Del 2
Personvernrett – hovedtrekk og hovedutfordringer
5 Innledning
Personvernkommisjonens arbeid har vært knyttet til de utfordringene personvernet møter i dagens samfunn. Gjennom mandatet ble kommisjonen oppfordret til å skildre dagens situasjon og utfordringer for personvernet innenfor ulike sektorer og se hen til internasjonale avtaler og regelverk om personvern.
Det er altså personvernretten som har stått i fokus i kommisjonens arbeid og som har vært vårt rettslige utgangspunkt. Det har imidlertid vært tydelig for kommisjonen at personvern ikke er noen absolutt rettighet, og at denne retten ofte må vike for andre berettigede interesser, som for eksempel ytringsfrihet og kriminalitetsbekjempelse. Det har derfor vært nødvendig for kommisjonen å se hen til lovgivning som skal ivareta andre hensyn og som tangerer eller utfordrer personvernet.
Personvernretten er preget av omfattende regulering, både nasjonalt og internasjonalt.
Denne delen av rapporten presenterer hovedtrekk ved det rettslige regelverket som har personvern og/eller personopplysningsvern som hovedformål. Den beskriver også noen sentrale utfordringer ved anvendelse og utvikling av dette regelverket. Presentasjonen er av overordnet karakter, og fokuset er rettet mot lovgivning som har hatt særlig relevans for kommisjonens arbeid. I tillegg vil personvernbestemmelser og sentrale juridiske problemstillinger innenfor de særskilte områdene kommisjonen har arbeidet med bli gjennomgått i rapportens del IV.
6 Internasjonale regler
Regelverk om personvern og personopplysningsvern som er vedtatt på et internasjonalt eller overnasjonalt plan har vokst enormt de siste fire tiår. Det samme kan sies om dets påvirkningskraft. Enkeltnasjoner (inklusive Norge) får mindre frihet til selv å bestemme hvordan de utvikler nasjonal personvernrett. Det internasjonale regelverket nedfeller et stort antall minstekrav som enkeltnasjoner er forpliktet til å overholde ved utforming av deres egen lovgivning.
Det er imidlertid betydelig variasjon innenfor det internasjonale regelverket med hensyn til reglenes detaljeringsgrad, anvendelsesområde og rettslig status. Deler av regelverket har form av grunntraktater om menneskerettigheter som er nedfelt i kortfattete, svært generelle bestemmelser. Disse traktatene utgjør det sentrale normative grunnlaget for mesteparten av det øvrige regelverket på feltet, både nasjonalt og internasjonalt. Deler av dette øvrige regelverket har form av relativt detaljerte og omfattende regelsett som inneholder en rekke spesifikke krav til behandling av personopplysninger. De viktigste av disse regelsettene er EUs direktiv om personopplysningsvern (direktiv 95/46/EF) og Europarådets konvensjon om personopplysningsvern av 1981. Andre deler av regelverket er derimot i form av «soft law»-instrumenter, dvs. anbefalinger, retningslinjer mv. som formelt sett ikke er rettslig bindende. Disse kan likevel ha stor politisk tyngde og dermed betydelig påvirkningskraft. Det mest innflytelsesrike av disse instrumentene er retningslinjer for beskyttelse og utveksling av personopplysninger over landegrenser som ble vedtatt av OECD (Organisation for Economic Co-operation and Development) i 1980.
De aller fleste av de regelsett som er nevnt ovenfor er utformet på en teknologinøytral og generell måte, slik at de kommer til anvendelse på mange samfunnssektorer og i mange forskjellige teknologiske sammenhenger. I tillegg finnes det et stort antall regelsett som fokuserer på nærmere angitte områder og/eller teknologier – som forskning, telekommunikasjon, biometri og kryptografi. De fleste av disse regelsettene er i form av anbefalinger, retningslinjer eller liknende. Europarådet har vært særlig aktivt med å utarbeide sektorspesifikke anbefalinger. Men det finnes også sektorspesifikke regelsett som er rettslig bindende. EUs direktiv om elektronisk kommunikasjon og personvern (direktiv 2002/58/EF) er et viktig eksempel her.
I det følgende gir vi en kort presentasjon av de mest sentrale instrumentene som utgjør det internasjonale regelverket om personvern og personopplysningsvern. For en mer utførlig gjennomgang, se Bygrave 2008 samt Schartum og Bygrave 2004 kapittel 3.
6.1 Personvern etter menneskerettighetstraktater
De aller fleste traktater om menneskerettigheter inneholder bestemmelser som anerkjenner personvern som grunnleggende rettighet. Dette kommer først og fremst til uttrykk i bestemmelser om retten til privatliv («privacy» eller «private life»). Slike bestemmelser finner vi bl.a. i konvensjoner vedtatt av De Forente Nasjoner (FN) og Europarådet. Bestemmelsene bygger på FNs Verdenserklæring om menneskerettighetene av 1948 artikkel 12 som lyder som følger:
«Ingen må utsettes for vilkårlig innblanding i privatliv, familie, hjem og korrespondanse, eller for angrep på ære og anseelse. Enhver har rett til lovens beskyttelse mot slik innblanding eller slike angrep.»
6.1.1 FN-konvensjonen om sivile og politiske rettigheter av 1966
FN-konvensjonen om sivile og politiske rettigheter (forkortet «SP») ble vedtatt 16. desember 1966 og trådte i kraft 23. mars 1976. Den inneholder en bestemmelse (artikkel 17) som lyder omtrent det samme som artikkel 12 i Verdenserklæringen:
«Ingen må utsettes for vilkårlige eller ulovlige inngrep i privat- eller familieliv, hjem eller korrespondanse, eller ulovlige inngrep på ære eller omdømme.
Enhver har rett til lovens beskyttelse mot slike inngrep eller angrep. »
FNs Menneskerettighetskomité har uttalt i General Comment nr. 16 av 23. mars 1988 at SP artikkel 17 krever at personopplysninger innen både offentlig og privat sektor blir behandlet i samsvar med grunnleggende prinsipper for personopplysningsvern.
6.1.2 FN-konvensjonen om barns rettigheter av 1989
Konvensjonen om barns rettigheter ble vedtatt den 20. november 1989 og trådte i kraft den 8. januar 1991. Den inneholder en bestemmelse (artikkel 16) med tilnærmet samme formulering som SP artikkel 17, men i forhold til barn:
«Intet barn skal utsettes for vilkårlig eller ulovlig innblanding i hans eller hennes privatliv, familie, hjem eller korrespondanse og heller ikke for ulovlige angrep mot hans eller hennes ære eller omdømme.
Barnet har rett til lovens beskyttelse mot slik innblanding eller slike angrep.»
6.1.3 Den europeiske menneskerettskonvensjon av 1950
Den europeiske menneskerettskonvensjonen av 1950 (forkortet «EMK») ble vedtatt den 4. november 1950 og trådte i kraft den 3. september 1953. Artikkel 8 lyder som følger:
«Enhver har rett til respekt for sitt privat- og familieliv, sitt hjem og sin korrespondanse.
Offentlig myndighet skal ikke gjøre noe inngrep i utøvelsen av denne rett med mindre dette inngrep er i samsvar med loven og i et demokratisk samfunn er en nødvendig forholdsregel for den nasjonale eller offentlige sikkerhet, for landets økonomiske velstand, for å forebygge uorden eller forbrytelser, beskytte helse eller moral eller beskytte andres rett og friheter. »
Bestemmelsen pålegger en stat å ha lover som verner privatlivets fred og som verner den enkelte mot å få sin integritet og ære krenket – både av offentlige myndigheter og private aktører. Plikten omfatter også at det må finnes lover som regulerer innsamling, forvaltning og spredning av personopplysninger (jf. videre Schartum og Bygrave 2004, ss. 96-97).
Etter bestemmelsens annet ledd kan imidlertid inngrep i rettighetene som er nedfelt i første ledd være lovlige dersom følgende kumulative kriterier er oppfylt:
(i) Det foreligger et rettslig grunnlag for inngrepet som tilfredsstiller vanlige prosessuelle rettssikkerhetskrav (klarhet, forutberegnelighet mv.);
(ii) Inngrepet er nødvendig, det vil si at det foreligger et påtrengende samfunnsmessig behov («pressing social need») for inngrepet, og inngrepet er forholdsmessig i forhold til det formålet som søkes oppnådd («proportionate to legitimate aim pursued»);
(iii) Inngrepet tjener ett eller flere av formålene som er angitt i annet ledd.
Den europeiske menneskerettighetsdomstolen (EMD) har gradvis erkjent at EMK artikkel 8 rommer et person opplysning svern, både i forhold til offentlig sektor og privat sektor. Sentrale avgjørelser i så måte er Klass mot Tyskland (dom 1978-09-06), Malone mot Storbritannia (dom 1984-08-02), Leander mot Sverige (dom 1987-03-26), Gaskin mot Storbritannia (dom 1989-07-07), Niemietz mot Tyskland (dom 1992-12-16), Amann mot Sveits (dom 2000-02-16), Peck mot Storbritannia (dom 2003-01-28), von Hannover mot Tyskland (dom 2004-06-24), og Copland mot Storbritannia (dom 2007-04-03).
I forhold til personopplysningsvernet har EMDs praksis så langt ikke utviklet nye grunnleggende prinsipper utover de som finnes i andre sentrale regelsett på området. Men praksisen legges til grunn ved tolking av andre europeiske regelsett som for eksempel EUs direktiv om personopplysningsvern. Og den betoner krav til klar lovhjemmel og proporsjonalitet/forholdsmessighet ved behandling av personopplysninger, slik at disse kravene også er blitt mer vektlagt og synliggjort ved anvendelse av direktivet og øvrige regelsett på feltet.
Personvernkommisjonen vil fremheve følgende hovedtrekk fra EMDs avgjørelser som særlig viktige for kommisjonens mandat og arbeid. For det første har EMD definert privatliv («private life») relativt bredt. Domstolen fastslår at begrepet omfatter visse aktiviteter som utføres i den offentlige sfære (jf. eksempelvis sakene Niemietz og Peck ). For det andre vil registrering og videre behandling av personopplysninger, uten at den registrerte har gitt sitt samtykke til eller fått kunnskap om behandlingen, i seg selv være et inngrep etter artikkel 8(1) (jf. eksempelvis Leander saken). For det tredje, når domstolen vurderer hvorvidt en handling utgjør et inngrep i privatliv mv., legges det bl.a. vekt på folks rimelige forventninger om hva som er privat. Et fjerde moment er at registrering og lagring av personopplysninger – uten at disse brukes videre – i seg selv kan være nok til å utgjøre et inngrep i henhold til artikkel 8(1) (jf. Amann saken). Det siste momentet er at også private aktørers behandling av personopplysninger kan rammes av EMK artikkel 8 (jf. von Hannover saken). Alle disse trekkene er utdypet og drøftet senere i rapporten.
6.1.4 EUs charter om grunnleggende rettigheter av 2000
EUs charter om grunnleggende rettigheter ( Charter of Fundamental Rights of the European Union (2000/C 364/01)) av 2000 inneholder to bestemmelser med særskilt relevans for personvern og personopplysningsvern. Den første er artikkel 7, som lyder:
«Everyone has the right to respect for his or her private and family life, home and communications.»
Den andre er artikkel 8, som direkte angår personopplysningsvern. Bestemmelsen består av tre ledd:
«Everyone has the right to the protection of personal data concerning him or her.
Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
Compliance with these rules shall be subject to control by an independent authority.»
Charteret er i seg selv ikke rettslig bindende, men det utgjør likevel et viktig utgangspunkt for utvikling av regulatorisk politikk innenfor EU. Det som er særlig verdt å merke seg ved charteret er at det anviser en særskilt rett til «protection of personal data» som del av de grunnleggende menneskerettighetene i EU. Personopplysningsvern er med andre ord blitt ansett som en grunnleggende rettighet i seg selv. Dette synet kommer også til uttrykk i det (hittil mislykkede) forsøket på å få på plass en ny grunnleggende rettslige plattform for hele EU-systemet. I den forbindelse, se eksempelvis traktaten av 2004 om innføring av en europeisk grunnlov ( Treaty establishing a Constitution for Europe ; ikke i kraft) artikler I-51 og II-68 (sml. artikkel II-67) som også oppstiller personopplysningsvern som separat rettighet i forhold til retten til privatliv mv.
6.2 Internasjonale regelsett som direkte angår personvern
6.2.1 Europarådets konvensjon av 1981
Europarådets konvensjon om personvern i forbindelse med elektronisk behandling av personopplysninger ( Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data – heretter «Europarådets konvensjon om personopplysningsvern») ble vedtatt den 28. januar 1981 og trådte i kraft den 1. oktober 1985. Den er den eneste konvensjonen som direkte omhandler personopplysningsvern. Konvensjonen er blitt ratifisert av de aller fleste land som er medlemmer av Europarådet, deriblant Norge som ratifiserte den 20. februar 1984. Konvensjonen kan også ratifiseres av land som ikke er medlem av Europarådet (jf. artikkel 23), men denne muligheten er hittil ikke blitt benyttet. Endringer i konvensjonen ble vedtatt i 1999, for at også EU som sådan skal kunne ratifisere konvensjonen, men disse er ennå ikke trådt i kraft.
Ved ratifikasjon forplikter en stat seg til å inkorporere konvensjonens prinsipper i sitt nasjonale regelverk (jf. artikkel 4(1)). Konvensjonen inneholder ellers ikke rettigheter som direkte kan anvendes av enkeltindivider. Den etablerer heller ikke et eget håndhevelsesorgan.
Hovedformålet med konvensjonen er å sikre personvernet mot trusler ved elektronisk databehandling (jf. artikkel 1). Den nedfeller et sett med prinsipper som fastsetter minstestandarder for all elektronisk behandling av personopplysninger (jf. artikkel 5 flg.). Prinsippene gjelder i utgangspunktet kun elektronisk eller automatisert behandling, men kan utvides til også å omfatte manuelle prosesser.
Konvensjonen har samtidig som formål å redusere personvernrelaterte hindre mot overføring av personopplysninger mellom land, for gjennom dette å fremme friheten til å kommunisere og motta informasjon, samt fremme internasjonal handel og økonomisk vekst. Begrunnelsen for dette er at enkelte stater (deriblant Norge) fra før hadde lovgivning om personopplysningsvern som begrenset overføring av personopplysninger til andre land, med mindre opplysningene kunne nyte et vern lik det i opprinnelseslandet (jf. eksempelvis Norges gamle personregisterlov § 36, samt dens hovedforskrift § 8-1). Konvensjonen fastsetter vilkår for innføring av slike begrensninger, først og fremst i forbindelse med overføring av personopplysninger mellom stater som har ratifisert konvensjonen (jf. artikkel 12). Hovedregelen er at en stat som har sluttet seg til konvensjonen ikke skal hindre overføring av personopplysninger til en annen stat som tilbyr «equivalent protection» for disse opplysningene. Ved en protokoll vedtatt 23. mai 2001 ble konvensjonen tilføyd bestemmelser om overføring av personopplysninger til stater som ikke har ratifisert konvensjonen. Disse bestemmelsene dupliserer langt på vei tilsvarende bestemmelser i EUs generelle direktiv om personopplysningsvern (se videre avsnitt 6.2.4). Protokollen tilføyer videre konvensjonens bestemmelser om nasjonale datatilsynsmyndigheters kompetanse. Også disse bestemmelsene dupliserer i stor grad tilsvarende bestemmelser i EUs direktiv.
I tillegg til denne konvensjonen har Europarådet vedtatt en lang rekke anbefalinger som utdyper reglene i konvensjonen innenfor nærmere avgrensede områder, så som telekommunikasjon, politiarbeid, forskning og statistikk, forsikring og arbeidsliv. Selv om disse anbefalingene ikke er folkerettslig bindende, danner de et viktig utgangspunkt for utarbeidelse og reform av nasjonalt regelverk. De danner dessuten et viktig utgangspunkt for nasjonale datatilsynsmyndigheters praksis.
6.2.2 OECDs retningslinjer av 1980
OECD vedtok den 23. september 1980 retningslinjer for beskyttelse og utveksling av personopplysninger over landegrenser ( Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data ). Retningslinjene er ikke rettslig bindende, men har hatt stor innflytelse på utviklingen av nasjonalt regelverk, særlig i ikke-europeiske OECD medlemsland, som eksempelvis Canada, Australia og New Zealand. De har også dannet hovedutgangspunktet for utarbeidelse i 2004/05 av en «Privacy Framework» i regi av Asia Pacific Economic Cooperation (APEC). Sistnevnte instrument nedfeller retningslinjer som skal veilede APEC medlemsland i utforming av deres nasjonale politikk på feltet.
Formålet ved og innholdet i OECDs retningslinjer er langt på vei det samme som for Europarådets konvensjon om personopplysningsvern. Oppnåelse av formålet om å fremme internasjonal handel og økonomisk vekst ved å lette flyt av personopplysninger mellom land var likevel en viktigere drivkraft bak retningslinjene enn det var ved utarbeidelsen av konvensjonen. Likevel er prinsippene for overføring av personopplysninger mellom land og for innsamling og videre behandling av personopplysninger ellers, stort sett like i begge instrumenter.
Med utgangspunkt i retningslinjene fra 1980 har OECD utarbeidet flere andre retningslinjer som berører personopplysningsvern. Disse gjelder bl.a. informasjonssikkerhet (jf. Guidelines for the Security of Information Systems (1992); senere erstattet av Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security (2002)), kryptopolitikk (jf. Guidelines for Cryptography Policy (1997)), og forbrukervern i forbindelse med elektronisk handel (jf. Guidelines for Consumer Protection in the Context of Electronic Commerce (1999)).
6.2.3 FNs retningslinjer av 1990
FNs generalforsamling vedtok den 14. desember 1990 retningslinjer for elektroniske personregistre ( Guidelines Concerning Computerized Personal Data Files ). Retningslinjene inneholder prinsipper for behandling av personopplysninger som stort sett er lik de som finnes i OECDs retningslinjer av 1980 og Europarådets konvensjon av 1981, men utfyller likevel disse på enkelte punkter (se videre Bygrave 2002, s. 73 og 350). Retningslinjene oppfordrer dessuten internasjonale organisasjoner – i tillegg til FN-medlemstater – til å behandle personopplysninger på personvernvennlig vis. Retningslinjene er ikke folkerettslig bindende og synes å ha hatt liten praktisk betydning sammenlignet med øvrige internasjonale regelsett på feltet. De signaliserer imidlertid at interesse for personopplysningsvern i prinsippet rekker utover den vestlige demokratiske sfæren.
6.2.4 EUs direktiv 95/46
EU vedtok den 24. oktober 1995 et direktiv om personopplysningsvern (direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger). Direktivet ble den 25. juni 1999 tatt inn i avtalen om det europeiske økonomiske samarbeid av 1992 («EØS-avtalen»), og ble dermed gjort folkerettslig bindende for Norge. Direktivet utgjør en sentral premissleverandør for norsk regulatorisk politikk på feltet, ikke bare på grunn av EØS-avtalen, men også fordi direktivet er betydelig mer detaljert og omfattende enn øvrige internasjonale regelsett som for eksempel Europarådets konvensjon av 1981 og OECDs retningslinjer av 1980. Direktivet er gjennomført i Norge i hovedsak ved personopplysningsloven.
6.2.4.1 Formål
I likhet med de to sistnevnte regelsettene, har direktivet to hovedformål: På den ene siden å fremme personvernet, på den andre siden å fremme internasjonal handel ved å avskaffe unødvendige hindre mot at personopplysninger skal kunne overføres mellom land. I henhold til direktivet er det siste formålet i hovedsak relatert til EUs grunnleggende ønske om å realisere målsettinger vedrørende de «fire friheter» ved det indre markedet. Dette kommer bl.a. til syne ved at direktivet forbyr EU/EØS-medlemsland å hindre flyt av personopplysninger til andre medlemsland når hindringen begrunnes med henvisning til personvern (jf. artikkel 1(2)). Selv om direktivets innhold og målsetting er sterkt preget av et ønske om å sikre fri flyt av personopplysninger mellom medlemsland, har direktivet et idealistisk formål om å sørge for et høyt nivå på personopplysningsvern innenfor EU/EØS-området. Dette formålet er siden blitt fremhevet av EF-domstolen (jf. avgjørelse 2003-05-20 i sak C-465/00, Rechnungshof mot Österreichischer Rundfunk m.fl. og forente saker C-138/01 og C-139/01, Neukomm og Lauermann mot Österreichischer Rundfunk ).
6.2.4.2 Harmonisering
Direktivet er langt mer ambisiøst når det gjelder harmonisering av nasjonalt regelverk enn Europarådets konvensjon av 1981 og OECDs retningslinjer av 1980. Dette gjelder både fastsettelse av grunnprinsipper, begrepsapparat, tilsynsordninger og anvendelsesområdet for regulering. På visse punkter tillates likevel medlemsstater et «spillerom» ved implementering av direktivet. Bruk av relativt tvetydige formuleringer i flere av direktivets bestemmelser, samt lite rettspraksis fra EF-domstolen og andre toneangivende domstoler om hvorledes bestemmelsene skal tolkes, forsterker dette spillerommet. Harmoniseringsbestrebelsene i direktivet medfører dermed ingen fullstendig uniformering av nasjonale lover.
Direktivet er et såkalt minimumsdirektiv, dvs. det angir minstekrav som medlemsland må overholde. Medlemsland kan innføre en høyere grad av personopplysningsvern enn minstekravene, forutsatt at dette ikke strider mot direktivet som helhet (jf. spesielt bestemmelsen i artikkel 1(2) om fri flyt av personopplysninger innen EU/EØS).
6.2.4.3 Anvendelsesområdet
Anvendelsesområdet for direktivet omfatter både offentlig og privat sektor, men ikke virksomhet som faller utenfor fellesskapsrettens virkeområde (jf. artikkel 3(2)). Dette betyr at direktivet ikke omfatter virksomhet som er tilknyttet EUs andre og tredje «søyler» (jf. traktaten om europeisk union tittel V og VI), som behandling av personopplysninger «som gjelder offentlig sikkerhet, forsvar, statens sikkerhet (herunder statens økonomiske interesser når behandlingen er forbundet med spørsmål om statens sikkerhet) og statens virksomhet på det strafferettslige område» (jf. også fortalen nr. 13). Medlemsstater kan likevel velge å regulere slik virksomhet i samsvar med direktivets regler.
Behandling av personopplysninger som skjer «som ledd i rent personlige eller familiemessige aktiviteter» (jf. artikkel 3(2)) faller også utenfor direktivets anvendelsesområde. Det er videre tillatt å unnta behandling av personopplysninger fra mange av direktivets sentrale bestemmelser når dette er nødvendig for å sikre ytringsfrihet (jf. artikkel 9). Liknende unntak kan dessuten innføres når dette er nødvendig for å sikre bl.a. effektiv bekjempelse av kriminalitet, medlemsstatenes «vesentlige økonomiske eller finansielle interesser» eller «beskyttelsen av den registrertes interesser eller andres rettigheter» (jf. artikkel 13(1)).
6.2.4.4 Tilsynsordninger
Når det gjelder tilsynsordninger, krever direktivet at hvert medlemsland etablerer et eller flere uavhengige organer som skal føre tilsyn med implementeringen av nasjonalt regelverk på feltet (jf. artikkel 28(1)). Med visse unntak skal hvert medlemsland innføre en ordning med meldeplikt, som innebærer at behandlingsansvarlige må melde fra til vedkommende tilsynsorgan om behandling av personopplysninger forut for behandlingen (jf. artikkel 18 og 19). Det er tillatt med forhåndskontroll (også i form av konsesjonsplikt) av databehandling som «kan innebære særlige farer for de registrertes rettigheter og friheter» (jf. artikkel 20; jf. artikkel 28(3)). Forhåndskontroll skal imidlertid skje unntaksvis, ikke som hovedregel (jf. fortalen nr. 54).
Direktivet etablerer videre en arbeidsgruppe om personopplysningsvern ( Working Party on the Protection of Individuals with regard to the Processing of Personal Data ), som består av representanter fra nasjonale datatilsynsmyndigheter innenfor EU. Arbeidsgruppen er etablert i henhold til direktivets artikkel 29 og kalles derfor «artikkel 29 arbeidsgruppen». Arbeidsgruppens mandat er i hovedsak å gi Europa-kommisjonen råd om ulike problemstillinger angående personopplysningsvern, inklusiv nasjonal implementering av direktivet. Arbeidsgruppen har kun rådgivende myndighet, men er svært aktiv og har utstedt en lang rekke anbefalinger og veiledninger. Datatilsynsmyndighetene fra Norge og de andre EFTA-landene deltar i arbeidsgruppen som observatører uten stemmerett.
6.2.4.5 Grunnregler
Direktivet nedfeller en rekke grunnregler for behandling av personopplysninger som både viderefører og utvider prinsippene i Europarådets konvensjon fra 1981 og OECDs retningslinjer fra 1980. Dette gjelder spesielt regler om opplysningsplikt og innsynsrett (jf. artikkel 10-12). Direktivet etablerer i tillegg et par nye typer innsigelses-/reservasjonsrettigheter. For det første får enkeltpersoner rett til å motsette seg direkte markedsføring (jf. artikkel 14). For det andre får de en kvalifisert rett «til ikke å bli undergitt en beslutning som har rettsvirkning for vedkommende eller berører vedkommende i vesentlig grad, og som utelukkende er truffet på grunnlag av elektronisk behandling av opplysninger med sikte på å vurdere visse personlige forhold som arbeidsinnsats, kredittverdighet, pålitelighet, adferd osv.» (jf. artikkel 15(1)).
6.2.4.6 Overføring av personopplysninger til andre land
Mens overføring av opplysninger EU/EØS-medlemsland seg i mellom ikke kan begrenses av personvernhensyn (jf. artikkel 1(2)), er overføring av personopplysninger fra medlemsland til ikke-medlemsland (såkalte «tredjestater») underlagt forholdsvis strenge begrensninger. Overføring av personopplysninger til en tredjestat skal i utgangspunktet bare skje dersom staten «sørger for et tilstrekkelig vernenivå» (jf. artikkel 25(1)). Det finnes imidlertid en rekke unntak fra denne regelen, eksempelvis når den registrerte samtykker til overføringen eller overføringen er lovhjemlet eller nødvendig for inngåelse eller oppfyllelse av en kontrakt mellom den registrerte og den behandlingsansvarlige (artikkel 26(1)).
Europa-kommisjonen har kompetanse til å bestemme om en tredjestat tilbyr tilstrekkelig personopplysningsvern (jf. artikkel 25(6)), og kan i så fall overprøve medlemsstaters (og dermed nasjonale datatilsynsmyndigheters) egne vurderinger av tilstrekkelighet. Kommisjonen har så langt anerkjent kun et mindre antall land (deriblant Sveits, Argentina og Canada) som stater med et tilstrekkelig personopplysningsvern i henhold til artikkel 25. Systemet for tilstrekkelighetsvurderinger synes generelt å være nokså tregt og tungvint. Det er videre etablert flere ordninger som åpner for overføring av personopplysninger til visse organisasjoner i tredje stater (hittil hovedsakelig USA) som ellers ikke er ansett å tilby tilstrekkelig personopplysningsvern. Hovedeksempelet her er den såkalte «safe harbor» («trygg havn») ordningen, etablert i 2000, som innebærer at amerikanske selskaper vil kunne anses å tilby tilstrekkelig vern for personopplysninger som de mottar fra EU/EØS, ved at de frivillig implementerer et sett regler for behandling av opplysningene.
6.2.4.7 Rettspraksis
EF-domstolens praksis angående tolkning av direktivet er fremdeles sparsom, men har likevel fastslått flere grunnleggende trekk ved direktivet. De viktigste er at direktivet har en menneskerettslig (i tillegg til en markedsmessig) forankring og må derfor tolkes og anvendes i lys av EMDs praksis etter EMK (jf. særlig avgjørelse 2003-05-20 i sak C-465/00, Rechnungshof motÖsterreichischer Rundfunk m.fl. og forente saker C-138/01 og C-139/01, Neukomm og Lauermann mot Österreichischer Rundfunk )).
Betydningen av EMK og EMDs praksis for anvendelse av direktivet er særlig sentral i avveininger mellom personvern og andre rettigheter der det må foretas proporsjonalitetsvurderinger. Dette gjelder ikke bare i forhold til direktiv 95/46 men også i forhold til andre EF-rettslige instrumenter vedrørende personopplysningsvern, så som direktiv 2002/58 om elektronisk kommunikasjon og personvern (jf. særlig avgjørelse 2008-1-29 i sak C-275/06 Productores de Música (Promusicae) mot Telefónica de Espanã (Telefonica) ).
EF-domstolen har ellers elaborert enkelte aspekter ved direktivets anvendelse på publisering av personopplysninger på Internett (jf. avgjørelse 2003-11-6 i sak C-101/01, Bodil Lindqvist ). Den har for det første fastslått at publisering av personopplysninger på en allmenntilgjengelig Internett-hjemmeside faller innenfor direktivets anvendelsesområde; slik publisering kan ikke anses å være behandling av opplysninger «som ledd i rent personlige eller familiemessige aktiviteter» (jf. artikkel 3(2)). Domstolen har for det andre fastslått at slik publisering i seg selv utgjør nødvendigvis ikke en overføring av personopplysninger til tredjeland i henhold til artikkel 25.
6.2.5 Sektorvise direktiv
I tillegg til det generelle direktivet om personopplysningsvern har EU vedtatt to direktiv som omhandler personopplysningsvern i forhold til elektronisk kommunikasjon. Det ene er direktiv 2002/58/EF som gjelder elektronisk kommunikasjon generelt. Det inneholder regler om bl.a. sikring av data under kommunikasjon, lagring og viderebruk av trafikk- og debiteringsdata, utstedelse av spesifiserte regninger, fremvisning av anropende nummer hos oppringt sluttbruker, innholdet i abonnentfortegnelser, og forbud mot visse former for elektronisk søppelpost («spam»). Reglene er i hovedsak gjennomført i Norge ved loven om elektronisk kommunikasjon av 2003.
Det andre instrumentet er direktiv 2006/24/EF om lagring av trafikkdata generert i forbindelse med elektronisk kommunikasjon ( datalagringsdirektivet ). Det innebærer at EU-medlemsland må pålegge tilbydere av offentlige elektroniske kommunikasjonstjenester en plikt til å lagre trafikkdata i en periode på ikke mindre enn 6 måneder og ikke mer enn to år. Direktivets regler er ennå ikke implementert i Norge, og det er usikkert om direktivet er EØS-relevant. En nærmere redegjørelse for direktivet finnes i avsnitt 17.4.2. Personvernkommisjonens uttalelse om direktivet finnes som vedlegg 1.
Til slutt er det verdt å merke seg at EU arbeider med å få vedtatt harmoniserte regler om personopplysningsvern i politisektoren – en sektor under EUs tredje søyle. Dette arbeidet er ikke ferdig, og det pågår fremdeles debatt om reglenes innhold. Debatten dreier seg i hovedsak om hvorvidt Europarådets konvensjon om personopplysningsvern av 1981 eller direktiv 95/46/EF bør danne grunnlaget for slike regler.
6.2.6 Norges spillerom ved utforming av personvernregelverk
Selv om Norges frihet til å velge særnasjonale løsninger på feltet er redusert, har Norge fremdeles betydelig spillerom ved utforming av personvernregelverk og andre personvernfremmende tiltak. Dette gjelder i forhold til en rekke områder. Noen eksempler er:
samtykkets innhold og rolle/status (for eksempel når skal innhenting av samtykke fra det registrerte være hovedvilkår for behandling av personopplysninger?);
identifiseringsmekanismer (for eksempel når skal biometriske løsninger være tillatt?);
integrering av personvernkrav i systemutvikling (for eksempel hvorvidt skal man kreve at nye informasjonssystemer tillater anonyme transaksjoner?)
bruk og status av adferdskodekser (hvorvidt skal man oppfordre til utarbeidelse av disse? Hvilken rettslig status skal de få?).
Enkelte av disse spørsmålene er tatt opp i andre deler av rapporten.
Personvernkommisjonen ønsker ellers å understreke at alle dens forslag til personvernfremmende tiltak er forenlige med gjeldende folkerettslige krav på området.
7 Nasjonalt regelverk om personvern
I rapportens kapittel 4.1.5 har Personvernkommisjonen foretatt et skille mellom «personvern» og «personopplysningsvern». Personvern er knyttet til ivaretakelse av den personlige integritet, mens personopplysningsvernet gjelder bruk av opplysninger om enkeltpersoner. I norsk rett finnes det både bestemmelser som skal ivareta personvernet, slik som straffeloven § 390 og regler som har fokus på behandling av personopplysninger. Det er sistnevnte del av personvernretten som er underlagt den mest omfattende lovregulering, gjennom for eksempel personopplysningsloven, helseregisterloven og bestemmelser om taushetsplikt.
I dette kapittelet vil Personvernkommisjonen gi en oversikt over noen sentrale bestemmelser innenfor begge kategorier. I tillegg vil det ulovfestede personvernet berøres avslutningsvis. Det må presiseres at Personvernkommisjonen ikke har hatt anledning til å foreta en utfyllende beskrivelse av gjeldende rett. Fokuset er derfor rettet mot lovgivning som særlig har hatt relevans for kommisjonens arbeid. I tillegg til oversikten i dette kapittelet, vil personvernbestemmelser som har hatt særlig relevans innenfor de særskilte områdene kommisjonen har arbeidet med bli gjennomgått nedenfor, se del IV.
7.1 Personopplysningsloven
Personopplysningsloven er den generelle loven for behandling av personopplysninger i Norge. Loven trådte i kraft den 1. januar 2001 og erstattet personregisterloven fra 1978. Personregisterloven kom til anvendelse på opprettelsen av personregistre, det vil si registre eller fortegnelser der personopplysninger ble lagret systematisk. Den teknologiske utviklingen åpnet imidlertid for stadig nye muligheter til å behandle personopplysninger uten at det ble opprettet et register, og det var nødvendig med et nytt regelverk som var tilpasset dagens situasjon. Målet var å lage en teknologiuavhengig lov. Samtidig var Norge, gjennom EØS avtalen, forpliktet til å implementere EUs personverndirektiv (direktiv 95/46/EF), se kapittel 6.2.4.
Personregisterloven la opp til omfattende forhåndskontroll fra tilsynsmyndighetens side. Opprettelsen av personregistre som gjorde bruk av elektroniske hjelpemidler og andre registre med sensitive personopplysninger skulle ha konsesjon fra Datatilsynet, og nærmere regler for bruk av personopplysningene ble fastsatt gjennom vilkår i konsesjonen.
I personopplysningsloven er konsesjonsplikten begrenset til kun å gjelde for behandling av sensitive personopplysninger, også her med vidtgående unntak. I stedet bruker tilsynet mer av sine ressurser på etterkontroll, gjennom stedlige og brevlige tilsyn, og til råd og veiledningsvirksomhet. I tillegg inneholder personopplysningsloven flere materielle regler som styrer den konkrete behandlingen i stedet for at disse følger av konsesjon. Dette skaper bedre notoritet og forutsigbarhet for både den som bruker personopplysninger og den personopplysningene knytter seg til. Utover dette bygger imidlertid de to lovene på mange av de samme hensyn og personvernmessige prinsippene, slik at praksis etter personregisterloven vil stå sentralt også ved fortolkningen av personopplysningsloven.
7.1.1 Hovedtrekkene i personopplysningsloven
Personopplysningsloven gjelder behandling av personopplysninger med elektroniske hjelpemidler, samt opprettelse av manuelle personregistre. Spørsmålet om hva som skal anses som et «elektronisk hjelpemiddel» har vært drøftet av Personvernnemnda, se klagesak 2005/1. Nemnda fremhever at kravet om at det skal benyttes et elektronisk hjelpemiddel medfører at behandlingen må skje automatisk, uten intervensjon av mennesker.
Det finnes enkelte unntak fra lovens virkeområde. For kommisjonens arbeid er det særlig viktig å fremheve unntaket som regulerer forholdet til ytringsfriheten, se lovens § 7. Her er det bestemt at behandling av personopplysninger som skjer for kunstneriske, litterære eller journalistiske, herunder opinionsdannende formål, i hovedsak faller utenfor personopplysningslovens anvendelsesområde. I praksis medfører dette unntaket vanskelige avveininger mellom ytringsfrihet og personvern, noe kommisjonen vil beskrive nærmere i rapportens kapittel 13.
For all behandling av personopplysninger skal det utpekes en ansvarlig for behandlingen. I loven kalles dette den behandlingsansvarlige, og er definert som « den som bestemmer formålet med behandling av personopplysninger og hvilke hjelpemidler som brukes ». Det er den behandlingsansvarlige som er pliktsubjekt etter loven og som er ansvarlig for at loven etterleves, herunder at den registrertes rettigheter ivaretas, se nedenfor. Ansvaret kan ligge hos både fysiske og juridiske personer.
Behandling av personopplysninger må oppfylle visse grunnkrav som følger av lovens § 11. Blant annet må det finnes et behandlingsgrunnlag, behandlingen må skje for et saklig begrunnet formål og opplysningene som brukes må være tilstrekkelige og relevante for å oppfylle dette formålet. I tillegg skal opplysningene være korrekte og oppdaterte og slettes når formålet er oppfylt.
Når det gjelder kravet om behandlingsgrunnlag, bety dette at ett av vilkårene i lovens § 8 må være oppfylt. Behandling av sensitive personopplysninger må i tillegg oppfylle ett av kravene i § 9. De alternative grunnlagene for behandling av personopplysninger er samtykke, lovhjemmel eller at behandlingen er nødvendig for å ivareta et av de nærmere definerte formål.
Alternativene i §§ 8 og 9 er etter ordlyden i utgangspunktet likestilte. Det følger imidlertid av forarbeidene at behandling av personopplysninger som ikke er hjemlet i lov, i størst mulig grad bør baseres på et samtykke fra den opplysningen knytter seg til (Ot. prp. nr. 92 (1998-99), side 108). Samtykke ivaretar vesentlige personverninteresser som selvbestemmelse og kontroll over egne opplysninger.
I Datatilsynets praksis har samtykket utviklet seg til å være den reelle hovedregel. 1 Dette har også blitt støttet av Personvernnemnda. I klagesak 2004/01 sier nemnda uttrykkelig at behandling av personopplysninger som hovedregel skal baseres på et samtykke.
For at et samtykke skal være gyldig, må det være frivillig, uttrykkelig og informert, se § 2, nr 8. Samtykkekravet reiser en rekke problemstillinger som Personvernkommisjonen vil berøre senere i rapporten. Blant annet gjelder dette samtykke fra barn og samtykke i arbeidslivet.
I tillegg til å dokumentere at det finnes et behandlingsgrunnlag og at øvrige grunnvilkår er oppfylt, har den behandlingsansvarlige en rekke andre plikter i personopplysningsloven. Det skal iverksettes nødvendige sikkerhetstiltak (§ 13) og utarbeides et system for internkontroll (§ 14) i tillegg til at melde- og konsesjonsplikten skal ivaretas (§§ 31 og 33). Som nevnt ovenfor er konsesjonsplikt i stor grad erstattet av meldeplikt, slik at det vil være opp til den behandlingsansvarlige selv å vurdere om lovens vilkår er oppfylt. Gjennom meldingen bekreftes at det er iverksatt tiltak som sikrer etterlevelse av loven, noe som eventuelt kontrolleres av Datatilsynet i ettertid. Med tanke på Datatilsynets begrensede ressurser, er det imidlertid få virksomheter som er gjenstand for kontroll årlig, sett i forhold til antall behandlinger som meldes inn. Som illustrasjon kan det nevnes at antall meldinger i 2007 var 2952, det ble gitt 237 konsesjoner og gjennomført 134 tilsyn. 2
En ytterligere plikt for behandlingsansvarlige er å sørge for at den registrerte kan ivareta sine rettigheter. Disse er blant annet retten til informasjon (§ 19 flg.), innsyn (§ 18), retting og sletting (§§ 27 og 28). Informasjon og innsyn gir kontroll over hvilke personopplysninger som behandles til hvilke formål. Slik kunnskap er en nødvendig forutsetning for at den registrerte skal kunne påpeke feil eller mangler, kreve sletting og ellers kontrollere hvorvidt den behandlingsansvarlige etterlever sine plikter.
7.1.2 Datatilsynet og Personvernnemnda
Datatilsynet ble opprettet den 1. januar 1980 med hjemmel i den gamle personregisterloven. I dag finnes grunnlaget for Datatilsynets virksomhet i personopplysningsloven kapittel VIII. Datatilsynet er et uavhengig forvaltningsorgan. Det vil si at Kongen eller ansvarlig departement (Fornyings- og administrasjonsdepartementet) ikke kan instruere eller overprøve tilsynets beslutninger i enkeltsaker.
Datatilsynets oppgaver følger av personopplysningsloven § 42, 3. ledd, og knytter seg både til rene forvaltningsoppgaver, kontrollvirksomhet, råd- og veiledningsarbeid samt informasjonsvirksomhet. Datatilsynet fremhever ofte at deres ombudsfunksjon er vel så viktig som tilsynsfunksjonen, og det å skape oppmerksomhet og interesse omkring personvernspørsmål står sentralt.
Det er Datatilsynet som fører tilsyn med mange av lovene som gir et personopplysningsvern i Norge. Deres kontrollvirksomhet omfatter både personopplysningsloven, helseregisterloven, helseforskningsloven og SIS-loven. I tillegg spiller Datatilsynet en sentral rolle ved tolkning av disse lovene gjennom sitt råd- og veiledningsarbeid. Av denne grunn er forvaltningspraksis, som rettskilde, av vesentlig betydning på personvernrettens område. Dette forsterkes ved at brudd på overnevnte lover i liten grad har vært gjenstand for domstolsbehandling, selv om flere av bestemmelsene er straffsanksjonert og brudd på disse kan utløse erstatningsansvar. Personvernkommisjonen vil berøre de mest sentrale rettsavgjørelsene og forvaltningspraksis der hvor dette er relevant, se særlig kapittel 13.2.3.
Klager over Datatilsynets avgjørelser behandles av Personvernenemnda, som har vært klageorgan for Datatilsynets vedtak siden den 1. januar 2001. Personvernnemnda er et uavhengig forvaltningsorgan som administrativt er underlagt Kongen og Fornyings- og administrasjonsdepartementet. Personvernnemnda har sju medlemmer som blir oppnevnt for fire år med adgang til oppnevning for ytterligere fire år.
Organiseringen av personvernmyndighetene vil bli nærmere drøftet i rapportens kapittel 18.
7.2 Personvernbestemmelser i særlovgivningen
7.2.1 Folkeregisterloven
Registrering av befolkningen er et gammelt fenomen, men systematisert, sentralisert og landsomfattende folkeregistrering ble først innført ved lov av 16. januar 1970 nr. 1. I dag registreres alle som er eller har vært bosatt i Norge, er født i Norge eller som har fått tildelt fødselsnummer (ev. D-nummer 3 ) i Folkeregisteret. Ansvaret for registeret ligger hos Skattedirektoratet.
Folkeregisteret baserer sine opplysninger på lovpålagte meldinger fra borgerne og offentlige myndigheter, for eksempel i forbindelse med fødsel, bosetting, flytting og dødsfall. I forskrift om folkeregistrering er det listet opp hvilke opplysningstyper registeret inneholder.
Opplysninger i folkeregisteret om private forhold er underlagt taushetsplikt, jf. folkeregisterloven § 13. En rekke opplysninger som av mange anses for å være av privat karakter, anses ikke som «private forhold» i loven og kan utleveres både til private institusjoner og personer i tillegg til offentlige myndigheter, på visse vilkår. Dette gjelder for eksempel fødselsnummeret. Uten hinder av taushetsplikten kan det gis opplysninger til det offentlige, når dette er hjemlet i lov, til Statistisk sentralbyrå for utarbeidelse av statistikk og til forskning, jf. § 14.
De registrerte opplysningers kvalitet og ivaretakelse av konfidensialitet er to personverninteresser som står særlig sentralt når det gjelder folkeregisteret.
Opplysningene i folkeregisteret har stor betydning for offentlige myndigheter og danner grunnlaget for beslutninger om både tildeling av rettigheter og pålegging av plikter. Det er derfor viktig at registrerte opplysninger er korrekte og fullstendige. Med tanke på at opplysninger om hele landets befolkning er samlet i en sentral database, må konfidensialitet vektlegges. I denne sammenhengen er det nærliggende å vise til at ID-tyveri er en type kriminalitet som stadig øker i omfang, og at vår identitet i større grad har blitt en «råvare» for andre kriminelle aktiviteter. Dette er noe blant annet Datatilsynet har hatt særlig fokus på i de senere år (se Aanensen 2007).
7.2.2 Helseregisterloven
Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) trådte i kraft den 1.januar 2002. Også helseregisterloven bygger på prinsippene i EUs personverndirektiv (95/46/EF), men er en spesiallov for behandling av helseopplysninger i helseforvaltningen og helsetjenesten og for opprettelse av lokale, regionale og sentrale helseregistre. Behandling av helseopplysninger i medisinsk og helsefaglig forskning reguleres imidlertid av helseforskningsloven, se nedenfor. Personopplysningsloven supplerer helseregisterloven på viktige punkter, for eksempel når det gjelder kravene til informasjonssikkerhet.
Loven skal ivareta både personvernet, pasientinteresser og samfunnsinteresser. Som pasient i helsetjenesten er man nødt til å avgi en del helseopplysninger for å få adekvat helsehjelp. Samtidig må man ha tillit til at disse opplysningene oppbevares forsvarlig og at tilgangen er begrenset ut fra et tjenstlig behov. Samfunnets behov for tilgang til helsedata for å fremme folkehelseformål er ivaretatt gjennom lovregulering av retten til å opprette helseregistre.
Helseregisterloven er bygd opp på samme måte som personopplysningsloven. Den databehandlingsansvarlige 4 har de samme pliktene som etter personopplysningsloven, herunder ansvar for at det finnes et behandlingsgrunnlag, etablering av internkontroll, informasjonssikkerhet og ivaretakelse av de registrertes rettigheter.
Helseregisterloven gir hjemmel for å opprette lokale, regionale og sentrale helseregistre. Behandling av direkte identifiserbare helseopplysninger i slike registre skal som hovedregel baseres på et samtykke fra den registrerte, med mindre opplysningene pseudonymiseres eller avidentifiseres. Helseregisterloven § 8 gir dessuten hjemmel for å lagre helseopplysninger i 9 sentrale helseregistre uten at det foreligger samtykke.
I mai 2008 ble loven tilføyd en viktig presisering hva gjelder tilgang til helseopplysninger. Det ble tatt inn et utrykkelig forbud mot å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. Se mer om dette i kapittel 16.4.3.3.
7.2.3 Helseforskningsloven
Lov om medisinsk og helsefaglig forskning (helseforskningsloven) ble vedtatt 20. juni 2008 og det er i skrivende stund ikke bestemt når loven skal tre i kraft. Loven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger. Formålet med loven er å fremme god og etisk forsvarlig forskning. Dette skal blant annet sikres gjennom krav til organisering, ansvar, åpenhet og innsyn, forhåndskontroll og tilsyn. I tillegg skal forsøkspersonens integritet og personvern ivaretas ved at det stilles krav om samtykke, informasjon og vurdering av hvilke fordeler og ulemper forskningen innebærer for samfunnet og enkeltindivider.
Loven flytter mye av ansvaret for forhåndskontroll med forskningsprosjekter fra Datatilsynet (behandling av helseopplysninger) og Sosial- og helsedirektoratet (dispensasjon fra taushetsplikt og tillatelse til opprettelse og bruk av forskningsbiobank) til de regionale komiteene for medisinsk og helsefaglig forskningsetikk. Dette medfører for eksempel at Datatilsynet ikke lenger skal gi konsesjon til forskning på helseopplysninger, da behandling av personopplysninger for slike formål nå har hjemmel i lov. De konkrete materielle reglene for denne behandlingen reguleres i hovedsak av helseforskningsloven.
De regionale etiske komiteene ble omgjort til forvaltningsorganer ved ikrafttredelsen av forskningsetikkloven, med Den nasjonale forskningsetiske komité for medisin og helsefag som klageinstans. Statens helsetilsyn og Datatilsynet er imidlertid gitt tilsynskompetanse innenfor sine respektive fagområder, jf. helseforskningsloven kapittel 9. Statens legemiddelverk godkjenner klinisk utprøving av legemidler i henhold til forskrift om klinisk utprøving av legemidler.
Helseforskningslovens virkeområde gjør den til en spesiallov for behandling av helseopplysninger i medisinsk og helsefaglig forskning i forhold til personopplysningsloven og helseregisterloven. Opprettelse av lokale, regionale og sentrale helseregistre reguleres fortsatt av helseregisterloven. Personopplysningsloven med forskrifter supplerer helseforskningsloven, blant annet når det gjelder krav til informasjonssikkerhet, jf. helseforskningsloven § 2, 3. ledd.
Ut fra personvernhensyn og i samsvar med generelle forskningsetiske prinsipper, stadfester loven at deltakelse i medisinsk og helsefaglig forskning skal baseres på et fritt, uttrykkelig og informert samtykke. I følge departementet var et klart lovkrav om samtykke nødvendig for å styrke forskningsdeltakernes rettsikkerhet (se Inst. O. nr. 55 (2007-2008), punkt 1.6.1). Det er imidlertid verdt å merke seg at det finnes en rekke unntak fra kravet om samtykke. Blant annet lempes det på kravet til informasjon gjennom bruk av såkalt brede samtykker (jf. § 14), og bruk av biologisk materiale som er innsamlet i en behandlingssituasjon skal kunne brukes til forskning uten samtykke, men med reservasjonsadgang (jf. § 28). Disse delene av lovforslaget har vært gjenstand for kritikk og diskusjon fra høringsinstanser og fagmiljøer.
7.2.4 Regelverk om politiets behandling av personopplysninger
Politiets behandling av personopplysninger er regulert i en rekke lover, forskrifter og instrukser. Generelt kan man si at også behandling av personopplysninger der politiet er ansvarlig, reguleres av personopplysningsloven. En viktig begrensning følger imidlertid av personopplysningsforskriftens § 1-3, som gir unntak fra personopplysningslovens virkeområde for saker som behandles eller avgjøres i medhold av rettspleielovene, herunder straffeprosessloven. Det er imidlertid ikke gitt at denne begrensningen gjelder behandling av opplysninger utenfor den konkrete straffesak, for eksempel nedtegnelse av opplysninger i sentrale og lokale registre som brukes i politiets saksbehandling. Dette vil bero på en konkret vurdering.
Personopplysningslovens anvendelsesområde vil også innskrenkes i den grad særlov regulerer behandlingsmåte, jf. personopplysningsloven § 5. Strafferegistreringsloven med forskrifter hjemler opprettelse av en rekke registre som brukes i politiets arbeid, blant annet: Det sentrale straffe- og politiopplysningsregisteret, BOT – det sentrale bøteregisteret og Krimsys. Straffeprosessloven gir hjemmel for opprettelse av registre med snevrere formål, som blant annet DNA-registeret og fingeravtrykkregisteret. Også her vil man måtte vurdere konkret om personopplysningsloven supplerer spesiallovene der disse ikke gir særskilte regler.
Sentral for politiets arbeid med kontroll ved landets yttergrenser er Lov om Schengen informasjonssystem (SIS-loven). Her hjemles behandling av personopplysninger i den norske delen av Schengen informasjonssystem (SIS) og utveksling av opplysninger mellom landene som deltar i Schengensamarbeidet, blant annet med det formål å forebygge og oppklare kriminelle handlinger. SIS-loven har bestemmelser som stiller krav til selve registreringen og ivaretakelse av den registrertes rettigheter.
I 2000 ble det nedsatt et utvalg som skulle utrede det rettslige grunnlaget for behandling av personopplysninger i politisektoren. Utvalget ga sin innstilling i NOU 2003:21. Behovet for ny lovgivning var blant annet begrunnet i at dagens regelverk var mangelfullt, og det ble stilt spørsmål ved om hjemmelsgrunnlaget for politiets registre tilfredsstiller kravene i EMK artikkel 8. Det pekes særlig på hensynet til tilgjengelighet og forutsigbarhet for de registrerte, sett i forhold til det inngrepet en registrering av opplysninger hos politi- og påtalemyndighet vil kunne medføre for borgerne. Utvalget viser også til at legalitetsprinsippet i norsk rett tilsier en klarere regulering av hvordan personopplysninger behandles i politisektoren, da den lovgivningen som hjemler dagens registre ikke inneholder klare bestemmelser om formål, lagringstid, ansvar, bruk etc. Etter det Personvernkommisjonen har fått opplyst, tar Justis- og politidepartementet sikte på å fremme et lovforslag våren 2009.
Behandling av personopplysninger hos politi- og påtalemyndighet, samt regulering av denne, innebærer en til tider vanskelig avveining mellom personvern og hensynet til kriminalitetsbekjempelse.
7.2.5 Arbeidsmiljølovens regler om kontrolltiltak på arbeidsplassen
Kontrolltiltak i arbeidslivet kan ha sitt grunnlag i teknologiske, økonomiske, sikkerhetsmessige, helsemessige og organisatoriske forhold. De favner om alt fra enkle tiltak for tidregistrering til inngripende tiltak som helseundersøkelser. Selv om behandling av personopplysninger i arbeidslivet reguleres av de generelle reglene i personopplysningsloven, har også arbeidsmiljøloven regler som setter vilkår for iverksettelse av selve tiltaket. Disse er gitt blant annet av hensyn til den enkelte arbeidstakers personlige integritet og er eksempler på personvernbestemmelser som favner videre enn det typiske «personopplysningsvernet».
Det rettslige utgangspunktet er at et kontrolltiltak som virker inngripende i forhold til arbeidstakers personlige sfære eller integritet ikke er rettsmessig med mindre det foreligger et rettslig grunnlag for tiltaket. Det skal foretas en avveining mellom begrunnelsen og behovet for kontrollen, kontrolltiltakets art og hvor inngripende det vil virke i forhold til den enkelte ansatte. Som et utgangspunkt kan man si at arbeidsgiver, i kraft av sin styringsrett, kan igangsette tiltak som er nødvendige for å lede, fordele og kontrollere arbeidet. Gjennom rettspraksis er det imidlertid utviklet generelle arbeidsrettslige regler og prinsipper som slår fast at kontrolltiltak skal ha saklig grunn og være forholdsmessige. Disse er nå nedfelt i arbeidsmiljøloven kapittel 9.
Arbeidsmiljøloven § 9-1 angir de generelle vilkår for arbeidsgivers kontrolladgang. Kontrolltiltaket må være saklig, både i forhold til virksomhetens art og overfor den som omfattes av tiltaket. Videre er det krav om at tiltaket ikke innebærer en uforholdsmessig belastning for arbeidstakeren. Arbeidsgiver plikter å drøfte behovet for, utformingen av og selve gjennomføringen av kontrolltiltaket med representanter for de ansatte, jf. § 9-2.
Arbeidsmiljøloven kapittel 9 har også enkelte særregler for noen spesielt inngripende, men samtidig praktiske tiltak, blant annet innhenting av helseopplysninger ved ansettelse og gjennomføring av medisinske undersøkelser av arbeidssøkere og arbeidstakere. Fra et personvernståsted er det verdt og merke seg at bestemmelsene gir en uttømmende oppregning av hvilke helseopplysninger som kan innhentes og hvilke undersøkelser som kan iverksettes. Det kan således ikke innhentes samtykke til å gå utover de tilfeller som loven positivt hjemler.
Det rettslige utgangspunktet i arbeidslivet er utdypet i rapportens kapittel 15 under temaet «Personvern i arbeidslivet». Her har også Personvernkommisjonen gitt noen tilrådninger i forhold til to konkrete tiltak som særlig utfordrer arbeidstakeres personvern; arbeidsgivers innsyn i arbeidstakers e-post og elektroniske dokumenter samt varsling.
7.2.6 Vern mot offentlig meddelelse av personlige eller huslige forhold
Straffeloven § 390 verner privatlivets fred ved å gjøre det straffbart å gi offentlig meddelelse om personlige eller huslige forhold. Bestemmelsen kan sies å være en generell personvernbestemmelse som gjelder uavhengig av hvordan krenkelsen/meddelelsen skjer; både ytringer, skrift og bilder omfattes. I så måte favner bestemmelsen videre enn personopplysningslovens anvendelsesområde.
Krenkelse av privatlivets fred foreligger ved offentliggjøring (til allmennheten) av opplysninger som må sies å være av privat karakter. Kjerneområdet for bestemmelsen er vern mot formidling av sanne opplysninger om personlige forhold, men også usanne opplysninger omfattes. Usanne ytringer vil imidlertid også kunne rammes av straffelovens bestemmelser om ærekrenkelser, forutsatt at utsagnet er ærekrenkende, se nedenfor under kapittel 7.2.8. Omtalen trenger ikke være av negativ art, også positiv, men privat omtale omfattes.
Straffeloven § 390 medfører en begrensning i forhold til ytringsfriheten. Selv om den form for ytringer som § 390 omhandler i utgangspunktet er forbudt av hensyn til personvernet, må man ved tolkning av bestemmelsen ta i betrakning at også slike ytringer som hovedregel er vernet av grunnloven § 100 og EMK artikkel 10. Se mer om dette i kapittel 13.
7.2.7 Vern mot personfotografering og retten til eget bilde
Det finnes flere bestemmelser i lovverket som skal beskytte enkeltpersoner mot at det blir tatt bilde i gitte situasjoner og etterfølgende publisering/offentliggjøring av bildet.
Et bilde er en personopplysning i den grad en enkeltperson kan identifiseres (direkte eller indirekte). Publisering/offentliggjøring av bilder vil derfor kunne reguleres av personopplysningsloven i den grad dette skjer ved hjelp av elektroniske hjelpemidler og ellers omfattes av lovens virkeområde. Et eksempel her er publisering av bilder på hjemmesider. I praksis har det imidlertid vist seg at personopplysningsloven i flere tilfeller ikke kommer til anvendelse i saker som gjelder publisering av bilder, da man har ansett publiseringen for å ha et opinionsdannende formål. Se mer om grensen mellom ytringsfrihet og personvern i saker som gjelder publisering av bilder på Internett i rapportens kapittel 13.
Åndsverkloven § 45c er en personvernbestemmelse som forbyr gjengivelse eller offentliggjøring av bilder tatt av en person, med mindre det foreligger samtykke fra avbildede. I motsetning til personopplysningsloven, verner åndsverksloven også bilder av døde personer.
Det er en forutsetning at personen på bildet kan identifiseres, direkte eller indirekte, men ikke et krav om at allmennheten skal være i stand til å foreta en identifikasjon (Jongers 2006, s. 30ff).
Det er selve offentliggjøring av bildet som rammes av bestemmelsen. Krenkende eller plagsom adferd i forbindelse med at bildet blir tatt kan imidlertid være i strid med straffeloven § 390a.
Det er gjort viktige unntak fra retten til å bestemme over eget bilde i åndsverksloven § 45c, bokstav a-e, for eksempel av hensyn til ytringsfriheten, dersom bildet har aktuell og allmenn interesse. Allmennhetens informasjonsbehov må veies opp mot den avbildedes interesse i vern mot bruk av bilde i sammenhenger som er urimelig belastende. Se mer om denne avveiningen og redegjørelse for relevant rettspraksis i kapittel 13 om personvern og media.
En annen form for fotografering av enkeltpersoner er fjernsynsovervåkning, definert i personopplysningsloven som vedvarende eller regelmessig gjentatt personovervåkning ved hjelp av fjernbetjent eller automatisk virkende fjernsynskamera, fotografiapparat eller lignende apparat. Personopplysningsloven har regler både for adgangen til å fjernsynsovervåke og bruken av billedeopptak, se lovens kapittel VII.
Straffeprosessloven § 202a hjemler politiets adgang til å foreta skjult fjernsynsovervåkning på offentlig sted.
Domstolsloven § 131a forbyr fotografering, filmopptak og opptak for radio eller fjernsyn under forhandlingene i straffesaker og av siktede eller domfelte når vedkommende er på vei til eller fra rettsmøtet eller har opphold i den bygning hvor rettsmøtet holdes, med mindre det foreligger samtykke. Retten kan gjøre unntak fra forbudet under hovedforhandling på visse vilkår.
I 1999 ble det vedtatt av denne bestemmelsen skulle erstattes av nye bestemmelser i domstolloven § 131 og straffeloven § 390c. Sistnevnte bestemmelse utvider fotograferings- og filmforbudet til også å gjelde mistenkte og vitner i bestemte situasjoner. Disse bestemmelsene har imidlertid ikke trådt i kraft, og Justisdepartementet har uttalt at utformingen av straffeloven § 390c vil bli gjenstand for ny vurdering (se St. melding nr 26 (2003-2004).
7.2.8 Vern av omdømme
Straffeloven §§ 246 og 247 verner om en persons ærefølelse og omdømme, og representerer en avveining mellom ytringsfrihet og personvern. Bestemmelsen rammer rettsstridige ytringer, noe som innebærer at bestemmelsene må tolkes med de begrensninger som følger av blant annet EMK artikkel 10 og grunnloven § 100. Se mer om denne avveiningen og relevant praksis i kapittel 13.
Både ærekrenkelser i form av ord og handling omfattes og de kan være skriftlig eller muntlig fremført. I så måte gir bestemmelsene både et personopplysningsvern og et mer generelt vern av den personlige integritet. Det er en forutsetning at ytringen kan knyttes til en enkeltperson.
Ytringen er som hovedregel ikke straffbar dersom det føres bevis for at den er sann. Sanne ærekrenkelser vil imidlertid være rettstridige dersom de er fremsatt uten noen aktverdig grunn eller er utilbørlig på grunn av form, måten den er fremsatt på eller av andre grunner, jf. § 249, nr 2. Dersom utsagnet gjelder personlige eller huslige forhold, vil det også kunne rammes av straffeloven § 390, se ovenfor. Justisdepartementet arbeider med endringer av disse reglene, se omtale av dette nedenfor i kapittel 13.
Straffeloven § 135a gir vern mot diskriminerende eller rasistisk motiverte ytringer relatert til hudfarge eller nasjonal/etnisk opprinnelse, religion eller livssyn og homofil legning, leveform eller orientering.
7.2.9 Vern av konfidensialitet
Det finnes en rekke bestemmelser i lovverket som skal gi vern av konfidensialitet, det vil si motvirke at personopplysninger gjøres tilgjengelig for andre enn de som har lovlig tilgang.
Enkelte av bestemmelsene er knyttet til den situasjonen at man uberettiget skaffer seg tilgang til opplysninger, for eksempel bestemmelser om brevbrudd. I dag er denne bestemmelsen mest praktisk ved datainnbrudd. Andre bestemmelser gir forbud mot å videreformidle opplysninger man allerede har tilgang til, typisk regler om taushetsplikt.
I tillegg finnes det sikkerhetsmessige krav som har til formål å ivareta konfidensialitet, se særlig sikkerhetsbestemmelsene i personopplysningsforskriftens kapittel 2, § 2-11. Tilsvarende spesielle bestemmelser finnes innenfor spesifikke sektorer, for eksempel telesektoren. Ekomloven § 2-7 pålegger tilbydere av teletjenester å gjennomføre nødvendig sikkerhetstiltak for å verne om abonnentens kommunikasjon.
Privat kommunikasjon er blant annet beskyttet i straffeloven § 145 gjennom bestemmelsen om brevbrudd. Det er forbudt å skaffe seg uberettiget tilgang til innholdet av lukket skrift, som for eksempel brev, pakke etc. Det samme gjelder når opplysningene er lagret eller overføres ved elektroniske hjelpemidler.
Straffeloven § 145a forbyr avlytting eller opptak av telefonsamtaler eller samtaler man ikke selv deltar i. Dersom opptaket skjer ved hjelp av elektroniske hjelpemidler og enkeltpersoner lar seg identifisere, kan forholdet også rammes av personopplysningsloven.
Politiet har særskilte hjemler for kommunikasjonskontroll i straffeprosessloven kapittel 16a og 16b.
Ettersom kommunikasjon av personopplysninger er nødvendig for de fleste transaksjoner både i offentlig og privat sektor, er taushetsplikten et viktig ledd i den enkeltes kontroll med egne opplysninger. Taushetsplikt, enten den har sitt grunnlag i lov eller avtale, har som formål å sørge for at opplysningene ikke videreformidles til uvedkommende. Taushetsplikten kan være knyttet til at man besitter en bestemt stilling eller være av yrkesrelatert karakter.
Eksempelvis har alle som jobber i offentlig forvaltning taushetsplikt i henhold til forvaltningsloven § 13. Brudd på taushetsplikten er straffbart, jf. straffeloven § 121. Tilsvarende stillingsbestemt taushetsplikt gjelder som hovedregel for tilbydere av teletjenester i forhold til innholdet av elektronisk kommunikasjon, jf. ekomloven § 2-9.
Er man for eksempel helsepersonell av yrke, følger taushetsplikten av helsepersonelloven § 21. Her gjelder taushetsplikten for alle opplysninger man får i egenskap av å være helsepersonell, uavhengig av om man er i et tjenesteforhold. Konfidensialitetsvernet er ytterligere forsterket ved at det er tatt inn et utrykkelig forbud mot å lese opplysninger man ikke har et tjenstlig behov for, jf. § 21a.
7.2.10 Sektorvise bestemmelser om anonymisering/sletting av personopplysninger
Generelt skal personopplysninger slettes når formålet med behandlingen (innsamlingen, lagring og bruk) er oppfylt, jf. personopplysningsloven § 28. Likestilt med sletting er anonymisering, det vil si at opplysningene ikke lenger kan knyttes til en enkeltperson. Slettekravet begrenser bruken av personopplysninger til det som er nødvendig og ivaretar således viktige personverninteresser som minimalitet og kontroll over egne personopplysninger.
I tillegg til det generelle slettekravet i personopplysningsloven, finnes en rekke konkrete slettekrav i særlovgivning. Et eksempel her er ekomloven § 2-7. Trafikkdata skal slettes eller anonymiseres når de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål. Her presiseres hvilke formål som styrer lagringstiden for opplysningene. I henhold til helsepersonelloven skal feilaktige eller misvisende og belastende opplysninger i journal som hovedregel slettes. I tillegg finnes det regler om oppbevaringstid og sletting i journalforskriften, jf. § 14. Mer konkrete slettfrister finnes i SIS-loven og SIS-forskriften. Opplysninger som er lagret i Schengen informasjonssystem skal slettes når formålet med registreringen er oppnådd. I forskriften er det imidlertid presisert at en absolutt slettefrist som hovedregel inntreffer etter tre år (§ 6-2), og for visse typer opplysninger allerede etter ett år (§ 6-3).
Det er verdt å merke seg at arkivloven vil sette vesentlige begrensninger for sletteplikten i offentlig sektor.
7.3 Ulovfestede regler
En beskyttelse av privatlivets fred og den personlige integritet, er også slått fast i et ulovfestet personvern. Disse domstolskapte prinsippene supplerer norsk lov, men kan også gi et selvstendig personvern og personopplysningsvern. Flere av de mest sentrale rettsavgjørelsene på personvernrettens område regulerer forhold som ikke tidligere var regulert i lov. Ikke sjelden har imidlertid slik praksis påvirket og blitt nedfelt i lovgivningen.
Allerede i 1896 ble retten til eksklusiv bruk av slektsnavn presisert av Høyesterett, se Rt 1896 s. 530 ( Aarsdommen ). Navn, som en personopplysning, ble således gitt et ulovfestet vern mot å bli tatt i bruk av andre enn en bestemt gruppe slektsmedlemmer, og en utenforstående mann ble fradømt retten til å bruke navnet Aars.
Et enda tydeligere eksempel på vern av privatlivet, finner vi Rt 1952 s. 1217 ( To mistenkelige personer ). Her var to personer brukt som modell for karakterene i en film. Disse var involvert i en mye omtalt kriminalsak, og den gjenlevende av forbryterne ønsket visning av filmen stanset. Han hadde sonet sin dom og etablert seg på nytt under et annet navn. Høyesterett ga mannen medhold under henvisning til det «alminnelige rettsvern for personligheten».
I forhold til en sentral personverninteresse, retten til innsyn, er Rt. 1977 s. 1035 ( Journaldommen ) illustrerende. En pasient krevde innsyn i sin pasientjournal. En slik rettighet var på det aktuelle tidspunktet ikke nedfelt i helselovgivningen slik det er i dag. Høyesterett ga mannen medhold under henvisning til «alminnelige rettsgrunnsetninger». Det er ikke presisert i dommen hvorvidt det er det ulovfestede personvern som legges til grunn for retten til innsyn, men en slik forståelse er innfortolket blant annet i juridisk teori, se for eksempel Schartum og Bygrave (2004, s. 253).
Lovligheten av fjernsynsovervåkning og bruk av billedopptak har også vært behandlet i en rekke rettsavgjørelser før man fikk utrykkelige regler om dette. Rt 1991 s. 616 ( Gatekjøkkenkjennelsen ) gjaldt spørsmålet om lovligheten av skjult fjernsynsovervåkning og bruk av opptak som bevis i straffesak. Eieren av et gatekjøkken mistenkte en av sine ansatte for å underslå penger fra kassa. For å sikre seg bevis for underslaget, koblet han en opptaker til et eksisterende videokamera som var satt opp i butikken for at de ansatte skulle kunne oppholde seg på spiserommet og samtidig se når det kom kunder inn i butikken. De ansatte ble ikke informert. I senere straffesak mot den ansatte ble billedopptaket nektet ført som bevis for underslaget. Høyesterett uttaler at måten beviset er fremskaffet på « medfører et slikt inngrep i den personlige integritet at den ut fra alminnelige personvernhensyn i utgangspunktet bør anses uakseptabel .» Videre uttaler Høyesterett at « vesentlige personvernhensyn [taler for] at domstolene nekter bruk av bevis tilveiebrakt på denne måten. Ved en slik holdning vil domstolene motvirke denne form for krenkelser ».
I Rt 1990 s. 1080 ( Fotobokskjennelsen ) mente retten at et ulovfestet personvern ikke satte noen skranker for adgangen til å bruke et bilde tatt ved automatisk trafikkontroll som bevis i en senere straffesak. Bildets opprinnelige formål var å dokumentere en fartsoverskridelse, men bildet avdekket også at mannen hadde tyvegods på lasteplanet. Som forsvar for mannen ble det anført at bildet ikke skulle brukes til andre formål en trafikkovervåkning, senere formulert som det såkalte formålsbestemthetsprinsippet. Høyesterett la imidlertid større vekt på at bildet var fremskaffet på lovlig måte og at mannen var informert om fotograferingen via skilting.
På arbeidsrettens område har ulovfestet personvern blitt anført en rekke ganger som skranke for arbeidsgivers iverksettelse av kontroll- og overvåkningstiltak.
I RG 1993 s. 77 ( E-postdommen ) henviste retten til det ulovfestede personvern når de vurderte om arbeidsgiver hadde adgang til å overvåke/gjøre innsyn i en ansatts private område på virksomhetens datasystem i forbindelse med en oppsigelse. Det henvises til at innsyn innebar en krenkelse av de krav en arbeidstaker har på beskyttelse av privat informasjon.
Tilsvarende problemstilling var oppe Rt 2001 s. 1589 ( Raufossaken ). Her kontrollerte arbeidsgiver en ansatts internettbruk via loggfilen, da vedkommende var mistenkt for å ha lastet ned et betydelig antall musikkfiler. Arbeidsgiver skaffet seg også adgang til den ansattes PC og tok utskrift av harddisken. I dommen ble det vurdert hvorvidt bedriften har overtrådt det lovfestede og ulovfestede personvernet gjennom disse kontrolltiltakene, men man kom til at innsyn var rettmessig i det konkrete tilfellet.
7.4 Revisjon og etterkontroll av regelverket
I Ot.prp nr. 92 (1998-99) ble det forutsatt at personopplysningsloven skulle revideres etter ca. fem år. En totalrevisjon av lovverket er ikke gjennomført fra Justisdepartementets side, men det er igangsatt diverse forarbeid som ledd i en slik etterkontroll. Blant annet ble professor dr. juris Dag Wiese Schartum og førsteamanuensis dr. juris Lee A. Bygrave ved Det juridiske fakultet, Universitet i Oslo, gitt i oppdrag å utrede behovet for endringer i loven i forhold til sentrale temaer, se Schartum og Bygrave (2006). Hovedkonklusjonen i rapporten er at det er behov for omfattende endringer i dagens lov.
Norsk Regnesentral har gjort en utredning i forhold til elektroniske spor (Danielsson et al. 2005).
Høsten 2008 fremmet Justisdepartementet forslag om enkelte endringer i personopplysningsloven i Ot.prp. nr. 71 (2007-2008). Departementet forslår å gi hjemmel for forskrifter om særskilte former for behandling av personopplysninger, hjemmel for at Datatilsynet kan ilegge overtredelsesgebyr samt hjemmel for innkreving av tvangsmulkt, overtredelsesgebyr og refusjonskrav ved Statens innkrevingssentral. Forskriftshjemmelen er i første rekke ment å skulle brukes til å gi forskrifter om arbeidsgivers innsyn i ansattes e-post. Se mer om dette i kapittel 15.4.2.
Fornyings- og administrasjonsdepartementet, som er ansvarlig departement for personopplysningsforskriften, har vedtatt mindre endringer i denne. Blant annet i forhold til overføring av personopplysninger til utlandet og unntak fra melde- og konsesjonsplikten.
Når det gjelder andre lovarbeider som er relevante på personvernrettens område, kan det nevnes at Justisdepartementet arbeider med å revidere straffelovens regler om ærekrenkelser og vern av privatlivets fred. I høringsbrevet foreslås det å innta et krav om at ærekrenkelsen må være grov, både når det gjelder krenkelse av ærefølelsen og krenkelse av omdømmet. En slik begrensning finnes ikke i gjeldende rett. I høringsbrevet (Borvik 2008b) fremheves det at nasjonal lovgivning som skal gi vern mot ærekrenkelser og krenkelser av privatlivet må utformes på en måte som ivaretar både hensynet til EMK artikkel 10 og EMK artikkel 8. I forhold til bestemmelser om krenkelse av privatlivets fred, ønsker departementet å slå sammen straffeloven § 249 nr 2 og straffeloven § 390, slik at det straffbare knytter seg til det å krenke privatlivets fred ved å gjøre private forhold offentlige. Se mer om dette i kapittel 13.
Av mandatet følger det at Personvernkommisjonens skal gi en helhetlig status over utfordringene for personvernet, herunder om dagens regelverk og andre virkemidler er egnet til å ivareta personvernet i dagens samfunn. Kommisjonen skal likevel ikke fremme konkrete lovforslag eller ta stilling til konkrete spørsmål om lovgiving som faller inn under det pågående arbeidet med etterkontroll av personopplysningsloven som skjer i regi av Justisdepartementet.
I sitt arbeid har Personvernkommisjonen avdekket flere svakheter ved det regelverket som er fastsatt for å gi et personopplysningsvern og personvern i Norge. Disse er påpekt og drøftet under de særskilte områdene kommisjonen har arbeidet med, se rapportens del IV. Her vil vi fremheve noen av de mest sentrale utfordringene.
Under temaet personvern og media påpeker kommisjonen svakheter i forhold ansvarsforholdene ved bruk av nye medietyper og medieroller. Slike uklarheter kan være til skade for personvernet da det skaper usikkerhet i forhold til hvem som kan gjøres ansvarlig i forhold til ulovlige ytringer. Konkret anbefaler Personvernkommisjonen at det utarbeides en medieansvarslov som omfatter alle media, og som klargjør hvem som er ansvarssubjekt i media som i sin art er uten en typisk redaktør.
Videre har Personvernkommisjonen pekt på at tolkningen av åndsverksloven § 45 c synes å skape usikkerhet i praksis, og at bestemmelsen bør revideres med henblikk på hvordan retten til eget bilde skal forstås i lys av nasjonal og internasjonal rett.
Når det gjelder offentliggjøring av skattelistene, mener et flertall i Personvernkommisjonen at personvernhensyn tilsier en innsnevring av dagens praksis. Flertallet mener at det er viktig av hensyn til samfunnsdebatten at skattelistene er tilgjengelige både for publikum og mediene. For å hindre misbruk, bør slik tilgang imidlertid kun skje på Skatteetatens nettsider, og mulighetene til søk og sammenstilling bør være begrenset.
Kommisjonen har også pekt på at det er behov for revisjon av dagens regler om pliktavlevering av elektronisk materiale til Nasjonalbiblioteket, da personvernhensyn ikke synes godt nok ivaretatt ved dagens ordning.
Under temaet personvern for barn og unge har Personvernkommisjonen identifisert klare svakheter ved dagens rettslige regulering når det gjelder ivaretakelse av barns personvern. Dette gjelder for eksempel i forhold til hvem som skal utøve rettighetene; foreldrene, barnet, barnet og foreldrene i felleskap, noe som viser seg særlig i forhold til spørsmål om samtykke til publisering av bilder på Internett. Personvernkommisjonen forslår en presisering av regelverket som gjelder publisering av barns personopplysninger.
Videre etterlyser kommisjonen konkrete regler om innhenting og bruk barns personopplysninger til bruk for markedsføringsformål.
Under temaet personvern i arbeidslivet har Personvernkommisjonen avdekket svakheter når det gjelder plassering av reglene som skal ivareta arbeidstakeres personvern. Disse er spredt både over flere lover og ulike rettsområder. Personvernkommisjonen etterlyser et helhetlig regelverk som tydelige angir grensene for arbeidssøkeres og arbeidstakeres integritetsvern, personvern og personopplysningsvern. Kommisjonen mener det bør vurderes å utarbeide en egen lov om personvern i arbeidslivet.
Under temaet personvern i helsesektoren, har Personvernkommisjonen påpekt at det må iverksettes tiltak som sikrer at regelverkets bestemmelser om taushetsplikt ivaretas i praksis. Dette gjelder både i forhold til kommunikasjon med pasienten, internt i virksomheten og mellom virksomheter. Det må stilles konkrete krav til systemer som håndterer pasientinformasjon, og bestemmelsene om taushetsplikt må gjennomgås med tanke på å evaluere hvorvidt dagens regelverk samlet sett innebærer en tilstrekkelig ivaretakelse av sentrale personvernhensyn.
Når det gjelder den rettslige reguleringen av sentrale helseregistre, mener Personvernkommisjonen at det er behov for en gjennomgang av eksisterende hjemler. Det bør vurderes om registrene fungerer hensiktsmessig etter sitt formål, om det var nødvendig å opprette registeret i forhold til det anførte formålet og om personvernhensyn blir tilfredsstillende ivaretatt ved den etablerte registerformen.
Under temaet personvern i transport- og kommunikasjonssektoren, har Personvernkommisjonen påpekt at man må legge større vekt på personvernrettens krav til proporsjonalitet ved innføring av personverninngipende tiltak innen kommunikasjon og transport.
Når det gjelder datalagringsdirektivet, mener kommisjonen at både politiets og andre nasjonale myndigheters behov for utvidet lagring og tilgang til trafikkdata i det omfang som er foreslått, må begrunnes bedre. Personvernkommisjonen finner ikke å kunne støtte innføring av direktivet uten at behovet for utvidet lagring er bedre dokumentert.
Videre påpeker Personvernkommisjonen at det hefter usikkerhet i forhold til hvordan dagens regelverk regulerer bruken av automatiserte registreringsenheter som er innebygd i ulike produkter. Kommisjonen mener det må utredes hvordan nåværende regelverk (inklusiv personopplysningsloven) løser slike spørsmål og hvorvidt regelverket bør endres for bedre å fremme personvernhensyn ved produksjon og bruk av data i slike tilfeller.
7.5 Grunnlovsfesting av personvernet
Selv om personopplysningsvernet og det mer generelle personvernet er godt forankret i norsk lovgivning og anerkjent på ulovfestet grunnlag, har Personvernkommisjonen vurdert om det foreligger behov for en grunnlovfesting av personvernet i Norge. Per i dag er det få bestemmelser i Grunnloven som gir noen direkte beskyttelse av personverninteresser. Et eksempel er Grunnloven § 102 som forbyr husinkvisisjoner bortsett fra i «kriminelle tilfeller». Indirekte kan man også si at personvernet, som menneskerettighet, har et visst grunnlovsvern ved at staten er forpliktet til å respektere og sikre menneskerettighetene gjennom Grunnloven § 110c.
Spørsmålet om grunnlovsfesting blir stadig aktualisert ved den formelle anerkjennelsen og utbyggingen av personvernrettigheter som skjer internasjonalt gjennom folkeretten. Styrking av ytringsfriheten gjennom endringen av Grunnloven § 100 i 2004, har også aktualisert behovet for en grunnlovsbestemmelse som presiserer betydningen av personvernet i norsk rett. Grunnloven har stor rettslig og politisk betydning, i tillegg til at den har en vesentlig symboleffekt både for borgerne og staten. Grunnlovsfesting av personvernet vil medføre at personvernet får en sentral rolle i konkrete saksforhold, samtidig som man presiserer at også individuelle rettigheter er en viktig del av vår rettstat.
Personvernkommisjonen drøfter temaet Grunnlovsfesting av personvernet i kapittel 19 og anbefaler at personvernet, herunder retten til privatliv og personopplysningsvernet grunnlovsfestes i Norge.
7.6 Er regelverket om personvern vanskelig tilgjengelig?
Ved innføringen av personopplysningsloven fikk man som nevnt flere materielle regler i selve lovteksten. Dette skulle skape tilgjengelighet og forutsigbarhet for både den registrerte og den som registrerer, men forutsetter også at partene har en aktiv tilnærming til lovverket og de rettigheter og plikter som kan uledes av dette.
I praksis har det vist seg at personopplysningsloven er vanskelig tilgjengelig for begge parter, særlig fordi flere av bestemmelsene er svært skjønnsmessig utformet og legger opp til vanskelige interesseavveininger. To undersøkelser som ble gjennomført av Transportøkonomisk institutt på oppdrag fra daværende Moderniseringsdepartementet (nå Fornyings- og administrasjonsdepartementet) og Datatilsynet, kan sies å underbygge denne påstanden.
Den ene undersøkelsen rettet seg mot behandlingsansvarlige, og hadde blant annet til formål å undersøke hvorvidt virksomheter hadde kunnskap om og etterlevde kravene i personopplysningsloven. Konklusjonen var at behandlingsansvarliges kunnskap om loven og de pliktene som følger av den, er lav, og bare et mindretall oppfyller lovens krav (Ravlum 2005a).
Den andre undersøkelsen rettet seg mot enkeltpersoner – de registrerte, og hadde befolkningens holdning til og kunnskap om personvern i fokus (Ravlum 2005b). Konklusjonen var at de fleste har stor tillit til at personvernet blir ivaretatt på en god måte. De er ikke er særlig bekymret for at personopplysninger kan bli misbrukt. En stor andel reflekterer ikke over at det blir samlet inn opplysninger om dem, eller de bryr seg ikke om det. Mange av oss gir fra oss opplysninger vi egentlig ikke ønsker å gi. Som det fremheves av forfatterne gir dette grunn til « å sette spørsmålstegn ved forutsetingen om at folk i stor grad skal ivareta sitt eget personvern ».
En annen faktor som har betydning for graden av tilgjengelighet er regulering av sentrale personvernbestemmelser i forskrift. Særlig personopplysningsforskriften har flere viktige materielle regler som regulerer den behandlingsansvarliges plikter og den registrertes rettigheter. Som eksempel kan nevnes detaljerte bestemmelser knyttet til informasjonssikkerhet, unntak fra melde- og konsesjonsplikt samt fjernsynsovervåkning. Generelt er det grunn til å tro at bestemmelser i forskrift er mindre tilgjengelige enn regler nedfelt i selve loven. Forskrift kan imidlertid være velegnet for detaljregulering innenfor spesifikke bransjer/sektorer, da man kan forvente at personvernbestemmelser som har betydning innenfor et særskilt livsområde er bedre kjent for den gruppen de gjelder.
Det må i denne forbindelse bemerkes at personopplysningslovens og forskriftens skjønnsmessige utforming har sammenheng med at de i prinsippet gjelder innenfor alle sektorer og bransjer hvor personopplysninger behandles. Et altfor konkret lovverk kan føre til at loven får et for snevert anvendelsesområde i praksis og ikke er egnet til å løse konkrete problemstillinger.
Utfordringer knyttet til et spredt og fragmentarisk lovverk mener Personvernkommisjonen vil kunne avhjelpes ved at man utarbeider særskilte regelverk om personvern innenfor konkrete bransjer og sektorer. Arbeidslivet er et godt eksempel her, se mer om dette i kapittel 15.
7.7 Ivaretakelse av personvernhensyn ved implementeringen av nye lover
Høsten 2008 publiserte Fornyings- og administrasjonsdepartementet en veileder i vurdering av personvernkonsekvenser som er ment å være et vedlegg til Utredningsinstruksen (FAD 2007). Formålet med veilederen er å bidra til at statlige etater på en god måte kan utrede de personvernmessige konsekvensene av sine forslag. Personvernkommisjonen mener at veilederen er et viktig bidrag for ivaretakelse av personvernet.
Personvernkommisjonen mener videre at en Grunnlovsfesting av personvernet vil kunne styrke vektleggingen av personverninteresser når man vedtar nye lover og i lovgivningsprosessen, se kapittel 19.
Fotnoter
Se blant annet sak med Datatilsynets referanse 2002/1683.
Tallene er hentet fra Datatilsynets årsmelding for 2007
Skattepliktige som ikke er bosatt i Norge får tildelt et D-nummer. Dette nummeret tildeles også andre ikke bosatte personer når norske myndigheter har behov for et entydig identifikasjonsbegrep.
Loven benytter et annet begrep enn behandlingsansvarlige for å skape et klarere skille mellom behandlingsansvarlig for opplysninger og det ansvaret helsepersonell har overfor pasienten i henhold til helselovgivningen.