling og registrering herunder elektronisk overvåkning, systematisering, oppbevaring, endring, søking, utlevering, sammenstilling, blokkering og sletting.
Med personregister menes registre, fortegnelser mm der personopplysninger er lagret systematisk slik at opplysninger om den enkelte person kan finnes igjen.
Med behandlingsansvarlig menes den som bestemmer formålet med en elektronisk behandling eller formålet med et manuelt personregister, samt hvilke operasjoner som skal eller kan utføres på personopplysninger.
Med databehandler menes den som i henhold til avtale behandler personopplysninger på vegne av den behandlingsansvarlige.
Med elektronisk overvåkning menes vedvarende eller regelmessig gjentatt personovervåkning ved hjelp av fjernbetjent eller automatisk virkende utstyr.
Med samtykke menes en uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar at opplysninger om en selv blir behandlet.
Med sensitive personopplysninger menes personopplysninger om
rasemessig eller etnisk bakgrunn, eller politisk eller religiøs oppfatning
at en person har vært mistenkt, siktet, tiltalt eller dømt for straffbare forhold
helseforhold, herunder opplysninger om arveegenskaper og misbruk av rusmidler
seksuelle forhold
medlemsskap i fagforeninger.
Med enkeltavgjørelse menes
enkeltvedtak, jf forvaltningsloven § 2 bokstavene b) og a), og
andre avgjørelser som er bestemmende for bestemte private personers rettigheter eller plikter.
Til § 2
Legaldefinisjonene i § 2 er dels en videreføring av definisjonene i personregisterloven § 1, og dels basert på definisjonene i direktivet artikkel 2. De fleste av definisjonene har fått en noe annen utforming enn de tilsvarende definisjonene i direktivet, men innholdet i definisjonene ligger innenfor rammene av direktivets definisjoner.
Nr 1: personopplysning
Begrepet personopplysning er vidtrekkende, se avsnitt 10.1.1. Det omfatter opplysninger og vurderinger som direkte eller indirekte kan knyttes til identifiserbare fysiske personer. Det gjøres ingen endringer i personregisterlovens definisjon av begrepet.
Formålsbestemmelsen vil ha betydning ved tolkningen av begrepet personopplysning. Det kan tenkes tilfeller hvor ordlyden i nr 1 isolert sett kan trekke i retning av at en opplysning er personopplysning, men hvor personvernhensyn ikke kan begrunne at opplysningen vernes.
Lovforslaget omfatter bare opplysninger om levende personer. I de tilfellene de registrerte opplysningene om døde personer også gir opplysninger om gjenlevende personer (f eks opplysninger om arvelige sykdommer) vil dette være en personopplysning i lovens forstand, se 10.1.1.3.2.
Lovforslaget omfatter videre bare opplysninger om fysiske personer (se 10.1.1.3.1). Dette er en endring i forhold til personregisterloven som også omfatter opplysning om juridiske personer. Loven omfatter likevel opplysninger (om fysiske personer) som knytter seg til juridiske personer (f eks opplysninger om at en person er registrert som innehaver av en virksomhet). Avgjørende for om man skal anses som fysisk eller juridisk person er om man er tildelt organissasjonsnummer. Dette innebærer at de enkeltmannsforetak som er registreringspliktige etter foretaksregisterloven § 2-1, samt de enkeltmannsforetak som er registreringsberettigede etter samme lov § 2-2 og har benyttet seg av denne registreringsretten, vil være å anse som juridiske personer. For enkeltmannsforetak som ikke har organisasjonsnummer vil det ikke skilles mellom foretaket og den bestemte fysiske personen som er innehaver av foretaket, loven vil omfatte opplysninger om begge disse.
Også opplysninger som for den behandlingsansvarlige fremstår som anonymiserte kan være personopplysninger i lovens forstand dersom det finnes referanser eller andre tilknytningspunkter som gjør indentifisering mulig. I SOU 1997: 39 nevnes som eksempel at en som leverer tjenester via lnternett registrerer en anonym elektronisk identitet som bare kan knyttes til en identifiserbar enkeltperson dersom man har tilgang til opplysninger som vedkommendes Internettleverandør sitter inne med. Også etter den norske loven vil slike opplysninger kunne være personopplysninger.
Uttrykket den registrerte betyr her den opplysningene gjelder. Den registrerte benyttes også der det ikke foreligger noe personregister i tradisjonell forstand – opplysninger om den enkelte vil like fullt være registrert i betydningen innsamlet og oppbevart.
Nr 2: behandling av personopplysninger
Definisjonen av behandlingsbegrepet er den samme som i direktivet, se nærmere omtale av dette begrepet i avsnitt 10.1.2.2. Behandlingsbegrepet er vidt og omfatter enhver operasjon eller rekke av operasjoner – med eller uten bruk av edb – som personopplysninger gjøres til gjenstand for. Det er ikke alle former for behandling av personopplysinger som omfattes av loven. I loven knyttes behandlingsbegrepet enten til elektronisk behandling av personopplysninger eller til manuell behandling hvor personopplysningene inngår eller skal inngå i et personregister. Loven regulerer for eksempel ikke manuell behandling av personopplysninger når personopplysningene ikke skal inngå i et personregister, herunder visse former for manuell saksbehandling.
Bestemmelsen gir eksempler på operasjoner som er behandling av personopplysninger. Andre eksempler som uttrykkelig nevnes i direktivet, men som av lovtekniske hensyn ikke er tatt inn i lovteksten, er bl a tilpasning, seleksjon, bruk, sammenkjøring og tilintetgjørelse. For ordens skyld understrekes det at eksemplene som ikke er tatt inn i lovteksten også omfattes av lovens generelle behandlingsbegrep, og det er ingen realitetsforskjell i forhold til direktivet artikkel 2 bokstav b.
Loven har ikke identiske regler for alle former for behandling. For eksempel er informasjonsplikten etter § 20 knyttet til innsamling av personopplysninger, rettings- og slettingsplikten etter § 25 er knyttet til registrering av personopplysninger og konsesjonsplikten etter § 33 avhenger av formålet med behandlingen.
Nr 3: personregister
Personregisterbegrepet opprettholdes som avgrensningskriterium for manuell behandling av personopplysninger, slik at manuell behandling av personopplysninger som inngår eller skal inngå i et personregister omfattes av loven. Det foreslås ingen endringer i personregisterlovens definisjon av personregister.
Nr 4: behandlingsansvarlig
Den som har bestemmelsesrett over opplysningene og den elektroniske behandlingen av disse er behandlingsansvarlig. Også den som bestemmer formålet med manuelle personregistre vil være behandlingsansvarlig.
Selv om man setter arbeidet bort til andre ( outsourcing), vil man selv sitte med bestemmelsesretten – og dermed også ansvaret. De som eventuelt utfører et avtalt arbeid for den behandlingsansvarlige, vil være databehandlere, jf nedenfor (nr 5). Den behandlingsansvarlige er pålagt en rekke plikter etter loven. Dersom det foretas behandling av personopplysninger, vil det også finnes en behandlingsansvarlig.
I utgangspunktet er det bare subjekter som har partsevne som kan være behandlingsansvarlig. Med partsevne menes her det å kunne bli saksøkt under en prosess for domstolene. Fysiske personer og de fleste juridiske personer vil ha partsevne slik uttrykket nyttes her. For at en sammenslutning skal ha partsevne må det imidlertid foreligge en viss form for organisasjon, se nærmere Hov, Rettergang i sivile saker, 2 utg 1994 s 210 flg. Kravet til partsevne er bl a begrunnet i at det kan være nødvendig å bruke rettsapparatet for å gjennomføre krav mot den behandlingsansvarlige.
I en rekke tilfeller vil det være fastsatt i lov hva som er formålet med behandlingen og hvilke operasjoner som skal eller kan utføres på personopplysningene. De aktuelle lovene vil imidlertid ikke uttømmende regulere disse spørsmålene, men i varierende grad overlate til offentlige eller private rettssubjekter å nærmere bestemme hvilke operasjoner som kan eller skal utføres på opplysningene. Også i disse tilfellene følger det av nr 4 hvem som er behandlingsansvarlig. Et konkret eksempel belyser poenget. Lov om offisiell statistikk og Statistisk Sentralbyrå 16 juni 1989 nr 54 bestemmer i § 3-1 hvilke oppgaver Statistisk Sentralbyrå skal vareta, men fastsetter ikke i detalj hvorledes opplysningene skal behandles for at disse oppgavene skal oppfylles. Slike valg – slik bestemmelsesrett – er (i den grad noe annet ikke følger av lov eller forskrift) overlatt til byrået selv. Statistisk Sentralbyrå er med andre ord behandlingsansvarlig.
I særlovgivning kan det være hensiktsmessig å uttrykkelig bestemme hvem som er behandlingsansvarlig (noe personverndirektivet tillater).
Den behandlingsansvarlige vil ofte være en juridisk person. Dette reiser spørsmål om intern fordeling av ansvar for at loven etterleves. Det formelle ansvaret for at pliktene som den behandlingsansvarlige pålegges oppfylles ligger hos ledelsen i den aktuelle virksomheten. Virksomheten skal imidlertid knytte gjennomføringen av pliktene som den behandlingsansvarlige pålegges til en stilling eller en fysisk person i virksomheten, jf forutsetningsvis lovforslaget § 16 nr 2. Funksjonen bør være knyttet til en bestemt stilling innen virksomheten slik at ansvarsforholdet er klart selv om enkeltpersoner i virksomheten skifter jobb, slutter etc. Funksjonen bør legges til en lederstilling knyttet til behandlingen av personopplysninger slik at stillingsinnehaveren har reell daglig innflytelse på de behandlingene som foretas (f eks daglig leder, eventuelt daglig leder i administrasjonsavdelingen). I en del lovgivning vil det av loven selv fremgå hvem det er naturlig at pliktene påhviler.
Dersom den behandlingsansvarlige går konkurs, vil konkursboet være behandlingsansvarlig.
Nr 5: databehandler
Databehandler er den som i henhold til avtale behandler personopplysninger på vegne av den behandlingsansvarlige, se 13.4.2. Databehandlerens rådighet over personopplysninger er regulert i lovforslaget § 13.
Begrepet databehandler er langt videre enn begrepet databehandlingsforetak etter personregisterloven. Det er tilstrekkelig at noen behandler personopplysninger på vegne av den behandlingsansvarlige, dvs for eksempel oppbevarer opplysninger. Det innebærer at en reparatør av datamaskinutstyr normalt vil måtte anses som en databehandler dersom vedkommende samtidig oppbevarer personopplysningene eller på annen måte har tilgang til dem på vegne av den behandlingsansvarlige. Det er altså ikke noe krav slik personregisterloven oppstiller i dag, at det må skje en bearbeiding av personopplysningene.
Behandlingen må skje på vegne av den behandlingsansvarlige. Det må altså skje etter ønske fra den behandlingsansvarlige, og det må skje i henhold til avtale. Det er ingen formkrav til avtalen, men det kan være hensiktsmessig at slike avtaler som regel inngås skriftlig.
Nr 6: fjernsynsovervåkning
Definisjonen av fjernsynsovervåkning er en videreføring av personregisterlovens definisjon av fjernsynsovervåkning, se kapittel 14.
Nr 7: samtykke
Definisjonen av samtykke er ny i forhold til personregisterloven, og bygger på direktivet artikkel 2 bokstav h). For at det overhodet skal foreligge et samtykke må erklæringen være frivillig. Dette anses for å være selvfølgelig, og er ikke uttrykkelig sagt i lovteksten.
Det stilles imidlertid flere krav til erklæringen for at denne skal være samtykke i lovens forstand. For det første må erklæringen være uttrykkelig. Det holder ikke med et passivt eller stilltiende samtykke, og heller ikke samtykke gjennom såkalt konkludent atferd er tilstrekkelig.
For det andre må erklæringen være informert. I dette ligger at den registrerte må forstå hva erklæringen gjelder, og hvilke konsekvenser denne får eller kan få. Endelig må samtykket være individuelt (jf uttrykket den registrerte), dvs at den enkelte registrerte selv (eller ved en fullmektig) må ha avgitt erklæringen. Et kollektivt samtykke, f eks slik at en organisasjon samtykker på vegne av alle medlemmene, vil i utgangspunktet ikke tilfredsstille kravet med mindre omstendighetene rundt innmeldingen i organisasjonen gjør at innmeldingen i seg selv tilfredsstiller kravet til samtykke (dvs slik at det tydelig fremgår at innmelding medfører behandling av personopplysninger, og innmeldingserklæringen er informert).
Nr 8: Sensitive personopplysninger
Bestemmelsen forklarer hva som i denne loven anses som sensitive personopplysninger. Bestemmelsen lovfester sammen med § 9 regelen i direktivet artikkel 8 nr 1. Definisjonen har også betydning i forhold til bestemmelsen om konsesjonsplikt i § 33. Det foreslås enkelte endringer i forhold til det som personregisterloven regner som sensitive personopplysninger (jf personregisterloven § 6 annet ledd).
I en konkret situasjon kan det ikke utelukkes at også andre typer personopplysninger enn de som oppregnes i direktivet (og som danner grunnlag for lovens definisjoner) kan oppleves som sensitive, f eks opplysninger om private økonomiske forhold. At også slike opplysninger kan oppleves som følsomme kan det tas hensyn til ved praktiseringen av loven selv om de ikke defineres som sensitive. Eksempelvis kan det i forbindelse med relevans- og saklighetsvurderingen etter § 7 tas i betraktning hvor følsomme opplysningene oppleves for den enkelte.
Angivelsen av de sensitive personopplysningene har fått en noe annen utforming enn de tilsvarende beskrivelsene i direktivet, men innholdet er det samme.
I tillegg er opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for et straffbart forhold, ansett som sensitive etter loven. Ved en lovendring i 1987 ble den parallelle oppregningen i personregisterloven §§ 7 og 9 utvidet, slik at det ikke lenger var nødvendig at det var innledet noen straffesak. Dette førte bl a til at f eks et vaktsselskaps register over personer som blir pågrepet med ubetalte varer, ble omfattet av oppregningen (jf Ot prp nr 34 (1986-87) s 24 h spalte). Utvalgets forslag viderefører denne bestemmelsen.
Endringene i forhold til personregisterlovens oppregning i § 6 annet ledd er for det første at opplysning om medlemsskap i fagforeninger etter loven nå er ansett som sensitivt (se nærmere nedenfor). For det andre er andre opplysninger om familieforhold enn slike som gjelder slektskap eller familiestatus, formuesordningen mellom ektefeller og forsørgelsesbyrde (personregisterloven § 6 annet ledd nr 5) ikke lenger med som særskilt punkt i oppregningen. Endelig er det foretatt visse presiseringer av ordlyden i enkelte punkter.
Opplysning om medlemsskap i fagforening er i Norge tradisjonelt ikke oppfattet som en sensitiv personopplysning. Det kan derfor være noe fremmed at slike opplysninger bare skal kunne behandles dersom nærmere bestemte vilkår er oppfylt. Det antas imidlertid at unntakene i § 9 vil dekke de tilfellene hvor slik behandling er ønskelig eller nødvendig. Med hjemmel i § 9 kan det behandles opplysninger om medlemsskap i fagforeninger dersom den registrerte uttrykkelig samtykker, behandlingen er fastsatt i lov eller den behandlingsansvarlige er forpliktet til å foreta behandlingen i henhold til avtale mellom partene i arbeidslivet.
Arbeidsgiver plikter etter ligningsloven § 6-2 nr 3 å oppgi til ligningsmyndighetene fradragsberettiget fagforeningskontingent dersom det er gjennomført fradrag for dette i lønnsutbetalingene eller dersom lønnstakeren legitimerer å ha betalt direkte til sin fagforening. Dersom den ansatte ikke ønsker at arbeidsgiveren skal kjenne til at han eller hun er medlem i en fagforening og fagforeningskontingenten derfor betales direkte til fagforeningen, forutsetter fagforeningens videregivelse av disse opplysningene til ligningsmyndighetene samtykke fra den opplysningen gjelder. Samtykket må være uttrykkelig, informert og frivillig, jf ovenfor.
Personregisterloven § 6 annet ledd nr 5 (opplysninger om familieforhold) er ikke tatt med i den nye oppregningen av sensitive opplysninger. Dette er ikke ment å medføre materielle endringer. Den nåværende beskrivelsen i nr 5 er uklar og det er vanskelig å se hvilke opplysninger som er ment omfattet av bestemmelsen. Utvalget legger til grunn at de opplysningene den først og fremst vil være aktuell for også vil omfattes av lovens oppregning i bokstav c) (opplysninger om helseforhold). Dette gjelder blant annet en rekke opplysninger om ulike sosiale forhold.
Opplysning om rase er endret til opplysning om rasemessig eller etnisk bakgrunn uten at dette er ment å medføre noen realitetsendringer. Utvalget mener imidlertid den nye ordlyden bedre dekker dagens praksis som man ønsker å videreføre. I b) er siktet tilføyd. Begrepet omfattes på samme måte som tiltalt av det videre begrepet mistenkt, men utvalget finner det hensiktsmessig at også dette nevnes særskilt.
Opplysninger om helseforhold er presisert slik at det klarere enn i dag fremgår at dette også omfatter opplysninger om arveegenskaper og misbruk av rusmidler. Det er mange forskjellige typer opplysninger som omfattes av c) (helseforhold). I tillegg til opplysninger om forskjellige fysiske mangler eller lidelser omfattes opplysninger om psykiske lidelser, sosial tilpasningsevne, omsorgsevne mv. Opplysninger om sosiale forhold mer generelt vil regnes som helseforhold i lovens forstand dersom forholdene i hht forebyggende helsearbeid kan medføre helseproblemer, eller dersom forholdene faktisk medfører slik problemer. Enhver påstand om en slik sammenheng er imidlertid ikke tilstrekkelig, det må vurderes konkret hvor sannsynlig det er at de aktuelle sosiale forholdene har helsemessig betydning.
Politisk i a) omfatter opplysninger om oppfatninger og synspunkter utover ren partipolitisk tilhørighet. Direktivet nevner både politisk og filosofisk overbevisning, og utvalget legger til grunn at begge disse beskrivelsene omfattes av politisk eller religiøs oppfatning. Det vil imidlertid være å strekke det for langt å si at medlemsskap i interesseorganisasjoner generelt gir uttrykk for en politisk oppfatning. Dette må avgjøres konkret.
Dersom en organisasjon anses å være enten politisk eller religiøs, vil medlemsskap uten videre måtte anses for å gi uttrykk for en oppfatning. Dette gjelder selv om noen medlemmer kan tenkes å ha andre grunner for å være medlem enn at de sympatiserer med organisasjonens synspunkter. For eksempel vil medlemsskap i statskirken måtte anses som en opplysning om religiøs oppfatning.
I § 2 nr 9 forklares hva som menes med enkeltavgjørelse. Begrepet brukes flere steder i loven, se f eks § 22 om rett til å kreve begrunnelse for visse fullstendig automatiserte avgjørelser, og § 33 om avgrensningen av konsesjonsplikten. Med enkeltavgjørelse menes for det første enkeltvedtak slik dette defineres i forvaltningsloven § 2 første ledd bokstavene a og b. Dette betyr at
det må være en avgjørelse,
den må gjelde rettsstillingen for « private personer (enkeltpersoner eller andre private rettssubjekter»,
avgjørelsen må gjelde disses rettigheter eller plikter,
avgjørelsen må være truffet under utøving av offentlig myndighet, og
enkeltvedtaket må gjelde «en eller flere bestemte» personer.
Begrepet enkeltavgjørelser omfatter også andre avgjørelser (enn enkeltvedtak) som er bestemmende for bestemte private personers rettigheter og plikter, jf første ledd nr 2. Forskjellen til nr 1 er at avgjørelsen ikke treffes som ledd i offentlig myndighetsutøvelse, og alternativet vil følgelig omfatte avgjørelser som treffes i privat sektor. De øvrige vilkårene nevnt i a, b, c og e ovenfor vil imidlertid gjelde også for disse avgjørelsene. Det beslutningsfokuserte personvernet tillegges på denne måten like stor vekt for offentlige som for private behandlingsansvarlige. Grunnlaget for å treffe avgjørelsene kan være f eks lov, avtale eller eiendomsrett. Det sentrale er at det treffes en bestemt type avgjørelse som gjennomgående er av stor betydning for den registrerte.
Rettskildefaktorer som belyser relevante deler av enkeltvedtaksbegrepet (jf vilkårene a, b, c og e) vil gi veiledning også om hvorledes enkeltavgjørelse skal forstås. Nedenfor knyttes noen kommentarer til de enkelte vilkårene.
Det følger av nr 2 at formålet med behandlingen må være å treffe en avgjørelse. Uttalelser, forslag og lignende vil ikke være noen slik avgjørelse.
Videre må avgjørelsen være bestemmende for rettsstillingen til private personer. Begrepet omfatter i motsetning til begrepet i forvaltningsloven § 2 a), bare fysiske personer. Andre private rettssubjekter (som for eksempel selskaper og foreninger) omfattes ikke. Offentlige organer eller offentlig eide rettssubjekter omfattes heller ikke.
Avgjørelsen må være bestemmende for vedkommendes rettsstilling på samme måte som enkeltvedtak etter forvaltningsloven. Det vil derfor også etter nr 2 være realitetsavgjørelser – i motsetning til prosessledende beslutninger – som omfattes. At det nektes innsyn i personopplysninger eller at personopplysninger nektes slettet etter ønske fra den registrerte, vil for eksempel ikke være en avgjørelse som er bestemmende for noens rettsstilling.
§ 3 Lovens saklige virkeområde
Loven gjelder for helt eller delvis elektronisk behandling av personopplysninger og for manuell behandling når personopplysningene inngår eller skal inngå i et personregister.
Loven gjelder ikke behandling av personopplysninger for rent personlige formål.
Kongen kan gi forskrift om at loven eller deler av denne ikke skal gjelde for bestemte former for elektronisk behandling av personopplysninger.
Til § 3:
Bestemmelsen gjelder lovens saklige virkeområde og bygger på direktivet artikkel 3. Det foreslås endringer i forhold til personregisterlovens saklige virkeområde som er regulert i personregisterloven § 1, se utvalgets vurderinger i kapittel 10.
Loven gjelder for all elektronisk behandling av personopplysninger, samt for manuell behandling når opplysningene inngår eller skal inngå i et personregister. Dette innebærer at personregisterbegrepet forlates som et hovedbegrep, og at registerbegrepet heretter først og fremst får betydning for manuell behandling av personopplysninger hvor det opprettholdes som et avgrensningskriterium, se 4.3 og utvalgets vurderinger under 10.1.2.1. Det forhold at behandlingen av personopplyningene enten må være elektronisk eller nedfelle seg i et manuelt personregister angir det saklige virkeområde til alle bestemmelsene i loven. Det forhold at enkelte bestemmelser for enkelhets skyld taler om behandling av personopplysninger innebærer ikke noen utvidelse av det saklige virkeområde som angitt i § 3.
Delvis elektronisk behandling likestilles med fullstendig elektronisk behandling, f eks eks slik at behandlingen skjer dels manuelt og dels ved elektroniske hjelpemidler.
Det er nødvendig å trekke en grense mellom manuell behandling og helt eller delvis elektronisk behandling. Direktivet gir meget begrenset veiledning om hvordan grensen skal trekkes. Dersom personopplysningene i sin helhet lagres eller bearbeides i maskinlesbar form, er behandlingen utvilsomt elektronisk. I noen tilfeller vil deler av opplysningene lagres i maskinlesbar form, mens andre deler lagres manuelt (f eks elektronisk journal kombinert med papirarkiv). Spørsmålet blir hva som skal til for at alle opplysningene (også de som er lagret på papir) skal omfattes av reglene om elektronisk behandling. Det betyr at den elektroniske delen av behandlingen må omfatte personopplysninger for at reglene om elektronisk behandling skal komme til anvendelse. Dersom man ikke kan bruke elektroniske hjelpemidler til å søke seg frem til personopplysninger som finnes i papirdokumenter, er behandlingen manuell og ikke delvis elektronisk.
Vanskelige avgrensningsspørsmål reiser seg også blant annet i forbindelse med lyd og billedopptak som lagres ved analoge lagringsmidler, se 10.1.2.3.
Personregisterloven gjelder for personregistre og bruk av personopplysninger i organ for stat eller kommune og i privat næringsvirksomhet, foreninger eller stiftelser. Denne regelen videreføres, men det er nødvendig å presisere ordlyden slik at det bedre går frem at det bare er behandling av personopplysninger til rent personlige formål som ikke er omfattet, jf annet ledd. Ulike former for privat virksomhet er omfattet selv om de ikke kan anses for å drive næringsvirksomhet (for eksempel forskning). Dette er i tråd med praktiseringen av personregisterloven i dag.
Tredje ledd gir Kongen hjemmel til å bestemme i forskrift at loven ikke skal få anvendelse på bestemte former for behandling av personopplysninger. Forskriftshjemmelen må benyttes slik at eventuelle unntak er forenlige med direktivet. I direktivet artikkel 3 nr 2 presiseres sakområder som direktivet ikke får anvendelse på, og som dermed kan unntas fra lovens anvendelsesområde i medhold av § 3 tredje ledd. Et eksempel på dette er ulike strafferegistre. Slike registre er i dag unntatt fra konsesjonsplikt i medhold av personregisterloven § 41, jf lov 11 juni 1971 nr 52 om strafferegistrering, mens personregisterloven for øvrig i utgangspunktet får anvendelse med mindre det er gjort unntak i forskrift. Lovforslaget her vil i utgangspunktet få anvendelse også på statens behandling av personopplysninger på det strafferettslige området, herunder strafferegistrene, men tredje ledd gir hjemmel til å bestemme at slik behandling av personopplysninger helt eller delvis skal unntas fra lovens anvendelsesområde. Selv om særlige hensyn gjør seg gjeldende på dette området, bør deler av loven få anvendelse, som f eks § 6 om krav til saklighet.
§ 4 Fjernsynsovervåkning og billedopptak
For fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning som ikke er elektronisk behandling av personopplysninger gjelder §§ 7, 24, 40, 41 og § 42 nr 6 tilsvarende.
For billedopptak i forbindelse med fjernsynsovervåkning som ikke er elektronisk behandling gjelder også §§ 31, 32 og 38 tilsvarende.
Med fjernsynsovervåkning menes vedvarende eller regelmessig gjentatt personovervåkning ved hjelp av fjernbetjent eller automatisk virkende fjernsynskamera, fotografiapparat eller lignende apparat.
Til § 4:
Fjernsynsovervåkning og billedopptak er bare elektronisk behandling av personopplysninger dersom det finnes opptak som er søkbare. Ettersom utvalget har kommet til at også visse andre former for overvåkning gjør det ønskelig å stille noen krav til overvåkningen (jf kapittel 14), fremgår det uttrykkelig at bestemmelsene om krav til saklig formål m v i § 7, om varsling i § 24 og Datatilsynets mulighet til å gi pålegg etter § 40 og tvangsmulkt etter § 41 også får anvendelse på fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning. Henvisningen til at § 42 gjelder så langt den passer medfører at overtredelse av Datatilsynets pålegg i medhold av § 40 er straffbar også her. For billedopptak får i tillegg reglene om meldeplikt og Datatilsynets tilgang til informasjon anvendelse. Sett under ett fører dette til at denne typen overvåkning blir undergitt strengere kontroll enn i dag, for eksempel vil Datatilsynet i motsetning til idag kunne gi pålegg om at overvåkning i strid med loven skal opphøre. Dette innebærer bl a at det er Datatilsynet, og ikke den som overvåker, som avgjør om formålet med overvåkningen er saklig.
§ 5 Forholdet til ytringsfriheten
Loven gjelder for behandling av personopplysninger som utelukkende finner sted i journalistisk øyemed eller for kunsterisk eller litterær virksomhet. Det skal gjøres unntak fra bestemmelsene i den grad det er nødvendig for å forene hensynet til ytringsfrihet med hensynet til personvern.
Til § 5:
Bestemmelsen gjennomfører direktivet artikkel 9. Forholdet til ytringsfriheten er behandlet i kapittel 17 foran. I 17.5 gis eksempler på vurderinger av om loven er uforenlig med ytringsfriheten, slik at loven ikke får anvendelse. Denne vurderingen må foretas for hver enkelt bestemmelse.
Med ytringsfrihet menes ikke bare overordnede normer som Grunnloven § 100 og EMK artikkel 8 og 10, men også hensynet til ytringsfrihet mer generelt. Det skal foretas en avveining av personvern mot ytringsfrihet slik at det kan finnes frem til en rimelig balanse.
§ 6 Lovens geografiske virkeområde
Loven gjelder for behandling av personopplysninger når den behandlingsansvarlige er etablert i riket, herunder Svalbard og Jan Mayen.
Loven gjelder også for behandling av personopplysninger som skjer i riket og som forestås av en behandlingsansvarlig som er etablert i stater utenfor EØS-området dersom den behandlingsansvarlige benytter hjelpemidler i Norge. Den behandlingsansvarlige skal i så fall utpeke en representant som er etablert i Norge. Reglene om den behandlingsansvarlige gjelder tilsvarende for representanten.
Annet ledd gjelder ikke dersom hjelpemidlene utelukkende benyttes til å transportere personopplysninger via Norge.
Til § 6:
Den norske loven skal gjelde for behandlingsansvarlige som er etablert i Norge, og for enkelte andre behandlingsansvarlige. Dette utdypes nedenfor. Paragraf 6 bygger på direktivet artikkel 4 (jf fortalen pkt 18 – 21).
Hovedregelen er at den norske loven får anvendelse når den behandlingsansvarlige er etablert i Norge, se første ledd. Loven får anvendelse på Svalbard og Jan Mayen, se nærmere 10.2.
Med etablert menes at det faktisk utøves aktiviteter innenfor en forholdsvis fast struktur, se direktivets fortale pkt 19. Strukturens rettslige status er ikke i seg selv avgjørende for om den behandlingsansvarlige er etablert i Norge. Dette beror på en helhetsvurdering, hvor det sentrale vurderingstemaet blir om behandlingen som finner sted i Norge er så omfattende og så permanent at den norske loven bør få anvendelse. Dersom et utenlandsk selskap har et datterselskap i Norge, vil datterselskapet anses for å være etablert i Norge i lovens forstand. Det samme gjelder utenlandske selskapers filialer i Norge. En utenlandsk handelsreisende som er på forretningsreise i Norge og i den anledning behandler personopplysninger vil derimot ikke være etablert slik loven nytter uttrykket.
En behandlingsansvarlig som utelukkende er etablert i Norge, vil bare reguleres av den norske loven, selv om enkelte ledd i behandlingen – f eks innsamling av opplysninger – finner sted i et annet EØS-land. Et eksempel på dette kan være at en behandlingsansvarlig som er etablert i Norge foretar visse former for behandling av personopplysninger i Danmark (f eks innsamling av personopplysninger). Dersom tilsynsmyndigheten i Danmark ønsker å stoppe eller sette vilkår for behandlingen, må dette vurderes ut i fra den norske loven. På tilsvarende måte kan den norske tilsynsmyndigheten måtte anvende den danske loven på behandling av personopplysninger som finner sted i Norge og som foretas av en virksomhet som utelukkende er etablert i Danmark.
Det er ikke noe til hinder for at en behandlingsansvarlig kan anses å være etablert i flere EØS-land samtidig. Hvis for eksempel et multinasjonalt konsern behandler personopplysninger både i Norge, England og Frankrike, og er etablert i alle landene, vil behandlingen av personopplysningene i de ulike landene reguleres av hhv den norske, engelske og franske loven. Det fremgår uttrykkelig av artikkel 4 nr 1 bokstav a) at den behandlingsansvarlige plikter å sørge for at den nasjonale lovgivningen i de respektive etableringsland respekteres.
Annet ledd gjør unntak fra hovedregelen i første ledd ved at den norske loven kan få anvendelse på virksomheten til en behandlingsansvarlig som ikke er etablert i Norge. Bestemmelsen regulerer de tilfellene der en behandlingsansvarlig som er etablert utenfor EØS-området, f eks i Russland, behandler personopplysninger med hjelpemidler som befinner seg i f eks Tromsø. Den norske loven vil da få anvendelse på virksomheten i Norge.
Med hjelpemidler forstås utstyr og fysiske innretninger som benyttes til å behandle personopplysninger. Eksempler på slike hjelpemidler er datamaskiner- og terminaler, telenett og intervjuskjemaer. Det sentrale er at hjelpemidlene geografisk befinner seg i Norge slik at de skaper en tilknytning mellom den behandlingsansvarlige og Norge.
Den behandlingsansvarlige som omfattes av bestemmelsen i annet ledd første punktum skal utpeke en representant som er etablert i Norge. Bakgrunnen for dette er at lovens reguleringssystem forutsetter en reell mulighet for kontakt mellom Datatilsynet og den behandlingsansvarlige, noe som ikke så lett lar seg oppfylle uten en representant for den utenlandske behandlingsansvarlige. Representanten likestilles med den behandlingsansvarlige i forhold til loven. Når representanten uttrykkelig nevnes i enkelte bestemmelser, er dette utelukkende begrunnet i lovtekniske hensyn. Datatilsynet vil få informasjon om hvem som er utpekt som representant gjennom meldingen som den behandlingsansvarlige skal sende inn.
Bestemmelsen gjelder ikke der hjelpemidlene utelukkende gjør det mulig å transportere personopplysninger fra ett tredjeland til et annet via Norge, se tredje ledd.
Kapittel 2 Alminnelige regler om behandling av personopplysninger
7 Krav til saklighet
Personopplysninger kan bare behandles til lovlige og uttrykkelig angitte formål. Formålet skal være saklig begrunnet ut fra den behandlingsansvarliges virksomhet.
Personopplysningene skal være relevante ut fra det angitte formålet.
Elektronisk overvåkning av sted hvor en begrenset krets av personer jevnlig ferdes, er bare tillatt dersom det ut fra hensynet til virksomheten er et særskilt behov for overvåkningen.
Til § 7:
Bestemmelsen stiller krav til lovlig og saklig formål for elektronisk behandling av personopplysninger (jf første ledd) og for manuell behandling når personopplysningene inngår eller skal inngå i et personregister, jf siste ledd. Bestemmelsen er til dels en videreføring av personregisterloven § 6 første ledd og § 37a første ledd. Første ledd første punktum lovfester direktivet artikkel 6 b, og hele bestemmelsen uttrykker prinsippene i direktivet artikkel 7.
Personopplysninger skal bare behandles til lovlige og uttrykkelig angitte formål, jf første ledd. Formålet fastsettes av den behandlingsansvarlige. For de melde- og konsesjonspliktige behandlingene vil formålet fremgå av det innsendte meldeskjemaet eller konsesjonssøknaden. For frie behandlinger, dvs behandlinger som verken er konsesjons- eller meldepliktige, skal den behandlingsansvarliges angivelse av formålet fremgå av oppregningen som nevnt i § 16.
Angivelsen av formålet vil ha betydning for hva opplysningene kan brukes til, jf § 8. Det vil derfor være viktig for de behandlingsansvarlige å tenke nøye gjennom hvilket formål de har med behandlingen. Samtidig kan det ikke aksepteres at formålsangivelsen er så vid at den kan dekke det meste; for at det skal være et uttrykkelig angitt formål i lovens forstand kreves en rimelig grad av presisjon i formålsangivelsen. Hvor presis angivelsen skal være må vurderes bl a på bakgrunn av begrunnelsen for regelen. Etter lovforslaget § 32 annet ledd kan Kongen gi forskrift om hvilke opplysninger meldingene skal inneholde. Sett fra et personvernsynspunkt er det viktig at behandling av personopplysninger skjer ut i fra et definert formål. Jo mer sensitive opplysningene er, og jo større konsekvenser bruken av opplysningene kan få, desto viktigere er en klar avgrensning av formålet. Når den hvis personopplysningene gjelder kjenner formålet, kan vedkommende bistå med korrekte opplysninger i den konkrete sammenhengen og lettere hevde sin interesse i personvern (for eksempel kreve opplysninger slettet etter § 26). Det er dessuten først når man kjenner formålet med behandlingen at det er mulig å vurdere hvilke opplysninger som er relevante, jf annet ledd. Beskrivelsen av personopplysningene kan dessuten variere avhengig av hvilken sammenheng de skal benyttes i.
Formålet skal være saklig begrunnet ut fra hensynet til administrasjon og virksomhet i det organ eller foretak som foretar behandlingen, jf første ledd annet punktum. Man kan på bakgrunn av denne regelen ikke starte en behandling med et hvilket som helst formål selv om det er uttrykkelig angitt. Regelen er mer generelt utformet enn direktivet artikkel 7 som har en uttømmende oppregning av når behandling av personopplysninger kan skje. Oppregningen i direktivet (bokstavene a) – f)) er veiledende for når formålet med behandlingen kan sies å være saklig begrunnet.
Kravet til lovlighet er ikke bare en henvisning til lovfestede regler, men også til ulovfestet personvern (jf dommen om To mistenkelige personer i Rt 1952 s 1217 som illustrerer at hensyn til personvern i visse tilfeller går foran andre interesser). Også formålsbestemmelsen vil ha betydning for om kravet til lovlighet er oppfylt.
Den behandlingsansvarlige står fritt til selv å definere sin viksomhet så lenge denne er lovlig. Det kan ikke utelukkes at det i fremtiden kan utvikle seg virksomhetsformer som fra et personvernsynspunkt er uønskede. Å begrense muligheten til å drive slik virksomhet eller gi adgang til å gripe inn og gi pålegg for å vareta personvernhensyn må eventuelt gjøres i særlovgivning som regulerer den aktuelle virksomhetsformen.
Relevanskravet i annet ledd viderefører personregisterloven § 6 første ledd som regulerer hvilke opplysninger som tillates registrert. Ordlyden er noe endret fordi det nå foreslås en egen regel om saklig formål i første ledd, men realiteten er den samme. I kravet til særskilt behov etter tredje ledd gjøres ingen endring i forhold til dagens regulering i personregisterloven. For utdypning av kravene etter annet og tredje ledd vises det til personregisterlovens forarbeider (se Ot prp nr 2 (1977-78) s 72 flg) og Datatilsynets praksis på området. Relevanskravet i personregisterloven § 6 første ledd skal etter personregisterloven ligge til grunn for konsesjonsvurderingen etter § 9. Det er derfor etablert omfattende praksis på området mht hva som er å anse som saklig behov. Denne praksisen vil fortsatt være veiledende for avgjørelser etter den nye loven.
Datatilsynet kan med hjemmel i § 40 stoppe behandlinger som skjer i strid med bestemmelsen, for eksempel fordi formålet ikke er saklig begrunnet ut fra hensynet til administrasjon og virksomhet i foretaket eller fordi personopplysningene som behandles ikke er saklig i forhold til behandlingens formål. Det kan også pålegge den behandlingsansvarlige å definere formålet klarere dersom dette er påkrevet for å oppfylle lovens krav til tilstrekkelig presist angitt formål.
Tredje ledd regulerer spesielt elektronisk overvåkning. Det er en forutsetning at overvåkningen er elektronisk behandling av personopplysninger slik lovforslaget nytter uttrykket, jf merknadene til § 3 ovenfor. Dette omfatter bl a opptak som er digitalisert, dvs lagret i maskinlesbar form. Ettersom utvalget har kommet til at også visse andre former for overvåkning gjør det ønskelig å stille krav som i § 7, fremgår det uttrykkelig av § 4 at § 7 får anvendelse også på fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning.
§ 8 Anvendelse av personopplysninger til andre formål enn det opprinnelige
Personopplysninger som er samlet inn til behandling for et formål kan bare anvendes til andre formål dersom
den registrerte samtykker i det nye behandlingsformålet
det er fastsatt i lov at det er adgang til å bruke opplysningene til det nye behandlingsformålet, eller
fordelene med den nye behandlingen er klart større enn ulempene som den volder for den enkelte og den nye behandlingen ikke er uforenlig med det opprinnelige formålet.
Kongen kan gi forskrift om anvendelse av personopplysninger til nye formål.
Til § 8:
Bestemmelsen regulerer når personopplysninger samlet inn for ett formål kan benyttes til andre formål enn det opprinnelige. Det er en forutsetning at også nye formål er saklig begrunnet ut fra hensynet til administrasjon og virksomhet i det organ eller foretak som foretar behandlingen, jf kravene i § 7.
Hva som menes med samtykke er forklart i § 2 nr 7, mens offentlighetsloven og arkivloven er eksempel på at det i lov er fastsatt at personopplysninger kan nyttes til andre formål enn de opplysningene opprinnelig var innsamlet for.
Videre setter direktivet artikkel 6 nr 1 b) krav om at en senere behandling av personopplysninger ikke må være uforenlig med det opprinnelige angitte formålet. Denne regelen er gjenspeilet i § 8 første ledd nr 3 i lovforslaget. Hva som er uforenlig må avgjøres gjennom praksis og eventuelt i forskrift, se tredje ledd. Også formålsbestemmelsen kan gi veiledning.
Når det gjelder bruk til annet formål som har sitt grunnlag i lovhjemmel eller samtykke fra den registrerte, antas det ikke i tillegg å være behov for å utrykkelig kreve en vurdering av hvorvidt det nye formålet er uforenlig med det opprinnelige. Hensynet må forventes å bli tilstrekkelig varetatt av lovgiver og den registrerte selv.
Nr 3 åpner for at opplysninger samlet inn til ett formål senere kan brukes til et annet selv om dette ikke er hjemlet i lov eller den registrerte ikke har samtykket. Loven krever i så fall at fordelene med den nye behandlingen er vesentlig større enn ulempene som den volder for den enkelte, og at den nye behandlingen ikke må være uforenlig med det opprinnelige formålet. Det må altså foretas en bred interesseavveining, hvor det kreves kvalifisert interesseovervekt for at opplysningene skal kunne brukes til et nytt formål. Fordelene med den nye behandlingen skal ikke bare omfatte fordelene for den enkelte registrerte, men også fordelene for den behandlingsansvarlige samt samfunnets interesser i at opplysningene kan benyttes til det nye formålet. Momenter i interesseavveiningen kan bl a være hvor forskjellig det nye formålet er fra det opprinnelige, om det nye formålet fordrer bedre opplysningskvalitet enn det opprinnelige, hvor følsomme opplysningene er, om den registrerte kan reservere seg mot enkelte typer bruk og eventuelt hvordan opplysningene er bearbeidet. Det kan f eks være grunn til å bedømme enkeltstående opplysninger anderledes enn dyptgående beskrivelser av enkeltpersoner. Det må også tas med i avveiningen hva som vil bli resultatet dersom opplysningene må samles inn på nytt. Dersom slik innsamling ikke lenger er mulig, for eksempel fordi kildene ikke lenger er tilgjengelige, kan dette etter omstendighetene tale for å tillate endret formål. Også hensynet til opplysningskvalitet vil imidlertid stå sentralt.
Bruk av personopplysninger til forskning og statistikk anses normalt ikke for å være uforenlig med det opprinnelige formålet, jf direktivet artikkel 6 nr 1 b). Forskning og statistikk er også et område hvor man relativt lett vil komme til at fordelene med behandlingen er vesentlig større enn ulempene for den enkelte. Hensynet til den enkelte skal veies opp mot hensynet til samfunnet forøvrig. Jo mer sensitive opplysningene er, jo strengere blir kravet til vesentlighetsovervekt. Dersom det er planlagt tiltak som skal dempe ulempene for de registrerte, vil dette være av betydning ved vurderingen. Eksempler på slike tiltak kan være ulike sikkerhetsforanstaltninger, informasjon til de registrerte mv. I direktivets fortale pkt 29 fremheves det at tiltakene særlig skal ta sikte på å forhindre at opplysninger som er innsamlet til forskning eller den statististikk bruken blir benyttet til å treffe avgjørelser overfor den registrerte. I lov 16 juni 1989 nr 54 om offisiell statistikk og Statistisk Sentralbyrå er det i § 2-5 nr 1 uttrykkelig bestemt at opplysninger som er innhentet bare kan benyttes til utarbeidelse av offisiell statistikk eller til annen bruk som er godkjent av Datatilsynet og som ikke er til skade for rikets sikkerhet. For andre som driver med forskning eller statistikk kan mulige ulemper for den enkelte avhjelpes ved at de innsamlete opplysningene f eks krypteres eller ved at det foretas systematisk og umiddelbar anonymisering av personidentifiserbart materiale.
Det er vanskelig å sette opp klare grenser for når personopplysninger kan brukes til andre formål etter § 6 nr 3. Denne grensen må bli til gjennom praktiseringen av loven. Datatilsynet kan stoppe behandlinger som er i strid med bestemmelsen eller sette vilkår som minsker ulempene for de registrerte, jf § 40. Bruk av personopplysninger til nytt formål kan utløse krav om konsesjon eller plikt til å sende ny melding.
§ 9 Behandling av sensitive personopplysninger
Sensitive personopplysninger (jf § 2 nr 8) kan bare behandles dersom
den registrerte samtykker
det er fastsatt i lov at det er adgang til slik behandling
den behandlingsansvarlige plikter å foreta behandlingen i henhold til avtale mellom partene i arbeidslivet
behandlingen er nødvendig for å beskytte den registrertes eller en annen persons vesentlige interesser, og vedkommende selv ikke er i stand til å gi samtykke som nevnt i nr 1
behandlingen utføres av en ideell organisasjon som ledd i organisasjonens rettmessige virksomhet. Behandlingen kan kun omfatte opplysninger om organisasjonens medlemmer eller personer som på grunn av organisasjonens formål er i regelmessig kontakt med den. Personopplysningene kan ikke videreformidles uten den registrertes samtykke
behandlingen gjelder opplysninger som den registrerte selv har gjort alminnelig kjent
behandlingen er nødvendig for at et rettskrav kan fastsettes, gjøres gjeldende eller forsvares
behandlingen er nødvendig for medisinske formål eller for forvaltning av helsetjenester og opplysningene behandles av en helsearbeider med taushetsplikt
behandlingen er nødvendig for statistiske formål eller forskning og behandlingen ikke kan få direkte virkninger for den enkelte.
Datatilsynet kan bestemme at sensitive personopplysninger også i andre tilfeller kan behandles dersom viktige samfunnsinteresser tilsier det og det settes i verk tiltak for å sikre de registrertes interesser.
Til § 9:
Paragraf 9 begrenser mulighetene til å behandle sensitive personopplysninger elektronisk eller innta slike personopplysninger i et manuelt personregister. Hva som menes med sensitive personopplysninger fremgår av § 2 nr 8.
Adgangen til å behandle sensitive personopplysninger begrenses ved å oppstille en uttømmende oppregning av når slike opplysninger kan behandles. Bestemmelsen er en videreføring og utdyping av personregisterloven § 6 annet ledd som bestemmer at registrering av sensitive opplysninger bare kan skje dersom det er nødvendig (et styrket relevanskrav i forhold til personregisterloven § 6 første ledd). Lovforslaget bygger på direktivet artikkel 8 nr 2, 3 og 4.
Bestemmelsen inneholder nødvendige, men ikke alltid tilstrekkelige vilkår for å behandle sensitive personopplysninger. Dersom personopplysningene skal benyttes til å treffe visse former for kvalifiserte beslutninger, må det i tillegg søkes om konsesjon etter § 33.
Nr 1 fastslår at sensitive opplysninger kan behandles dersom den registrerte samtykker. Hva som menes med samtykke fremgår av lovforslaget § 2 nr 7, se merknadene ovenfor. Unntaket vil særlig være praktisk i forbindelse med inngåelsen av ulike former for avtaler, som f eks en forsikringsavtale. Muligheten til å samtykke gir den registrerte rådighet over personopplysninger om en selv, noe som anses som ønskelig ut fra personvernhensyn. Samtidig er det klart at visse former for behandling av personopplysninger er så viktige at det ikke kan overlates til den enkelte registrerte å bestemme om behandlingen skal kunne finne sted. Det er derfor behov for også andre vilkår for slik behandling, se nedenfor. Muligheten til å samtykke i at personopplysninger behandles gjelder ikke der det følger av lovgivningen at samtykke ikke er tilstrekkelig, jf direktivet artikkel 8 nr 2 a). Under enhver omstendighet følger det av alminnelige trinnhøydeprinsipper at samtykke ikke kan oppheve lovforbud, og utvalget har ikke funnet det nødvendig å ta med dette i lovteksten.
Paragraf 9 nr 2 gjør det mulig å behandle sensitive personopplysninger dersom adgangen til dette er fastsatt i lov. Unntaket er basert på direktivet artikkel 8 nr 4. Om behandlingen har tilstrekkelig lovhjemmel må avgjøres ved å tolke den aktuelle loven. Hjemmelskravet er ikke statisk, men vil i noen grad variere avhengig av hvor inngripende behandlingen er for den enkelte. Jo mer inngripende behandlingen er for den enkelte, jo strengere krav må settes til klar lovforankring. Et viktig holdepunkt er om lovgiver har vurdert de personvernmessige betenkelighetene ved å behandle sensitive personopplysninger.
Begrunnelsen for unntaket er at lovhjemmel for behandling av sensitive personopplysninger må anses som tilstrekkelig når lovgiver har funnet at viktige samfunnsinteresser gjør slik behandling nødvendig. Eksempler som omfattes av nr 2 er arkivering i henhold til arkivloven.
Paragraf 9 nr 3 gjør unntak fra forbudet mot å behandle sensitive personopplysninger når den behandlingsansvarlige er forpliktet til å behandle personopplysningene i henhold til avtale mellom partene i arbeidslivet. Unntaket lovfester direktivet artikkel 8 nr 3 b). Direktivet taler om arbeidsrettslige forpliktelser og rettigheter, og benytter med andre ord en tematisk avgrensning uavhengig av rettsgrunnlag. Rettslige grunnlag for arbeidsrettslige forpliktelser eller rettigheter vil i Norge enten være lov (se det generelle unntaket i nr 2), arbeidsavtale (se samtykke-unntaket i nr 1) eller tariffavtale (som unntaket her omfatter). For at den behandlingsansvarlige skal være forpliktet til å behandle de sensitive personopplysningene, må dette klart fremgå av rettsgrunnlaget, enten dette er lov, arbeidsavtale eller tariffavtale. Som påpekt ovenfor i merknadene til nr 2 er det grunn til kreve klarere hjemmel jo mer inngripende behandlingen er for den enkelte.
Unntaket i nr 4 gjør det tillatt å behandle sensitive personopplysninger når behandlingen er nødvendig for å beskytte den registrertes eller en annen persons vesentlige interesser, og vedkommende selv ikke er i stand til å gi samtykke som nevnt i nr 1. Unntaket bygger på direktivet artikkel 8 nr 2 c), og de to kumulative vilkårene gjør at bestemmelsen er en snever unntaksregel.
I direktivet trekker ordlyden i retning av at behandling av sensitive personopplysninger ikke kan finne sted i tilfeller der den registrerte er i stand til å gi sitt samtykke, men velger å ikke gjøre det selv om dette setter egne vesentlige interesser på spill. Og dersom den registrerte har rettslig handleevne, og er informert, må dette være greit. Mer problematisk blir situasjonen der den registrerte er i stand til å samtykke, men nekter dette slik at tredjemanns vesentlige interesser ikke kan beskyttes. I slike tilfelle kan imidlertid Datatilsynet gjøre unntak i medhold av annet ledd, se nedenfor, og spørsmålet kommer ikke på spissen. Interesser dekker alle typer interesser, således f eks interessen i psykisk og fysisk helse, og økonomiske interesser. Hva slags type interesse det dreier seg om kan ha betydning i vurderingen av om interessen er vesentlig.
Nr 5 gjør det mulig for ideelle organisasjoner å behandle sensitive personopplysninger om organisasjonens medlemmer og personer som på grunn av organisasjonens formål regelmessig er i kontakt med den(jf direktivet artikkel 8 nr 2 d)). For medlemmer får unntaket bare selvstendig betydning der medlemmene ikke på annen måte har samtykket i behandlingen, jf nr 1. Når det gjelder ikke-medlemmer, vil det ofte være snakk om klient-lignende forhold, som f eks Frelsesarmeens innsats for hjemløse personer. Unntaket må forstås slik at den regelmessige kontakten som berettiger behandlingen av personopplysningene må være frivillig fra den registrertes side. En organisasjon kan ikke drive jevnlig oppsøkende virksomhet, og på dette grunnlag etablere rett til å behande sensitive opplysninger om oppsøkte som ikke ønsker å bli kontaktet.
I direktivet gjøres forsøk på å angi hvilke typer organisasjoner unntaket skal omfatte, jf oppregningen som omfatter politiske, religiøse, filosofiske eller faglige organisasjoner. Organisasjonen må være ideell, og virksomheten rettmessig. Dette innebærer ikke bare et krav om at virksomheten skal være lovlig i snever forstand (dvs ikke forbudt), men også at behandlingen av personopplysningene er saklig begrunnet i virksomheten, se § 7, og at behandlingen må vareta hensynet til personvern på en tilfredsstillende måte (jf direktivets krav til fornødne garantier). Dersom personvernhensyn ikke varetas på en tilfredsstillende måte, slik at virksomheten ikke er rettmessig i lovens forstand, kan Datatilsynet i medhold av § 40 bestemme at den aktuelle organisasjonen ikke kan behandle sensitive personopplysninger i medhold av nr 5 inntil tilfredsstillende personverngarantier foreligger.
Unntaket i nr 5 åpner ikke for alle former for behandling av personopplysninger – det fremgår uttrykkelig at bestemmelsen ikke hjemler videreformidling av personopplysningene. Skal de sensitive personopplysningene videreformidles, krever dette samtykke fra de registrerte.
Paragraf 9 nr 6 hjemler behandling av sensitive personopplysninger som den registrerte selv har gjort alminnelig kjent, jf direktivet artikkel 8 nr 2 e) første alternativ. Med alminnelige kjent forstås at opplysningene er gjort kjent for en ubestemt krets av personer, f eks gjennom en biografi eller gjennom ett intervju. Senere behanding av opplysningene kan da lovlig finne sted uten den registrertes samtykke i den nye bruken. Også her gjelder imidlertid saklighetskravet i lovforslaget § 7.
Nr 7 lovfester unntaket i direktivet artikkel 8 nr 2 e) siste alternativ, og hjemler behandling av sensitive personopplysninger der dette er nødvendig for å fastlegge, forsvare eller gjøre gjeldende et rettskrav. Med rettskrav forstås rettigheter som pretenderes å bygge på et rettslig grunnlag, dvs et grunnlag som kan påberopes for domstolene (jf tvistemålsloven § 54). For en arbeidsgiver kan det f eks være snakk om å behandle opplysninger om en ansatts sykehistorie for på den måten å underbygge at det foreligger saklig grunn til oppsigelse. Det er ikke nødvendig at saken bringes inn for domstolene, men det ligger en klar begrensning i at behandlingen må være nødvendig. Behandling av sensitive personopplysninger vil kun være lovlig dersom rettskravet ikke lar seg fastlegge på annen måte.
Nr 8 (jf direktivet artikkel 8 nr 3) tillater behandling av sensitive personopplysninger som ledd i ulike former for helsetjenester. Bestemmelsen har selvstendig betydning ved siden av unntakene i nr 1 (samtykke) og nr 2 (lov) f eks når den registrerte er syk eller skadet og av den grunn ikke er i stand til å samtykke. Unntaket får bare anvendelse der den som yter helsetjenesten er bundet av taushetsplikt som bygger på lov eller på regelverk som er fastsatt av kompetente nasjonale organer.
Etter § 9 annet ledd kan Datatilsynet bestemme at sensitive personopplysninger kan behandles når viktige samfunnsinteresser tilsier at opplysningene kan behandles og det igangsettes tiltak for å vareta de registrertes interesser (se direktivet artikkel 8 nr 4). I mange tilfeller er viktige samfunnsinteressene nedfelt i lov som hjemler behandling av opplysningene, se merknadene til nr 2 ovenfor. Eksempler på viktige samfunnsinteresser gis i direktivets fortale pkt 34 – 36.
Datatilsynet kan bestemme om tiltakene for å sikre de registrertes interesser er tilstrekkelige. Dersom tiltakene ikke er tilstrekkelige, kan Datatilsynet avgjøre at unntaket ikke kan benyttes, jf § 40.
§ 10 Bruk av fødselsnummer
Bruk av fødselsnummer må være saklig begrunnet ut i fra behovet for sikker identifisering.
Datatilsynet kan gi pålegg om at fødselsnummer skal brukes for å sikre tilstrekkelig kvalitet på personopplysninger.
Til § 10:
Paragraf 10 gir en generell regulering av bruk av fødselsnummer, jf utvalgets kommentarer i 12.5.7 og direktivet artikkel 8 nr 7. Bestemmelsen har ingen parallell i personregisterloven.
Første ledd slår fast at bruk av fødselsnummer (fødselsdato samt personnummer) må være saklig begrunnet ut i fra behovet for sikker identifisering. Kravet til saklighet vil bare være oppfylt dersom andre indentifikasjonsmåter – som f eks navn, adresse og kundenummer – ikke er tilstrekkelig. Det vil også ha betydning hvor viktig sikker identifisering er for den registrerte. Den behandlingsansvarliges og samfunnsmessige behov kan også tillegges vekt.
Annet ledd gir Datatilsynet kompetanse til å bestemme at fødselsnummer skal brukes for å sikre tilstrekkelig kvalitet på personopplysninger. Dette bygger på en oppfatning om at personvernet i mange sammenhenger er tjent med at det er sikkerhet mht hvilke personer de aktuelle opplysningene knytter seg til, jf utvalgets vurderinger i 12.5.7. Kravet til tilstrekkelig kvalitet omfatter bl a oppdaterthet og at personopplysningene er dekkende.
§ 11 Sikring av personopplysninger
Den behandlingsansvarlige og databehandleren skal sørge for at personopplysningene til enhver tid er sikret tilstrekkelig konfidensialitet og har den kvalitet og tilgjengelighet som formålet med behandlingen tilsier.
Den behandlingsansvarlige plikter å gjennomføre sikkerhetsvurderinger og etablere og holde vedlike planlagte og systematiske sikkerhetstiltak for å oppnå kravene i første ledd. Sikkerhetstiltakene skal være bygget opp i henhold til alminnelige anerkjente metoder.
Sikkerhetsvurderingen og tiltakene skal dokumenteres og ved forespørsel være tilgjengelig for Datatilsynet og Personvernnemnda. De ansatte i Datatilsynet og medlemmene i Personvernnemnda plikter å hindre at andre får adgang eller kjennskap til opplysninger om sikkerhetsvurderinger og sikkerhetstiltak dersom slike opplysninger kan svekke sikkerhetstiltakene.
Kongen kan gi forskrift om sikring av personopplysninger.
Til § 11:
Første ledd pålegger den behandlingsansvarlige et kontinuerlig ansvar for sikring av personopplysninger. Sikkerhetsvurderingen må skje i forhold til de til enhver tid rådende forhold. Dette innebærer blant annet at også behandling under endrede forhold som er av kort varighet skal tilfredsstille sikkerhetskravene. Sikringen skal således for eksempel omfattes av situasjoner der en databehandler har rådighet over personopplysninger, jf § 13, og perioder der det foregår ombyggingsarbeider, flytting til nye lokaler m v.
Behandling av personopplysninger kan etter § 7 bare skje til lovlige og uttrykkelig angitte formål, og opplysningene skal være relevante ut i fra formålet. Sikringen skal være tilstrekkelig i forhold til disse formålene (jf § 11 første ledd). Det er ikke mulig på forhånd å angi noen uttømmende oversikt over kategorier av formål med tilhørende sikringskrav.
Spesielt er det grunn til å peke på at behandling av sensitive personopplysninger kan begrunne strenge sikkerhetskrav. For konsesjonspliktige behandlinger vil sikringskravene således typisk være strenge. Men også behandling av sensitive personopplysninger til andre formål enn å treffe enkeltavgjørelser vil typisk bli omfattet av strenge krav. Selv om en ikke benytter sensitive opplysninger, vil behandling av opplysninger ellers typisk bli omfattet av strenge sikringskrav når sikringsnivået har direkte betydning for ivaretakelse av vesentlige personverninteresser. Opplysninger om private økonomiske forhold er for eksempel ikke omfattet av de generelt sensitive opplysningstypene i § 2 nr 8, men kan likevel, særlig i kombinasjon med andre opplysninger (for eksempel om sosiale forhold), anses som konkret sensitive med forholdsvis strenge krav til sikring.
Plikten til å sørge for sikring av personopplysninger tar utgangspunkt i begrepene konfidensialitet, kvalitet og tilgjengelighet. I mange tilfelle vil disse begrepene bare angi utgangspunkter som vil måtte konkretiseres og detaljeres gjennom bruk av slike alminnelig anerkjente metoder som er omtalt i § 11 annet ledd, siste punktum.
Paragraf 11 sier ikke direkte noe om hva som må anses å være alminnelige anerkjente metoder for sikkerhetstiltakene. I tillegg til kontrolloppgaver har Datatilsynet i oppgave å gi råd og rettledning i spørsmål om sikring av personopplysninger, se § 36 nr 5. Denne bestemmelsen sammenholdt med § 11 og kravet om bruk av anerkjente metoder, vil i praksis innebære at Datatilsynets veiledning blant annet vil innbefatte anvisning av relevante metoder og rådgivning ved valg av metode.
Sikkerhetsvurderingen vil i mange tilfelle måtte detaljeres for å oppnå tilstrekkelig presisjon i sikringskravene: For det første må sikkerhetsvurderingen detaljeres gjennom en nærmere utdyping av kravene til konfidensialitet, kvalitet og tilgjengelighet. Krav til kvalitet kan for eksempel blant annet sies å inneholde krav til korrekthet, oppdaterthet, relevans og fullstendighet. De metoder det henvises til i § 11 annet ledd skal inneholde slike detaljeringer på ulike nivå. Hvilken detaljeringsgrad som anses nødvendig, vil avhenge av formålet med behandlingen og hvor sensitive opplysningene er.
For det andre kan behovet for detaljering innebære at begrepet opplysning må spesifiseres slik at man i stedet opererer med data, informasjon og system. Data er tegn og signaler som er gjenstand for fortolkning, for eksempel som signaler i et datanett eller som koder/betegnelser på et skjema. Informasjon er det meningsinnhold som tillegges data når dataene fortolkes. Signalene på disketten fortolkes for eksempel av programvaren og blir til meningsbærende tekst på skjermen, og bokstaven H i feltet yrkesstatus forstås som hjemmeværende. System sikter til større samfungerende samlinger av data og informasjon, og innebærer at det ikke bare kan stilles krav til data og -informasjon isolert, men også til systemer av data og informasjon.
Den sikkerhetsvurdering som den behandlingsansvarlige plikter å gjennomføre i henhold til § 11 annet ledd, bør for det første inneholde en kartlegging av hvilke krav som gjelder eller bør gjelde til konfidensialitet, kvalitet og tilgjengelighet, samt en risikovurdering, det vil si anslag av risikoen for at kravene ikke kan etterleves eller sannsynligheten for sikkerhetsbrudd forøvrig. Ut i fra risikovurderingen vil det så måtte skje en tiltaksvurdering. De krav som er utgangspunkt for hele sikkerhetsvurderingen vil ofte følge av lovgivning, for eksempel i form av bestemmelser om taushetsplikt. På dette grunnlaget bør det så for eksempel anslås hvor stor risiko det er for at taushetsplikten ikke vil bli overholdt og fastsettes tiltak som gir en tilstrekkelig sikkerhet. I et slikt tilfelle vil for eksempel passordbeskyttelse, automatisk nedkobling av skjermbilder med personinformasjon og spesiell autorisasjon for elektronisk overføring av opplysninger til andre enn en forhåndsdefinert personkrets, være eksempler på aktuelle tiltak. Hvor mange tiltak og hvor strenge hvert tiltak bør være, det vil si hva som anses å være tilstrekkelig, vil avhenge av forholdet mellom formålet med behandlingen (jf overfor) og risikovurderingen. Datatilsynets praksis i konsesjonssaker og ved kontroll av sikkerhet ellers og spesielt av sikringstiltak etter § 11 vil på sikt angi et forutsigbart sikringsnivå.
Sikkerhetsvurderingen bør normalt også inneholde konkret angivelse av mål for sikringsarbeidet i forhold til de enkelte risikotyper. Det vil videre være aktuelt å fastlegge hvorledes forholdet mellom krav, tiltak og mål skal evalueres.
Behandling av personopplysninger vil ofte skje på tvers av språklige og kulturelle grenser. Forskjeller mellom for eksempel organisasjoner, distrikter og nasjoner kan innebære spesielle sikkerhetsproblemer, for eksempel fordi det blir ekstra utfordrende å formidle meningsinnholdet i persondata, med fare for at det oppstår feil personinformasjon. Sikkerhetsvurderingen må også omfatte de spesielle risiki som språklige og kulturelle forskjeller innebærer.
Datatilsynets kan med hjemmel i § 40 pålegge den behandlingsansvarlige å utføre sikringstiltak dersom dette er nødvendig for at lovens krav til sikkerhet skal oppfylles. Også hensyn til forskningsmetode, forretningsdrift, etterforskning, forsvar m v kan begrunne krav til konfidensialitet, kvalitet og tilgjengelighet. Sikringstiltakene vil således kunne ha flere samtidige begrunnelser og hjemler. Datatilsynets adgang til å gjøre unntak fra offentlighet dersom innsyn vil svekke sikkerhet er ikke avgrenset til sikring i henhold til § 11 jf § 40. Slike unntak kan etter en totalvurdering også gjøres ut i fra andre sikringshensyn.
Sikkerhetsvurderingen og de tiltak som er gjennomført skal dokumenteres, og denne dokumentasjonen skal på forespørsel være tilgjengelig for Datatilsynet. Dette følger også av § 12 om internkontroll, og dokumentasjonen i henhold til § 11 vil utgjøre en vesentlig del av internkontrollsystemet. Kravene etter § 11 gjelder imidlertid personopplysninger og ikke for eksempel generelle opplysninger om behandlinger og behandlingsansvarliges plikt til å inngi melding og søke konsesjon (jf §§ 31 og 33). For mange behandlinger (for eksempel av sensitive opplysninger) vil kravene til vurderinger og dokumentasjon etter § 11 være strengere enn det som følger av internkontrollbestemmelsen i § 12.
Sikkerhetskravene gjelder tilsvarende for databehandler som for behandlingsansvarlige. Dette innebærer både en plikt for behandlingsansvarlige til å gi informasjon om og legge til rette for aktuelle sikringstiltak, og det gir databehandler en plikt til å etterspørre og etterleve eksisterende sikkerhetskrav. I § 13 er det etablert en plikt til å inngå avtale ved utlevering av personopplysninger til databehandler eller andre. I avtale med databehandler bør sikringsspørsmål alltid være omhandlet, men det vil være stor forskjell på hvor omfattende og inngående avtalereguleringene er. Ved utlevering til andre, vil disse bli å regne som behandlingsansvarlige med selvstendig plikt etter § 11.
Taushetspliktsbestemmelsen i tredje ledd annet punktum er begrunnet i at den alminnelige taushetspliktbestemmelsen i forvaltningsloven § 13 ikke alltid vil være tilstrekkelig omfattende, og det er av avgjørende betydning at den behandlingsansvarlige og databehandleren har tillit til at opplysninger om sikkerhetstiltak m v ikke kommer på avveie. Dersom Datatilsynet fortsatt skal ledes av et styre, jf 18.3.7, må taushetsplikten også omfatte styrets medlemmer, og tredje ledd annet punktum bør i så tilfelle lyde slik:
«De ansatte i Datatilsynet, styremedlemmene og medlemmene i Personvernnemnda plikter å hindre at andre får adgang eller kjennskap til opplysninger om sikkerhetsvurderinger og sikkerhetstiltak dersom slike opplysninger kan svekke sikkerhetstiltakene.»
§ 12 Internkontroll
Den behandlingsansvarlige skal kunne dokumentere at det er etablert systemer og rutiner som sikrer overholdelse av reglene i loven samt vilkår og pålegg etter §§ 35 og 40.
Kongen kan gi forskrift om internkontroll.
Til § 12:
Kravene til internkontroll og dokumentasjon av tiltak som er egnet til å sikre overholdelse av personvernregler, gjelder for det første generelle regler i lov og forskrift. I tillegg skal dokumentasjonen omfatte tiltak for etterlevelse av regler som gis for den enkelte behandling, det vil si for konsesjonsvilkår (§ 35) og for pålegg i henhold til § 40.
Det er ikke fastsatt noen krav til metode for etablering av internkontrollsystem, jf § 12 annet ledd. Etableringen kan imidlertid med fordel bygges på en tilnærming som innebærer aktivitetene: kartlegging av krav (i aktuelle regler), risikovurdering, fastlegging av mål, tiltaksvurdering og evaluering.
Lovforslaget etablerer en plikt for alle behandlingsansvarlige til å gjennomføre de nevnte vurderingene. Det kan imidlertid ikke kreves at vurderingene alltid vil lede ut i konkrete tiltak. En vurdering av retten til innsyn i opplysninger om en selv i § 18 kan for eksempel gi som konklusjon at det ikke er behov for særskilte tiltak, for eksempel fordi henvendelsene er få og det også for øvrig er enkelt å gjennomføre lovens regel i praksis.
Den dokumentasjonen som kreves i henhold til § 12 skal kunne fremlegges for Datatilsynet ved forespørsel. Dette følger § 38 første ledd. Internkontrollsystemet og dokumentasjonen må ajourføres fortløpende i tråd med endrede forhold.
§ 13 Databehandlerens rådighet over personopplysninger
Databehandleren kan ikke uten avtale med den behandlingsansvarlige anvende opplysningene til andre formål enn det oppdraget gjelder. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
Til § 13:
Paragraf 13 regulerer bruk av databehandler, og gjennomfører direktivet artikkel 17 nr 2 – 4. Bestemmelsen er en videreføring av personregisterloven § 23, men bestemmelsen gis et langt bredere anvendelsesområde fordi databehandlere omfatter langt flere enn personregisterlovens begrep databehandlingsforetak.
Hva som menes med databehandler fremgår av definisjonen i § 2 nr 5, se utvalgets merknader til denne bestemmelsen.
Bestemmelsen regulerer databehandlerens rådighet over personopplysninger som behandles på vegne av den behandlingsansvarlige. Første punktum gjelder bare anvendelse av opplysningene til andre formål, mens annet punktum gjelder overlatelse til andre for lagring eller bearbeidelse. Annet punktum innebærer at databehandlere ikke kan samarbeide med andre databehandlere om å utføre oppdraget uten at dette avtales med oppdragsgiveren.
§ 14 Frist for oppfyllelse av plikter
Den behandlingsansvarlige skal sørge for at den registrertes krav etter loven §§ 16, 18, 22, 25, 26, 27 og 28 gjennomføres uten ugrunnet opphold og senest innen én måned.
Dersom særlige grunner gjør det umulig å oppfylle pliktene innen en måned kan gjennomføring skje senere. I slike tilfeller skal midlertidig skriftlig svar gis innen fristen. I det midlertidige svaret skal det opplyses om grunnen til forsinkelsen og sannsynlig tidspunkt for gjennomføring.
Til § 14:
Bestemmelsen fastsetter frister for den behandlingsansvarlige til å oppfylle krav fra den registrerte etter loven. Det finnes etter personregisterloven og direktivet bare spredte eksempler på krav til hvor raskt de behandlingsansvarlige skal gi svar på henvendelser fra de registrerte og ellers utføre plikter i forhold til de registrerte, se 11.6.1.
Hva som er å anse som særlige grunner må avgjøres konkret og avhenger bl a av hvilken rettighet som skal gjennomføres (både type plikt og hvor omfattende denne er). Den vanligste årsaken til at den behandlingsansvarlige ikke oppfyller sine plikter i tide vil sannsynligvis være for liten kapasitet. Dette kan være en akseptabel grunn for forsinkelse i noen tilfeller, for eksempel for krav etter § 27 om å få gjennomført en manuell behandling, forutsatt at slike krav behandles sammen med andre klager i den rekkefølge de er kommet inn. Når det gjelder krav etter § 28 til å få sitt navn sperret mot bruk i markedsføringsøyemed, kan det vanskelig tenkes at liten kapasitet er særlig grunn til ikke å gjennomføre sperringen senest innen én måned.
§ 15 Betaling
Rettighetene etter §§ 16, 18, 22, 25, 26, 27 og 28 utøves vederlagsfritt for den registrerte. Dersom særlige grunner gjør det nødvendig, kan Kongen gi forskrift om at den registrerte må betale vederlag til den behandlingsansvarlige for å benytte disse rettighetene.
Til § 15:
Paragraf 15 fastslår at rettighetene etter loven utøves vederlagsfritt for den enkelte. Bestemmelsen lovfester dagens rettstilstand selv om personregisterloven ikke har noen bestemmelse om dette. For kredittopplysningsforetak er det imidlertid i personregisterloven § 20 annet ledd gitt en bestemmelse om at foretaket i visse tilfeller kan beregne seg en rimelig godtgjørelse når opplysninger blir gitt skriftlig. Vederlagsregel er begrunnet i hensynet til å motvirke at det gis gratis kredittopplysning, ikke i byråenes arbeid og omkostninger ved innsynssystemet, se Ot prp nr 2 1977-78 side 93. Dette er et eksempel på en særlig grunn som kan foranledige forskrift etter § 15.
Kapittel 3 Innsynsrett og varslingsplikt m v
§ 16 Rett til generell informasjon om behandling av personopplysninger
Den som ber om det skal få vite hvilke behandlinger av personopplysninger en behandlingsansvarlig foretar.
Den som ber om det skal dessuten få følgende informasjon om en bestemt behandling av personopplysninger:
navn og adresse på den behandlingsansvarlige og på dennes eventuelle representant, jf § 6
hvem som har det daglige ansvaret for å oppfylle pliktene som hviler på den behandlingsansvarlige
behandlingens formål
definisjoner og andre beskrivelser av de typer personopplysninger som inngår i behandlingen
kilde for opplysningene
hvem personopplysningene blir eller vil bli utlevert til, herunder planlagt utlevering av personopplysningene til mottakere i andre stater.
Informasjon kan kreves hos den behandlingsansvarlige eller dennes representant som nevnt i § 6. Den som ber om informasjon kan kreve at informasjonen gis skriftlig.
Kongen kan gi forskrift om unntak fra første ledd dersom dette er nødvendig av hensyn til rikets sikkerhet eller forebyggelse og etterforskning av straffbare handlinger.
Til § 16:
Paragraf 16 lovfester krav om generell informasjon om elektronisk behandling av personopplysninger. Bestemmelsen gir også rett til generell informasjon om manuell behandling av personopplysninger når personopplysningene inngår eller skal inngå i et personregister, se utvalgets merknader i 11.2.3 og 11.2.4 og direktivet artikkel 21 nr 3. Direktivet artikkel 21 nr 3 retter seg mot behandlinger som ikke er meldepliktige. Opplysningene det skal gis innsyn i er i hovedsak de samme som meldingen skal inneholde for de meldepliktige behandlingene, men meldingene vil være mer omfattende. Også for de ikke-meldepliktige behandlingene må altså den behandlingsansvarlige føre en ajourført oversikt som minst inneholder opplysningene det kan kreves innsyn i. Bestemmelsen har en viss parallell i personregisterloven § 7 tredje ledd.
Første ledd gir den som ber om det – med andre ord enhver, slik ordet nyttes i offentlighetsloven § 2 – rett til å få vite hvilke behandlinger en behandlingsansvarlig foretar. Formålet med bestemmelsen er å gi enhver muligheten til å få vite om det er interessant å skaffe seg mer informasjon om en bestemt behandling av personopplysninger, jf annet ledd, og skaffe seg oversikt slik at ev innsynsrett kan benyttes (jf særlig § 18 om rett til innsyn i opplysninger om en selv). Ved å benytte den allmenne retten til informasjon kan man også ta stilling til om man vil la den behandlingsansvarlige få behandle opplysninger om en selv. For eksempel kan det bes om allment innsyn før man tar stilling til om man vil melde seg inn i en plateklubb etc.
Retten til informasjon etter annet ledd gjelder en bestemt behandling av personopplysninger. Den som ønsker å benytte seg av innsynsretten må med andre ord identifisere den behandlingen det ønskes innsyn i. Ettersom informasjonen etter første ledd skal gi tilstrekkelig grunnlag for å peke ut en bestemt behandling, er kravet om identifikasjon en rent praktisk foranstaltning, og gir ikke grunnlag for å avvise den som ber om informasjon.
Annet ledd nr 1 – 6 regner opp de opplysningene det skal gis innsyn i. Det legges opp til at informasjonen skal være generell, standardisert og kortfattet. Både Datatilsynet og den registrerte vil ha andre hjemler til å skaffe seg ytterligere informasjon.
Informasjonen skal i henhold til direktivet omfatte opplysningene som er nevnt i direktivet artikkel 19 nr 1 bokstavene a) – e). Utvalgets forslag tilfredsstiller dette, og pålegger i tillegg den behandlingsansvarlige å gi informasjon om hvem som har det daglige ansvaret for å oppfylle pliktene som hviler på den behandlingsansvarlige (nr 2). I motsetning til meldinger til Datatilsynet omfattes ikke informasjon om sikkerhetstiltak.
I henhold til nr 6 (jf direktivet artikkel 19 nr 1 bokstav d) skal det gis innsyn i hvilke mottakere som opplysningene blir eller vil bli utlevert til. Det er tilstrekkelig å angi kategorier av mottakere, f eks til typer av aktører innenfor visse bransjer etc. Informasjonen om mottakerne kan med andre ord generaliseres – det er ikke nødvendig å navngi eller på annen måte identifisere hver enkelt mottaker. På den annen side kan ikke kategoriseringen gjøres så abstrakt at informasjonen blir intetsigende.
Det skal også informeres om planlagt utlevering av personopplysninger til mottakere i andre stater, og ikke bare opplysninger om videregivelse til tredjeland (stater utenfor EØS-området). Dette er bevisst fra utvalgets side, og har sammenheng med den lovtekniske løsningen utlevering til utlandet reguleres på, jf lovforslaget kapittel 5.
Tredje ledd forteller hvem det kan kreves informasjon hos, dvs den behandlingsansvarlige eller dennes representant som nevnt i § 6 (behandlingsansvarlige som ikke er etablert i Norge, men som benytter hjelpemidler som befinner seg her). At innsyn også kan kreves hos representanten følger allerede av § 6 annet ledd siste punktum, men er tatt med av informasjonshensyn. Det følger forutsetningsvis av bestemmelsen at den registrerte ikke kan rette krav om innsyn mot databehandleren. Dette er selvsagt ikke til hinder for at den behandlingsansvarlige kan oppfylle plikten til å gi innsyn ved å instruere databehandleren om dette. For behandlinger hvor det enten er innsendt melding eller gitt konsesjon, kan informasjonen kreves også hos Datatilsynet, jf § 17.
Fjerde ledd gir Kongen kompetanse til å bestemme at innsynsretten ikke skal gjelde dersom dette er nødvendig av hensyn til rikets sikkerhet eller forebyggelse eller etterforskning av straffbare handlinger, jf direktivet artikkel 13 nr 1.
§ 17 Offentlig fortegnelse over konsesjoner og meldinger
Datatilsynet skal føre en systematisk fortegnelse over alle behandlinger som er innmeldt etter § 31 eller gitt konsesjon i medhold av § 33. Av fortegnelsen skal det minst fremgå opplysninger som nevnt i § 16 annet ledd.
Fortegnelsen skal være offentlig på den måten Datatilsynet bestemmer.
Kongen kan gi forskrift om fortegnelsen og gjøre slike unntak fra første ledd som er nødvendig ut fra beredskapshensyn eller hensynet til rikets sikkerhet.
Til § 17:
Paragraf 17 pålegger Datatilsynet å føre en systematisk fortegnelse over alle behandlinger som er innmeldt eller gitt konsesjon, jf første ledd. Bestemmelsen er basert på direktivet artikkel 21 nr 2, og er en videreføring av personregisterloven § 4 (jf utvalgets kommentarer i 11.2.2). Fortegnelsen skal minst inneholde samme opplysninger som nevnt i § 16 annet ledd, jf kommentarene til denne bestemmelsen.
Annet ledd fastslår at fortegnelsen skal være offentlig tilgjengelig. Datatilsynet kan bestemme på hvilken måte fortegnelsen skal offentliggjøres, f eks om den skal legges ut på Internett. Det er av stor betydning at de registrerte gis så lik mulighet til innsyn som mulig uavhengig av hvor i Norge de befinner seg.
Tredje ledd gir Kongen hjemmel til å gi forskrift om fortegnelsen, herunder unntak som er nødvendig ut fra beredskapshensyn eller hensynet til rikets sikkerhet, jf direktivet artikkel 13 nr 1.
§ 18 Den registrertes rett til innsyn
Den registrerte skal på forespørsel få opplyst:
hvilke opplysninger om en selv som behandles ved elektroniske hjelpemidler eller som er tatt inn i et manuelt register
behandlingens formål
hvem opplysningene om en selv blir eller vil bli utlevert til
kilden for disse opplysningene
hvilke sikkerhetstiltak som er knyttet til behandlingen, dersom innsyn ikke svekker sikkerheten.
Innsyn kan kreves hos den behandlingsansvarlige eller dennes representant som nevnt i § 6. Den registrerte kan kreve at opplysningene skal gis skriftlig.
Til § 18:
Paragraf 18 gir den registrerte rett til innsyn i opplysninger om en selv. Bestemmelsen viderefører og videreutvikler innsynretten i personregisterloven § 7, jf direktivet artikkel 12 a første strekpunkt og utvalgets kommentarer i 11.2.5.
Første ledd nr 1 oppstiller hovedregelen om innsyn i opplysninger om en selv som behandles ved elektroniske hjelpemidler eller som er inntatt i et manuelt (papirbasert) register. Nytt i forhold til personregisterloven § 7 er at innsynsretten i manuelle registre likestilles med innsynsretten i elektronisk lagrede opplysninger. Videre utvides innsynsretten iforhold til private, jf 11.2.5.4, slik at innsynsretten her likestilles med innsynsretten overfor organer for stat eller kommune. Fra hovedregelen gjøres imidlertid enkelte unntak (jf direktivet artikkel 13).
Første ledd nr 2 gir den registrerte krav på informasjon om behandlingens formål. I motsetning til § 16 annet ledd nr 3, som gir rett til generell og kortfattet informasjon om formålet med behandlingen(e), har den registrerte krav på informasjon om formålet med den behandlingen som berører den registrerte. Kravet om konkret og individualisert innsyn gjelder tilsvarende for nr 3 om utlevering og nr 4 om kildeangivelsen. Innsyn i kilden skal sette den registrerte istand til å finne ut hvor informasjonen om ham eller henne er hentet fra.
I tillegg har den registrerte krav på innsyn i opplysninger om sikkerhetstiltak, jf nr 5. Dette gjelder likevel ikke dersom innsyn svekker sikkerheten. Det må her sondres mellom ulike sikkerhetstiltak. Tiltak som skal sikre at ikke uvedkommende skal kunne få tilgang til personopplysningene vil lett omfattes av unntaket fra innsyn. Andre sikkerhetstiltak, f eks tiltak for å høyne opplysningskvaliteten, vil det derimot sjelden være aktuelt å gjøre unntak fra.
Innsynsrett skal gis fritt og uhindret, med rimelige mellomrom og uten større ventetid eller større utgifter, jf direktivet artikkel 12 bokstav a) innledningsvis og lovforslaget §§ 14 (frister) og 15 (betaling).
§ 19 Unntak fra den registrertes rett til innsyn
Innsynsretten etter § 18 gjelder ikke opplysninger som bare brukes til statistikk, forskning eller generelle planleggingsformål dersom behandlingen ikke får noen direkte betydning for den registrerte.
Innsynsretten gjelder ikke opplysninger som det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forholdet til personer som står dem nær. Opplysningen kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det.
Den registrerte kan ikke kreve innsyn i opplysninger i dokumenter som er unntatt fra innsyn etter forvaltningsloven § 18. Overfor behandlingsansvarlige som ikke er organ for stat eller kommune kan det ikke kreves innsyn i opplysninger i dokumenter som er utarbeidet for den interne saksforberedelse av
den behandlingsansvarlige selv
særskilte rådgivere eller sakkyndige, eller
annen sammenslutning eller stiftelse innenfor eget konsern eller organisasjon.
Selv om opplysninger er unntatt etter reglene i tredje ledd, har den registrerte rett til innsyn i faktiske opplysninger eller sammendrag eller annen bearbeidelse av faktum. Dette gjelder likevel ikke når den registrerte på annen måte har tilgang til de faktiske opplysningene.
Dersom innsyn kan motvirke muligheten for å få en sak som er under behandling avklart, kan den som kravet om innsyn retter seg mot bestemme at den registrerte ikke skal gis innsyn så lenge undersøkelser pågår.
Kongen kan gi forskrift om unntak fra og vilkår for bruk av innsynsretten.
Til § 19:
Paragraf 19 gjør visse unntak fra innsynretten.
Første ledd gjør unntak fra innsynsretten der personopplysningene utelukkende benyttes til statistikk, forskning eller generelle planleggingsformål. Dette er en videreføring av personregisterloven § 7 første ledd annet punktum (jf foran 3.3.4 om det beslutningsfokuserte personvernet). Det stilles imidlertid opp et vilkår om at unntaket fra innsynsretten kun gjelder når de nevnte formålene ikke får noen direkte betydning for den enkelte. Dette innebærer at den registrerte likevel har insynsrett dersom behandlingen enten får rettsvirkninger eller direkte faktiske virkninger for den registrerte. Utvalget har på denne måten ment å lovfeste Datatilsynets praksis i dag, jf 11.2.5.4.5.
Annet ledd gjør unntak fra innsynsretten der det må anses som utilrådelig at den registrerte får kjennskap til opplysningene av hensyn til den registrertes helse eller forholdet til personer som står dem nær. Unntaket viderefører personregisterloven § 7 første ledd siste punktum. Nytt i forhold til personregisterloven er at opplysningene likevel kan gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det, jf den tilsvarende regelen i forvaltningsloven § 19 første ledd bokstav c og utvalgets merknader i 11.2.5.4.4.
Tredje ledd regulerer forholdet til innsynsrett etter forvaltningsloven § 18, jf personregisterloven § 7 annet ledd siste punktum og utvalgets vurderinger i 11.2.5.4.3. Et hovedsynspunkt er at innsynsrett etter personopplysningsloven ikke skal rekke lenger enn innsynsrett etter forvaltningsloven. Selv om det mest hensiktsmessige kunne være å knytte innsynet direkte til personopplysningene, er innsyn forankret i dokumenter (jf formuleringen innsyn i opplysninger i dokumenter) slik at uttrykksmåten harmonerer med forvaltningsloven.
Den registrerte kan ikke kreve innsyn i opplysninger i dokumenter som er unntatt fra innsyn i medhold av forvaltningsloven § 18. Utvalget har valgt en noe annen formulering enn i personregisterloven, slik at unntak fra innsynsretten krever at det aktuelle dokumentet som rommer opplysningene blir unntatt fra partsoffentlighet, og ikke bare kan bli unntatt.
Også i privat sektor og i offentlige virksomheter som ikke er organ for stat eller kommune er det behov for å gjøre unntak fra innsyn i interne dokumenter. Utvalget foreslår at dette gjennomføres ved en lignende formulering som i dag finnes i personregisterforskriften § 1-5 annet ledd (interne dokumenter i manuelle personalregistre).
Nytt i forhold til personregisterloven er at det skal gis innsyn i faktiske personopplysninger, jf fjerde ledd. Regelen er basert på den tilsvarende regelen i forvaltningsloven § 18, men gjelder i lovforslaget både for organer for stat eller kommune, for andre offentlige virksomheter og for behandlingsansvarlige i privat sektor. Begrunnelsen for bestemmelsen er at det ikke er så stort behov for å unnta faktiske opplysninger som vurderinger som knytter seg til enkeltpersoner. Retten til innsyn i faktiske opplysninger etter femte ledd gjelder ikke dersom den registrerte på annen måte har tilgang til disse opplysningene.
Femte ledd gir den behandlingsansvarlige anledning til på visse vilkår å utsette tidspunktet for offentlighet, jf forvaltningsloven § 20 første ledd og personregisterforskriften 1979 § 1-2 første ledd annet punktum.
I siste ledd gis Kongen kompetanse til å gi forskrift om unntak fra og vilkår for bruk av innsynsretten. Bestemmelsen er en videreføring av personregisterloven § 7 siste ledd. Eventuelle innskrenkninger i innsynsretten i forskrift må være i samsvar med direktivet artikkel 13.
Utvalget understreker for ordens skyld at den behandlingsansvarlige kan gi innsyn i mer enn det loven krever (merinnsyn) såfremt dette ikke strider mot lovlig etablert taushetsplikt. I mange tilfelle kan slikt mer innsyn være ønskelig, og behandlingsansvarlige bør vurdere om muligheten skal benyttes.
§ 20 Informasjonsplikt ved innsamling av personopplysninger fra den registrerte
Ved innsamling av personopplysninger fra den registrerte skal den behandlingsansvarlige opplyse den registrerte om hvem som er behandlingsansvarlig, formålet med innsamlingen av opplysningene samt om det er frivillig å levere fra seg opplysningene. Informasjonsplikten gjelder ikke dersom den registrerte må antas allerede å kjenne til dette.
Ytterligere informasjon skal gis dersom det må antas å være nødvendig for at den registrerte skal kunne ivareta egne interesser. Eksempler på slik informasjon er hvem opplysningene kan bli utlevert til, samt i hvilken grad den registrerte kan kreve innsyn, retting eller sletting av opplysningene.
Til § 20:
Paragraf 20 pålegger den behandlingsansvarlige å informere den registrerte når det innsamles opplysninger fra denne. Bestemmelsen er ny i forhold til personregisterloven, og gjennomfører direktivet artikkel 10 (jf utvalgets merknader i 11.2.6).
Første ledd gir uttrykk for det minimum av informasjon som skal gis til den registrerte. Dersom den registrerte må antas allerede å kjenne til det som det skal informeres om, gjelder ikke informasjonsplikten.
Det er ikke alltid tilstrekkelig å gi slik informasjon som nevnt i første ledd. Formålet med informasjonsplikten er å gi den registrerte mulighet til å gjøre bruk av sine rettigheter etter loven som f eks innsyn, retting m v. Dette er bakgrunnen for at annet ledd pålegger den behandlingsansvarlige å gi tilleggsinformasjon dersom dette er nødvendig for at den registrerte skal kunne vareta egne interesser. Lovteksten gir også eksempler på slik tilleggsinformasjon.
Det er den behandlingsansvarlige som i første omgang må vurdere konkret om det er behov for å gi tilleggsinformasjon som nevnt i annet ledd. Vurderingen kan bli overprøvet av Datatilsynet, som i medhold av § 40 kan gi pålegg om at ytterligere informasjon skal gis dersom det anses som nødvendig. Dersom den behandlingsansvarlige ønsker å standardisere informasjonen av effektivitetshensyn, er det selvsagt ikke noe i veien for at det automatisk gis tilleggsinformasjon dersom denne informasjonen er omfattende nok til å dekke alle tilfeller.
§ 21 Varslingsplikt ved innsamling av personopplysninger fra andre enn den registrerte
Dersom personopplysningene innhentes fra andre enn den registrerte, skal den behandlingsansvarlige gi informasjon som nevnt i § 15 annet ledd til den registrerte når registrering skjer. Dersom opplysningene skal videregis innen rimelig tid, kan varslingen utsettes til første gangs videregivelse av opplysningene.
Første ledd gjelder ikke dersom
varslingen er umulig eller uforholdsmessig vanskelig,
den registrerte må antas å være kjent med behandlingen, eller
det er fastsatt i lov at det er adgang til å registrere eller videregi opplysningene.
Til § 21:
Mens § 20 pålegger den behandlingsansvarlige informasjonsplikt når det samles inn opplysninger fra den registrerte, oppstiller § 21 varslingsplikt når opplysninger om den registrerte samles inn fra andre kilder. Når det er varslet etter § 20 vil det i mange tilfeller ikke være behov for å varsle etter § 21 fordi den registrerte allerede er informert. Paragraf 21 har ingen parallell i personregisterloven, og lovfester direktivet artikkel 11 (jf om direktivet artikkel 11 i 11.2.6.3 og utvalgets vurderinger i 11.2.6.6).
Første ledd oppstiller hovedregelen om at det skal varsles, og sier også hva slags informasjon som skal gis, jf henvisningen til § 16 annet ledd om rett til innsyn i generelle opplysninger om behandling av personopplysninger. Informasjonen skal som hovedregel gis samtidig som opplysningene lagres (registreres). Det kan være fordelaktig at administrative rutiner ordnes slik at innsamling automatisk iverksetter varsling.
Med varsel menes i utgangspunktet individuelt varsel, dvs eget varsel til hver enkelt registrert. Dersom individuelt varsling er uforholdsmessig vanskelig, kan varsel gis på annen måte, f eks ved annonser. Dersom kollektivt varsel er uhensiktsmessig, gjelder ingen varslingsplikt.
Dersom opplysningene som samles inn skal videregis, kan varsling utsettes til videregivelse skjer. Utsatt varsling ved videregivelse forutsetter at videregivelsen skjer innen rimelig tid. Begrunnelsen for denne reservasjonen er at det ville være uheldig dersom varslingsplikten ble undergravet ved at varsling ble utsatt i påvente av en (mulig) videregivelse langt inn i fremtiden. Hva som er rimelig tid må vurderes konkret, jf den tilsvarende fristsangivelsen i bl a kjøpslovens fristbestemmelser. Datatilsynets praksis vil her etterhvert gi veiledning, jf lovforslaget § 40.
Som det fremgår av utvalgets vurderinger i 11.2.6.6 ser utvalget klart et behov for å benytte seg av muligheten direktivet gir for å gjøre unntak fra varslingsplikten. Slike unntak finnes i § 21 annet ledd.
I nr 1 gjøres unntak fra varslingsplikten der varslingen er umulig eller uforholdsmessig vanskelig, jf direktivet artikkel 11 nr 2 og den lignende formuleringen i forvaltningsloven § 16 tredje ledd bokstav a) første alternativ. Begrunnelsen for dette unntaket er en avveining av den registrertes nytte av varslingen mot de ressurser den behandlingsansvarlige må bruke for å få gjennomført varslingen. I vurderingen av hva som er uforholdsmessig må det tas hensyn til hvor viktig det typisk er for den registrerte å bli varslet om den aktuelle behandlingen.
Nummer 2 gjør unntak fra varslingsplikten når den registrerte må antas allerede å være kjent med behandlingen, jf direktivet artikkel 11 nr 1. Begrunnelsen for unntaket er at det i disse tilfellene ikke er behov for varsling. For at dette unntaket skal få anvendelse, må imidlertid den registrerte kjenne til opplysningene som nevnt i § 16 annet ledd.
Nummer 3 slår fast at varsling ikke er nødvendig når registreringen eller videregivelsen er fastsatt i lov, jf direktivet artikkel 11 nr 2. I disse tilfellene gir loven informasjon til den registrerte, og eget varsel er unødvendig.
§ 22 Rett til begrunnelse for fullstendig automatiserte avgjørelser
Dersom det foreligger en avgjørelse som definert i § 2 nr 9 som fullt ut er basert på automatisk behandling av personopplysninger, kan den som avgjørelsen retter seg mot kreve å få begrunnet resultatet. I begrunnelsen skal den behandlingsansvarlige redegjøre for regelinnholdet i datamaskinprogrammene som ligger til grunn for avgjørelsen.
Til § 22:
Paragraf 22 gir den registrerte rett til å kreve begrunnelse for fullstendig automatiserte beslutninger, jf direktivet artikkel 12 bokstav a tredje strekpunkt og 11.4 foran. Bestemmelsen er ny i forhold til personregisterloven.
Vilkårene for at bestemmelsen skal få anvendelse er for det første at det foreligger en fullstendig automatisert beslutning, jf det tilsvarende uttrykket i § 27 og utvalgets merknader i den forbindelse. Avgjørelsen må dessuten være bestemmende for den som avgjørelsen retter seg mot. Interne avgjørelser omfattes ikke, og ei heller avgjørelser som ikke pålegger den registrerte plikter.
Annet punktum sier hva begrunnelsen skal inneholde, dvs regelinnholdet i datamaskinprogrammene som ligger til grunn for beslutningen. Med regler forstås generelle normer som styrer avgjørelsesprosessen, som f eks (tolkninger av) rettsregler, avtaler og skjønnsmessige retningslinjer. For organer for stat eller kommune gjelder allerede i dag langt på vei en slik plikt i henhold til annen lovgivning, jf nærmere 11.4.2. For andre virksomheter, og særlig innenfor privat sektor, vil denne begrunnelsesplikten være ny. Utvalget antar imidlertid at få beslutningsprosesser vil omfattes av regelen, jf 11.4.4.
§ 23 Varslingsplikt ved bruk av personprofiler
Når det treffes enkeltavgjørelser som definert i § 2 nr 9 eller gjøres henvendelser til den registrerte på grunnlag av personprofiler som er ment å beskrive atferd, preferanser, evner eller behov, skal den behandlingsansvarlige opplyse den registrerte om hvem som er behandlingsansvarlig, hvilke opplysningstyper som er anvendt, samt kildene for disse opplysningene.
Til § 23:
Bestemmelsen stiller krav til varsling ved bruk av personprofiler. Med personprofiler sikter en til opplysninger som er sammensatt for å beskrive preferanser, adferd, behov, evner m v. Opplysningene vil typisk være elektroniske spor, dvs personopplysninger som blir rutinemessig innsamlet i systemer for betalingsformidling, elektroniske informasjonstjenester og annet. Personprofiler kan imidlertid også bestå av opplysninger som er samlet inn på annen måte. En personprofil kan for eksempel være basert på opplysninger om typisk tidspunkt og sted vareinnkjøp, inntektskategori, boligstrøk og alder. En personprofil basert på slike opplysningstyper kan for eksempel gjelde personer som handler mat på bensinstasjoner og i kiosker etter klokken 20.00 mer enn 3 ganger i uken, med inntekt over 300.000 og bolig i bydelene X og Y. Slike profiler kan danne grunnlag for antagelse om bestemte behov, for eksempel antagelser om at personene er aktuelle som kunder for bestilling av matvarer over Internett. Personprofiler kan også tenkes anvendt for verving av medlemmer i organisasjoner, rekruttering av givere til ideelle organisasjoner eller for politisk påvirkning/mobilisering. Personprofiler blir også anvendt for å treffe enkeltavgjørelser, for eksempel ved behandling av lånesøknader.
Forslagets § 23 innebærer en plikt til å varsle om at personprofiler er anvendt, hvilke kilder og opplysningstyper som er anvendt og hvem som er behandlingsansvarlig for profilen. Det kreves ikke at det varsles hvilke konkrete antagelser som ligger bak den enkelte personprofil. Bestemmelsen gjelder både ved bruk av profiler til beslutninger og henvendelser. Det forhold at det har vært gjennomført en manuell vurdering i tillegg til en maskinell bruk av personprofiler, har i seg selv ikke betydning for plikten til å varsle. Bestemmelsen supplerer §§ 20, 21 og 22 ved direkte å regulere en viktig anvendelse av personinformasjon som skaper personvernbehov som de andre nevnte bestemmelsene bare delvis imøtekommer, bl a fordi disse øvrige varslingsbestemmelsene ikke pålegger varsling om at personprofilen er utarbeidet og hvorledes dette er gjort.
Personprofiler forutsetter for det første at den som utarbeider profilene har tilgang til personopplysinger (noe taushetspliktregler kan være til hinder for). For det andre må en slik bruk være i samsvar med kravene til formål i § 7. Endelig kan bestemmelsen om bruk av personopplysninger til nye formål ha betydning for muligheten til å utarbeide personprofiler, jf § 8.
§ 24 Varslingsplikt ved elektronisk overvåkning
Ved elektronisk overvåkning på offentlig sted eller arbeidssted skal det ved skilting eller på annen måte gjøres tydelig oppmerksom på at stedet blir overvåket og hvem som er behandlingsansvarlig.
Til § 24:
Bestemmelsen regulerer elektronisk overvåkning spesielt. Det er en forutsetning at overvåkningen er elektronisk behandling av personopplysninger slik lovforslaget nytter uttrykket, jf merknadene til § 3 ovenfor. Dette omfatter blant annet opptak som er digitalisert, dvs lagret i maskinlesbar form. Ettersom utvalget har kommet til at også visse andre former for overvåkning gjør det ønskelig å stille krav som nevnt i § 24, fremgår det uttrykkelig av § 4 at § 24 får anvendelse også på fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning. Se forøvrig kapittel 14.
Grunnen til at det her er gitt egne regler om varslingsplikt for elektronisk overvåkning er at de alminnelige reglene om varsling passer dårlig på denne typen elektronisk behandling. Det vil her ikke være noen direkte kontakt mellom den behandlingsansvarlige og de registrerte, og den behandlingsansvarlige vil ikke kjenne til de registrertes identitet. Dette gjør at regelen om individuelt varsel vanskelig kan gjennomføres.
Når det gjelder anvendelsen av bestemmelsen på fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning er regelen en videreføring av straffeloven § 390 b.
Hva som menes med elektronisk overvåkning fremgår av § 2 nr 6, se merknadene til denne bestemmelsen.
Varslingsplikten gjelder på offentlig sted og arbeidssted. Uttrykkene skal forstås på samme måte som i straffeloven § 390 b.
Kapittel 4 Retting og sletting mv
§ 25 Plikt til å rette, slette, supplere og sperre mangelfulle personopplysninger
Dersom det er registrert personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å registrere, skal den behandlingsansvarlige sørge for at opplysningene rettes, slettes eller suppleres såframt mangelen kan få betydning for den registrerte. Har mangelen ført til at det er gitt eller brukt slike opplysninger, skal den behandlingsansvarlige såvidt mulig sørge for at feilen ikke får betydning for den registrerte.
Dersom opplysningene på grunn av annen lovgivning ikke kan slettes eller rettes kan Datatilsynet gi pålegg om at opplysningene skal sperres for å forhindre at de blir brukt.
Til § 25:
Paragraf 25 regulerer den behandlingsansvarliges plikt til å rette, slette, supplere og sperre mangelfulle personopplysninger. Bestemmelsen er en videreføring og videreutvikling av personregisterloven § 8 og gjennomfører direktivet artikkel 6 nr 1 d). Se utvalgets merknader i 11.5.
Første ledd første punktum pålegger den behandlingsansvarlige å rette, slette eller supplere uriktige eller ufullstendige opplysninger eller opplysninger som det ikke er adgang til å ta inn i registeret såframt mangelen kan få betydning for den registrerte. Det er gjort enkelte materielle endringer i forhold til den parallelle bestemmelsen i personregisterloven § 8. Tidligere praksis om når en mangel kan anses å få betydning for den registrerte, er relevant også for tolkningen av denne bestemmelsen. Historiske opplysninger, dvs opplysninger som er tatt ut av ordinær administrativ bruk, og opplysninger lagret for forskning- og statistikkformål vil som regel ikke fall inn under § 25, se Ot prp nr 2 (1977-78) side 76. Dette skyldes at mangel ved slike opplysninger sjelden vil ha betydning for den registrerte.
Den behandlingsansvarlige skal foreta retting, sletting eller supplering av eget tiltak. Det er ikke nødvendig med noe initiativ fra den registrertes side. I valget mellom å rette, slette eller supplere de mangelfulle personopplysningene må den behandlingsansvarlige ta hensyn til den registrertes og andre berørtes behov for å kunne dokumentere hva som har skjedd. Dersom den behandlingsansvarlige har gjort en feil som kan være erstatningsbetingende, kan det etter omstendighetene være rettsstridig å slette opplysningene for på den måten å hindre at den registrerte kan dokumentere grunnlaget for et eventuelt erstatningskrav.
Den behandlingsansvarlige skal etter første ledd annet punktum sørge for at feil som er begått, ikke får betydning for den registrerte. Av ordlyden i annet punktum går det frem at dette gjelder for alle typer feil, også dersom det er registrert opplysninger som det ikke er adgang til. Dette var uklart etter personregisterloven, selv om bestemmelsen ble tolket slik av Datatilsynet. Dersom den registrerte ikke er fornøyd med hva den behandlingsansvarlige gjør av eget tiltak eller etter henvendelse fra den registrerte, kan vedkommende bringe saken inn for Datatilsynet. Datatilsynet kan pålegge den behandlingsansvarlige å utføre tiltak som nevnt i første ledd første og annet punktum, jf § 40. Et slikt pålegg er imidlertid ikke avhengig av klage fra den registrerte.
Den behandlingsansvarliges plikt etter annet punktum er betinget av at dette er mulig ( skal den behandlingsansvarlige såvidt mulig sørge for..). Dette skal tolkes strengt. Den behandlingsansvarlige må akseptere betydelige kostnader for å rette opp en feil eller vil få (eller allerede har fått) betydning for den registrerte. Denne restitusjonsplikten er en av grunnene til at utvalget ikke har funnet det nødvendig å foreslå rett til erstatning for ikke-økonomisk tap (oppreisning), se kapittel 20.
Dersom opplysningene etter første ledd på grunn av annen lovgivning ikke kan slettes eller rettes, kan Datatilsynet gi pålegg om at opplysningene skal sperres for å forhindre at de blir brukt, jf annet ledd. Dette er nytt i forhold til personregisterloven i dag. Sperring kan innebære både et forbud mot å bruke opplysningene uten samtykke fra den registrerte, samt krav om å etablere nødvendige tekniske foranstaltninger for å hindre at opplysningene brukes. Aktuell lovgivning som kan forby sletting er for eksempel journalforskriften til legeloven som idag som den store hovedregel forbyr sletting i pasientjounaler. Statsråd Gudmund Hernes har i Stortingets spørretime 9 april 1997 opplyst at det i ny lov om helsepersonell og ny lov om pasientrettigheter vil bli foreslått at det blir innført større muligheter til å få slettet uriktige opplysninger i journal.
§ 26 Sletting og sperring av personopplysninger
Den behandlingsansvarlige plikter, når det ikke lenger er saklig grunn for oppbevaring, å slette personopplysninger som behandles elektronisk eller som inngår eller skal inngå i et manuelt personregister. Med saklig grunn forstås blant annet at oppbevaring er pålagt i eller i medhold av lov eller at den behandlingsansvarlige behandler opplysningene til det formål de er innsamlet for.
Den registrerte kan, dersom dette ikke strider mot annen lov, likevel kreve slike opplysninger om seg selv sperret eller slettet dersom dette finnes forsvarlig ut fra en samlet vurdering av andres interesser, personvernintersser, samfunnsmessige interesser og den ressursinnsats som kravet forutsetter. Datatilsynet kan gi pålegg om slik sperring eller sletting. Slikt pålegg går foran bestemmelsene om kassasjon i lov 4 desember 1992 nr 126 om arkiv § 9.
Til § 26:
Paragraf 26 regulerer sletting og sperring av personopplysninger som ikke er mangelfulle. Bestemmelsen har ingen parallell i personregisterloven, men sletting av personregistre reguleres i Datatilsynets konsesjoner. Bestemmelsen, som gjennomfører direktivet artikkel 6 e og artikkel 14 nr 1, reiser tildels meget vanskelige avveiningsspørsmål. Mens personvernhensyn ofte kan tale for sletting av personopplysninger, kan andre tungtveiende samfunnshensyn som f eks muligheter til historieforskning og behovet for rettssikkerhet tilsi varsomhet med å slette mulig dokumentasjon. Bestemmelsen avveier disse interessene mot hverandre. Se forøvrig kapittel 11.5 og 18.2.3.3.
Første ledd første punktum pålegger den behandlingsansvarlige å slette visse former for personopplysninger når det ikke lenger er saklig grunn til å oppbevare disse. For det første omfattes personopplysninger som behandles elektronisk (f eks opplysninger som foreligger i maskinlesbar form, se nærmere om dette i merknadene til § 3 foran). For det andre omfatter slettingsplikten personopplysninger som inngår eller skal inngå i et manuelt personregister. Personopplysninger i manuelle saksmapper, som ikke utgjør noe personregister, omfattes ikke av bestemmelsen. Dette skyldes at slike opplysninger ikke omfattes av lovens virkeområde, jf § 3.
I visse tilfeller kan det være tvil om behandlingen er delvis elektronisk eller manuell. Dette er drøftet nærmere i merknadene til § 3 ovenfor.
Hva som menes med saklig grunn er eksemplifisert i første ledd annet punktum. Eksempler på lovgivning som pålegger plikt til å oppbevare personopplysninger er regnskapslovgivning og arkivregelverk.
I enkelte særlige tilfelle kan varetakelsen av personveninteresser begrunne tiltak som gjør at personopplysninger blir utilgjengelige. Annet ledd regulerer disse tilfellene ved at det gir den registrerte en rett til å kreve seg slettet så fremt visse forutsetninger er tilstede. Det må etter en konkret bedømmelse finnes forsvarlig at personverninteresser går foran andre interesser. De andre interessene det er snakk om, kan for det første være interessen andre enkeltpersoner har i å kunne fremskaffe dokumentasjon (rettssikkerhetsbehov). At A krever opplysninger om seg selv slettet eller sperret, kan føre til at B mister muligheten til f eks å dokumentere et rettskrav. Også mer generelle samfunnsmessige interesser må tas i betraktning, som f eks hensynet til fremtidig historieforskning. Vurderinger av om kravet om sletting eller sperring skal gjennomføres bør således omfatte både eksisterende og sannsynlige fremtidige interesser. Dersom det skulle være uenighet mellom den registrerte og den behandlingsansvarlige om det er grunnlag for å kreve sletting, gir loven Datatilsynet kompetanse til å treffe en avgjørelse og eventuelt gi pålegg om sletting. Slettingen eller sperringen kan bestå i at opplysningene gjøres utilgjengelig eller at det treffes tiltak slik at opplysningene ikke lenger omfattes av lovens saklige virkeområde.
Det er en forutsetning at kravet om sletting ikke strider mot annen lovgivning. Utvalget foreslår i den forbindelse å videreføre prinsippet i arkivloven § 9 d om at Datatilsynets slettingsvedtak i medhold av personregisterloven §§ 8 og 11 går foran arkivlovens generelle bestemmelser om kassasjon, se annet ledd siste punktum.
§ 27 Rett til å kreve manuell behandling av personopplysninger
Den som en avgjørelse retter seg mot eller som saken ellers direkte gjelder, kan kreve at personopplysningene behandles manuelt dersom avgjørelsen
er en enkeltavgjørelse som definert i § 2 nr 9 eller som på annen måte har vesentlig betydning for vedkommende, og
fullt ut er basert på automatisk behandling, og
karakteriserer personlige egenskaper.
Retten til å kreve en manuell behandling som nevnt i første ledd gjelder ikke dersom det er truffet tilstrekkelige tiltak for å ivareta vedkommendes personverninteresser, og
avgjørelsen er hjemlet i lov, eller
avgjørelsen knytter seg til inngåelse eller oppfyllelse av kontrakt.
Til § 27:
Paragraf 27 gir den registrerte rett til å kreve manuell avgjørelse, jf direktivet artikkel 15 nr 1. Som det fremgår av utvalgets vurderinger i 11.3.2, dreier det seg om en regel med et meget begrenset anvendelsesområde. Som det fremgår nærmere av 11.3.2 kan det imidlertid tenkes at bestemmelsen vil bli mer praktisk i fremtiden.
Et første vilkår for at bestemmelsen skal gjelde er at det foreligger en enkeltavgjørelse som nevnt i § 2 nr 9.
For det annet må den foreliggende beslutningen utelukkende være basert på automatisk behandling. I dette ligger at beslutningsprosessen kun skjer i et datamaskinsystem. Dersom et eller flere mennesker tar del i beslutningsprosessen, f eks ved å tolke resultatet av datamaskinbehandlingen, er ikke dette vilkåret oppfylt. Den manuelle delen av behandlingen må imidlertid være reell, og nedfelt i fullmakter eller praksis.
Dersom beslutningen i tillegg karakteriserer personlige egenskaper, som f eks personlige ferdigheter, evner eller karaktertrekk, kan den registrerte kreve at beslutningen overprøves manuelt. Dersom f eks bankene benytter bankkiosker hvor det kan søkes om lån, vil kunden via en kundeterminal kunne kreve at systemets avgjørelse etterprøves av ansatte i banken.
Fra dette utgangspunktet gjøres imidlertid unntak i annet ledd som kan føre til at bestemmelsens rekkevidde reduseres betydelig. Retten til å kreve manuell vurdering gjelder ikke der beslutningen enten er hjemlet i lov, eller knytter seg til inngåelse eller oppfyllelse av kontrakt. Bestemmelsen får ikke anvendelse på bankkiosk-eksemplet ovenfor dersom det er truffet tiltak for å vareta den registrertes personverninteresser – f eks ved at den registrerte gis rett til å uttale seg før avgjørelsen treffes. Datatilsynet har kompetanse til å avgjøre om personverntiltakene er tilstrekkelige, jf § 40. Hvor strenge krav som stilles til personverntiltakene, vil ha avgjørende betydning for hvor stor virkning bestemmelsen vil få.
§ 28 Rett til å kreve sitt navn sperret mot bruk i markedsføringsøyemed
Kongen kan gi forskrift om at det skal opprettes et sentralt reservasjonsregister samt nærmere regler for registeret.
Den registrerte kan kreve sitt navn sperret mot bruk til direkte markedsføring. Sperring kan kreves både i det sentrale reservasjonsregisteret og i markedsførerens adresseregister.
En behandlingsansvarlig som markedsfører direkte plikter å oppdatere adresseregisteret i henhold til det sentrale reservasjonsregisteret før første gangs utsendelse og minst to ganger pr år. Kongen kan i forskrift gjøre unntak fra denne plikten.
Mottakere av direkte reklame skal få opplyst hvem som har oppgitt personopplysningene som ligger til grunn for henvendelsen.
Denne bestemmelsen gjelder ikke for markedsføring av egne produkter fra den behandlingsansvarlige hvor den registrerte har et løpende kundeforhold.
Til § 28:
Paragraf 28 gir den registrerte rett til å kreve sitt navn sperret mot bruk i markedsføringsøyemed. Bestemmelsen er en videreføring av personregisterloven §§ 8a og 28 første ledd. Paragrafen gjennomfører direktivet artikkel 14 b). Nytt for bestemmelsen er at den i tillegg etablerer en plikt for den behandlingsansvarlige til å oppdatere sitt adresseregister i henhold til det sentrale reservasjonsregisteret minst to ganger pr år. Se utvalgets merknader i 11.3.1.3.
Bestemmelsen forutsetter i første ledd at det opprettes et sentralt reservasjonsregister, noe regjeringen etter det utvalget erfarer allerede arbeider med. I første ledd gis også hjemmel til å gi nærmere forskrift om et slikt register. Forskriftshjemmelen er utformet slik at den gir en mulighet til å gi forskrift om registeret, men er ikke til hinder for at registeret forankres i annet regelverk enn lovforslaget her dersom dette anses ønskelig. For eksempel kan det være hensiktsmessig at nærmere regler om registeret gis i markedsføringsloven og eventuelt forskrift til denne loven.
Den registrerte kan kreve sitt navn sperret mot bruk til direkte markedsføring, jf annet ledd første punktum. Dette omfatter all adressert reklame (i postkasse, på telefaks og e-post), samt telefonsalg. Telefonsalg er ikke omfattet av ordlyden i personregisterloven § 8a ( utsending av direkte reklame og liknende publikasjoner), og dette er bakgrunnen for at ordlyden er endret i § 28. Med direkte markedsføring menes direkte henvendelser til enkeltpersoner med det formål å selge varer eller tjenester. Rene vervekampanjer, f eks i regi av idelle organisasjoner, vil sjelden være markedsføring slik denne loven nytter ordet.
Sperring kan kreves både i det sentrale reservasjonsregisteret og i markedsførerens adresseregister, jf annet ledd annet punktum. Den behandlingsansvarliges plikt til å oppdatere adresseregisteret i henhold til det sentrale reservasjonsregisteret er begrenset til to ganger pr år, jf tredje ledd, og det kan derfor være ønskelig for enkelte også å kunne reservere seg direkte hos den som markedsfører.
Plikten til å oppdatere adresseregisteret i henhold til det sentrale reservasjonsregisteret gjelder generelt, både for adresserings- og distribusjonsforetak (etter personregisterloven § 25) som forestår markedsføring for andre og for eksempel for idrettsklubber el l som driver med telefonsalg for å skaffe inntekter til klubben. Den vil også gjelde for ulike støtteforeninger og lignende som selger skrapelodd eller annet til støtte for ulike formål. Det vil således ikke være adgang til å bruke telefonkatalogen som kilde ved telefonsalg med mindre det i denne fremgår hvilke abonnenter som har reservert seg mot slik markedsføring. Plikten påhviler den behandlingsansvarlige. Forskriftshjemmelen gir Kongen mulighet til å gjøre unntak for enkelte grupper fra plikten til å oppdatere adresseregisteret i henhold til det sentrale reservasjonsregisteret. For eksempel kan det være aktuelt å gjøre unntak for ideelle organisasjoner og foreninger som markedsfører direkte i beskjedent omfang.
Mottakere av direkte reklame skal få opplyst hvem som har oppgitt personopplysningene som ligger til grunn for henvendelsen, jf fjerde ledd. Loven fastsetter med andre ord obligatorisk kildemerking for adressert reklame, samt pålegger de som markedsfører via telefon å opplyse hvem som er kilde for personopplysningen. Bestemmelsen lovfester Datatilsynets praksis som setter dette som vilkår i sine konsesjoner for adresserings- og distribusjonsforetak. Etter personregisterloven § 28 første ledd annet punktum kan en registrert kreve å få opplyst hvem som er foretakets kilde for registreringen, men har ingen rett til å få dette automatisk.
Bestemmelsen gjelder ikke for markedsføring av egne produkter når mottakeren har et løpende kundeforhold hos den behandlingsansvarlige, jf femte ledd. Hva som skal til for at det skal foreligge et løpende kundeforhold må vurderes på bakgrunn av hvilken bransje og hvilke varer eler tjenester det dreier seg om. Typiske eksempler på løpende kundeforhold er langvarige avtaleforhold som f eks avtale om banklån og livsforsikring.
Kapittel 5 Videregivelse av personopplysninger til utlandet
§ 29 Vilkår for videregivelse av personopplysninger til utlandet – hovedregel
Videregivelse av personopplysninger til utlandet kan bare skje dersom staten som mottakeren skal behandle personopplysningene i regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til tilstrekkelig forsvarlig regulering.
I vurderingen av om stater som ikke har gjennomført direktiv 95/46/EF regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte, skal det bl a legges vekt på opplysningenes art, de planlagte behandlingenes formål og varighet, den aktuelle statens rettsregler om behandling av personopplysninger, regler for god forretningsskikk og sikkerhetsforanstaltninger hos mottakeren. Det skal også legges vekt på om den aktuelle staten har tiltrådt Europarådets konvensjon 28 januar 1981 nr 108.
Til § 29:
Paragraf 29 gir hovedregelen for videregivelse av opplysninger til utlandet, jf direktivet artikkel 2 og artikkel 25 og utvalgets vurderinger i kapittel 16. Videregivelse av opplysninger til utlandet reguleres i dag av personregisterloven kapittel 9. Her som andre steder i loven knytter behandling av personopplysninger seg til enten elektronisk behandling eller manuell behandling av personopplysninger som inngår eller skal inngå i et personregister. Dette er for enkelhets skyld ikke sagt uttrykkelig i § 29, men følger av § 3. Se kapittel 16.4.
Verken direktivet eller lovforslaget regulerer videregivelse av personoppplysninger når dette har rent personlige formål, jf § 3.
Publisering av personopplysninger ved hjelp av internasjonale kommunikasjonskanaler som f eks lnternett kan regnes som videregivelse av personopplysninger til utlandet. Slik videregivelse vil ofte være unntatt fra reguleringen i §§ 29 og 30, jf lovforslaget § 5 som gjennomfører direktivet artikkel 9.
I tråd med direktivet artikkel 25 er det et vilkår for videregivelse av opplysninger til utlandet at staten som mottakeren befinner seg i regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte, jf § 29 første ledd. Direktivets krav til fri utveksling av personopplysninger (jf presiseringene i 16.4.1) i artikkel 2 varetas ved at stater som har gjennomført direktivet skal anses for å tilfredsstille kravet til tilstrekkelig forsvarlig regulering. Dette vil typisk være stater innenfor EØS-området. Den lovtekniske løsningen utvalget har valgt innebærer imidlertid at en stat innenfor EØS-området som ikke har gjennomført direktivet i tilstrekkelig grad ikke uten videre anses for å tilfredsstille kravet til tilstrekkelig forsvarlig regulering. På den annen side vil en stat utenfor EØS-området som på eget initiativ gjennomfører EF-direktivet av den grunn anses for å tilfredsstille kravet til tilstrekkelig forsvarlig regulering.
For stater som ikke har gjennomført direktivet, vil det bero på en helhetsvurdering om kravet til tilstrekkelig forsvarlig behandling av personopplysninger er oppfylt. Paragraf 29 annet ledd gir en ikke-uttømmende oppregning av momenter som skal vektlegges i denne vurderingen. Avklaring mht hvilke stater som oppfyller dette kravet vil komme relativt raskt blant annet på grunnlag av Kommisjonens aktive rolle på dette området, se direktivet artikkel 25 nr 3 – 7. Den behandlingsansvarlige kan få veiledning ved å henvende seg til Datatilsynet.
§ 30 Videregivelse av personopplysninger til stater som ikke regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte
Videregivelse av personopplysninger til utlandet kan skje selv om den aktuelle staten ikke regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte dersom
den registrerte har gitt sitt samtykke til videregivelsen
Norge har plikt til å foreta slik videregivelse etter folkerettslig overenskomst eller som følge av medlemsskap i internasjonal organisasjon
det er fastsatt i lov at det er adgang til å videregi opplysningene
videregivelsen er nødvendig for å inngå eller oppfylle en kontrakt mellom den registrere og den behandlingsansvarlige
videregivelsen er nødvendig for å inngå eller oppfylle en kontrakt i den registrertes interesse
videregivelsen er nødvendig for å beskytte den registrertes vesentlige interesser.
Dersom særlig grunner taler for det, kan Datatilsynet tillate videregivelse selv om vilkårene i første ledd ikke er oppfylt.
Kongen kan gi forskrift om videregivelse av personopplysninger til tredjeland.
Til § 30:
Etter § 29 kan personopplysninger bare videregis til mottakere i stater som regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte. I tråd med direktivet artikkel 26 gjøres det imidlertid i § 30 unntak fra denne regelen slik at videregivelse i visse tilfelle kan skje selv om staten som mottakeren befinner seg i ikke tilfredsstiller kravet i § 28 (jf 16.4.2.2 foran). Her som andre steder i loven knytter behandling av personopplysninger seg til enten elektronisk behandling eller manuell behandling av personopplysninger som inngår eller skal inngå i et personregister. Dette er for enkelhets skyld ikke sagt uttrykkelig i § 30, men følger av § 3.
Det første unntaket gjelder der den registrerte har samtykket i videregivelsen (jf direktivet artikkel 26 nr 1 bokstav a). Samtykket må være informert og uttrykkelig, jf § 2 nr 7 og merknadene til denne bestemmelsen.
For det andre kan videregivelse finne sted dersom Norge i henhold til folkerettslig overenskomst eller som følge av medlemsskap i en internasjonal organisasjon har plikt til å gi personopplysningene videre (jf direktivet artikkel 26 nr 1 bokstav d). Regelen er en videreføring av personregisterforskriften § 8-1 annet ledd.
Det tredje unntaket som oppstilles i § 30 er der det i lov er fastsatt at det er adgang til å videregi opplysningene (jf direktivet artikkel 26 nr 1 bokstav d). Hvorvidt det foreligger tilstrekkelig lovhjemmel for videregivelse vil bero på en tolking av den aktuelle lovbestemmelsen. Hvor strenge krav som må stilles til klar lovhjemmel vil blant annet være avhengig av hvilke virkninger videregivelsen har for den registrerte. Jo større virkninger overføringen kan få, jo klarere må lovhjemmelen være for at unntaket i nr 3 skal få anvendelse.
For det fjerde gjøres unntak fra kravet om tilstrekkelig forsvarlig regulering når videregivelsen av personopplysningene er nødvendig for å inngå eller oppfylle en kontrakt mellom den registrerte og den behandlingsansvarlige (jf direktivet artikkel 26 nr 1 bokstav b). Unntaket kan ha en viss selvstendig betydning ved siden av samtykke-unntaket i nr 1 (se § 2 nr 7 om de strenge kravene til samtykke). Å inngå en kontrakt (eller starte kontraksforhandlinger) innebærer med andre ord at personopplysninger kan videregis til utlandet uansett om den registrerte eksplisitt har samtykket i videregivelsen (såfremt videregivelsen er nødvendig for å oppfylle kontrakten).
Et typisk eksempel som omfattes av unntaket er at den registrerte ønsker å inngå eller oppfylle kjøpsavtale med en selger i et annet land, og som av den grunn må gi fra seg navn, adresse m m til selgeren i utlandet.
Unntaket i nr 5 gjør det mulig å videregi personopplysninger til utlandet selv om staten som mottakeren befinner seg i ikke fyller vilkåret i § 28 dersom videregivelsen er nødvendig for å inngå eller oppfylle en kontrakt i den registrertes interesse (jf direktivet artikkel 26 nr 1 bokstav c). I motsetning til unntaket i nr 4 er det her ikke krav om at den registrerte selv er part i kontrakten, som typisk vil være inngått mellom den behandlingsansvarlige og en tredjemann. Det kreves imidlertid at kontrakten er i den registrertes interesse, dvs at kontrakten må ha en viss positiv betydning for den registrerte. Interesse henspeiler ikke bare på rettigheter, men kan også være oppfylt ved at avtaleinngåelsen fører med seg visse positive faktiske konsekvenser for den registrerte. Det må kunne dokumenteres at kontrakten får slike virkninger for bestemte personer.
I nr 6 gjøres unntak fra § 29 dersom videregivelsen er nødvendig for å beskytte den registrertes vesentlige interesser. Vesentlighetsvilkåret må fortolkes strengt.
Kapittel 6 Meldeplikt og konsesjonsplikt m v
§ 31 Meldeplikt
Enhver behandlingsansvarlig som benytter elektroniske systemer for behandling av personopplysninger skal gi melding til Datatilsynet på fastsatt skjema i god tid før behandlingen tar til.
Slik melding skal også sendes ved opprettelse av et manuelt personregister dersom det skal inneholde sensitive personopplysninger, jf § 2 nr 8.
Meldeplikten gjelder ikke for behandinger som utelukkende gjør bruk av allment tilgjengelige personopplysninger.
Kongen kan gi forskrift om at visse typer behandlinger skal være unntatt fra meldeplikten etter første og annet ledd, underlagt en forenklet meldeplikt eller underlagt konsesjonsplikt. For behandlinger som unntas fra meldeplikt kan det gis forskrift om forhold som nevnt i § 35 annet ledd. Det kan også gis forskrift for å begrense de ulemper behandlingen ellers kunne medføre for den enkelte.
Til § 31:
Bestemmelsen har som lovteknisk utgangspunkt meldeplikt for all elektronisk behandling av personopplysninger, samt for opprettelse av manuelle personregistre dersom registeret skal inneholde sensitive personopplysninger, se utvalgets merknader i 12.5.4 og direktivet artikkel 18. Fra dette utgangspunktet gjøres unntak i tredje ledd og i forskrift i medhold av fjerde ledd. Behandlinger for rent personlige formål er ikke omfattet av meldeplikten, jf § 3.
Første ledd pålegger den behandlingsansvarlige som benytter elektroniske systemer for behandling av personopplysninger å gi melding om dette til Datatilsynet. Paragraf 32 bestemmer hva en slik melding skal inneholde. Meldingen sendes i utgangspunktet bare én gang – ikke hver gang man behandler personopplysninger elektronisk. Det er med andre ord behandlingsmåten – systemet for behandling – som skal meldes.
Dersom det senere oppstår endringer i de behandlingene man foretar i forhold til de opplysningene som er oppgitt på meldingen, må ny melding sendes med oppdaterte opplysninger, jf § 31 tredje ledd. Det må derfor sendes ny melding dersom det for eksempel skal behandles nye typer opplysninger eller opplysningene skal utleveres eller gjøres tilgjengelig på en annen måte enn oppgitt i den opprinnelige meldingen.
Det vil også være aktuelt å unnta en del behandlinger fra meldeplikt (slik det i dag er gjort unntak fra konsesjonsplikt), se nærmere om dette nedenfor. Målsettingen er (jf kapittel 12) at meldeplikten sammen med konsesjonsplikten skal være like omfattende som dagens konsesjonsplikt, og forskriftsregulering vil være nødvendig for å oppnå dette.
Avgrensningen av meldeplikten vil etter dette i utgangspunktet være ganske lik avgrensningen av konsesjonsplikten etter personregisterloven § 9, med den forskjell at konsesjonsplikten er knyttet til opprettelsen av personregistre mens meldeplikten etter den nye loven er knyttet til behandling av personopplysninger som nevnt i § 3 (jf fjerde ledd som gir forskriftshjemmel til å innsnevre meldeplikten).
Tredje ledd unntar fra meldeplikt behandlinger som utelukkende gjør bruk av allment tilgjengelige personopplysninger. Det betyr at personopplysninger som er gjort allment tilgjengelig kan leses, søkes i, nedlastes, lagres, videregis mv uten at dette utløser meldeplikt. Slike operasjoner kan imidlertid utgjøre en elektronisk behandling av personopplysninger og vil i så fall være regulert av lovens øvrige bestemmelser.
At opplysninger er gjort allment tilgjengelig innebærer at hvem som helst kan be om innsyn i opplysningene uten at det stilles særskilte krav om saklig grunn eller lignende hos vedkommende. Det er ikke tilstrekkelig at opplysningene er gjort tilgjengelig for en begrenset krets av personer. Dersom opplysningene på en eller annen måte er publisert (for eksempel lagt ut på lnternett) vil opplysningene være allment tilgjengelig. Det samme vil være tilfelle dersom det tilbys innsyn i opplysningene for enhver mot betaling (for eksempel opplysninger registrert i Brønnøysundregistrene). At opplysninger er allment tilgjengelig sier ikke nødvendigvis noe om hvor sensitive opplysningene er. For eksempel kan en biografi inneholde opplysninger om en persons helse, men disse sensitive opplysningene vil være allment tilgjengelig.
Det er krav om at man i behandlingen utelukkende gjør bruk av allment tilgjengelige opplysninger. Dersom opplysningene skal sammenstilles og benyttes sammen med andre personopplysniger som ikke er allment tilgjengelig, vil hele behandlingen være meldepliktig etter hovedregelen.
Det vil være behov for at visse typer behandlinger unntas fra meldeplikten. Dette kan fastsettes i forskrift, jf fjerde ledd. Dette vil først og fremst gjelde behandlinger som omfatter lite sensitive personopplysninger og som ellers må anses kurante ved at det for eksempel er godt kjent blant de fleste at slike behandlinger foretas. Det kan også i forskrift fastsettes at visse behandlinger skal være unntatt fra meldeplikt og i stedet underlagt konsesjonsplikt etter § 33. Unntakene i personregisterforskriften kan gi en viss veiledning mht hvilke unntak som bør gjøres i forskrift. Det kan også være hensiktsmessig at høringsinstansene gjøres særskilt oppmerksom på problemstillingen. Det kan være aktuelt å vurdere om enkelte offentlige organer bør undergis en forenklet meldeplikt.
Meldingen skal sendes på fastsatt skjema i god tid før behandlingen tar til. Hva som er å anse som god tid vil variere ut i fra hvor omfattende persondatabehandlingen skal være. Dette må i utgangspunktet bero på den behandlingsansvarliges eget skjønn. En behandling som omfatter opplysninger om et stort antall personer, samlet inn fra en rekke forskjellige kilder bør imidlertid meldes tidligere enn en mindre behandling som kun omfatter opplysninger om noen få personer samlet inn fra disse personene selv. Det samme gjelder dersom behandlingen omfatter svært sensitive opplysninger. Utvalget antar at en slik variasjon med hensyn til tidspunktet for når melding skal sendes ikke vil bli problematisk i praksis. Store omfattende behandlinger vil være planlagt i god tid av den behandlingsansvarlige og det vil være i dennes interesse å komme i en tidlig dialog med Datatilsynet for eventuelt å gjøre nødvendige tilpasninger i systemet. Dette behovet blir mindre for ikke-sensitive persondatabehandlinger.
Behandlingen kan starte når melding er sendt. Meldingen er en informasjonsbærer, og ingen konsesjonssøknad. Det er ikke nødvendig å vente på et eventuelt svar fra Datatilsynet, slik tilfellet er etter dagens konsesjonsordning. Datatilsynet kan imidlertid i etterkant stoppe en ulovlig behandling eller stille vilkår for at behandlingen kan fortsette, jf § 40.
I annet ledd bestemmes at melding som omtalt ovenfor også skal sendes ved opprettelse av et manuelt personregister dersom det skal inneholde sensitive personopplysninger, se utvalgets merknader til § 2 nr 8 om disse opplysningskategoriene.
Datatilsynet vil ha behov for oversikt over overføringer av personopplysninger til utlandet (jf utvalgets vurderinger i 16.4.2.4). Denne informasjonen vil fremgå av den alminnelige meldeplikten i § 31. Dersom det opprinnelig ikke var tale om å gi opplysningene videre til utlandet, men dette senere viser seg å være ønskelig, vil det være plikt til å gi ny og ajourført melding. Datatilsynet vil imidlertid på bakgrunn av den informasjonen meldingen gir kunne gripe inn og stanse videregivelse dersom lovens vilkår for videregivelse ikke er oppfylt. Dette er utslag av den generelle etterfølgende kontrollkompetansen Datatilsynet er gitt i medhold av § 40.
§ 32 Meldingens innhold
Meldingen skal inneholde opplysninger om
navn og adresse på den behandlingsansvarlige og på dennes eventuelle representant, jf § 6
hvem som har det daglige ansvaret for å oppfylle pliktene som hviler på den behandlingsansvarlige
behandlingens formål
definisjoner og andre beskrivelser av de typer personopplysninger som inngår i behandlingen
kildene for personopplysningene
grunnlaget for innhenting av opplysningene
hvem personopplysningene blir eller vil bli utlevert til
planlagt utlevering av personopplysningene til mottakere i andre stater, og
hvilke sikkerhetstiltak som er knyttet til behandlingen.
Kongen kan gi forskrift om hvilke opplysninger meldingene skal inneholde, samt regler om gjennomføringen av meldepliktsordningen.
Den behandlingsansvarlige er ansvarlig for at det til enhver tid er innsendt melding som gir riktige opplysninger. Ny melding med oppdaterte opplysninger skal sendes etter 3 år, med mindre det i løpet av denne tiden er sendt endringsmelding. Kongen kan gi forskrift som skal sikre meldingenes kvalitet og kan for enkelte typer av behandlinger fastsette andre regler for når ny melding skal sendes.
Til § 32:
Paragraf 32 angir hvilke opplysninger meldingen minst skal inneholde. Se utvalgets merknader i 12.5.4.3 og direktivet artikkel 19.
Det vil være nødvendig å supplere og detaljere de opplysingene som er regnet opp i bestemmelsen i forskrift, jf annet ledd. Slik forskrift bør tre i kraft sammen med loven for at meldeplikten skal få den funksjonen den er tiltenkt. Det kan for eksempel være nødvendig for Datatilsynet å få opplysninger om måten opplysningene blir innhentet på, hvilken informasjon som gis til de det innsamles opplysninger om mv. Det er mulig at meldeskjemaene bør differensieres noe slik at man ved mindre omfattende behandlinger kan gi færre opplysninger.
På samme måte er det behov for i forskrift å regulere nærmere gjennomføringen av meldepliktordningen, se 12.5.4.4 og 20.3.2.
Etter tredje ledd er den behandlingsansvarlige ansvarlig for at det til enhver tid er innsendt melding som gir riktige opplysninger. Det betyr at det må sendes ny melding for eksempel dersom behandlingen er avsluttet, nye opplysninger samles inn eller opplysningene skal utleveres til andre enn opprinnelig angitt. Det krever også ny melding dersom opplysningene skal anvendes til et annet formål. Slik ny anvendelse forutsetter dessuten at vilkårene i § 7 er oppfylt. Dersom det ikke er meldt endringer i forhold til den opprinnelige meldingen, skal ny melding sendes etter 3 år. Fristen avbrytes med andre ord ved at det sendes en endringsmelding og ny 3 års frist begynner deretter å løpe. Dette innebærer at opplysningene på meldeskjemaene aldri skal være eldre enn 3 år, hvilket har stor betydning for opplysningenes kvalitet. Datatilsynet har på bakgrunn av dette mulighet til å rette en henvendelse til de behandlingsansvarlige (med fordel kan slike henvendelser genereres automatisk fra Datatilsynets system) som har oversittet 3 års-fristen, og på denne måten avklare om dette skyldes en forglemmelse, at behandlingen er avsluttet eller at virksomheten er opphørt. Opphør av behandlingen vil ikke utløse ny meldeplikt dersom det i den opprinnelige medlingen er oppgitt når behandlingen vil avslutte.
§ 33 Konsesjonsplikt
Det kreves samtykke fra Datatilsynet (konsesjon) for å behandle sensitive personopplysninger (jf § 2 nr 8) når formålet med behandlingen er å treffe enkeltavgjørelser som definert i § 2 nr 9.
Kongen kan gi forskrift om at visse typer behandlinger skal være unntatt fra konsesjonsplikten etter første ledd, og i stedet underlagt meldeplikt etter § 31. For slik behandling skal det gis forskrift om forhold som nevnt i § 35 annet ledd. Det kan også gis forskrift for å begrense de ulemper behandlingen ellers kunne medføre for den enkelte.
Til § 33:
Paragraf 33 angir hvilke persondatabehandlinger som er konsesjonspliktige. Konsesjonsplikten innsnevres vesentlig i forhold til personregisterloven § 9 første ledd. Etter direktivet artikkel 20 kan persondatabehandlinger som innebærer særlige risiki for personers rettigheter og friheter underlegges konsesjonsplikt. Behandlingene som omfattes av § 33 antas å innebære en slik særlig risiko, se utvalgets merknader i 12.5.5. Konsesjonsplikten er knyttet til en bestemt bruk av sensitive personopplysninger, nemlig at det treffes avgjørelser som typisk har stor betydning for den enkelte, jf første ledd. Hva som menes med enkeltavgjørelser, fremgår av § 2 nr 9 og merknadene til denne bestemmelsen.
Utvalget legger ved avgrensningen av konsesjonsplikten større vekt på det beslutningsfokuserte personvernet (jf 3.3.4) enn det som ble lagt til grunn ved utarbeidelsen av personregisterloven (som i større grad baserer seg på en teknologiavhengig avgrensning av konsesjonsplikten).
Behandling av sensitive opplysninger forutsetter at et av vilkårene i § 9 er oppfylt. Kravet om konsesjon gjelder i tillegg til vilkårene i § 9 dersom den elektroniske behandlingen av sensitive personopplysninger skjer med det formål å treffe enkeltvedtak eller andre enkeltavgjørelser som er bestemmende for bestemte private personers rettigheter eller plikter. Konsesjonsplikten gjelder bare for manuell behandling av sensitive personopplysninger i den grad det opprettes et manuelt personregister med det formål å treffe avgjørelser som definert i § 2 nr 9 (jf lovens anvendelsesområde, se § 3).
Kravet om konsesjon for å behandle sensitive personopplysninger når formålet er å treffe enkeltvedtak, jf første ledd, innebærer at deler av forvaltningens virksomhet vil være konsesjonspliktig etter denne bestemmelsen. Utvalget er klar over at det kan virke kunstig å kreve konsesjon når det er lovbestemt at behandling skal skje. I og med at behandlingsbegrepet er så vidt, kan det imidlertid vanskelig tenkes at alle elementene i behandlingsbegrepet vil være regulert i loven. Det vil derfor ut fra personvernhensyn være behov for at Datatilsynet kommer inn og setter vilkår om dette på forhånd. At det er konsesjonsplikt i disse tilfellene innebærer primært at Datatilsynet kontrollerer disse behandlingene før behandlingen iverksettes i motsetning til den etterkontrollen som ville være mulig dersom behandlingene bare var underlagt meldeplikt. Konsesjonsbehandlingen må betraktes som en forhåndskontroll av at forvaltningens virksomhet tilfredsstiller grunnleggende krav til personvern, og ikke som en mulighet for Datatilsynet til å nekte forvaltningen å utføre oppgaver som det i lov og budsjettvedtak etc er forutsatt at forvaltningen skal utføre. Etter personregisterloven er personregistre i organ for stat eller kommune opprettet ved lov fritatt fra konsesjonsplikt, jf § 41. Det er sikker rett at det er registeret og ikke organet som skal være opprettet ved lov. Unntaket er ikke videreført i den nye loven. Mange av de registrene som er fritatt fra konsesjonsplikt etter personregisterloven § 41 vil ikke være omfattet av konsesjonsplikten etter den nye loven § 33, fordi registrene ikke opprettes med det formål å treffe enkeltvedtak. Og når offentlige myndigheter treffer enkeltvedtak på grunnlag av sensitive personopplysninger, er det ønskelig at Datatilsynet i forkant vurderer den behandlingen av personopplysninger som skal skje og eventuelt setter vilkår der dette er nødvendig, for eksempel knyttet til sikkerheten.
Konsesjonsplikten etter § 33 gjelder bare dersom sensitive personopplysninger inngår og behandlingen skjer med det formål å treffe avgjørelser som er bestemmende for privates rettigheter eller plikter, jf § 2 nr 9. Ved tolkningen av begrepet må man også her se hen til hvordan begrepet er tolket etter forvaltningsloven. Ordet rettighet er tolket i relativt vid mening slik at for eksempel tildeling av akademiske grader (i den grad det er utøving av offentlig myndighet) er enkeltvedtak selv om det ofte ikke er tale om annen rett enn adgang til å bruke tittelen, se Frihagen, Forvaltningsrett II, side 74. Helt uvesentlige bånd som legges på den enkelte faller imidlertid utenfor. Dette vil for eksempel være tilfelle for ordensregler som iverksettes på arbeidsplassen. Etter forvaltningsloven § 2 annet ledd regnes [a]vgjørelse som gjelder ansettelse, oppsigelse, suspensjon, avskjed eller forflytning av offentlig tjenestemann, som enkeltvedtak. Det er naturlig at enkeltavgjørelse i § 33 forstås på samme måte overfor ansatte i det private næringslivet. Dette innebærer i så tilfelle at personalregistre vil være konsesjonspliktig etter bestemmelsen (slik personalregistre også er etter personregisterloven § 9 i dag). Utvalget antar at det på dette området bør utarbeides forskrift som unntar personalregistre fra konsesjonsplikt.
Generelt vil tildeling av ulike typer knapphetsgoder (sykehusplass, barnehageplass, skoleplass mv) anses som avgjørelser som er bestemmende for privates rettigheter eller plikter. Likeens innvilgelse av lån eller avtale om forsikring. Mange behandlinger av personopplysninger omfatter imidlertid sjelden sensitive personopplysninger, og vil av den grunn ikke være konsesjonspliktig.
Avgjørelsen må være avgjørende for bestemte private personers rettsstilling. Tolkningen her vil bli den samme som forvaltningsloven. Det avgjørende vil i utgangspunktet være om vedkommende avgjørelse er rettet mot en ubestemt krets eller mot en eller flere bestemte personer. Man kan imidlertid ikke bare se på avgjørelsens ordlyd, men må i vurderingen ta hensyn til hvordan avgjørelsen reelt sett får virkning. Dersom avgjørelsen etter sitt innhold og de konkrete omstendigheter tar sikte på en bestemt eller noen få bestemte personer, må den anses som det selv om ordlyden er generelt utformet. Konsesjonsplikten avhenger av formålet med behandlingen. Det er i den sammenheng det reelle formålet som er avgjørende. Den behandlingsansvarlige kan ikke komme seg unna konsesjonsplikten ved å oppgi et formål som ikke er konsesjonspliktig. Datatilsynet kan med hjemmel i § 40 jf § 7 kreve en presisering av formålsangivelsen. Formålsangivelsen vil dessuten være avgjørende for anvendelsen av personopplysningene, jf §§ 7 og 8.
Elektronisk overvåkning vil i noen tilfeller være konsesjonspliktig avhengig av formålet med overvåkningen (om formålet er å treffe en avgjørelse som definert i § 2 nr 9 på grunnlag av sensitive personopplysninger). Dersom det igangsettes elektronisk overvåkning av et arbeidssted med det formål å avdekke om arbeidstagerne bryter sine plikter etter ansettelsesavtalen, vil dette være konsesjonspliktig (formålet med behandlingen av opplysningene er å kunne begrunne en oppsigelsessak). Dersom overvåkningen skjer for eksempel på et offentlig sted med det formål å avdekke kriminelle forhold, og beslutningen som treffes består i en anmeldelse til politiet, vil dette være en prosessledende beslutning – og overvåkningen vil ikke være konsesjonspliktig. Utvalget antar at det kan være hensiktsmessig å forskriftsregulere elektronisk overvåkning generelt slik at reglene kan være mer ensartet. Slik overvåkning bør i så tilfelle underlegges meldeplikt.
Etter annet ledd kan Kongen gi forskrift om at visse typer behandlinger skal være unntatt fra konsesjonsplikt etter første ledd, og i stedet underlagt meldeplikt etter § 31. Det er ikke mulig å unnta behandlinger som nevnt i § 33 første ledd både fra konsesjonsplikt og meldeplikt. I og med at konsesjonsplikten er snevret vesentlig inn, antar utvalget at behovet for å frita visse behandlinger fra konsesjonsplikt vil være relativt lite. Føring av personalregistre (som også i dag er fritatt fra konsesjonsplikt i forskriftene til personregisterloven) utgjør imidlertid en type behandling av personopplysninger som fortsatt bør være unntatt fra konsesjonsplikt. For slik behandling skal det gis forskrift om forhold som nevnt i 35 annet ledd dersom dette anses nødvendig for begrense de ulempene behandlingen ellers kunne medføre.
§ 34 Vurderingen av om konsesjon skal gis
Ved vurderingen av om konsesjon skal gis, skal det innenfor den rammen som er fastsatt i loven kapittel 2, vurderes om behandlingen av de sensitive personopplysningene kan volde ulemper for den registrerte som ikke løses tilfredsstillende av vilkår fastsatt i medhold av § 35 første ledd. Dersom slike ulemper kan oppstå, må det overveies om de blir oppveid av hensyn som taler for at behandlingen kan finne sted.
Til § 34:
Bestemmelsen angir den interesseavveiningen som skal foretas ved vurderingen av om konsesjon skal gis. Bestemmelsen er en videreføring av personregisterloven § 10, se Justisdepartementets merknader til denne bestemmelsen i Ot prp nr 2 (1977-78) side 80. Se forøvrig utvalgets merknader i 12.5.5.5.
Bestemmelsen er ment å gi uttrykk for at det er personvernhensyn som skal søkes fremmet ved konsesjonsordningen, dette følger også av lovens formål, jf § 1. Det fremgår videre at samtykke bare kan nektes når behandlingen kan volde problemer for den enkelte. Paragrafen henviser til § 35 annet ledd som gir en liste over hvilke momenter Datatilsynet bør ta i betraktning når konsesjonsspørsmålet skal avgjøres, se merknadene til denne bestemmelsen.
§ 35 Vilkår for konsesjonspliktige behandlinger
Når det blir gitt samtykke etter § 33, skal det fastsettes nærmere vilkår for behandlingen dersom slike vilkår anses nødvendige for å begrense de ulempene behandlingen ellers kunne medføre.
I vurderingen av om det er nødvendig å sette vilkår etter første ledd bør det blant annet tas i betraktning om
det er lagt til rette for at de registrerte kan gjøre nytte av rettighetene etter loven, herunder om de vil bli gitt tilstrekkelig informasjon om sine rettigheter og mulighetene til å gjøre nytte av dem
personopplysningene vil bli tilstrekkelig korrekte, dekkende og ajourførte i forhold til formålet med behandlingen, jf § 7
personopplysningene vil bli behandlet med den diskresjon som regler om taushetsplikt og formålet med behandlingen gjør nødvendig 4) det er planlagt informasjons- og veiledningstiltak som står i et rimelig forhold til kontrolltiltak
det er etablert tilstrekkelig sikkerhet i forhold til formålene med behandlingen av personopplysninger.
Til § 35:
Bestemmelsen angir forhold Datatilsynet bør ta i betraktning når konsesjonsspørsmålet skal avgjøres, se 12.5.5.5. Bestemmelsen er en delvis videreføring av personregisterloven § 11, men vilkårangivelsen i § 11 er omformulert til mer generelle momenter. Listen er ikke uttømmende, men gir eksempler på hensynene bak personvernet, se utvalgets merknader i kapittel 3. Bestemmelsen åpner for at nye hensyn kan gjøre seg gjeldende gjennom teori og praksis. Den legger ikke føringer på vektleggingen av de forskjellige hensynene og begrenser ikke Datatilsynets kompetanse. Hensynet til forutberegnelighet for den som søker konsesjon er også varetatt ved at den alminnelige forvaltningsrettslige vilkårslære, sett i sammenheng med lovens formål, setter rammer for hvilke konsesjonsvilkår som kan stilles.
Fokuseringen på vilkår gjenspeiler at konsesjonsvurderingen sjelden er et spørsmål om konsesjon skal gis, men som oftest på hvilke betingelser konsesjon skal gis.
Kapittel 7 Tilsyn og sanksjoner
§ 36 Datatilsynets organisering og oppgaver
Datatilsynet skal være et uavhengig forvaltningsorgan administrativt underordnet Kongen og det departement Kongen fastsetter. Datatilsynet ledes av en direktør som utnevnes av Kongen. Direktøren kan utnevnes for en tidsavgrenset periode.
Kongen kan ikke gi Datatilsynet instrukser om håndhevingen av loven, og heller ikke om myndighetsutøvelsen i enkelttilfeller. Datatilsynets enkeltvedtak kan ikke omgjøres av Kongen.
Datatilsynet skal
behandle søknader om konsesjoner, motta meldinger og vurdere om det skal gis pålegg der loven gir hjemmel for dette
kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet
holde seg orientert om den generelle nasjonale og internasjonale utviklingen i behandlingen av personopplysninger og om de problemer som knytter seg til slik behandling, samt gi informasjon om dette
identifisere og formulere personverntrusler, og gi råd om hvorledes de kan unngås eller begrenses
gi råd og rettledning i spørsmål om personvern og sikring av personopplysninger til dem som planlegger å behandle personopplysninger eller utvikle systemer for slik behandling, herunder gi bistand i utarbeidelsen av bransjevise atferdsnormer
etter henvendelse eller av eget tiltak gi uttalelse i spørsmål om behandling av personopplysninger, herunder være høringsinstans ved utarbeidelsen av lover og forskrifter som har direkte betydning for personvern
gi Kongen eller det departement Kongen fastsetter årlig melding om sin virksomhet.
Til § 36:
Bestemmelsen bygger på personregisterloven § 2 og § 3 annet ledd, og lovfester vesentlige deler av direktivet artikkel 28 (jf utvalgets vurderinger i kapittel 18). Bestemmelsen viderefører grunnlaget for et Datatilsyn og organiseringen av dette, og gir en oversikt over oppgavene Datatilsynet skal vareta. Se kapittel 18.2 og 18.3.
Utvalget er delt i synet på om Datatilsynet fortsatt bør ledes av et styre. Utvalgets leder og medlemmene Apenes, Kristiansen, Meinich og Schartum går inn for at Datatilsynet bør ledes av tilsynets direktør og at det ikke er behov for noe styre, jf første ledd og 18.3.7.
Medlemmene Bredengen, Gundersen, Hestnes, Håøy og Koch går inn for at Datatilsynet bør ledes av et styre, jf 18.3. Disse medlemmene foreslår at første ledd gis følgende utforming:
«Datatilsynet skal være et uavhengig forvaltningsorgan administrativt underordnet Kongen og det departement Kongen fastsetter. Datatilsynet ledes av et styre som skal ha syv medlemmer. Medlemmene blir oppnevnt av Kongen som også fastsetter hvem som skal være styrets leder og nestleder. Datatilsynets direktør kan utnevnes for en tidsavgrenset periode.»
Utvalget er forøvrig enig i utformingen av § 36.
Første ledd slår fast at Datatilsynet skal være et uavhengig forvaltningsorgan. Viktige sider ved uavhengigheten presiseres i annet ledd, jf nedenfor.
Datatilsynet skal være et faglig uavhengig forvaltningsorgan, jf 18.3. Dette innebærer at klager over tilsynets avgjørelser nå skal avgjøres av Personvernnemnda istedet for av Justisdepartementet, jf § 36 og utvalgets merknader til denne bestemmelsen, og at Kongen/departementene ikke kan instruere Datatilsynet om lovtolkning eller myndighetsutøvelse i enkelttilfelle, jf annet ledd.
Tredje ledd bygger på personregisterloven § 3 annet ledd og gir en punktvis oppregning av Datatilsynets oppgaver. Bestemmelsen er ikke i seg selv hjemmel for utøvelse av offentlig myndighet, men gir en oversikt over de funksjoner tilsynet er tillagt. Bestemmelsen sier ikke noe om hvordan Datatilsynet skal prioritere de ulike oppgavene. I noen grad følger dette forutsetningsvis av andre bestemmelser i loven, f eks slik at Datatilsynet plikter å avsette ressurser til å behandle konsesjonssøknader. Øvrige prioriteringer må foretas av tilsynet selv i lys av de til enhver til tilgjengelige ressurser.
I henhold til 1) skal tilsynet behandle søknader om konsesjoner samt motta meldinger og vurdere å gi pålegg der loven hjemler dette (se f eks § 40). Hovedvekten av tilsynets arbeid vil flyttes fra behandling av konsesjoner og over til informasjonsvirksomhet og etterfølgende kontroll. Det nye reguleringsregimet forutsetter således økt vektlegging av oppgavene som nevnes i 2). Det fremgår her at tilsynet skal føre kontroll med at lover og forskrifter om behandling av personopplysninger skal etterleves. Også behandling av personopplysninger som reguleres av særlovgivning vil være gjenstand for Datatilsynets kontroll slik at Datatilsynet kan undersøke om den behandlingsansvarlige følger hjermmelslovens bestemmelser om behandling av personopplysninger.
Nr 3) viderefører personregisterloven § 5 nr 1, likevel slik at bestemmelsen er justert i den grad det er nødvendig fordi reguleringsobjektet nå er behandling av personopplysninger og ikke (bare) personregistre.
Nr 4) er ny i forhold til personregisterloven, men er langt på vei en kodifisering av tilsynets praksis. I henhold til bestemmelsen skal tilsynet identifisere og formulere personverntrusler og gi råd om hvordan disse kan unngås eller begrenses. Bestemmelsen forutsetter at Datatilsynet – uavhengig av innkomne konsesjonssøknader – aktivt formulerer personverntrusler og midler for å imøtegå disse.
I henhold til 5) skal Datatilsynet gi råd om sikkerhet i forbindelse med behandling av personopplysninger, samt veilede om andre spørsmål om personvern. Nytt i forhold til personregisterloven er at tilsynet skal bidra ved utarbeidelse av bransjevise atferdsnormer, jf 12.5.9 og direktivet artikkel 27. Dette innebærer at en bransje kan utarbeide et sett regler for behandling av personopplysninger i bransjen, for eksempel innen forsikringsvirksomhet. Reglene skal være et suppelment til offentligrettslige regler gitt i eller i medhold av personregisterloven, men det etableres ikke noen plikt til å utarbeide atferdsnormer.
Det vil som oftest være ønskelig at Datatilsynet deltar i utarbeidelsen av atferdsnormene, ikke minst for å sikre at disse er i samsvar med gjeldende rett og ulovfestede personvernregler.
Atferdsnormene vil gi uttrykk for bransjens syn på hva som er rimelige krav til behandling av personopplysninger, og gir mulighet til å lage mer presise regler innenfor de rammene loven gir. Unnlatelse av å følge normene vil kunne medføre reaksjoner fra bransjeorganisasjoner, men vil ikke i seg selv resultere i noen offentligrettslig reaksjon.
Nr 6) fremhever at Datatilsynet skal være høringsinstans ved utarbeidelse av lover og forskrifter som har direkte betydning for personvern (jf direktivet artikkel 28 nr 2). Formuleringen avviker noe fra den parallell bestemmelsen i personregisterloven § 3 annet ledd nr 4), og pålegger en plikt til å høre Datatilsynet i forbindelse med regelverksarbeid. Datatilsynet vil i medhold av denne bestemmelsen være selvstendig høringsinstans, og få høringssaker sendt direkte til seg (ikke som tidligere via Justisdepartementet). På denne måten kan tilsynet utnytte hele høringstiden effektivt ved tidlig å vurdere de personvernproblemstillingene forslaget måtte reise.
I nr 7) pålegges Datatilsynet å gi en årsmelding (jf direktivet artikkel 28 nr 5). Også dette punktet er nytt i forhold til personregisterloven, men innebærer ikke noen realitetsendring ettersom Datatilsynet helt siden opprettelsen i 1980 årlig har levert slik melding til Justisdepartementet (jf nærmere 18.2.3.5). Årsmeldingene vil i fremtiden være en viktig informasjonsformidler fra et faglig uavhengig Datatilsyn til det departement tilsynet administrativt er underlagt.
§ 37 Personvernnemndas oppgaver og organisering
Personvernnemnda avgjør klager over Datatilsynets avgjørelser. Nemnda kan bestemme at tre av nemndas medlemmer, herav leder og/eller nestleder kan behandle klager over avgjørelser som etter sin art må avgjøres uten opphold. Nemnda orienterer årlig Kongen om behandlingen av klagesakene.
Personvernnemnda skal være et uavhengig forvaltningsorgan administrativt underordnet Kongen og det departement Kongen fastsetter. Paragraf 36 annet ledd gjelder tilsvarende.
Personvernnemnda har fem medlemmer som oppnevnes for fire år. Medlemmene blir oppnevnt av Kongen, som også fastsetter hvem som skal være nemndas leder og nestleder. Leder og nestleder skal ha kompetanse som nevnt i domstolloven § 54 annet ledd.
Til § 37:
Første ledd regulerer hvilke oppgaver Personvernnemnda skal ha (jf 18.3.9.5). Nemndas sentrale oppgave er å behandle klager over Datatilsynets enkeltvedtak og andre avgjørelser som kan påklages, jf første punktum. De nærmere reglene om klage følger av forvaltningsloven kapittel VI (jf 18.3.8.1).
Medmindre noe annet uttrykkelig er sagt, gir ikke loven utvidet klageadgang i forhold til det som følger av forvaltningsloven – verken mht hvilke avgjørelser som kan påklages, eller mht hvem som har rettslig klageinteresse. Når det benyttes avgjørelser i første ledd istedetfor enkeltvedtak skyldes dette dels at alle pålegg etter § 40 kan påklages (jf nærmere nedenfor om § 40), dels at beslutning om stedlig kontroll kan påklages (jf § 38 og forvaltningsloven § 15) og dels at normer om god forvaltningsskikk i visse tilfeller kan tilsi at enkeltvedtakslignende avgjørelser kan påklages.
Visse former for klagesaker kan det være behov for å avgjøre meget raskt. Særlig gjelder dette klager over beslutning om stedlig kontroll, jf § 40 og forvaltningsloven § 15 fjerde ledd (se merknadene til § 38 nedenfor). Det kan i slike tilfelle være vanskelig å få innkalt samtlige medlemmer i nemnda på kort varsel, samtidig som avgjørelsens prosessuelle art (beslutningen om kontroll er ingen realitetsavgjørelse) ikke gjør det påkrevet med like omstendelig behandling som klager over realitetsavgjørelser. Utvalget går derfor inn for at nemnda, dersom den ønsker det, skal kunne bestemme at slike klager skal kunne avgjøres av tre av nemndas medlemmer, herunder nemndas leder.
I likhet med Datatilsynet bør Personvernnemnda årlig orientere om sin virksomhet. Rent praktisk kan det være hensiktsmessig at årsmeldingen til nemnda inntas som en egen del av Datatilsynets årsmelding.
Når det gjelder spørsmålet om hvem som bør oppnevne medlemmene i personvernnemnda og hvor mange medlemmer nemnda skal ha, går et flertall i utvalget bestående av Bredengen, Gundersen, Hestnes, Håøy, Koch, Kristiansen og Meinich inn for ordningen som fremgår av bestemmelsens tredje ledd slik denne er presentert ovenfor, jf 18.3.9.2.
Utvalgets leder og medlemmene Apenes og Schartum går i stedet inn for at oppnevningsspørsmålet løses ved at tredje ledd utformes slik:
Personvernnemnda har syv medlemmer som oppnevnes for fire år. Fem av medlemmene oppnevnes av Kongen. Lederen og nestlederen oppnevnes av Stortinget. Lederen og nestlederen skal ha kompetanse som nevnt i domstolloven § 54 annet ledd.
§ 38 Datatilsynets tilgang til opplysninger m v
Datatilsynet kan kreve de opplysningene som trengs for at det kan gjennomføre sine oppgaver.
Tilsynet kan kreve å få adgang til de stedene der personregistre, billedopptak som nevnt i § 4, personopplysninger som behandles elektronisk og hjelpemidlene for elektronisk behandling av personopplysninger fins. Tilsynet kan gjennomføre de prøver eller kontroller som det mener er nødvendige og kreve nødvendig bistand fra personalet slike steder for å få utført prøvene eller kontrollene. Beslutninger om stedlig kontroll kan påklages til Personvernemnda.
Datatilsynets rett til å kreve opplysninger og tilgang til lokaler og hjelpemidler er ikke begrenset av taushetsplikt.
Kongen kan gjøre unntak fra første til tredje ledd som er nødvendige av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldig bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg.
Til § 38:
Paragraf 38 er i stor grad en videreføring av personregisterloven § 5, og gjennomfører direktivet artikkel 28 nr 3 første strekpunkt (se utvalgets generelle kommentarer i 18.2.3.3 ovenfor).
Første ledd slår fast at Datatilsynet kan kreve de opplysningene som er nødvendige for at tilsynet skal kunne gjennomføre sine oppgaver. Bestemmelsen er identisk med personregisterloven § 5 første ledd første punktum. Datatilsynets rett til å kreve opplysninger er ikke begrenset av taushetsplikt, jf tredje ledd.
Annet ledd er i det vesentlige en videreføring av personregisterloven § 5 første ledd annet og tredje punktum med de justeringer som er nødvendige fordi den nye loven bl a regulerer elektronisk behandling av personopplysninger og ikke (bare) personregistre. Første og annet punktum regulerer stedlig kontroll. Loven sier ikke noe om det skal foretas kontroll, hvor ofte kontroll ev skal foretas eller hvor grundig kontrollen skal være. Dette må vurderes av Datatilsynet i lys av tilsynets prioriteringer og den ressurssituasjon som til enhver tid foreligger. Reglene om melding kan danne grunnlag for kontroll, jf forslaget §§ 31 og 32.
Bestemmelsene om stedlig kontroll suppleres av reglene i forvaltningsloven § 15 om fremgangsmåten ved granskning o l. Etter § 15 fjerde ledd kan den som granskningsforretningen angår klage over beslutningen om å fremme forretningen. Slik klage avgjøres av Personvernnemnda, jf lovforslaget annet ledd tredje punktum. Klage over beslutning om stedlig granskningsforretning vil ofte måtte avgjøres hurtig, og kan avgjøres av tre av nemndas medlemmer, jf lovforslaget § 38 første ledd.
I tredje ledd slås det fast at taushetsplikt heller ikke begrenser adgangen til å foreta stedlig kontroll som nevnt i annet ledd.
Hensynet til rikets sikkerhet kan tale for at Datatilsynet ikke bør ha ubegrenset adgang til alle registre. Fjerde ledd første punktum gir derfor adgang til å gjøre unntak fra reglene i første til tredje ledd ut fra hensynet til rikets sikkerhet, jf den tilsvarende bestemmelsen i personregisterloven § 5 tredje ledd første punktum og kgl resolusjon 21 desember 1979 III. (Resolusjonen unntar personregistre som er nødvendige ut fra beredskapshensyn eller rikets sikkerhet.) Den foreslåtte forskriftshjemmelen vil som i dag bl a gi adgang til å unnta registre i den sivile og militære etterretningstjenesten.
Fjerde ledd annet punktum gir Kongen adgang til å gi forskrift om dekning av utgiftene ved kontroll, mens tredje punktum slår fast at forfalt bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg. Bestemmelsen er identisk med personregisterloven § 5 tredje ledd annet og tredje punktum og skal forstås på samme måte (jf for øvrig NOU 1975: 10 s 80 om Seip-utvalgets § 12).
§ 39 Unntak fra taushetsplikt
Datatilsynets ansatte og medlemmer av Personvernnemnda kan uten hinder av taushetsplikt etter forvaltningsloven § 13 gi opplysninger til utenlandske tilsynsmyndigheter når dette er nødvendig for at tilsynsmyndigheten eller utenlandske tilsynsmyndigheter skal kunne treffe vedtak, eller for å gjennomføre slike vedtak.
Til § 39:
Samarbeidet med andre lands tilsynsmyndigheter vil tilta i tiden som kommer (jf direktivet nr 6). I denne forbindelse kan det være behov for å utveksle personopplysninger som er underlagt taushetsplikt etter forvaltningsloven § 13. Unntakene fra taushetsplikt i forvaltningsloven § 13 b nr 5 gjelder i henhold til alminnelige interlegale prinsipper kun for norske forvaltningsorganer, og gir dessuten bare adgang til å videreformidle opplysninger når det er nødvendig for å fremme avgiverorganets oppgaver. Et særskilt unntak fra taushetsplikten synes derfor nødvendig.
Dersom Datatilsynet fortsatt skal ha et styre (jf 18.3.7.1), må bestemmelsen utformes slik at unntaket fra taushetsplikt også omfatter styremedlemmene:
Datatilsynets ansatte, styremedlemmer og medlemmer av Personvernnemnda kan uten hinder av taushetsplikt etter forvaltningsloven § 13 gi opplysninger til utenlandske tilsynsmyndigheter når dette er nødvendig for at tilsynsmyndigheten eller utenlandske tilsynsmyndigheter skal kunne treffe vedtak, eller for å gjennomføre slike vedtak.
§ 40 Pålegg om opphør av ulovlige behandlinger m v
Datatilsynet kan gi pålegg om at behandling av personopplysninger i strid med denne loven skal opphøre eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven. Pålegg kan påklages til Personvernnemnda.
Ved vurderingen av om det skal gis pålegg etter første ledd skal det særlig tas i betraktning forhold som nevnt i § 35 annet ledd nr 1-5.
Til § 40:
Paragraf 40 gir Datatilsynet generell hjemmel til å gi pålegg om at behandling av personopplysninger i strid med loven skal opphøre, eller i stedet bestemme vilkår som må oppfylles for at behandlingen blir i samsvar med loven. Ved at påleggskompetansen knyttes til at behandlingen må ha vært i strid med loven, synliggjøres at det bare er behandling av personopplysninger som nevnt i § 3 som omfattes (dvs elektronisk behandling av personopplysninger eller manuell behandling når personopplysningene inngår eller skal inngå i et personregister).
Personregisterloven har i dag påleggshjemmel i enkelte bestemmelser, jf f eks § 8 annet ledd, men ingen generell påleggshjemmel. Bestemmelsen er sentral i fokusskiftet fra forutgående kontroll gjennom konsesjon til etterfølgende kontroll og eventuelt inngrep.
Kompetansen til å gi pålegg knytter seg til lovens bestemmelser, og § 40 gir ikke hjemmel til å gi pålegg om strengere regulering enn det som følger av loven selv. En del bestemmelser er imidlertid skjønnsmessig utformet, og Datatilsynet vil i disse tilfellene kunne gi pålegg som presiserer hvilket innhold lovteksten skal tillegges innenfor de rammene ordlyden setter.
Datatilsynet kan velge om det skal gis pålegg om at behandlingen skal opphøre, eller om det skal fastsettes vilkår som må være oppfylt for at behandlingen skal kunne fortsette. Det kan bare settes vilkår som bringer behandlingen i samsvar med lovens øvrige bestemmelser – Datatilsynet har ingen alminnelig kompetanse til å erstatte lovens regler med vilkår som fraviker fra lovens materielle bestemmelser (uavhengig av om vilkårene er strengere eller mer liberale). I valget mellom pålegg om opphør eller vilkårsfastsettelse må det tas hensyn til at førstnevnte reaksjon ofte vil være mest inngripende, jf den alminnelige forvaltningsrettslige lære om forholdsmessighet mellom mål og virkemidler.
Det fremgår uttrykkelig av annet ledd tredje punktum at pålegg gitt i medhold av § 40 kan påklages til Personvernnemnda. Avgjørelse om at behandlingen skal opphøre vil være enkeltvedtak etter forvaltningsloven, og klageadgangen vil da følge av forvaltningsloven kapittel VI. Avgjørelser om å fastsette vilkår kan imidlertid i visse tilfelle måtte betraktes som prosessuelle avgjørelser som ikke omfattes av klageadgangen i forvaltningsloven kapittel VI. Eksempler på dette kan f eks være at Datatilsynet i medhold av § 40 pålegger den behandlingsansvarlige å gi opplysninger til Datatilsynet. Utvalget finner at også slike pålegg bør kunne påklages, og avskjærer annet ledd tredje punktum eventuell tvil klageadgangen.
Annet ledd gir gjennom henvisningen til § 34 annet ledd en rekke momenter i vurderingen av om pålegg skal gis.
Datatilsynet kan illegge den som pålegget retter seg mot tvangsmulkt dersom pålegget ikke overholdes, jf § 41.
§ 41 Tvangsmulkt
Dersom pålegg i medhold av §§ 10, 25, 26 eller 40 ikke overholdes, kan Datatilsynet bestemme at den avgjørelsen retter seg mot skal betale en daglig løpende mulkt til staten inntil forholdet rettes.
Mulkten løper ikke før klagefristen er ute. Hvis vedtaket om tvangsmulkt påklages, løper ingen mulkt før vedtak om mulkt treffes av Personvernnemnda.
Mulkten er tvangsgrunnlag for utlegg
Til § 41:
Paragraf 41 gir Datatilsynet kompetanse til på visse vilkår å ilegge tvangsmulkt, jf utvalgets generelle merknader i 19.4.2. Ettersom tvangsmulkt er en sivilrettslig administrativ sanksjon kan det i en del tilfeller være aktuelt å ilegge tvangsmulkt selv om lovovertredelsen ikke er straffbar.
Overtredelse av lovens materielle regler gir ikke i seg selv adgang til å ilegge tvangsmulkt.
Loven sier ikke noe om mulktens størrelse. Dette må bestemmes av Datatilsynet i lys av alminnelige forvaltningsrettslige prinsipper, herunder hensynet til rimelig forholdsmessighet mellom mål og virkemidler. Momenter i fastsettelsen av mulktens størrelse kan f eks være hvor viktig avgjørelsen som overtres er, hvor klar overtredelsen er, hvilke fordeler overtredelsen innebærer for den som gjør seg skyld i den, hvilke ulemper overtredelsen medfører for den registrerte og for samfunnet for øvrig, og hvor sterk økonomi pliktsubjektet har.
Avgjørelse om å ilegge tvangsmulkt vil være enkeltvedtak i forvaltningslovens forstand, og vil kunne påklages, jf forvaltningsloven kapittel VI og § 41 annet ledd.
Tvangsmulkt vil som hovedregel ikke løpe før klagefristen på tre uker (jf forvaltningsloven § 29) er utløpt, og dersom vedtaket om tvangsmulkt påklages løper tvangsmulkten først fra det tidspunkt Personvernnemnda eventuelt opprettholder Datatilsynets vedtak.
I siste ledd er det fastsatt at påløpt mulkten er tvangsgrunnlag for utlegg, jf tvangsfullbyrdelsesloven § 7-2 e.
§ 42 Straff
Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller aktløst
unnlater å innhente samtykke etter §§ 33 eller 46
unnlater å sende melding etter §§ 31 eller 46
overtrer vilkår fastsatt etter § 35 eller § 40
behandler personopplysninger i strid med §§ 11, 13 eller 28
unnlater å varsle etter §§ 20, 21, 23 eller 24
unnlater å etterkomme pålegg fra Datatilsynet etter §§ 10, 25, 26 eller 40
unnlater å gi opplysninger etter §§ 16 eller 18 jf 19.
Ved særdeles skjerpende omstendigheter kan fengsel inntil to år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinning ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og på om den skyldige tidligere er straffet for overtredelse av tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes at overtredelse av forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.
Til § 42:
Straffebestemmelsen avviker på enkelte punker fra personregisterloven § 38, jf utvalgets vurderinger i 19.2.
Enkelte av bestemmelsene i lovforslaget er etter utvalgets syn for ubestemt til at de bør straffesanksjoneres, og det er derfor lagt til grunn samme lovtekniske løsning som i personregisterloven § 38 ved at de straffesanksjonerte bestemmelsene uttrykkelig er nevnt, jf første ledd.
Straffebudets subjekt den som omfatter bl a ansatte hos den behandlingsansvarlige og andre hjelpere som denne benytter (f eks databehandlere). Foretaksstraff reguleres av straffeloven kapittel 3 a.
Annet ledd er nytt i forhold til personregisterloven § 38 slik at fengsel inntil to år nå kan idømmes dersom det foreligger særdeles skjerpende omstendigheter. Lovteksten nevner en del veiledende momenter som skal tas i betraktning i vurderingen av om det foreligger slike omstendigheter. Momentangivelsen er ikke uttømmende og sier heller ikke noe om hvor stor vekt de ulike momentene skal tillegges. Endringen fører bl a til at foreldelsesfristen nå vil være 5 år, jf straffeloven § 67 første ledd.
Medvirkning straffes som i dag på samme måte, jf tredje ledd og tilsvarende personregisterloven § 38 annet ledd.
Fjerde ledd viderefører forskriftshjemmelen i personregisterloven § 38 tredje ledd.
Straffebestemmelsen vil suppleres av straffeloven kapittel 3 a om straffeansvar for foretak og de strengere bestemmelsene om datakriminalitet, jf bl a strl §§ 145 annet ledd (beskyttelsesbrudd), 151 b (ødeleggelse av informasjonssamling m m), 261 (rettsstridig bruk av bl a datautstyr) 291, 292 og 391 (skadeverk), 270 første ledd nr 2 og 391 a (databedrageri). De nevnte bestemmelsene i straffeloven er kommentert nærmere bl a i ØKOKRIMs stensilserie nr 9 Datakriminalitet (Oslo 1995).
§ 43 Erstatning
Har den behandlingsansvarlige eller dennes databehandler behandlet personopplysninger i strid med denne loven eller vedtak gitt i medhold av den, skal den behandlingsansvarlige erstatte det økonomiske tapet som skaden påfører den registrerte. Den behandlingsansvarlige kan fritas for ansvar dersom han godtgjør at tapet ikke skyldes feil eller forsømmelse på den behandlingsansvarliges side.
Kongen kan gi forskrift om objektivt ansvar for virksomheter som formidler personopplysninger (§ 45) og som har meddelt opplysninger som viser seg uriktige eller åpenbart misvisende.
Til § 43:
Paragraf 43 gir regler om erstatning, jf direktivet artikkel 23 og utvalgets vurderinger i kapittel 19 (se særlig 19.3). Bestemmelsen avviker på flere punkter fra personregisterloven § 40.
I motsetning til personregisterloven § 40, som bare regulerer erstatningsansvaret for kredittopplysningsforetak, gjelder paragraf 43 generelt for behandlingsansvarlige, jf første ledd første punktum. Det er bare økonomiske tap som kan kreves erstattet, jf 19.3.4. At den behandlingsansvarlige også hefter for databehandlerens feil og forsømmelser er i samsvar med alminnelige erstatningsrettslige regler om kontraktsmedhjelperansvar, og formuleringen i første ledd er ment som en henvisning til disse reglene.
Den behandlingsansvarlige er i utgangspunktet ansvarlig, men kan fritas for ansvar dersom han eller hun godtgjør at vedkommende ikke har opptrådt uaktsomt. Det oppstilles med andre ord ikke et objektivt ansvar, men et culpaansvar hvor det er en presumpsjon for at uaktsomhet er utvist. For at den behandlingsansvarlige ikke skal være ansvarlig, må denne godtgjøre at vedkommende ikke har opptrådt uaktsomt. Lignende ansvarsformer benyttes flere steder i lovgivningen for øvrig (se f eks håndverkertjenesteloven § 28 (3)), og ligger innenfor rammen av direktivet artikkel 23. Det er tilstrekkelig for å unngå ansvar at det sannsynliggjøres at den behandlingsansvarlige har utvist tilstrekkelig aktsomhet – dersom det er 51 % sannsynlig at den behandlingsansvarlige har utvist uaktsomhet vil han eller hun være ansvarlig, dersom det er 51 % sannsynlig at vedkommende ikke har utvist uaktsomhet, vil den behandlingsansvarlige ikke være ansvarlig. Dette er forsåvidt i samsvar med alminnelige bevisbyrderegler, jf Hov, Rettergang i sivile saker (2 utg 1994) s 443. Presumpsjonen for uaktsomhet vil imidlertid være avgjørende der det er like sannsynlig at det er utvist uaktsomhet som at det ikke er utvist uaktsomhet, eller der hvor dette ikke lar seg bringe på det rene. Det vil i disse tilfellene nå være den behandlingsanvsarlige som må føre bevis for at han ikke har utvist skyld. Presumpsjonsregelen vil dessuten mer generelt gi den behandlingsansvarlige en oppfordring til å bringe klarhet i forhold som kan føre til eller som har ført til et tap for en registrert.
For visse former for virksomhet kan det være nærliggende å pålegge den behandlingsansvarlige et objektivt ansvar, jf 19.3.4.2.1 og annet ledd som gir Kongen adgang til i forskrift å bestemme at objektivt ansvar skal gjelde for virksomhet som formidler personopplysninger (jf personregisterloven § 40).
Kapittel 8 Forholdet til andre lover. Ikraftsetting. Overgangsregler, m v
§ 44 Forholdet til andre lover
Loven gjelder også for behandling av personopplysninger som er regulert i annen lov i den utstrekning ikke annet følger av hjemmelsloven.
Til § 44:
I likhet med personregisterloven er lovforslaget her ment å være en generell lov, dvs en lov som i utgangspunktet får anvendelse både i privat og offentlig sektor. En rekke andre lover vil også i større eller mindre grad regulere slike former for behandling av personopplysninger som lovforslaget her omfatter. Eksempler på slike lover er såkalte registerlover i snever forstand, dvs lover som oppretter og nærmere regulerer bestemte personregistre. Ettersom lovforslaget her får anvendelse ikke bare på personregistre, men også på elektronisk behandling av personopplysninger mer generelt, vil lovforslaget supplere flere lover enn det personregisterloven gjorde. Utgangspunktet er da at lovforslaget her kommer til anvendelse med mindre noe annet fremgår av annen lovgivning. Se forøvrig ovenfor merknadene til § 33 om såkalte § 41-registre.
§ 45 Forskriftsregulering av bestemte former for virksomheter
Kongen kan gi forskrift om behandling av personopplysninger for særskilte virksomheter og bransjer.
Til § 45:
En av de bransjene som bør undergis egen forskriftsregulering er kredittopplysningsvirksomhet, se kapittel 13.
§ 46 Overgangsregler
Innehavere av konsesjon etter lov om personregistre mm § 9 som blir meldepliktige eller konsesjonspliktige i medhold av denne lov kapittel 6, skal sende melding etter § 31 eller søke konsesjon etter § 33 innen tre år fra loven trer i kraft. Konsesjonsvilkårene gjelder i den utstrekning de ikke strider mot denne loven.
Behandlingsansvarlige som ikke har konsesjon etter lov om personregistre mm § 9 og som foretar behandling av personopplysninger som blir meldepliktige eller konsesjonspliktige i medhold av denne lov kapittel 6, skal sende melding etter § 31 eller søke konsesjon etter § 33 innen ett år fra loven trer i kraft.
Kongen kan gi forskrift med utfyllende overgangsregler.
Til § 46:
Lovforslaget her legger opp til en regulering av personopplysninger som på mange måter skiller seg nokså sterkt fra personregisterloven. Det blir derfor særskilt viktig å avveie hensynet til at lovforslaget snarest mulig bør få den tilsiktede effekt, mot behovet de behandlingsansvarlige har til å innrette seg etter de nye reglene.
Dette er varetatt i § 46 på den måten at innehavere av konsesjon etter personregisterloven § 9 som også blir konsesjonspliktige i medhold av lovforslaget, skal søke konsesjon etter § 33 innen tre år fra loven trer i kraft. Konsesjonsvilkårene gjelder i den utstrekning de ikke strider mot den nye loven. Innehavere av konsesjon etter personregisterloven § 9 som blir meldepliktige i medhold av lovforslaget, skal sende melding etter § 31 innen tre år fra loven trer i kraft.
Behandlingsansvarlige som ikke har konsesjon etter personregisterloven § 9 og som foretar behandling av personopplysninger som blir konsesjonspliktige i medhold av lovforslaget, skal søke konsesjon etter § 33 innen ett år fra loven trer i kraft. Behandlingsansvarlige som ikke har konsesjon etter personregisterloven § 9 og som foretar behandling av personopplysninger som blir meldepliktig etter lovforslaget, skal sende melding etter § 31 innen ett år fra loven trer i kraft.
§ 47 Ikrafttredelse
Loven trer i kraft fra den tiden Kongen bestemmer. De ulike paragrafene kan settes i kraft til ulik tid.
22 Lovforslaget
Lov om behandling av personopplysninger (personopplysningsloven)
Kapittel 1 Lovens formål og område
§ 1 Lovens formål
Lovens formål er å bidra til at behandling av personopplysninger skjer i samsvar med grunnleggende personvernhensyn, herunder behovet for tilstrekkelig opplysningskvalitet, personlig integritet og privatlivets fred.
Alternativt forslag til § 1:
Denne lovens hensikt er å sikre at personopplysninger, knyttet til den enkeltes private livsområde, blir innhentet, bearbeidet, oppbevart og benyttet på grunnlag av samtykke, lovhjemmel eller rettslig beslutning. De samme krav stilles til registrering av adferd.
Den enkeltes ukrenkelighet skal respekteres både i privatliv, arbeidsliv og i offentlige sammenhenger.
Enhver har i utgangspunktet råderett over kunnskap denne gir fra seg om seg selv. Opplysninger, eller et materiale som gir grunnlag for opplysninger, skal bare benyttes til det eller de oppgitte formål de innhentes eller samles for.
Unntak skal være hjemlet i lov.
Lovens regler omfatter fysiske personer. De kommer også til anvendelse hvis opplysninger om døde eller juridiske personer kan knyttes til individ eller slekt og opplysningene må antas å være følsomme.
§ 2 Definisjoner
Med personopplysning menes opplysninger og vurderinger som direkte eller indirekte kan knyttes til en identifiserbar, fysisk person (den registrerte).
Med behandling av personopplysninger menes enhver operasjon eller serie av operasjoner som utføres på personopplysninger, som for eksempel innsamling og registrering herunder elektronisk overvåkning, systematisering, oppbevaring, endring, søking, utlevering, sammenstilling, blokkering og sletting.
Med personregister menes registre, fortegnelser mm der personopplysninger er lagret systematisk slik at opplysninger om den enkelte person kan finnes igjen.
Med behandlingsansvarlig menes den som bestemmer formålet med en elektronisk behandling eller formålet med et manuelt personregister, samt hvilke operasjoner som skal eller kan utføres på personopplysninger.
Med databehandler menes den som i henhold til avtale behandler personopplysninger på vegne av den behandlingsansvarlige.
Med elektronisk overvåkning menes vedvarende eller regelmessig gjentatt personovervåkning ved hjelp av fjernbetjent eller automatisk virkende utstyr.
Med samtykke menes en uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar at opplysninger om en selv blir behandlet.
Med sensitive personopplysninger menes personopplysninger om
rasemessig eller etnisk bakgrunn, eller politisk eller religiøs oppfatning
at en person har vært mistenkt, siktet, tiltalt eller dømt for straffbare forhold
helseforhold, herunder opplysninger om arveegenskaper og misbruk av rusmidler
seksuelle forhold
medlemsskap i fagforeninger.
Med enkeltavgjørelse menes
enkeltvedtak, jf forvaltningsloven § 2 bokstavene b) og a), og
andre avgjørelser som er bestemmende for bestemte private personers rettigheter eller plikter.
§ 3 Lovens saklige virkeområde
Loven gjelder for helt eller delvis elektronisk behandling av personopplysninger og for manuell behandling når personopplysningene inngår eller skal inngå i et personregister.
Loven gjelder ikke behandling av personopplysninger for rent personlige formål.
Kongen kan gi forskrift om at loven eller deler av denne ikke skal gjelde for bestemte former for elektronisk behandling av personopplysninger.
§ 4 Fjernsynsovervåkning og billedopptak
For fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning som ikke er elektronisk behandling av personopplysninger gjelder §§ 7, 24, 40, 41 og § 42 nr 6 tilsvarende.
For billedopptak i forbindelse med fjernsynsovervåkning som ikke er elektronisk behandling gjelder også §§ 31, 32 og 38 tilsvarende.
Med fjernsynsovervåkning menes vedvarende eller regelmessig gjentatt personovervåkning ved hjelp av fjernbetjent eller automatisk virkende fjernsynskamera, fotografiapparat eller lignende apparat.
§ 5 Forholdet til ytringsfriheten
Loven gjelder for behandling av personopplysninger som utelukkende finner sted i journalistisk øyemed eller for kunstnerisk eller litterær virksomhet. Det skal gjøres unntak fra bestemmelsene i den grad det er nødvendig for å forene hensynet til ytringsfrihet med hensynet til personvern.
§ 6 Lovens geografiske virkeområde
Loven gjelder for behandling av personopplysninger når den behandlingsansvarlige er etablert i riket, herunder Svalbard og Jan Mayen.
Loven gjelder også for behandling av personopplysninger som skjer i riket og som forestås av en behandlingsansvarlig som er etablert i stater utenfor EØS-området dersom den behandlingsansvarlige benytter hjelpemidler i Norge. Den behandlingsansvarlige skal i så fall utpeke en representant som er etablert i Norge. Reglene om den behandlingsansvarlige gjelder tilsvarende for representanten.
Annet ledd gjelder ikke dersom hjelpemidlene utelukkende benyttes til å transportere personopplysninger via Norge.
Kapittel 2 Alminnelige regler om behandling av personopplysninger
§ 7 Krav til saklighet
Personopplysninger kan bare behandles til lovlige og uttrykkelig angitte formål. Formålet skal være saklig begrunnet ut fra den behandlingsansvarliges virksomhet.
Personopplysningene skal være relevante ut fra det angitte formålet.
Elektronisk overvåkning av sted hvor en begrenset krets av personer jevnlig ferdes, er bare tillatt dersom det ut fra hensynet til virksomheten er et særskilt behov for overvåkningen.
§ 8 Anvendelse av personopplysninger til andre formål enn det opprinnelige
Personopplysninger som er samlet inn til behandling for et formål kan bare anvendes til andre formål dersom
den registrerte samtykker i det nye behandlingsformålet
det er fastsatt i lov at det er adgang til å bruke opplysningene til det nye behandlingsformålet, eller
fordelene med den nye behandlingen er klart større enn ulempene som den volder for den enkelte og den nye behandlingen ikke er uforenlig med det opprinnelige formålet.
Kongen kan gi forskrift om anvendelse av personopplysninger til nye formål.
§ 9 Behandling av sensitive personopplysninger
Sensitive personopplysninger (jf § 2 nr 8) kan bare behandles dersom
den registrerte samtykker
det er fastsatt i lov at det er adgang til slik behandling
den behandlingsansvarlige plikter å foreta behandlingen i henhold til avtale mellom partene i arbeidslivet
behandlingen er nødvendig for å beskytte den registrertes eller en annen persons vesentlige interesser, og vedkommende selv ikke er i stand til å gi samtykke som nevnt i nr 1
behandlingen utføres av en ideell organisasjon som ledd i organisasjonens rettmessige virksomhet. Behandlingen kan kun omfatte opplysninger om organisasjonens medlemmer eller personer som på grunn av organisasjonens formål er i regelmessig kontakt med den. Personopplysningene kan ikke videreformidles uten den registrertes samtykke
behandlingen gjelder opplysninger som den registrerte selv har gjort alminnelig kjent
behandlingen er nødvendig for at et rettskrav kan fastsettes, gjøres gjeldende eller forsvares
behandlingen er nødvendig for medisinske formål eller for forvaltning av helsetjenester og opplysningene behandles av en helsearbeider med taushetsplikt
behandlingen er nødvendig for statistiske formål eller forskning og behandlingen ikke kan få direkte virkninger for den enkelte.
Datatilsynet kan bestemme at sensitive personopplysninger også i andre tilfeller kan behandles dersom viktige samfunnsinteresser tilsier det og det settes i verk tiltak for å sikre de registrertes interesser.
§ 10 Bruk av fødselsnummer
Bruk av fødselsnummer må være saklig begrunnet ut i fra behovet for sikker identifisering.
Datatilsynet kan gi pålegg om at fødselsnummer skal brukes for å sikre tilstrekkelig kvalitet på personopplysninger.
§ 11 Sikring av personopplysninger
Den behandlingsansvarlige og databehandleren skal sørge for at personopplysningene til enhver tid er sikret tilstrekkelig konfidensialitet og har den kvalitet og tilgjengelighet som formålet med behandlingen tilsier.
Den behandlingsansvarlige plikter å gjennomføre sikkerhetsvurderinger og etablere og holde vedlike planlagte og systematiske sikkerhetstiltak for å oppnå kravene i første ledd. Sikkerhetstiltakene skal være bygget opp i henhold til alminnelige anerkjente metoder.
Sikkerhetsvurderingen og tiltakene skal dokumenteres og ved forespørsel være tilgjengelig for Datatilsynet og Personvernnemnda. De ansatte i Datatilsynet og medlemmene i Personvernnemnda plikter å hindre at andre får adgang eller kjennskap til opplysninger om sikkerhetsvurderinger og sikkerhetstiltak dersom slike opplysninger kan svekke sikkerhetstiltakene.
Kongen kan gi forskrift om sikring av personopplysninger.
Alternativt tredje ledd annet punktum:
De ansatte i Datatilsynet, styremedlemmene og medlemmene i Personvernnemnda plikter å hindre at andre får adgang eller kjennskap til opplysninger om sikkerhetsvurderinger og sikkerhetstiltak dersom slike opplysninger kan svekke sikkerhetstiltakene.
§ 12 Internkontroll
Den behandlingsansvarlige skal kunne dokumentere at det er etablert systemer og rutiner som sikrer overholdelse av reglene i loven samt vilkår og pålegg etter §§ 35 og 40.
Kongen kan gi forskrift om internkontroll.
§ 13 Databehandlerens rådighet over personopplysninger
Databehandleren kan ikke uten avtale med den behandlingsansvarlige anvende opplysningene til andre formål enn det oppdraget gjelder. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
§ 14 Frist for oppfyllelse av plikter
Den behandlingsansvarlige skal sørge for at den registrertes krav etter loven §§ 16, 18, 22, 25, 26, 27 og 28 gjennomføres uten ugrunnet opphold og senest innen én måned.
Dersom særlige grunner gjør det umulig å oppfylle pliktene innen en måned kan gjennomføring skje senere. I slike tilfeller skal midlertidig skriftlig svar gis innen fristen. I det midlertidige svaret skal det opplyses om grunnen til forsinkelsen og sannsynlig tidspunkt for gjennomføring.
§ 15 Betaling
Rettighetene etter §§ 16, 18, 22, 25, 26, 27 og 28 utøves vederlagsfritt for den registrerte. Dersom særlige grunner gjør det nødvendig, kan Kongen gi forskrift om at den registrerte må betale vederlag til den behandlingsansvarlige.
Kapittel 3 Innsynsrett og varslingsplikt m v
§ 16 Rett til generell informasjon om behandling av personopplysninger
Den som ber om det skal få vite hvilke behandlinger av personopplysninger en behandlingsansvarlig foretar. Den som ber om det skal dessuten få følgende informasjon om en bestemt behandling av personopplysninger:
navn og adresse på den behandlingsansvarlige og på dennes eventuelle representant, jf § 6
hvem som har det daglige ansvaret for å oppfylle pliktene som hviler på den behandlingsansvarlige
behandlingens formål
definisjoner og andre beskrivelser av de typer personopplysninger som inngår i behandlingen
kilde for opplysningene
hvem personopplysningene blir eller vil bli utlevert til, herunder planlagt utlevering av personopplysningene til mottakere i andre stater.
Informasjon kan kreves hos den behandlingsansvarlige eller dennes representant som nevnt i § 6. Den som ber om informasjon kan kreve at informasjonen gis skriftlig.
Kongen kan gi forskrift om unntak fra første ledd dersom dette er nødvendig av hensyn til rikets sikkerhet eller forebyggelse og etterforskning av straffbare handlinger.
§ 17 Offentlig fortegnelse over konsesjoner og meldinger
Datatilsynet skal føre en systematisk fortegnelse over alle behandlinger som er innmeldt etter § 31 eller gitt konsesjon i medhold av § 33. Av fortegnelsen skal det minst fremgå opplysninger som nevnt i § 16 annet ledd.
Fortegnelsen skal være offentlig på den måten Datatilsynet bestemmer.
Kongen kan gi forskrift om fortegnelsen og gjøre slike unntak fra første ledd som er nødvendig ut fra beredskapshensyn eller hensynet til rikets sikkerhet.
§ 18 Den registrertes rett til innsyn
Den registrerte skal på forespørsel få opplyst:
hvilke opplysninger om en selv som behandles ved elektroniske hjelpemidler eller som er tatt inn i et manuelt register
behandlingens formål
hvem opplysningene om en selv blir eller vil bli utlevert til
kilden for disse opplysningene
hvilke sikkerhetstiltak som er knyttet til behandlingen, dersom innsyn ikke svekker sikkerheten.
Innsyn kan kreves hos den behandlingsansvarlige eller dennes representant som nevnt i § 6. Den registrerte kan kreve at opplysningene skal gis skriftlig.
§ 19 Unntak fra den registrertes rett til innsyn
Innsynsretten etter § 18 gjelder ikke opplysninger som bare brukes til statistikk, forskning eller generelle planleggingsformål dersom behandlingen ikke får noen direkte betydning for den registrerte.
Innsynsretten gjelder ikke opplysninger som det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forholdet til personer som står dem nær. Opplysningen kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det.
Den registrerte kan ikke kreve innsyn i opplysninger i dokumenter som er unntatt fra innsyn etter forvaltningsloven § 18. Overfor behandlingsansvarlige som ikke er organ for stat eller kommune kan det ikke kreves innsyn i opplysninger i dokumenter som er utarbeidet for den interne saksforberedelse av
den behandlingsansvarlige selv
særskilte rådgivere eller sakkyndige, eller
annen sammenslutning eller stiftelse innenfor eget konsern eller organisasjon.
Selv om opplysninger er unntatt etter reglene i fjerde ledd, har den registrerte rett til innsyn i faktiske opplysninger eller sammendrag eller annen bearbeidelse av faktum. Dette gjelder likevel ikke når den registrerte på annen måte har tilgang til de faktiske opplysningene.
Dersom innsyn kan motvirke muligheten for å få en sak som er under behandling avklart, kan den som kravet om innsyn retter seg mot bestemme at den registrerte ikke skal gis innsyn så lenge undersøkelser pågår.
Kongen kan gi forskrift om unntak fra og vilkår for bruk av innsynsretten.
§ 20 Informasjonsplikt ved innsamling av personopplysninger fra den registrerte
Ved innsamling av personopplysninger fra den registrerte skal den behandlingsansvarlige opplyse den registrerte om hvem som er behandlingsansvarlig, formålet med innsamlingen av opplysningene samt om det er frivillig å levere fra seg opplysningene. Informasjonsplikten gjelder ikke dersom den registrerte må antas allerede å kjenne til dette.
Ytterligere informasjon skal gis dersom det må antas å være nødvendig for at den registrerte skal kunne ivareta egne interesser. Eksempler på slik informasjon er hvem opplysningene kan bli utlevert til, samt i hvilken grad den registrerte kan kreve innsyn, retting eller sletting av opplysningene.
§ 21 Varslingsplikt ved innsamling av personopplysninger fra andre enn den registrerte
Dersom personopplysningene innhentes fra andre enn den registrerte, skal den behandlingsansvarlige gi informasjon som nevnt i § 15 annet ledd til den registrerte når registrering skjer. Dersom opplysningene skal videregis innen rimelig tid, kan varslingen utsettes til første gangs videregivelse av opplysningene.
Første ledd gjelder ikke dersom
varslingen er umulig eller uforholdsmessig vanskelig,
den registrerte må antas å være kjent med behandlingen, eller
det er fastsatt i lov at det er adgang til å registrere eller videregi opplysningene.
§ 22 Rett til begrunnelse for fullstendig automatiserte avgjørelser
Dersom det foreligger en avgjørelse som definert i § 2 nr 9 som fullt ut er basert på automatisk behandling av personopplysninger, kan den som avgjørelsen retter seg mot kreve å få begrunnet resultatet. I begrunnelsen skal den behandlingsansvarlige redegjøre for regelinnholdet i datamaskinprogrammene som ligger til grunn for avgjørelsen.
§ 23 Varslingsplikt ved bruk av personprofiler
Når det treffes enkeltavgjørelser som definert i § 2 nr 9 eller gjøres henvendelser til den registrerte på grunnlag av personprofiler som er ment å beskrive atferd, preferanser, evner eller behov, skal den behandlingsansvarlige opplyse den registrerte om hvem som er behandlingsansvarlig, hvilke opplysningstyper som er anvendt, samt kildene for disse opplysningene.
§ 24 Varslingsplikt ved elektronisk overvåkning
Ved elektronisk overvåkning på offentlig sted eller arbeidssted skal det ved skilting eller på annen måte gjøres tydelig oppmerksom på at stedet blir overvåket og hvem som er behandlingsansvarlig.
Kapittel 4 Retting og sletting mv
§ 25 Plikt til å rette, slette, supplere og sperre mangelfulle personopplysninger
Dersom det er registrert personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å registrere, skal den behandlingsansvarlige sørge for at opplysningene rettes, slettes eller suppleres såframt mangelen kan få betydning for den registrerte. Har mangelen ført til at det er gitt eller brukt slike opplysninger, skal den behandlingsansvarlige såvidt mulig sørge for at feilen ikke får betydning for den registrerte.
Dersom opplysningene på grunn av annen lovgivning ikke kan slettes eller rettes kan Datatilsynet gi pålegg om at opplysningene skal sperres for å forhindre at de blir brukt.
§ 26 Sletting og sperring av personopplysninger
Den behandlingsansvarlige plikter, når det ikke lenger er saklig grunn for oppbevaring, å slette personopplysninger som behandles elektronisk eller som inngår eller skal inngå i et manuelt personregister. Med saklig grunn forstås blant annet at oppbevaring er pålagt i eller i medhold av lov eller at den behandlingsansvarlige behandler opplysningene til det formål de er innsamlet for.
Den registrerte kan, dersom dette ikke strider mot annen lov, likevel kreve slike opplysninger om seg selv sperret eller slettet dersom opplysningene er belastende for den registrerte og sperring eller sletting finnes forsvarlig ut fra en samlet vurdering av andres interesser, personvernintersser, samfunnsmessige interesser og den ressursinnsats som kravet forutsetter. Datatilsynet kan gi pålegg om slik sperring eller sletting. Slikt pålegg går foran bestemmelsene om kassasjon i lov 4 desember 1992 nr 126 om arkiv § 9.
§ 27 Rett til å kreve manuell behandling av personopplysninger
Den som en avgjørelse retter seg mot eller som saken ellers direkte gjelder, kan kreve at personopplysningene behandles manuelt dersom avgjørelsen
er en enkeltavgjørelse som definert i § 2 nr 9 eller som på annen måte har vesentlig betydning for vedkommende, og
fullt ut er basert på automatisk behandling, og
karakteriserer personlige egenskaper.
Retten til å kreve en manuell behandling som nevnt i første ledd gjelder ikke dersom det er truffet tilstrekkelige tiltak for å ivareta vedkommendes personverninteresser, og
avgjørelsen er hjemlet i lov, eller
avgjørelsen knytter seg til inngåelse eller oppfyllelse av kontrakt.
§ 28 Rett til å kreve sitt navn sperret mot bruk i markedsføringsøyemed
Kongen kan gi forskrift om at det skal opprettes et sentralt reservasjonsregister samt nærmere regler for registeret.
Den registrerte kan kreve sitt navn sperret mot bruk til direkte markedsføring. Sperring kan kreves både i det sentrale reservasjonsregisteret og i markedsførerens adresseregister.
En behandlingsansvarlig som markedsfører direkte plikter å oppdatere adresseregisteret i henhold til det sentrale reservasjonsregisteret før første gangs utsendelse og minst to ganger pr år. Kongen kan i forskrift gjøre unntak fra denne plikten.
Mottakere av direkte reklame skal få opplyst hvem som har oppgitt personopplysningene som ligger til grunn for henvendelsen.
Denne bestemmelsen gjelder ikke for markedsføring av egne produkter fra den behandlingsansvarlige hvor den registrerte har et løpende kundeforhold.
Kapittel 5 Videregivelse av personopplysninger til utlandet
§ 29 Vilkår for videregivelse av personopplysninger til utlandet – hovedregel
Videregivelse av personopplysninger til utlandet kan bare skje dersom staten som mottakeren skal behandle personopplysningene i regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte. Stater som har gjennomført direktiv 95/46/EF oppfyller kravet til tilstrekkelig forsvarlig regulering.
I vurderingen av om stater som ikke har gjennomført direktiv 95/46/EF regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte, skal det bl a legges vekt på opplysningenes art, de planlagte behandlingenes formål og varighet, den aktuelle statens rettsregler om behandling av personopplysninger, regler for god forretningsskikk og sikkerhetsforanstaltninger hos mottakeren. Det skal også legges vekt på om den aktuelle staten har tiltrådt Europarådets konvensjon 28 januar 1981 nr 108.
§ 30 Videregivelse av personopplysninger til stater som ikke regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte
Videregivelse av personopplysninger til utlandet kan skje selv om den aktuelle staten ikke regulerer behandling av personopplysninger på en tilstrekkelig forsvarlig måte dersom
den registrerte har gitt sitt samtykke til videregivelsen
Norge har plikt til å foreta slik videregivelse etter folkerettslig overenskomst eller som følge av medlemsskap i internasjonal organisasjon
det er fastsatt i lov at det er adgang til å videregi opplysningene
videregivelsen er nødvendig for å inngå eller oppfylle en kontrakt mellom den registrerte og den behandlingsansvarlige
videregivelsen er nødvendig for å inngå eller oppfylle en kontrakt i den registrertes interesse
videregivelsen er nødvendig for å beskytte den registrertes vesentlige interesser.
Dersom særlig grunner taler for det, kan Datatilsynet tillate videregivelse selv om vilkårene i første ledd ikke er oppfylt.
Kongen kan gi forskrift om videregivelse av personopplysninger til utlandet.
Kapittel 6 Meldeplikt og konsesjonsplikt m v
§ 31 Meldeplikt
Enhver behandlingsansvarlig som benytter elektroniske systemer for behandling av personopplysninger skal gi melding til Datatilsynet på fastsatt skjema i god tid før behandlingen tar til.
Slik melding skal også sendes ved opprettelse av et manuelt personregister dersom det skal inneholde sensitive personopplysninger, jf § 2 nr 8.
Meldeplikten gjelder ikke for behandinger som utelukkende gjør bruk av allment tilgjengelige personopplysninger.
Kongen kan gi forskrift om at visse typer behandlinger skal være unntatt fra meldeplikten etter første og annet ledd, underlagt en forenklet meldeplikt eller underlagt konsesjonsplikt. For behandlinger som unntas fra meldeplikt kan det gis forskrift om forhold som nevnt i § 35 annet ledd. Det kan også gis forskrift for å begrense de ulemper behandlingen ellers kunne medføre for den enkelte.
§ 32 Meldingens innhold
Meldingen skal inneholde opplysninger om
navn og adresse på den behandlingsansvarlige og på dennes eventuelle representant, jf § 6
hvem som har det daglige ansvaret for å oppfylle pliktene som hviler på den behandlingsansvarlige
behandlingens formål
definisjoner og andre beskrivelser av de typer personopplysninger som inngår i behandlingen
kildene for personopplysningene
grunnlaget for innhenting av opplysningene
hvem personopplysningene blir eller vil bli utlevert til
planlagt utlevering av personopplysningene til mottakere i andre stater, og
hvilke sikkerhetstiltak som er knyttet til behandlingen.
Kongen kan gi forskrift om hvilke opplysninger meldingene skal inneholde, samt regler om gjennomføringen av meldepliktsordningen.
Den behandlingsansvarlige er ansvarlig for at det til enhver tid er innsendt melding som gir riktige opplysninger. Ny melding med oppdaterte opplysninger skal sendes etter 3 år, med mindre det i løpet av denne tiden er sendt endringsmelding. Kongen kan gi forskrift som skal sikre meldingenes kvalitet og kan for enkelte typer av behandlinger fastsette andre regler for når ny melding skal sendes.
§ 33 Konsesjonsplikt
Det kreves samtykke fra Datatilsynet (konsesjon) for å behandle sensitive personopplysninger (jf § 2 nr 8) når formålet med behandlingen er å treffe enkeltavgjørelser som definert i § 2 nr 9.
Kongen kan gi forskrift om at visse typer behandlinger skal være unntatt fra konsesjonsplikten etter første ledd, og i stedet underlagt meldeplikt etter § 31. For slik behandling skal det gis forskrift om forhold som nevnt i § 35 annet ledd. Det kan også gis forskrift for å begrense de ulemper behandlingen ellers kunne medføre for den enkelte.
§ 34 Vurderingen av om konsesjon skal gis
Ved vurderingen av om konsesjon skal gis, skal det innenfor den rammen som er fastsatt i loven kapittel 2, vurderes om behandlingen av de sensitive personopplysningene kan volde ulemper for den registrerte som ikke løses tilfredsstillende av vilkår fastsatt i medhold av § 35 første ledd. Dersom slike ulemper kan oppstå, må det overveies om de blir oppveid av hensyn som taler for at behandlingen kan finne sted.
§ 35 Vilkår for konsesjonspliktige behandlinger
Når det blir gitt samtykke etter § 33, skal det fastsettes nærmere vilkår for behandlingen dersom slike vilkår anses nødvendige for å begrense de ulempene behandlingen ellers kunne medføre.
I vurderingen av om det er nødvendig å sette vilkår etter første ledd bør det blant annet tas i betraktning om
det er lagt til rette for at de registrerte kan gjøre nytte av rettighetene etter loven, herunder om de vil bli gitt tilstrekkelig informasjon om sine rettigheter og mulighetene til å gjøre nytte av dem
personopplysningene vil bli tilstrekkelig korrekte, dekkende og ajourførte i forhold til formålet med behandlingen, jf § 7
personopplysningene vil bli behandlet med den diskresjon som regler om taushetsplikt og formålet med behandlingen gjør nødvendig
det er planlagt informasjons- og veiledningstiltak som står i et rimelig forhold til kontrolltiltak
det er etablert tilstrekkelig sikkerhet i forhold til formålene med behandlingen av personopplysninger.
Kapittel 7 Tilsyn og sanksjoner
§ 36 Datatilsynets organisering og oppgaver
Datatilsynet skal være et uavhengig forvaltningsorgan administrativt underordnet Kongen og det departement Kongen fastsetter. Datatilsynet ledes av en direktør som utnevnes av Kongen. Direktøren kan utnevnes for en tidsavgrenset periode.
Kongen kan ikke gi Datatilsynet instrukser om håndhevingen av loven, og heller ikke om myndighetsutøvelsen i enkelttilfeller. Datatilsynets enkeltvedtak kan ikke omgjøres av Kongen.
Datatilsynet skal
behandle søknader om konsesjoner, motta meldinger og vurdere om det skal gis pålegg der loven gir hjemmel for dette
kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet
holde seg orientert om den generelle nasjonale og internasjonale utviklingen i behandlingen av personopplysninger og om de problemer som knytter seg til slik behandling, samt gi informasjon om dette
identifisere og formulere personverntrusler, og gi råd om hvorledes de kan unngås eller begrenses
gi råd og rettledning i spørsmål om personvern og sikring av personopplysninger til dem som planlegger å behandle personopplysninger eller utvikle systemer for slik behandling, herunder gi bistand i utarbeidelsen av bransjevise atferdsnormer
etter henvendelse eller av eget tiltak gi uttalelse i spørsmål om behandling av personopplysninger, herunder være høringsinstans ved utarbeidelsen av lover og forskrifter som har direkte betydning for personvern
gi Kongen eller det departement Kongen fastsetter årlig melding om sin virksomhet.
Alternativt forslag til § 36 første ledd:
Datatilsynet skal være et uavhengig forvaltningsorgan administrativt underordnet Kongen og det departement Kongen fastsetter. Datatilsynet ledes av et styre som skal ha syv medlemmer. Medlemmene blir oppnevnt av Kongen som også fastsetter hvem som skal være styrets leder og nestleder. Datatilsynets direktør kan utnevnes for en tidsavgrenset periode.
§ 37 Personvernnemndas oppgaver og organisering
Personvernnemnda avgjør klager over Datatilsynets avgjørelser. Nemnda kan bestemme at tre av nemndas medlemmer, herav leder og/eller nestleder kan behandle klager over avgjørelser som etter sin art må avgjøres uten opphold. Nemnda orienterer årlig Kongen om behandlingen av klagesakene.
Personvernnemnda skal være et uavhengig forvaltningsorgan administrativt underordnet Kongen og det departement Kongen fastsetter. Paragraf 36 annet ledd gjelder tilsvarende.
Personvernnemnda har fem medlemmer som oppnevnes for fire år. Medlemmene blir oppnevnt av Kongen, som også fastsetter hvem som skal være nemndas leder og nestleder. Leder og nestleder skal ha kompetanse som nevnt i domstolloven § 54 annet ledd.
Alternativt forslag til § 37 tredje ledd:
Personvernnemnda har syv medlemmer som oppnevnes for fire år. Fem av medlemmene oppnevnes av Kongen. Lederen og nestlederen oppnevnes av Stortinget. Leder og nestleder skal ha kompetanse som nevnt i domstolloven § 54 annet ledd.
§ 38 Tilsynsmyndighetens tilgang til opplysninger m v
Datatilsynet og Personvernnemnda kan kreve de opplysningene som trengs for at det kan gjennomføre sine oppgaver.
Datatilsynetilsynet kan kreve å få adgang til de stedene der personregistre, billedopptak som nevnt i § 4, personopplysninger som behandles elektronisk og hjelpemidlene for elektronisk behandling av personopplysninger fins. Tilsynet kan gjennomføre de prøver eller kontroller som det mener er nødvendige og kreve nødvendig bistand fra personalet slike steder for å få utført prøvene eller kontrollene. Beslutninger om stedlig kontroll kan påklages til Personvernemnda.
Datatilsynets rett til å kreve opplysninger og tilgang til lokaler og hjelpemidler er ikke begrenset av taushetsplikt.
Kongen kan gjøre unntak fra første til tredje ledd som er nødvendige av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldig bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg.
§ 39 Unntak fra taushetsplikt
Datatilsynets ansatte og medlemmer av Personvernnemnda kan uten hinder av lovbestemt taushetsplikt gi opplysninger til utenlandske tilsynsmyndigheter når dette er nødvendig for at tilsynsmyndigheten eller utenlandske tilsynsmyndigheter skal kunne treffe vedtak, eller for å gjennomføre slike vedtak.
Alternativt forslag til § 39:
Datatilsynets ansatte, styremedlemmer og medlemmer av Personvernnemnda kan uten hinder av lovbestemt taushetsplikt gi opplysninger til utenlandske tilsynsmyndigheter når dette er nødvendig for at tilsynsmyndigheten eller utenlandske tilsynsmyndigheter skal kunne treffe vedtak, eller for å gjennomføre slike vedtak.
§ 40 Pålegg om opphør av ulovlige behandlinger m v
Datatilsynet kan gi pålegg om at behandling av personopplysninger i strid med denne loven skal opphøre eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven. Pålegg kan påklages til Personvernnemnda.
Ved vurderingen av om det skal gis pålegg etter første ledd skal det særlig tas i betraktning forhold som nevnt i § 35 annet ledd nr 1-5.
§ 41 Tvangsmulkt
Dersom pålegg i medhold av §§ 10, 25, 26 eller 40 ikke overholdes, kan Datatilsynet bestemme at den avgjørelsen retter seg mot skal betale en daglig løpende mulkt til staten inntil forholdet rettes.
Mulkten løper ikke før klagefristen er ute. Hvis vedtaket om tvangsmulkt påklages, løper ingen mulkt før vedtak om mulkt treffes av Personvernnemnda.
Mulkten er tvangsgrunnlag for utlegg.
§ 42 Straff
Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller aktløst
unnlater å innhente samtykke etter §§ 33 eller 46
unnlater å sende melding etter §§ 31 eller 46
overtrer vilkår fastsatt etter § 35 eller § 40
behandler personopplysninger i strid med §§ 11, 13 eller 28
unnlater å varsle etter §§ 20, 21, 23 eller 24
unnlater å etterkomme pålegg fra Datatilsynet etter §§ 10, 25, 26 eller 40
unnlater å gi opplysninger etter §§ 16 eller 18 jf 19.
Ved særdeles skjerpende omstendigheter kan fengsel inntil to år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinning ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og på om den skyldige tidligere er straffet for overtredelse av tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes at overtredelse av forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.
§ 43 Erstatning
Har den behandlingsansvarlige eller dennes databehandler behandlet personopplysninger i strid med denne loven eller vedtak gitt i medhold av den, skal den behandlingsansvarlige erstatte det økonomiske tapet som skaden påfører den registrerte. Den behandlingsansvarlige kan fritas for ansvar dersom han godtgjør at tapet ikke skyldes feil eller forsømmelse på den behandlingsansvarliges side.
Kongen kan gi forskrift om objektivt ansvar for virksomheter som formidler personopplysninger (§ 45) og som har meddelt opplysninger som viser seg uriktige eller åpenbart misvisende.
Kapittel 8 Forholdet til andre lover. Ikraftsetting. Overgangsregler, m v
§ 44 Forholdet til andre lover
Loven gjelder også for behandling av personopplysninger som er regulert i annen lov i den utstrekning ikke annet følger av hjemmelsloven.
§ 45 Forskriftsregulering av bestemte former for virksomheter
Kongen kan gi forskrift om behandling av personopplysninger for særskilte virksomheter og bransjer.
§ 46 Overgangsregler
Innehavere av konsesjon etter lov om personregistre mm § 9 som blir meldepliktige eller konsesjonspliktige i medhold av denne lov kapittel 6, skal sende melding etter § 31 eller søke konsesjon etter § 33 innen tre år fra loven trer i kraft. Konsesjonsvilkårene gjelder i den utstrekning de ikke strider mot denne loven.
Behandlingsansvarlige som ikke har konsesjon etter lov om personregistre mm § 10 og som foretar behandling av personopplysninger som blir meldepliktige eller konsesjonspliktige i medhold av denne lov kapittel 6, skal sende melding etter § 31 eller søke konsesjon etter § 33 innen ett år fra loven trer i kraft.
Kongen kan gi forskrift med utfyllende overgangsregler.
§ 47 Ikrafttredelse
Loven trer i kraft fra den tiden Kongen bestemme. De ulike paragrafene kan settes i kraft til ulik tid.