11 Innsamling og bruk av personopplysninger
11.1 Innledning
Europaparlamentets og rådets direktiv 95/46/EG av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, vil bli implementert i norsk rett ved lov om behandling av personopplysninger (personopplysningsloven). Lovforslaget inneholder bestemmelser om når behandling av personopplysninger kan skje.
Ifølge personopplysningsloven kan personopplysninger bare behandles dersom den registrerte har gitt sitt samtykke til behandlingen, eller dersom behandlingen er nødvendig av nærmere angitte grunner. Personopplysninger som behandles må bare nyttes til uttrykkelige formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, og må ikke brukes til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker. Behandlingsansvarlig skal dessuten sørge for at personopplysningene som behandles er tilstrekkelige og relevante for formålet med behandlingen.
Dette lovforslagets § 7 regulerer sertifikatutsteders innhenting av personopplysninger og utfylles av personopplysningslovens regler. Der lovforslaget ikke selv inneholder særregler for behandling av personopplysninger, vil personopplysningsloven komme til anvendelse. Således vil f.eks. personopplysningsloven § 31 om meldeplikt gjelde også her.
11.2 Høringsnotatet
I § 6 (nå § 7) i dette lovutkastet fastslås det at en sertifikatutsteder kun får innhente personopplysninger direkte fra den som opplysningene gjelder eller med dennes uttrykkelige samtykke, og bare i den utstrekning det er nødvendig for å utstede et sertifikat. Dette er en direkte implementering av artikkel 8 nr. 2 i direktivet, og oppstiller således noe strengere krav enn de som stilles i forslaget til personopplysningsloven.
Med samtykke menes en frivillig, uttrykkelig og informert erklæring fra undertegner om at han eller hun godtar behandling av opplysning om seg selv. Dette er i samsvar med hvordan «samtykke» defineres i forslaget til personopplysningsloven.
Det skal bemerkes at bestemmelsen i § 6 (nå § 7) omfatter alle som utsteder sertifikater. Bestemmelsen retter seg til alle sertifikatutstedere på lik linje, uavhengig av om de utsteder kvalifiserte sertifikater eller ei. Bestemmelsen ble i høringsnotatet omtalt som «databeskyttelse». Datatilsynet vil i henhold til forslaget til lov om personopplysninger få til oppgave å sikre at personopplysningsloven etterleves.
11.3 Høringsinstansenes syn
Arbeids- og administrasjonsdepartementet uttaler at dersom informasjon skal kreves direkte fra den det gjelder, vil dette skape problemer i forbindelse med masseutstedelse av sertifikater til ansatte. Videre uttaler de at ordlyden i bestemmelsen bør harmoniseres med den nye personopplysningsloven.
Sosial- og helsedepartementet uttaler at dersom det er Datatilsynet som skal føre tilsyn med at utstedere av ikke-kvalifiserte sertifikater etterlever § 7 bør dette komme tydeligere frem, enten i lovteksten eller i motivene.
Telenor uttaler at personvern og databeskyttelse etter deres syn er sentralt for å skape tillit til sertifikattjenester. En strengpraktisering av bestemmelsen kan muligens gjøre utstedelse av sertifikater mer arbeidskrevende for brukerne. Dette er noe som kan bremse utbredelsen.
Justisdepartementet, Datatilsynetog Statskonsult foreslår at tittelen til lovbestemmelsen endres.
Post- og teletilsynet har oppfattet det dithen at tilsynet vil være myndighet også for lovens bestemmelse om personopplysninger hva angår utstedere av kvalifiserte sertifikater, men at Datatilsynet vil være tilsynsmyndighet mht. til de øvrige utstederne. Post- og teletilsynet mener det er behov for at denne kompetansedelingen presiseres, og at forholdet mellom de to tilsynene bør være gjenstand for nærmere regulering i § 7.
11.4 Departementets vurdering
Bestemmelsens tittel er endret til «Innsamling og bruk av personopplysninger«.
Departementet har vurdert valg av tilsyn med innhenting av personopplysinger etter lovforslagets § 7 og kommet til at det er lite hensiktsmessig å dele tilsynet mellom Post- og teletilsynet, hva angår utstedere av kvalifiserte sertifikater, og Datatilsynet, hva angår øvrige utstederne. En slik deling av tilsynsoppgavene vil være lite oversiktlig for markedet. Videre ser departementet det som uheldig om bestemmelsen skulle håndheves ulikt overfor utstedere av forskjellige sertifikater av den grunn at ulike organ førte tilsyn med virksomheten.
Departementet har kommet til at Datatilsynet bør være tilsyn i forhold til bestemmelsen om innsamling og bruk av personopplysninger. Datatilsynet fører kontroll med personopplysninger iht. personopplysningsloven. Innholdet i lovforslagets § 7 avviker i liten grad fra innholdet i personopplysningsloven. Videre må sertifikatutstederne ha konsesjon for opprettelse av personregistre av Datatilsynet. Datatilsynet vil således få oversikt over samtlige utstedere av sertifikater. En nærmere avgrensning av tilsynets oppgaver kan gjøres i forskrift med hjemmel i § 17 sjette ledd.