16 Merknader til de enkelte paragrafene
Kapittel I Lovens formål og virkeområde
Til § 1 Lovens formål
Formålsbestemmelsen er ny i forhold til personregisterloven og følger bl a opp Stortingets vedtak 21 april 1994 der det heter at:
«Stortinget ber Regjeringen legge fram forslag til endringer i lov om personregistre, slik at loven får en formålsparagraf som slår fast retten til vern mot utilbørlig inngripen i menneskers privatliv.»
Målet om å beskytte enkeltmenneskets rett til privatliv i forbindelse med behandling av personopplysninger kommer også til uttrykk i art 1 nr 1 i EU-direktivet.
Departementet har føyd til et nytt første ledd i forhold til utvalgets forslag for å få klarere frem at et hovedsiktemål med loven er å beskytte enkeltindivider mot at deres personvern blir krenket som ledd i behandling av personopplysninger. Av annet ledd går det frem at loven som et ledd i dette overordnete målet skal gi regler som bidrar til at personopplysninger behandles på en måte som er i samsvar med grunnleggende personvernhensyn.
Formålsbestemmelsen vil være et moment ved tolkingen av lovens øvrige regler. F eks vil det ved mer skjønnsmessige avveininger være naturlig å legge vekt på hovedsiktemålet om å verne mot krenkelse av den personlige integritet. I denne sammenheng skal det legges vekt på festnede rettsoppfatninger om personvern, slik disse blir nedfelt i praksis fra domstoler, rettsteori og administrative avgjørelser.
Til § 2 Definisjoner
Bestemmelsen tilsvarer utvalgets § 2 og bygger på personregisterloven § 1 og EU-direktivet artikkel 2. Den definerer en del sentrale begreper i loven.
I nr 1 defineres «personopplysning» som opplysninger og vurderinger som knytter seg til en enkeltperson (den registrerte). Med uttrykket «enkeltperson» menes en person som direkte eller indirekte kan identifiseres, f eks ved hjelp av navn, identifikasjonsnummer eller et annet kjennetegn som er spesielt for personens fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet, jf direktivet artikkel 2 a. Eksempler på personopplysninger kan være opplysninger som foreligger i form av bilde, personens stemme, fingeravtrykk eller genetiske kjennetegn. Hvilket lagringsmedium som benyttes, er uten betydning så lenge identifikasjon er mulig.
I vurderingen av om personen lar seg identifisere, skal det tas i betraktning alle hjelpemidler som det er rimelig å tro at noen kan komme til å anvende for identifiseringsformål, jf direktivets fortale punkt 26. Det vil dreie seg om en personopplysning selv om det må benyttes en nøkkel - f eks i form av en tallkode - for å knytte forbindelsen mellom opplysningen og den bestemte personen. Krypterte opplysninger kan være personopplysninger slik loven nytter ordet, dersom noen kan gjøre opplysningene lesbare og dermed identifisere personene som opplysningene vedrører. Og det vil dreie seg om en personopplysning selv om tilknytningen mellom personen og opplysningen bare er kjent av noen få personer. Den som registrerer besøk på sin hjemmeside på nettet, får tilgang til en anonym elektronisk identitet som bare kan knyttes til en identifiserbar enkeltperson dersom man har tilgang til opplysninger som vedkommendes internettleverandør sitter inne med. Men selv denne begrensede identifikasjonsmuligheten er tilstrekkelig til at de elektroniske sporene er «personopplysninger». Opplysninger som er anonymisert på en slik måte at den registrerte ikke lenger kan identifiseres, er derimot ikke personopplysninger. I denne sammenheng kan det være grunn til å peke på at personopplysninger teknisk sett kan være anonymisert, men likevel knytte seg til en så liten gruppe at tilhørigheten røpes på en mer indirekte måte som er belastende for den opplysningen gjelder. I tvilstilfeller kan formålsbestemmelsen få betydning for hvor langt uttrykket «personopplysning» rekker - det kan tenkes tilfeller der ordlyden i nr 1 isolert sett trekker i retning av at en opplysning er «personopplysning», men hvor personvernhensyn ikke kan begrunne at opplysningen vernes.
I motsetning til personregisterloven regnes ikke opplysninger om juridiske personer som «personopplysning» i lovens forstand, jf uttrykket «enkeltperson». Begrunnelsen for endringen er omtalt nærmere under punkt 4.2. Departementet antar at det ikke vil volde problemer å sondre mellom personopplysninger og opplysninger om juridiske personer som f eks organisasjoner, stiftelser, aksjeselskaper og andre selskapsformer. Departementet har derfor ikke funnet grunn til å opprettholde utvalgets forslag om at det bare er sammenslutninger som er registreringspliktige etter foretaksregisterloven som er juridiske personer i lovens forstand. I den grad opplysninger om et enkeltmannsforetak ikke bare kan knyttes til foretaket, men også til den fysiske personen som driver foretaket, vil de omfattes av loven.
Opplysninger om en avdød person er bare «personopplysning» i lovens forstand dersom opplysningen også kan knyttes til en levende person.
Uttrykket «personopplysning» favner videre enn opplysninger om noens «personlige forhold», jf forvaltningsloven § 13 første ledd nr 1 om taushetsplikt. Eksempler på personopplysninger som faller utenfor forvaltningslovens begrep er opplysninger om fødested, fødselsdato og personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted, jf forvaltningsloven § 13 annet ledd.
I nr 2 defineres «behandling av personopplysninger» som enhver formålsbestemt bruk av personopplysninger, som f eks innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter». Innholdet i definisjonen er det samme som utvalgets § 2 nr 2 og direktivet artikkel 2 b, men bestemmelsen har fått en noe enklere utforming.
Behandlingsbegrepet er en nyskapning i forhold til personregisterloven, som i hovedsak knytter sin regulering til et registerbegrep, jf punkt 4.1 i proposisjonen. Uttrykket «behandling av personopplysninger» favner videre, og omfatter enhver form for formålsrettet håndtering av personopplysninger, f eks i form av innsamling, registrering, systematisering, oppbevaring, tilpasning eller endring, utvelging, søking, overføring eller annen videreformidling, sammenstilling eller samkjøring, blokkering, sperring eller sletting. Det som kjennetegner en behandling, er at den er formålsbestemt - den utføres for å oppnå et bestemt resultat. Behandlingen vil gjerne bestå av flere former for bruk, som f eks innsamling, bearbeiding og lagring. I slike tilfeller er det formålet med behandlingen som binder de ulike bruksmåtene sammen til en behandling.
En behandling vil typisk bestå av at opplysninger samles inn, lagres/registreres, og deretter bearbeides inntil det fremkommer et resultat, f eks i form av en kredittvurdering. Deretter gjentas operasjonen med opplysninger om B, så C osv. Det dreier seg i slike tilfelle om én og samme behandling i lovens forstand, og det er behandlingen - fremgangsmåten, eller systemet om en vil - som skal meldes til Datatilsynet, jf § 31 i lovforslaget.
Loven gjelder for all elektronisk behandling av personopplysninger, dvs behandling ved hjelp av elektroniske hjelpemidler, og for manuell behandling av personopplysninger når disse skal tas med i et personregister, jf § 3. Innenfor denne rammen gjelder de fleste av lovens regler for alle former for behandling. Men enkelte regler gjelder bare for visse slag behandling. For eksempel vil varslingsplikten etter §§ 19 og 20 bare gjelde for innsamling av personopplysninger.
I nr 3 opprettholdes utvalgets forslag om å definere «personregistre» som «registre, fortegnelser m v der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen». Bestemmelsen viderefører registerbegrepet i personregisterloven § 1 annet ledd, og har samme innhold som direktivet artikkel 2 bokstav c. Omfattet av registerbegrepet er manuelle registre som kartotek, journalkortsystemer og andre samlinger av manuelt materiale, som oppbevares slik at identifiserbare enkeltpersoner kan brukes som søkenøkkel for å finne fram til opplysninger om vedkommende. Utenfor registerbegrepet - og dermed utenfor lovens virkeområde, jf § 3 - faller personopplysninger inntatt i f eks papirsaksmapper som er systematisert kronologisk eller etter fagområde.
Registerbegrepet vil fremdeles ha betydning som avgrensningskriterium ved manuell behandling av personopplysninger, jf § 3 i lovforslaget.
I nr 4 defineres hva som menes med «behandlingsansvarlig», jf direktivet artikkel 2 bokstav d. Den behandlingsansvarlige er den som alene eller sammen med andre har bestemmelsesrett over personopplysningene og den elektroniske behandlingen av disse. Loven pålegger den behandlingsansvarlige en rekke plikter i forbindelse med behandling av personopplysninger.
Begrepet er en nyskaping i forhold til personregisterloven, men bygger på samme prinsipp som registeransvarsbegrepet slik dette er nedfelt i personregisterforskriften § 3-2 første ledd. Der den behandlingsansvarlige er en juridisk person, vil den juridiske personen representert ved dens ledelse være behandlingsansvarlig. Ledelsen må sørge for at loven etterleves, og som ledd i dette foreta en intern arbeidsfordeling slik at det er klart hvilken stilling det ligger til å sørge for at loven etterleves i praksis, jf § 18 første ledd bokstav b i lovforslaget. Funksjonen bør knyttes til en lederstilling slik at stillingsinnehaveren har reell daglig innflytelse på behandlingene som foretas.
Selv om den behandlingsansvarlige setter bort behandlingsoppdrag til andre («outsourcing»), vil man fortsatt være behandlingsansvarlig. Den som utfører arbeid for den behandlingsansvarlige, vil være databehandler, jf § 2 nr 5 i lovforslaget.
Det er bare subjekter som har sivilprosessuell partsevne - dvs den som kan opptre som saksøkt i en tvist for domstolene - som kan være behandlingsansvarlig. I organisasjoner som har en for løs struktur til å ha partsevne, vil den behandlingsansvarlige være en eller flere fysiske personer som er med i ledelsen av organisasjonen. Dersom organisasjonen ikke selv peker ut den eller de som er behandlingsansvarlig, kan Datatilsynet gjøre dette som ledd i sin kontroll med at loven etterleves. Kravet til partsevne er særlig begrunnet i at det kan bli nødvendig å bruke rettsapparatet for å gjennomføre krav mot den behandlingsansvarlige.
I en rekke tilfeller vil det i lov være fastsatt hva som er formålet med behandlingen, men lovene vil sjelden fullt ut regulere formålene med behandlingen i detalj, og nesten aldri angi hva slags hjelpemidler som skal nyttes i behandlingen. Lovene må utfylles gjennom praksis, og de organene som står for denne utfyllingen vil være behandlingsansvarlig, se eksemplet i utredningen s 132.
En og samme behandling kan i enkelte tilfeller ha flere behandlingsansvarlige, jf direktivets formulering «alene eller sammen med andre». Det vil kunne være slik at et overordnet organ, f eks et departement, fastsetter de overordnete formålene for personopplysningsbehandlingen, mens underordnete organer, f eks direktorater, vil detaljere formålene med behandlingen og velge praktiske hjelpemidler. I slike tilfeller vil begge organene kunne være «behandlingsansvarlig» etter loven her, og ha en selvstendig plikt til å oppfylle lovens krav. Man bør imidlertid tilstrebe å plassere behandlingsansvaret i ett og samme organ. I denne sammenheng vil det gjerne være naturlig å plassere behandlingsansvaret der man har den daglige og mest omfattende befatningen med personopplysningene.
I nr 5 defineres «databehandler» som den som behandler personopplysninger på vegne av den behandlingsansvarlige, jf direktivet artikkel 2 bokstav e. Bestemmelsen er i en viss utstrekning omformulert i forhold til utvalgets § 2 nr 5, men innholdet er det samme. Kravet til at behandlingsoppdraget skal være avtaleregulert følger av § 15 i lovforslaget, som også begrenser databehandlerens rådighet over opplysningene. I § 13 pålegges databehandleren et selvstendig ansvar for at informasjonssikkerheten er tilfredsstillende.
Begrepet «databehandler» er videre enn begrepet «databehandlingsforetak» slik dette nyttes i personregisterloven kapittel 6, jf særlig § 22. Mens databehandlingsforetak bearbeider personopplysninger for andre, omfatter databehandlerbegrepet også passive former for behandling etter ønske fra den behandlingsansvarlige, for eksempel ved å oppbevare opplysningene når dette er nødvendig for å utføre service på datasystemer etc.
I nr 6 forklares hva som menes med «den registrerte» - nemlig den som en personopplysning gjelder. Direktivet inneholder ikke noen uttrykkelig definisjon av begrepet, mens utvalget nøyde seg med en forklarende passus i sitt forslag til § 2 nr 1. Departementet har for sin del funnet det hensiktsmessig at begrepet som nyttes gjennomgående i loven defineres uttrykkelig. «Den registrerte» brukes i loven her også når det ikke foreligger noe personregister i tradisjonell forstand - opplysninger om den enkelte vil like fullt være «registrert» i betydningen innsamlet og oppbevart.
I nr 7 defineres «samtykke» som en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv, jf direktivet artikkel 2 bokstav h og utvalgets § 2 nr 7. I lovforslaget her kreves det samtykke etter § 8, § 9, § 30 og § 39.
Samtykkedefinisjonen tilsvarer i all hovedsak utvalgets forslag, likevel slik at kravet til frivillighet er presisert. Legaldefinisjonen av samtykket er ny i forhold til personregisterloven, men krav om samtykke forekommer bl a i pregl § 33 annet ledd.
Samtykket må i utgangspunktet gis av den registrerte selv. Det er imidlertid ingenting i veien for at samtykket gis av en som har fullmakt av den registrerte til å gjøre dette. For mindreårige og umyndiggjorte som ikke kan samtykke selv, må spørsmålet om samtykke skal gis vurderes av vergen. Et kollektivt samtykke, f eks et samtykke av en organisasjon på vegne av alle medlemmene, vil bare unntaksvis være tilstrekkelig, jf utredningen s 133.
Det stilles ikke noe formkrav til samtykket, som kan gis skriftlig eller muntlig. Samtykke kan innhentes elektronisk. Det må imidlertid klart og utvetydig fremgå at det samtykkes, hvilke behandlinger samtykket omfatter og hvilke behandlingsansvarlige det er rettet til, jf kravet til at samtykket skal være «uttrykkelig». Det er den behandlingsansvarlige som vil måtte sannsynliggjøre at det foreligger et samtykke, og dette kan lettere gjøres dersom samtykket nedfelles med skrifttegn - enten på papir eller elektronisk dersom dette er mulig. Særlig kan slik dokumentasjon være hensiktsmessig dersom samtykket gjelder behandling av sensitive personopplysninger, jf § 9.
I kravet til at samtykket skal være frivillig ligger at det ikke må være avgitt under noen form for tvang fra den behandlingsansvarlige eller andre. Kravet om at samtykket skal være informert medfører at den registrerte må gis tilstrekkelig informasjon slik at vedkommende vet hva det samtykkes i.
Den registrerte kan når som helst trekke tilbake sitt samtykke. I så fall kan behandlingen som bygger på samtykket ikke lenger foretas.
I nr 8 defineres hvilke personopplysninger som er sensitive, jf utvalget § 2 nr 8 og direktivet artikkel 8 nr 1. For sensitive personopplysninger gjelder strengere vilkår for når behandling kan foretas, jf § 9 i lovforslaget, og det er i utgangspunktet konsesjonsplikt for å behandle slike opplysninger, jf § 33 første ledd.
Det foreslås enkelte endringer i forhold til hva personregisterloven § 6 annet ledd regner som sensitive personopplysninger. Nytt i forhold til personregisterloven er at opplysninger om fagforeningsforhold er ansett som sensitivt, jf bokstav e og punkt 4.4.5 i proposisjonen. Departementet slutter seg til utvalgets forslag om ikke å videreføre personregisterloven § 6 annet ledd nr 5, og viser til begrunnelsen i utredningen s 134 venstre spalte. Dette medfører at enkelte typer opplysninger ikke lenger vil være sensitive etter loven her - som f eks opplysninger om interne private forhold som familiestridigheter, separasjons- og skilsmissesøknader og adopsjon. Slike opplysninger vil imidlertid være vernet gjennom en rekke andre lovregler, og dessuten fremdeles være taushetsbelagt når de behandles av forvaltningsorganer, jf forvaltningsloven § 13 første ledd nr 1.
Utvalgets forslag om at opplysninger om straffbare forhold fortsatt skal være sensitive, jf personregisterloven § 6 annet ledd nr 2 og utvalgets § 2 nr 8 bokstav b, reiser særlige spørsmål i forhold til EU-direktivet som utvalget ikke har gått nærmere inn på, jf punkt 4.4.5 i proposisjonen. Forslaget opprettholdes i nr 8 bokstav b.
Når det gjelder nr 8 bokstav a slutter departementet seg til utvalgets forslag om språklige justeringer, slik at personregisterlovens uttrykk «rase» endres til «rasemessig eller etnisk bakgrunn», jf utredningen s 134. Uttrykket «politisk» omfatter oppfatninger og synspunkter utover ren partipolitisk tilhørighet.
Bokstav c, opplysninger om «helseforhold», er noe forkortet i forhold til utvalgets forslag til § 2 nr 8 bokstav c, men innholdet er det samme. Uttrykket «helseforhold» omfatter opplysninger om en persons tidligere, nåværende og fremtidige fysiske eller psykiske tilstand, inkludert opplysninger om medisin- og narkotikamisbruk. Uttrykket omfatter dessuten genetiske opplysninger. Også opplysninger om sosiale forhold kan falle inn under «helseforhold» dersom de sosiale forholdene påvirker helsen. Om tilknytningen til helseforhold er sterk nok må vurderes konkret.
Også andre typer opplysninger enn dem som nevnes i nr 8 kan etter omstendighetene oppfattes som følsomme. Dette kan bl a gjelde opplysninger om private økonomiske forhold og opplysninger som gir et så detaljert bilde av den registrerte at det av den grunn oppleves som ubehagelig. Departementet vil i den forbindelse understreke at betydningen av at en opplysning er klassifisert som «sensitiv» ikke må overvurderes. De aller fleste reglene i loven gjelder også for behandling av ikke-sensitive personopplysninger, bl a kan slik behandling bare skje dersom behandlingen er nødvendig for nærmere bestemte formål, jf § 11. Og Datatilsynet kan i spesielle tilfeller pålegge konsesjonsplikt også for behandling av slike opplysninger, jf § 33 annet ledd.
Departementet har ikke funnet behov for å gi en generell definisjon av «tredjemann» eller «mottaker», jf direktivet artikkel 2 bokstav f og g. Definisjonen av «fjernsynsovervåking», jf utvalgets § 2 nr 6, er plassert i lovens kapittel VII sammen med de andre reglene om fjernsynsovervåking.
Til § 3 Saklig virkeområde
Bestemmelsen angir det saklige virkeområdet for loven, jf utvalgets § 3 og direktivet artikkel 3. I forhold til utvalgets forslag er det gjort mindre språklige endringer. Sammenholdt med personregisterloven utvides det saklige virkeområdet, jf pregl § 1 og punkt 4.1 i proposisjonen.
Loven gjelder for det første for behandling av personopplysninger som skjer - helt eller delvis - med elektroniske hjelpemidler, jf første ledd bokstav a. Loven gjelder for slik behandling enten denne utføres av forvaltningen, private sammenslutninger eller enkeltpersoner, Stortinget eller domstolene. For det annet gjelder loven for annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister, jf første ledd bokstav b. Særlig praktisk er manuelle personregistre, dvs tradisjonelle registre som finnes i papirform med personnavn eller -aliaser som søkenøkkel. Utenfor lovens saklige virkeområde faller manuell behandling av personopplysninger som ikke skal inngå i noe personregister. Saksbehandling som ikke gjør bruk av elektroniske hjelpemidler, typisk hvor saksdokumentene er papir, omfattes ikke av loven.
Ofte vil saksbehandling bestå både av manuelt arbeid, i form av studier av papirdokumenter m v, og bruk av elektroniske hjelpemidler, som f eks elektronisk tekstbehandling, elektronisk journal og elektroniske saksflytsystemer. I slike tilfeller vil loven gjelde for de delene av behandlingen som utføres med de elektroniske hjelpemidlene, men ikke for den manuelle behandlingen av sakspapirene. En konsekvens av dette er f eks at det ikke kan kreves innsyn i papirdokumentene i medhold av innsynsreglene i loven, og at det heller ikke kan kreves retting eller sletting i slike dokumenter.
I annet ledd gjøres det unntak fra lovens virkeområde slik at loven ikke gjelder for behandling av personopplysninger for rent personlige eller andre private formål, jf utvalgets § 3 annet ledd og direktivet artikkel 3 nr 2 annet strekpunkt. Dette er i samsvar med personregisterloven, jf forutsetningsvis pregl § 1 tredje ledd.
I forhold til utvalgets forslag er «rent personlige formål supplert med «andre private formål», men realiteten er den samme. Bakgrunnen for unntaket er at også privatpersoner i stor grad gjør bruk av elektroniske hjelpemidler som f eks PC'er til ulike personlige eller familiemessige gjøremål og fritidsaktiviteter, som f eks å skrive brev eller dagbok, sende og motta korrespondanse, føre adresselister eller laste ned informasjon fra nettverk. De fleste slike aktiviteter vil være elektronisk behandling av personopplysninger, og dermed i utgangspunktet falle innenfor lovens saklige virkeområde. Det vil imidlertid kunne fremstå som et uønsket inngrep i den enkeltes privatliv om man skulle gi behandlingsregler som åpner for kontroll med slik behandling av personopplysninger som vedkommende foretar som privatperson. Samtidig er det klart at personvernkonsekvensene av denne formen for behandling gjennomgående vil være beskjedne, slik at lovregulering er unødvendig og ville virke unødig ressurskrevende. Annet ledd unntar derfor slik behandling fra lovens virkeområde. Også private hjemmesider på internett med informasjon av privat og personlig karakter vil omfattes av dette unntaket, jf punkt 10.5. Unntaket gjelder ikke for økonomisk aktivitet som overstiger det som er vanlig for fritidsaktiviteter. Eksempelvis omfattes ikke personopplysningsbehandling hos enkeltmannsforetak av unntaket. Heller ikke slik aktivitet som enkeltpersoner måtte foreta som ledd i engasjement for politiske eller ideelle organisasjoner omfattes av dette unntaket. For denne type virksomhet vil imidlertid unntaket i § 7 i lovforslaget knyttet til behandling av personopplysninger for journalistiske, herunder opinionsdannende, formål kunne ha betydning.
Tredje ledd gir Kongen kompetanse til å bestemme i forskrift at loven eller deler av den ikke skal gjelde for bestemte institusjoner og sakområder. Særlig kan det være aktuelt å vurdere unntak fra hele eller deler av loven for deler av domstolenes behandling av personopplysninger - f eks for domstolenes behandling av personopplysninger som ledd i avgjørelsen av straffesaker. Det samme gjelder for behandling av personopplysninger som er nødvendig ut fra beredskapshensyn eller hensynet til rikets sikkerhet og politiets og etterretningstjenestenes behandling av personopplysninger, jf punkt 4.6 i proposisjonen.
Fjerde ledd gir hjemmel for å gi forskrifter med nærmere regler for visse typer virksomheter eller bransjer. Forskriftsregulering vil først og fremst være aktuelt for behandling av personopplysninger som ledd i kredittopplysningsvirksomhet, jf nærmere i kapittel 7 i proposisjonen. Departementet har valgt å gi forskriftshjemmelen en mer presis utforming enn utvalget la opp til. I annet punktum er det derfor angitt en del forhold som det vil være behov for å for å regulere særskilt i en forskrift om behandling av kredittopplysningsvirksomhet. I den grad kredittopplysningsbyråenes behandling av personopplysninger ikke blir regulert i forskrift, gjelder lovens alminnelige regler.
Fjerde ledd siste punktum åpner for at loven med supplerende forskrifter også kan gjøres gjeldende for kredittopplysninger om juridiske personer.
Til § 4 Geografisk virkeområde
Bestemmelsen, som fastsetter lovens geografiske virkeområde, bygger på utvalgets § 6 og direktivet artikkel 4. Personregisterloven inneholder ikke noen tilsvarende regulering av virkeområdet.
Første ledd følger opp utvalgets forslag og slår fast at loven gjelder for behandlingsansvarlige som er etablert i Norge. Utenfor loven faller i utgangspunktet behandlingsansvarlige som ikke er etablert i Norge, selv om disse behandler personopplysninger i Norge, se likevel nedenfor om annet ledd. For eksempel vil opplysninger som oppbevares i Norge for en behandlingsansvarlig som ikke er etablert her i landet, ikke være omfattet av lovens regler. Datatilsynet vil likevel ha tilsynskompetanse i forhold til oppbevaringen av opplysningene, men må da basere sitt tilsyn på lovgivningen i det landet hvor den behandlingsansvarlige er etablert.
Med «etablert» menes ifølge EU-direktivets fortale punkt 19 at det faktisk utøves aktiviteter innenfor en forholdsvis fast struktur. Strukturens rettslige status - f eks hvilken sammenslutningsform som er nyttet - er ikke avgjørende. Avgjørende er om den behandlingsansvarlige har tilstrekkelig tilknytning til Norge til å være etablert slik uttrykket forstås ut fra en alminnelig språklig forståelse. Dersom et utenlandsk selskap har et datterselskap som driver virksomhet i Norge, er tilknytningskravet åpenbart oppfylt slik at datterselskapet er etablert her. Det samme gjelder utenlandske selskapers filialer i Norge. En utenlandsk handelsreisende som er på forretningsreise i Norge og som i den forbindelse behandler personopplysninger, vil derimot ikke være etablert i Norge. Den nærmere grensedragningen må finne sted i praksis.
En og samme behandlingsansvarlig kan være etablert i flere land samtidig, f eks slik at et multinasjonalt selskap har avdelinger i Norge, Danmark og Tyskland. I så fall vil behandlingen av personopplysningene i de ulike landene reguleres av hhv den norske, danske og tyske loven. Direktivet artikkel 4 nr 1 a) slår fast at den behandlingsansvarlige har plikt til å sørge for at den nasjonale lovgivningen i de ulike etableringslandene respekteres. Som følge av direktivets relativt detaljerte behandlingsregler vil lovgivningen innenfor EU- og senere også EØS-området i stor utstrekning være likeartet og sikre felles normer og minstekrav for behandling av personopplysninger.
Første ledd annet punktum gir Kongen kompetanse til å bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen. Det kan også gis særregler i den grad det er nødvendig for å tilpasse lovgivningen til de særlige forhold som gjør seg gjeldende for disse områdene, jf punkt 4.5.5.
Annet ledd regulerer den situasjon at en behandlingsansvarlig utenfor EØS-området - f eks i Russland - benytter hjelpemidler i Norge til å behandle personopplysninger. Virkeområdet til den norske loven utvides i slike tilfeller til å omfatte behandlingen som finner sted i Norge, selv om den behandlingsansvarlige ikke er etablert her i landet. Med «hjelpemidler» menes alt slags utstyr som kan brukes til å behandle personopplysninger. Både elektroniske og ikke-elektroniske hjelpemidler omfattes, som f eks datamaskiner og -terminaler, telenett og intervjuskjemaer. Utvidelsen av lovens virkeområde etter annet ledd gjelder ikke dersom utstyret utelukkende benyttes til å til å overføre personopplysninger via Norge - dvs ren transitt i norske nett.
Tredje ledd bestemmer at en behandlingsansvarlig som er etablert i en stat utenfor EØS-området og som benytter hjelpemidler i Norge, skal ha en representant som er etablert i Norge. Bestemmelsene som gjelder for den behandlingsansvarlige gjelder også for representanten. Dette betyr bl a at representanten skal melde fra om behandlingen til Datatilsynet, og etterkomme den registrertes krav på individuelle rettigheter som f eks innsynsrett. At det er utpekt en representant fritar ikke den behandlingsansvarlige for ansvar, og tilsynsmyndighetene og den registrerte kan forholde seg til den behandlingsansvarlige i tillegg til representanten. Det følger av § 32 første ledd bokstav a at navnet og adressen til den behandlingsansvarlige og representanten skal meldes til Datatilsynet.
Til § 5 Forholdet til andre lover
Bestemmelsen, som svarer til utvalgets § 44, slår fast at loven i utgangspunktet gjelder for all behandling av personopplysninger. På enkelte områder vil det imidlertid finnes særlovbestemmelser som gir uttrykk for andre eller mer presise løsninger enn personopplysningsloven. I slike tilfeller får de enkelte bestemmelsene i personopplysningsloven anvendelse i den utstrekning ikke annet følger av den særskilte loven som regulerer behandlingsmåten. Dette er en naturlig konsekvens av at personopplysningsloven er en generell lov, som må vike for spesialbestemmelser i annet lovverk.
Til § 6 Forholdet til lovbestemt innsynsrett etter andre lover
Bestemmelsen, som ikke har noen parallell i gjeldende rett eller i utvalgets forslag, understreker i første ledd at personopplysningsloven ikke innskrenker andre lovbestemte innsynsrettigheter. Bakgrunnen for at departementet inntar bestemmelsen er særlig den bekymring enkelte høringsinstanser har uttrykt for at personopplysningsloven skulle føre til mindre åpenhet, jf kapittel 12 i proposisjonen. Departementet har derfor funnet grunn til å presisere at bestemmelsene i loven her som styrker allmennhetens og den registrertes innsynsrett i forhold til gjeldende rett, jf §§ 18 flg, er et supplement til og ikke noen erstatning for andre lovbestemmelser om innsynsrett, og at de begrensninger som lovforslaget har for behandling av personopplysninger, ikke avskjærer innsynsrett etter annen lovgivning.
Bestemmelsen omfatter ikke bare lovregler som gir rett til innsyn i personopplysninger som er tilgjengelige hos organer for stat eller kommune, slik offentlighetsloven og forvaltningsloven gjør, men gjelder også rett til innsyn i personopplysninger hos privat virksomhet, jf f eks aksjeloven 13 juni 1997 nr 44 § 4-6 (aksjeeierboken skal være tilgjengelig for enhver) og den tilsvarende bestemmelsen i allmennaksjeloven 13 juni 1997 nr 45 § 4-5 (om allmenn rett til innsyn i aksjeeierregisteret).
For personopplysninger som det ikke er lovbestemt rett til innsyn i, og som heller ikke er taushetsbelagt, vil den som besitter opplysningene - det være seg offentlige organer eller private virksomheter - etter gjeldende rett ha adgang, men ikke plikt til å gi utenforstående innsyn. I forhold til offentlige organer er dette et spørsmål om meroffentlighet, jf offentlighetsloven § 2 tredje ledd. Ettersom det å gi innsyn i personopplysninger må anses som en form for behandling slik personopplysningsloven nytter ordet, jf § 2 nr 2, må adgangen til å gi slikt innsyn avgjøres etter de alminnelige vilkårene for behandling av personopplysninger, jf §§ 8 og 9, jf også § 11 om grunnleggende krav til behandlingen av personopplysninger. Slik disse bestemmelsene er utformet, vil de neppe i seg selv hindre utøvelse av meroffentlighet etter offentlighetsloven. Det fremgår av forslagets § 8 første ledd andre alternativ og § 9 første ledd bokstav b at personopplysninger kan behandles, herunder utleveres, dersom det er fastsatt i lov at det er adgang til slik behandling. Videre vil utlevering av opplysninger etter offentlighetsloven tilfredsstille kravene i § 11. Departementet viser til at personopplysninger som lovgiver har ansett som sensitive, er omfattet av taushetsplikt, jf bl a forvaltningsloven § 13. Disse vil det ikke være adgang til å utlevere, jf også offentlighetsloven § 5 a. Departementet viser videre til at dokumenter som kan, men ikke skal, unntas offentlighet etter offentlighetsloven §§ 5 og 6 sjelden inneholder personopplysninger. I den grad slike dokumenter inneholder personopplysninger, vil imidlertid personvernhensyn være et relevant moment ved vurderingen av om det skal utvises meroffentlighet.
Personopplysningsloven supplerer andre lovbestemmelser om innsynsrett. For den som ber om innsyn kan det være noe tilfeldig hvilken lov han eller hun har kjennskap til og ber om innsyn i medhold av. For å sikre at den som ber om innsyn blir kjent med sine lovbestemte innsynsrettigheter, pålegges den behandlingsansvarlige i annet ledd å informere den som ber om innsyn om annen lovfestet innsynsrett som rekker lenger enn personopplysningsloven. For offentlige behandlingsansvarlige følger en slik plikt allerede av forvaltningsloven § 11.
Til § 7 Forholdet til ytringsfriheten
Bestemmelsen, som begrenser anvendelsen av lovens regler av hensyn til ytringsfriheten, er skåret over en annen lest enn utvalgets forslag til § 5. Mens utvalget la opp til at rekkevidden av unntaket skulle bero på en skjønnsmessig avveining av ytringsfrihet mot personvern etter mønster av EU-direktivet artikkel 9, mener departementet det bør fremgå uttrykkelig av loven hvilke bestemmelser som skal gjelde for journalistisk, kunstnerisk og litterær virksomhet. Som flere høringsinstanser har pekt på, vil dette gi bedre forutberegnelighet enn det utvalgets forslag ville føre til.
Bestemmelsen har ingen direkte parallell i personregisterloven, men hovedforskriften til personregisterloven gjør i §§ 2-13 og 2-14 unntak fra konsesjonsplikt for personregistre til bruk i henholdsvis utgivelse av leksika og journalistisk virksomhet.
Begrunnelsen for at departementet har kommet til at bare noen få av lovens bestemmelser bør gjelde for slik virksomhet, er det redegjort for i kapittel 11. Som det der fremgår, bør tilsyn med medienes bruk av personopplysninger så langt det er forsvarlig av hensyn til personvernet begrenses til et etterfølgende ansvar for det ferdige og publiserte produktet.
Som det også fremgår av de generelle merknadene i punkt 11.6, har departementet valgt å føye til en presisering som gjør det klart at også behandling av personopplysninger for opinionsdannende formål som det ikke tradisjonelt er naturlig å karakterisere som journalistiske, vil være omfattet av § 7.
Unntaket for behandling av personopplysninger for litterære, kunstneriske eller journalistiske formål gjelder uavhengig av hva slags medium den behandlingsansvarlige benytter - det være seg avis, magasin, bok eller ulike former for elektronisk publisering, f eks via internett.
Unntaket er i tråd med direktivet utformet slik at det knytter seg til virksomhetens art, og ikke til hvilken formell eller yrkesmessig status den behandlingsansvarlige har. I dette ligger at unntaket ikke bare gjelder for f eks journalister, men for enhver persons behandling av personopplysninger for journalistiske formål. Og medieselskapers persondatabehandling som ikke behandles for journalistiske formål, som f eks en avis behandling av abonnentopplysninger for faktureringsformål eller direkte markedsføring, omfattes av loven på vanlig måte.
Grensedragningen av hva som er «kunstneriske», «litterære» eller «journalistiske» formål må i noen grad finne sted gjennom praktiseringen av loven.
Når det gjelder uttrykket «journalistiske formål», omfattes behandling av personopplysninger som ledd i dags- og ukepressens og etermedias redaksjonelle arbeid, enten dette utføres av ansatte eller frittstående journalister (freelancere).
Det at behandlingen av personopplysningene er ment å resultere i et arbeid som skal publiseres, vil ofte være en indikasjon på at det dreier seg om en form for persondatabehandling som omfattes av unntaket. Publisering er imidlertid ikke i seg selv alltid tilstrekkelig til at det dreier seg om journalistiske eller opinionsdannende formål. Det finnes en rekke publikasjoner som reelt sett er reklame for produkter og tjenester, og som loven gjelder for på vanlig måte.
Uttrykkene «kunstneriske formål» og «litterære formål» er delvis overlappende, og omfatter bl a innhenting og registrering av personopplysninger for å kunne lage en dokumentarfilm eller som ledd i arbeidet med å forfatte et skuespill eller en revy. Den som vil parodiere en kjent person behøver altså ikke varsle ham på forhånd, selv om teksten behandles elektronisk.
Opplysninger om fiktive personer (typisk romanskikkelser, personer som utelukkende eksisterer i bokform) omfattes ikke av loven, etter som det ikke er tale om «personer» slik loven nytter ordet.
Kapittel II Alminnelige regler for behandling av personopplysninger
Til § 8 Vilkår for å behandle personopplysninger
Bestemmelsen har ingen parallell i utvalgets forslag eller i personregisterloven, men departementet ser det som viktig å få lovfestet generelle behandlingsvilkår, som f eks krav om samtykke, jf også punkt 6.8.4 i proposisjonen. Bestemmelsen, som gjennomfører EU-direktivet artikkel 7, oppstiller generelle og uttømmende vilkår for når behandling av personopplysninger kan finne sted. Vilkårene gjelder for all behandling av personopplysninger som loven får anvendelse på. Vilkårene er grunnbetingelser for i det hele tatt å kunne behandle personopplysninger. For å behandle sensitive personopplysninger oppstilles det tilleggsvilkår, jf § 9 i lovforslaget. Og for behandlinger som medfører særlige risiki for personvernet kreves det konsesjon fra Datatilsynet, jf § 33.
Bestemmelsen slår fast at behandling bare kan finne sted dersom den registrerte har samtykket i behandlingen, hvis behandlingen er fastsatt ved lov, eller dersom ett eller flere av vilkårene i bokstav a til f er oppfylt.
Felles for vilkårene i bokstav a til f er at behandling av personopplysninger bare er tillatt i den utstrekning behandlingen er nødvendig for å vareta nærmere definerte interesser. Vilkårene, som til dels inneholder skjønnsmessige begreper, krever en konkret vurdering i hvert enkelt tilfelle. Dette overlater et visst skjønn til den enkelte behandlingsansvarlige. Skjønnet som denne utøver kan overprøves av Datatilsynet, jf § 46 i lovforslaget. Dersom Datatilsynet mener at den aktuelle behandlingen ikke oppfyller vilkårene, kan tilsynet gi pålegg om at behandlingen skal opphøre, og veilede om hva som skal til for at vilkåret blir oppfylt slik at behandlingen blir lovlig og kan finne sted. På sikt vil tilsynets praksis utfylle de skjønnsmessige bestemmelsene og lette anvendelsen av dem. Også praksisen til tilsynsmyndighetene i andre EØS-land vil være av interesse.
I tråd med loven for øvrig benyttes «behandling» som et overbegrep som omfatter en rekke forskjellige former for håndtering av personopplysninger, jf § 2 nr 2. Vurderingen av om nødvendighetskravet er oppfylt kan bli forskjellig alt ettersom hva slags form for behandling det er tale om. Etter forholdene kan det f eks tenkes at innsamling av opplysningene er nødvendig, men at utlevering av dem ikke er det.
Innledningsvis slås det fast at behandlingen kan finne sted dersom den registrerte har samtykket, jf også artikkel 7 bokstav a i EU-direktivet. Hvilke krav som må stilles til samtykket, fremgår av § 2 nr 7, jf merknadene til denne bestemmelsen. Blant annet må det kreves at samtykket er informert og uttrykkelig. Behandling av personopplysninger bør i størst mulig utstrekning baseres på samtykke fra den registrerte, selv om den også kan hjemles i de grunnlagene som oppstilles i bokstavene a-f. For det første vil dette styrke den registrertes muligheter til å råde over opplysninger om seg selv. For det annet vil man ved å basere behandlingen på samtykke unngå mulig tvil om de mer skjønnsmessige vilkårene i bokstavene a til f er oppfylt.
Særlige spørsmål reiser seg dersom samtykke gis, men deretter trekkes tilbake. Da må det legges til grunn at behandlingen ikke kan fortsette. Behandling som eventuelt har funnet sted i tidsrommet mellom avgivelsen og tilbaketrekningen av samtykket, vil imidlertid fremdeles være lovlig.
Det kan også behandles personopplysninger når behandlingen er fastsatt ved lov. Begrunnelsen for dette alternativet er at bestemmelsen her ikke skal oppstille tilleggsvilkår for å behandle personopplysninger når Stortinget allerede har bestemt at behandlingen er nødvendig for å vareta viktige samfunnsinteresser. Selv om man i slike tilfeller vil kunne benytte et av alternativene i bokstav a til f som hjemmelsgrunnlag, finner departementet det naturlig å fremheve lovhjemmel som et selvstendig vilkår får å kunne behandle personopplysninger. Om behandlingen er så forankret i lov at dette alternativet får anvendelse, må avgjøres ved å tolke loven som eventuelt hjemler behandlingen. Hjemmelskravet er relativt, slik at det kreves klarere hjemmel jo større personvernmessige konsekvenser behandlingen kan få. Også slik behandling av personopplysninger som er regulert i annen lov må fylle de kravene som oppstilles for lovlig behandling i EU-direktivet artikkel 7 i den utstrekning behandlingen faller inn under direktivets anvendelsesområde.
Behandling av personopplysninger kan videre finne sted dersom behandlingen er nødvendig for å oppfylle en avtale der den registrerte er part, jf bokstav a første alternativ, som gjennomfører artikkel 7 bokstav b i EU-direktivet. Som eksempel på behandling som kan være aktuell er nedtegning av avtalepartens navn og adresse, utfylling av fakturaer o l. Såkalte tredjemannsavtaler omfattes ikke, selv om de er til den registrertes fordel.
Bokstav a gir også adgang til å behandle personopplysninger når dette er nødvendig for å utføre gjøremål som den registrerte har bedt om før han eller hun inngår en avtale med den behandlingsansvarlige, jf bokstav a annet alternativ. Et typisk eksempel her er behandling av personopplysninger som er nødvendig for å kunne gi et tilbud til den registrerte - f eks kredittvurderinger som ledd i finansieringsvirksomhet.
Bokstav b gir adgang til å behandle personopplysninger når dette er nødvendig for at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse som hviler på ham eller henne, jf artikkel 7 bokstav c i EU-direktivet. Med «rettslig forpliktelse» menes i første rekke plikt som er hjemlet i lov eller forskrift, eller som følger av dom eller forvaltningsvedtak. Uttrykket omfatter også forpliktelser som følger av internasjonale regler, som f eks konvensjoner.
Bokstav c gir den behandlingsansvarlige adgang til å behandle personopplysninger når dette er nødvendig for å vareta den registrertes vitale interesser, jf artikkel 7 bokstav d i EU-direktivet. Av uttrykket vitale interesser følger det at behandlingen skal knytte seg til interesser som er av fundamental betydning for den registrerte. I punkt 31 i fortalen til EU-direktivet vises det til interesser som er av vesentlig betydning for den registrertes liv. Som et eksempel på at vilkåret vil være oppfylt kan nevnes en situasjon der personopplysninger om en som plutselig er blitt alvorlig syk og mistet bevisstheten, må behandles for å kontrollere blodtype og sykdomshistorie eller for å varsle de pårørende.
Personopplysninger kan videre behandles dersom dette er nødvendig for å utføre en oppgave av allmenn interesse, jf bokstav d som gjennomfører artikkel 7 bokstav e første alternativ i EU-direktivet. Eksempler på slike oppgaver kan være behandling av personopplysninger som ledd i arkivering eller i forbindelse med statistisk, historisk eller vitenskapelig virksomhet. Det samme gjelder offentlige eller private informasjonssystemer som - eventuelt mot vederlag - er tilgjengelige for allmennheten. Det forhold at noen kan tjene penger på å behandle personopplysningene, utelukker ikke at behandlingen kan være av allmenn interesse.
At behandling av personopplysninger er tillatt når dette er nødvendig for å utøve offentlig myndighet, fremgår av bokstav e som gjennomfører artikkel 7 bokstav e annet alternativ i EU-direktivet. Dette gjelder både når offentlig myndighet utøves av domstoler, av organ for stat eller kommune, og når slik myndighet unntaksvis utøves av andre. Bestemmelsen retter seg primært mot behandling av personopplysninger for offentlige organer som skjer som ledd i offentlig myndighetsutøving. I dette ligger ikke bare å treffe enkeltvedtak, jf forvaltningsloven § 2 første ledd bokstavene a og b, men også de fleste administrative funksjoner som er ledd i det offentliges virksomhet. Det offentliges adgang til å behandle personopplysninger vil ellers måtte bedømmes bl a etter reglene i bokstav d.
Endelig kan behandling av personopplysninger finne sted når dette er nødvendig for at den behandlingsansvarlige skal kunne vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen, jf bokstav f som gjennomfører artikkel 7 bokstav f i EU-direktivet. Tredjepersoner som får utlevert opplysningene til seg, likestilles her med den behandlingsansvarlige. Bestemmelsen vil i sin generelle form delvis overlappe en del av de øvrige vilkårene i bokstav a til e. Om behandlingen er tillatt eller ikke, avhenger av en avveining av den behandlingsansvarliges interesser i å gjennomføre behandlingen mot den registrertes personverninteresse i at behandlingen ikke gjennomføres. På begge sider må både fordeler og ulemper med behandlingen tas i betraktning. Generelt må hensynet til privatlivets fred tillegges betydelig vekt i avveiningen mot kommersielle interesser. Dersom en registrert gir den behandlingsansvarlige beskjed om at han eller hun ikke vil at behandlingen skal gjennomføres eller fortsette, bør dette tillegges vesentlig vekt. Hvis ikke behandlingen kan hjemles i noen av de andre vilkårene i § 8, vil den behandlingsansvarlige i slike tilfeller måtte avstå fra å behandle opplysningene, eller slette eller avidentifisere opplysninger som allerede er behandlet. Det vil kunne være vanskelig for den behandlingsansvarlige i det enkelte tilfelle selv å avgjøre om egeninteressen i å behandle opplysningene veier tyngre enn hensynet til den registrertes personvern. Datatilsynet vil ha et særlig ansvar for å gi råd og veiledning om den interesseavveiningen som må foretas, jf § 42 tredje ledd nr 6.
Til § 9 Behandling av sensitive personopplysninger
Bestemmelsen viderefører og utdyper nødvendighetskravet i personregisterloven § 6 annet ledd og tilsvarer i hovedsak utvalgets forslag til § 9 (se særlig s 139 flg i utredningen). Bestemmelsen, som gjennomfører EU-direktivet artikkel 8, gir en uttømmende oppregning av når sensitive personopplysninger kan behandles elektronisk eller inntas i et manuelt personregister.
Hva som regnes som sensitive personopplysninger, fremgår av § 2 nr 8 i lovforslaget.
Første ledd slår innledningsvis fast at sensitive personopplysninger bare kan behandles dersom ett av vilkårene i § 8 er oppfylt, og behandlingen oppfyller ett av vilkårene i første ledd bokstav a - h. Det første kravet vil normalt være oppfylt dersom behandlingen er tillatt i henhold til et av alternativene i § 9. Er behandlingen av en slik art at den utløser konsesjonsplikt i henhold til § 33 i lovforslaget, må også konsesjon være gitt før behandlingen kan ta til.
I henhold til bokstav a kan sensitive opplysninger behandles dersom den registrerte samtykker, jf § 9 nr 1 i utvalgets forslag og artikkel 8 nr 2 a i EU-direktivet. Hva som menes med «samtykke», fremgår av § 2 nr 7 og merknadene til denne bestemmelsen. Unntaket vil særlig være praktisk når det skal inngås avtaler som krever at sensitive personopplysninger behandles, som f eks en forsikringsavtale.
Første ledd bokstav b gir adgang til å behandle sensitive personopplysninger dersom behandlingen er hjemlet i lov, jf § 9 nr 2 i utvalgets forslag og artikkel 8 nr 4 i EU-direktivet. Begrunnelsen for å fremheve lovbestemt behandling som et særskilt vilkår er den samme som for § 8, jf nærmere under merknadene til denne bestemmelsen. Et eksempel på behandling av sensitive personopplysninger som omfattes av bokstav b, er arkivering i henhold til arkivloven.
Bokstav c, som bygger på utvalgets forslag til § 9 nr 4 og EU-direktivet artikkel 8 nr 2 c, gir adgang til å behandle personopplysninger elektronisk eller å ta dem inn i manuelle personregistre når dette er nødvendig for å beskytte en persons vitale interesser, og den registrerte selv ikke er i stand til å samtykke. Dersom det finnes noen tilgjengelig som kan samtykke i behandlingen, kan ikke personopplysningene behandles i henhold til denne bestemmelsen. At det oppleves som tungvint å måtte innhente samtykke er ikke tilstrekkelig for å igangsette behandlingen. Årsaken til at den registrerte ikke er i stand til å samtykke, kan f eks være at vedkommende er alvorlig syk. I vurderingen av om behandlingen bør igangsettes bør det legges avgjørende vekt på om den registrerte utvilsomt ville ha samtykket i behandlingen dersom han eller hun hadde hatt mulighet til å samtykke.
Bestemmelsen åpner også for å behandle sensitive personopplysninger dersom dette er nødvendig for å beskytte de vitale interessene til andre enn den registrerte. Et eksempel er at helseopplysninger om en bevisstløs og hardt skadet organdonor må behandles for om mulig å finne en passende mottaker for organene.
Bokstav d gir adgang til å behandle sensitive personopplysninger som den registrerte selv frivillig har gjort alminnelig kjent, jf utvalgets forslag til § 9 nr 6 og EU-direktivet artikkel 8 nr 2 bokstav e første alternativ. Med «alminnelig kjent» menes at opplysningene er gjort kjent for allmennheten, f eks ved å legge ut opplysninger om sin helse på hjemmesiden på nettet. Bestemmelsen omfatter også det tilfelle at andre enn den registrerte har gjort opplysningene alminnelig kjent, f eks gjennom presseoppslag, og at den registerte - f eks ved å kommentere oppslaget - har bekreftet opplysningene. Derimot er det ikke tilstrekkelig at den registrerte er kjent med oppslaget, men ikke reagerer. Uttrykket «selv har gjort alminnelig kjent» forutsetter et minimum av aktivitet fra den registrerte selv, og det er bare i slike tilfelle den registrerte kan sies å ha gitt avkall på den beskyttelsen § 9 gir.
Bokstav e tillater behandling av sensitive personopplysninger når behandlingen er nødvendig for at et rettskrav skal kunne fastsettes, gjøres gjeldende eller forsvares, jf utvalgets forslag til § 9 nr 7 og EU-direktivet artikkel 8 nr 2 bokstav e siste alternativ. Bestemmelsen omfatter ethvert rettskrav, både rettskrav som tilhører den registrerte og rettskrav som tilhører den behandlingsansvarlige eller tredjepersoner. Et eksempel kan være at en arbeidsgiver har behov for å behandle sensitive personopplysninger om en arbeidstaker for å kunne vurdere om hun har krav på erstatning for usaklig oppsigelse. Det samme gjelder forsikringsselskapers behandling av opplysninger om en forsikringstakers helsetilstand for å ta stilling til om forsikringstakeren har krav på yrkesskadesforsikring. Bestemmelsen omfatter videre det tilfelle at det er nødvendig å behandle sensitive personopplysninger for å ta stilling til et rettskrav fra en tredjeperson, f eks der en domstol har behov for å behandle opplysninger om andre personer enn partene for å avgjøre en rettssak.
Bokstav f gir adgang til å behandle sensitive personopplysninger når dette er nødvendig for at den behandlingsansvarlige skal kunne oppfylle sine arbeidsrettslige plikter eller rettigheter, jf utvalgets § 9 nr 3 og direktivet artikkel 8 nr 2 bokstav b. Departementet har valgt en formulering som ligger tettere opp til direktivteksten enn utvalgets forslag. Uttrykket «arbeidsrettslige plikter eller rettigheter» omfatter alle plikter og rettigheter som hviler på et arbeidsrettslig grunnlag, uansett om grunnlaget er lovgivning, avtale mellom partene i arbeidslivet, eller individuelle arbeidsavtaler (ansettelseskontrakter). Har f eks arbeidsgiveren påtatt seg å kreve inn medlemskontingenten for en arbeidstakerorganisasjon, kan arbeidsgiveren behandle opplysninger om fagforeningstilhørighet i den grad dette er nødvendig for å oppfylle innkrevingsplikten. Det samme vil gjelde for behandling av f eks helseopplysninger i forbindelse med rehabilitering av arbeidstakere.
Bokstav g retter seg spesielt mot bruk av sensitive personopplysninger i helsesektoren, jf utvalgets § 9 nr 8 og EU-direktivet artikkel 8 nr 3. Mer presist gir bestemmelsen adgang til å behandle slike opplysninger når dette er nødvendig for forebyggende sykdomsbehandling, medisinsk diagnostisering, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt. Bestemmelser om taushetsplikt for ulike typer helsepersonell er i dag spredt i ulike lover, jf f eks legeloven §§ 31 og 34, tannlegeloven § 31, sykepleieloven § 11, helsepersonelloven § 5 osv. I kapittel 5 i den nye loven om helsepersonell m v som ble vedtatt av Stortinget i april 1999, gis det felles taushetspliktsregler som gjelder både for autorisert og annet helsepersonell, jf Besl O nr 64 (1998-99) om lov om helsepersonell m v (helsepersonelloven) basert på Innst O nr 58 (1998-99) og Ot prp nr 13 (1998-99).
Bokstav g åpner for behandling av sensitive personopplysninger som finner sted innenfor helsesektoren, for eksempel som ledd i å stille medisinske diagnoser, gjennomføre sykepleie eller pasientbehandling og administrere helsetjenester. Dersom behandlingen dels har slike helseformål og dels andre formål, må behandlingen for overskuddsformålet hjemles i ett av de øvrige vilkårene i bestemmelsen, eventuelt ved Datatilsynets samtykke etter tredje ledd.
Bokstav h åpner for bruk av sensitive personopplysninger når det er nødvendig for historiske, statistiske eller vitenskapelige formål og samfunnets interesse i at behandlingen gjennomføres klart overstiger ulempene den kan medføre for den enkelte. Bestemmelsen er noe endret i forhold til utvalgets forslag til § 9 nr 9 som setter som et vilkår at behandlingen ikke kan få virkning for den enkelte. Etter departementets syn er det et behov for å understreke i lovteksten at virkningene for den enkelte må veies mot den interessen det kan ha samfunnsmessig å behandle de sensitive opplysningene og at det må være en klar overvekt i favør av de samfunnsmessige fordelene for at behandlingen kan igangsettes, jf også artikkel 8 nr 4 i direktivet. Enkelte av formålene vil for øvrig være dekket av bokstav b, som tillater behandling når dette er fastsatt i lov. Dette gjelder f eks arkivloven og statistikkloven. Selv om samfunnets interesse i behandlingen ikke klart overstiger ulempene for den enkelte, kan Datatilsynet samtykke i behandlingen etter tredje ledd. Departementet legger til grunn at denne løsningen gir gode rammer for å videreføre dagens samarbeid mellom Datatilsynet og ulike forskningsetiske komiteer.
Det har vært reist spørsmål om bokstav h også hjemler forvaltningsorganers bruk av sensitive personopplysninger som ledd i pålagte utrednings- og planleggingsoppgaver, jf forvaltningsloven § 13 b nr 4 som gjør unntak fra den forvaltningsmessige taushetsplikten for slik behandling. Departementet antar at planleggings- eller utredningsoppgaver i en del tilfeller kan være av en slik karakter at de faller inn under bokstav h. I andre tilfeller vil oppgavene kunne være lovhjemlet, jf bokstav b. For øvrig vil Datatilsynet kunne gi samtykke etter tredje ledd. Derpartementet ser at det kan reises spørsmål om det er behov for å føye til en bestemmelse i første ledd som gjør det klart at man også kan behandle sensitive personopplysninger når det er nødvendig for generell utredning eller planlegging i det forvaltningsorganet som har mottatt opplysningene. Dette er et spørsmål som eventuelt bør vurderes på et senere tidspunkt i lys av erfaringene med loven. I de øvrige nordiske land har man ikke noen slik regel.
Annet ledd gir ideelle sammenslutninger og stiftelser en utvidet adgang til å behandle sensitive personopplysninger, jf utvalget § 9 nr 5 og EU-direktivet artikkel 8 nr 2 bokstav d. Med «ideelle sammenslutninger» menes her politiske, religiøse, filosofiske eller faglige organisasjoner og foreninger m v som ikke har som formål å gi eierne økonomisk gevinst, og som ønsker å påvirke samfunnet på en eller annen måte.
Departementet har foretatt noen endringer i forhold til utvalgets forslag. Uttrykket «organisasjon» er erstattet med «sammenslutning eller stiftelse», som favner videre og omfatter flere former for juridiske personer. Kravet til at sammenslutningen skal være «rettmessig» er etter departementets oppfatning overflødig ved siden av de krav lovgivningen for øvrig stiller til behandling av personopplysninger, og er derfor tatt ut. Videre har departementet presisert at sammenslutningen eller stiftelsen bare kan behandle sensitive personopplysninger som samles inn gjennom kontakten med den registrerte. Bestemmelsen hjemler ikke behandling av sensitive personopplysninger som samles inn fra andre enn den registrerte. For å behandle sensitive personopplysninger fra slike kilder, må enten et av bestemmelsens øvrige vilkår være oppfylt, eller Datatilsynet gi samtykke i medhold av tredje ledd.
Annet ledd åpner for det første for at sammenslutningen eller stiftelsen kan behandle sensitive personopplysninger om dens medlemmer, jf annet punktum. Dersom sammenslutningen informerer godt om bruken av opplysningene før den registrerte blir medlem, kan også samtykkeregelen i første ledd få anvendelse. Annet ledd gir også adgang til å behandle opplysninger om personer som ikke er medlem, men som på grunn av sammenslutningens formål regelmessig er i kontakt med den. Som eksempel kan nevnes klientlignende forhold, som f eks Frelsesarmeens innsats for hjemløse personer, jf s 140 i utredningen. Departementet har funnet grunn til å la det fremgå uttrykkelig av lovteksten at kontakten må være frivillig - sammenslutningen kan ikke drive jevnlig oppsøkende virksomhet mot den registrertes vilje, for på den måten få rett til å behandle sensitive personopplysninger om vedkommende.
Opplysninger som behandles i medhold av annet ledd kan bare utleveres dersom den registrerte samtykker, jf annet ledd tredje punktum. Dette innebærer f eks at sammenslutningen ikke kan utlevere sine medlemslister til bruk i markedsføring uten samtykke fra medlemmene. Dessuten kan opplysningene bare behandles innenfor rammen av sammenslutningens virksomhet, jf første punktum. I dette ligger at behandlingen ikke må stå i motstrid med sammenslutningens formål slik dette er nedfelt i vedtekter og praksis.
I tredje ledd gis Datatilsynet kompetanse til å bestemme at sensitive personopplysninger kan behandles i andre tilfeller enn dem som er nevnt i første og annet ledd dersom viktige samfunnsinteresser tilsier det og det settes i verk tiltak for å sikre den registrertes interesser, jf artikkel 8 nr 4 i EU-direktivet. Det ligger i kravet til viktige samfunnsinteresser at bestemmelsen er ment å ha et snevert anvendelsesområde.
For behandlinger av sensitive personopplysninger som ikke er hjemlet i første eller annet ledd vil det være påkrevd både med Datatilsynets samtykke etter tredje ledd og konsesjon etter § 33. Vilkårene i § 9 tredje ledd blir i slike tilfeller tilleggsvilkår for at konsesjon skal kunne gis.
Til § 10 Register over straffedommer
Bestemmelsen, som er ny i forhold til personregisterloven og utvalgets forslag, har bakgrunn i direktivet artikkel 8 nr 5 som krever at fullstendige registre over straffedommer bare kan føres under kontroll av en offentlig myndighet. Et eksempel på dette er strafferegisteret, jf strafferegistreringsloven § 1. I dette ligger at private ikke kan bygge opp slike registre - verken manuelt eller elektronisk. Det er imidlertid ikke noe til hinder for at en privat databehandler fører registeret for myndighetene, jf § 2 nr 5 og § 15 i lovforslaget. Annen form for behandling av denne type opplysninger vil i utgangspunktet kreve konsesjon, jf § 33.
Til § 11 Grunnkrav til behandling av personopplysninger
Bestemmelsen, som oppstiller grunnleggende krav til behandling av personopplysninger, jf EU-direktivet art 6, er utvidet i forhold til utvalgets § 7 (saklighetskrav) jf NOU 1997: 19 s 137-138 og punkt 6.8.4 i proposisjonen. Bakgrunnen for dette er bl a at flere høringsinstanser ønsker mer utførlige behandlingsregler enn det som følger av utvalgets forslag. Departementet har derfor utformet lovteksten slik at den ligger nærmere opp til direktivteksten enn de mer generelle bestemmelsene utvalget gikk inn for i sitt forslag til § 7. Bokstav a og c erstatter utvalgets forslag til § 8, se merknadene nedenfor til disse bestemmelsene.
Bestemmelsen oppstiller atskillig flere materielle krav til behandlingen enn det personregisterloven gjør.
Bokstav a pålegger den behandlingsansvarlige å sørge for at personopplysninger bare behandles når dette er tillatt etter §§ 8 og 9, jf merknadene til disse bestemmelsene. I tillegg begrenser bokstav c muligheten til å bruke allerede innsamlede personopplysninger til formål som er uforenlige med det opprinnelige innsamlingsformålet.
Departementet har utformet bestemmelsen noe annerledes enn utvalgets forslag til § 8. Utvalget gikk inn for at innsamlete opplysninger bare kunne nyttes til nye formål dersom enten den registrerte samtykket, at adgangen var fastsatt i lov, eller at bruk av opplysningene til det nye formålet medførte fordeler som var klart større enn ulempene, og den nye behandlingen ikke var uforenlig med det opprinnelige formålet. Flere høringsinstanser har gitt uttrykk for at en slik bestemmelse vil være vanskelig å praktisere, og at den ikke tar tilstrekkelig hensyn til bl a forskningens behov. Departementet er enig i dette, og foreslår bestemmelser som ligger nærmere opp til direktivets regulering av bruk av innsamlete opplysninger, jf art 6 nr 1 bokstav b.
Når en behandlingsansvarlig ønsker å bruke innsamlete personopplysninger til formål som ikke dekkes av den opprinnelige formålsangivelsen, vil det i første omgang være et vilkår at det nye formålet oppfyller kravene til lovlig behandling i § 8, og eventuelt § 9 dersom det dreier seg om sensitive personopplysninger. Det nye formålet må m a o ha selvstendig hjemmel i et av behandlingsvilkårene i § 8 og f eks være grunnet på samtykke eller oppfyllelse av en avtale med den registrerte. Det forhold at opplysningene allerede er samlet inn, har ikke betydning for vurderingen av om vilkårene i § 8 er oppfylt. Det er m a o ikke noe selvstendig argument for å tillate den nye behandlingen at opplysningene allerede er samlet inn. I tillegg oppstilles det som et særskilt vilkår at det nye formålet ikke må være uforenlig med det eller de formålene som opprinnelig lå til grunn for innsamlingen av personopplysningene, jf bokstav c. Vilkåret gir uttrykk for det såkalte finalitetsprinsippet og vil utgjøre en viktig begrensning bl a for adgangen til å bruke elektroniske spor og til å samkjøre registre eller andre informasjonssamlinger, jf også punkt 6.8.4. Kravet om forenlighet innebærer at det til tross for at det nye formålet er hjemlet i § 8, kan være slik at de innsamlede opplysningene likevel ikke kan brukes for dette formålet. I så fall må den behandlingsansvarlige samle opplysningene inn på nytt. I den utstrekning gjenbruken er grunnet på et samtykke fra den registrerte, jf § 8 første ledd første alternativ eller § 9 første ledd bokstav a, vil ikke forenlighetskravet ha selvstendig betydning. Har den registrerte først samtykket i at opplysningene benyttes til det nye formålet, vil dette være et tilstrekkelig grunnlag for å behandle opplysningene. Det vil i slike tilfeller være uhensiktsmessig å kreve at den behandlingsansvarlige skal måtte innhente opplysningene på nytt.
Hvor mye som skal til før det nye behandlingsformålet er uforenlig med det opprinnelige formålet for innsamlingen av opplysningene, kan ikke reguleres uttømmende i loven. Spørsmålet må vurderes konkret og individuelt. Sentrale momenter i vurderingen vil være om bruk av opplysningene innebærer ulemper for den registrerte, om bruken skiller seg sterkt fra den som lå til grunn for innsamlingen, eller om bruken stiller strengere krav til datakvalitet enn det opprinnelige innsamlingsformålet. Et eksempel på formål som ofte vil være uforenlig med innsamlingsformålet, er bruk av opplysningene til kontrollformål, særlig når kontrollen ikke er en naturlig del av den virksomheten den behandlingsansvarlige driver, eller når ubehaget for den registrerte ikke står i et rimelig forhold til fordelene kontrolløren oppnår.
Derimot vil det normalt ikke være uforenlig bruk av opplysningene dersom den nye formålet står i en nær og naturlig sammenheng med den behandlingsansvarliges virksomhet, som f eks hvis den registrertes bank benytter opplysninger som er innsamlet ved behandlingen av en lånesøknad til å informere om ulike finanstjenester banken kan tilby.
Når den senere bruken av opplysninger er bestemt i egen lov, vil denne bruken ikke være uforenlig med innsamlingsformålet. For eksempel vil utnytting av oppgaveplikter etter lov 6 juni 1997 nr 35 om Oppgaveregisteret ikke være uforenlig med det opprinnelige innsamlingsformålet.
Om overføring av opplysninger fra f eks enkelte forsikringsselskap til et konsernsentralt kunderegister vil være uforenlig med det formålet opplysningene er samlet inn for (dvs for bruk i det enkelte selskapet som inngår i konsernet), kan ikke besvares generelt, men vil bl a være avhengig av hvordan formålet er definert i de opprinnelige konsesjonene. For å unngå usikkerhet vil det være formålstjenlig å definere lagringen i det sentrale kunderegisteret som et formål allerede når opplysningene samles inn fra den registrerte og eventuelle tredjepersoner.
Lovregler om taushetsplikt vil være selvstendige skranker for bruken av innsamlete opplysninger. Selv om den nye bruken er forenlig med det opprinnelige formålet, kan taushetspliktregler være til hinder for at opplysningene brukes til noe annet enn de opprinnelig er innsamlet for.
Senere behandling av personopplysninger for historiske, statistiske eller vitenskapelige formål er forenlige med det eller de formål som begrunnet innsamlingen av opplysningene dersom samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte, jf annet ledd. Med «historiske formål» siktes det særlig til arkivering. Dersom det nye formålet også er f eks administrativ eller kommersiell bruk av opplysningene, gjelder forenlighetskravet på vanlig måte for denne bruken.
Dersom formålet med behandlingen utvides eller endres i forhold til det som er meldt til Datatilsynet, må det sendes melding om dette, jf §§ 31 tredje ledd og 32 i lovforslaget.
Bokstav b understreker at personopplysninger bare kan brukes til uttrykkelig angitte formål som er saklig begrunnet i virksomheten. Kravet til uttrykkelige og saklige formål gjelder både når opplysningene samles inn fra den registrerte og når opplysningene innhentes fra andre kilder. Bestemmelsen viderefører delvis personregisterloven § 6 første ledd.
I kravet om at formålet skal være uttrykkelig angitt ligger at den behandlingsansvarlige forut for behandlingen må fastsette et formål som er tilstrekkelig konkret og avgrenset til at det skaper åpenhet og klarhet om hva behandlingen skal tjene til. Dette krever et visst presisjonsnivå - generelle og vage beskrivelser som «administrative oppgaver» eller «kommersiell bruk» vil ikke være tilstrekkelig presise. Formålsbeskrivelsene må være mer presise enn de formål som angis i § 8 og § 9. Jo større fare behandlingen kan medføre for personvernet, desto viktigere er det at formålet er presist definert slik at den registrerte kan gjøre sine rettigheter gjeldende.
Det kreves også at formålene med behandlingen må være saklig begrunnet i den behandlingsansvarliges virksomhet.
I utvalgets forslag til § 7 heter det at personopplysninger bare kan behandles til «lovlige» formål. Departementet finner det selvsagt at formålet med behandlingen må være lovlig, og har ikke funnet grunn til å presisere dette i lovteksten.
Bestemmelsen i bokstav c er omtalt nærmere i tilknytning til bokstav a ovenfor.
Bokstav d pålegger den behandlingsansvarlige å sørge for at personopplysningene som behandles er tilstrekkelige og relevante for formålet med behandlingen. Uttrykket «relevante» markerer en ytre grense for hvilke personopplysninger som kan trekkes inn i behandlingen; behandlingen må ikke omfatte unødvendige personopplysninger. I kravet om at personopplysningene må være tilstrekkelige, ligger at opplysningsgrunnlaget må være så fullstendig som behandlingsformålet krever.
Bokstav e krever at den behandlingsansvarlige skal rette eller slette uriktige, ufullstendige eller overflødige personopplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, jf §§ 27 og 28 i lovforslaget som det henvises til, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det, jf EU-direktivet art 6 nr 1 bokstav d og nr 2.
Til § 12 Bruk av fødselsnummer m v
Bestemmelsen, som er ny i forhold til gjeldende rett, bygger på utvalgets forslag til § 10 (jf NOU 1997: 19 s 141), og gjennomfører EU-direktivet art 8 nr 7.
Bestemmelsen gir en generell regulering av bruk av fødselsnummer og andre entydige identifikasjonsmidler som for eksempel fingeravtrykk og andre biometriske data. Slike identifikasjonsmidler bør ikke benyttes i utrengsmål. Kravet til nødvendighet i første ledd vil bare være oppfylt dersom andre og mindre sikre identifikasjonsmidler, som f eks navn, adresse og kundenummer ikke er tilstrekkelig. Det vil også ha betydning hvor viktig sikker identifisering er for den registrerte, dvs hvilke konsekvenser en forveksling kan føre til. Også samfunnets behov kan tillegges vekt.
Annet ledd gir Datatilsynet kompetanse til å bestemme at fødselsnummer eller andre identifikasjonsmidler skal brukes for å sikre at personopplysningene har tilstrekkelig kvalitet, jf merknadene i NOU 1997: 19 s 141.
Etter tredje ledd kan Kongen gi forskrift med nærmere regler om bruk av fødselsnummer og andre entydige identifikasjonsmidler.
Til § 13 Informasjonssikkerhet
Bestemmelsen er i hovedsak en videreføring av utvalgets § 11 og gjennomfører direktivet artikkel 17 nr 1 og 2, jf også kapittel 9 i proposisjonen. Artikkel 17 nr 3 og 4 er gjennomført i § 15 om databehandlerens rådighet over personopplysninger. Første og annet ledd nedenfor gjelder både for den behandlingsansvarlige og for databehandleren. For enkelhets skyld nevnes bare den behandlingsansvarlige i merknadene.
Første ledd pålegger den behandlingsansvarlige gjennom planlagte og systematiske tiltak å sørge for at personopplysningene til enhver tid er underlagt tilfredsstillende informasjonssikkerhet. Tilfredsstillende informasjonssikkerhet forutsetter etablering av både organisatoriske og tekniske sikkerhetstiltak.
Det er ikke mulig å på forhånd oppstille uttømmende krav til hvor høy sikkerheten skal være for ulike typer behandlinger. Loven angir derfor sikkerhetsstandarder i form av krav til konfidensialitet, integritet og tilgjengelighet. Hva som skal til for at en konkret personopplysningsbehandling oppfyller disse kravene, avhenger særlig av hvilke trusler personopplysningene er utsatt for. Betydelige trusler vil typisk kreve strenge sikkerhetstiltak før kravene til konfidensialitet, integritet og tilgjengelighet er oppfylt.
Kravet til konfidensialitetskal sikre at informasjon ikke blir gjort tilgjengelig for uvedkommende. Det betyr at personopplysninger skal være beskyttet mot uautorisert innsyn under behandlingen, f eks ved bruk, transport og lagring.
Kravet til integriteter nytt i forhold til utvalgets forslag. I integritetskravet ligger at informasjon ikke skal kunne endres utilsiktet eller av uvedkommende. Kravet til integritet må ikke forveksles med krav til kvalitet som er knyttet til riktigheten av personopplysningene. Eksempelvis kan integriteten være ivaretatt selv om opplysningene er foreldet og kvaliteten derfor er dårlig.
Kravet til tilgjengelighet skal sikre at personopplysningene er tilgjengelig for rettmessige brukere når de har behov for det for å kunne utføre sine oppgaver.
Det følger også av første ledd at den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske sikkerhetstiltak for å oppnå de kravene som bestemmelsen oppstiller. I dette ligger for det første at den behandlingsansvarlige må klarlegge hvilke krav som stilles til sikkerheten, jf ovenfor. Kravene til konfidensialitet, integritet og tilgjengelighet må ofte presiseres, se nærmere om dette i utredningen s 142. Den behandlingsansvarlige skal, på bakgrunn av behandlingens formål, personopplysningenes omfang og art (herunder om de er sensitive eller ikke), samt utførte risikoanalyser utarbeide mål og strategi for etablering av tilfredsstillende informasjonssikkerhet. Ved risikoanalyse skal personopplysningenes antall og art vurderes mot trusler mot informasjonssikkerheten - f eks i form av menneskelige feil, feil i programvare eller fysisk påvirkning.
På grunnlag av risikoanalysen må det så skje en vurdering av hvilke tiltak som må til for å oppfylle lovens krav om tilfredsstillende informasjonssikkerhet. Eksempler på tekniske tiltak er å sikre informasjonssystemet i forhold til eksterne datanett, passordbeskyttelse og automatisk nedkobling av skjermbilder med personinformasjon. Eksempler på organisatoriske tiltak kan være å etablere klare ansvars- og myndighetsforhold i organisasjonen, sørge for tilfredsstillende kompetanse hos den behandlingsansvarliges personell, og bare autorisere personellet for tilgang til personopplysninger i den grad det er nødvendig for å utføre pålagte oppgaver.
Endelig bør det lages rutiner for hvordan tiltakene skal evalueres.
Departementet understreker at i de tilfellene der den behandlingsansvarlige er en juridisk person, vil ansvaret for å etterkomme sikkerhetskravene påhvile ledelsen. Det vil være opp til ledelsen å beskrive stillinger eller peke ut personer nedover i organisasjonen som skal sørge for at loven etterleves i praksis. Dette vil likevel være et internt anliggende - det overordnete ansvaret for sikkerheten påhviler ledelsen, og tilsynsmyndighetene kan forholde seg til denne.
Utvalget foreslo i § 11 annet ledd siste punktum at sikkerhetstiltakene skal være bygget opp i henhold til alminnelige anerkjente metoder. Enkelte høringsinstanser, deriblant Datatilsynet, har uttrykt bekymring for at et slikt krav kan føre til at nye og bedre sikkerhetstiltak ikke kan tas i bruk nettopp fordi de er nye. Departementet har forståelse for utvalgets forsøk på å finne en målestokk som sikkerhetstiltakene kan vurderes opp i mot, men er enig med enkelte høringsinstanser i at formuleringen som er valgt kan oppfattes slik at den stenger for umiddelbar bruk av nye og bedre sikkerhetstiltak, og har derfor tatt denne henvisningen ut av lovteksten. Dette er likevel ikke til hinder for at målestokken benyttes i vurderingen av sikkerhetstiltak. Det avgjørende er om sikkerhetstiltakene - basert på nye eller gamle metoder - tilfredsstiller kravene i første ledd. Datatilsynet har bl a som oppgave å gi råd og rettledning i spørsmål om sikring av personopplysninger, se § 42 tredje ledd nr 6. Veiledningen vil blant annet omfatte anvisning av relevante metoder og rådgivning ved valg av metode. Dessuten vil opprettelse av et nasjonalt sertifiseringsorgan kunne bidra til å klarlegge sikkerhetsnivået til ulike kravspesifikasjoner. Etter departementets oppfatning vil dette - i hvert fall på sikt - dekke behovet for målestokker som sikkerhetsarbeid kan holdes opp mot.
Annet ledd bestemmer for det første at sikkerhetstiltakene skal dokumenteres og være tilgjengelige for eventuelle medarbeidere hos den behandlingsansvarlige. Departementet ønsker med dette å understreke at formålet med dokumentasjonen først og fremst er å bidra til at sikkerhetskravene etterleves i virksomhetens drift, og for å oppnå dette må dokumentasjonen rettes til medarbeiderne i virksomheten.
Dokumentasjonen skal også gi grunnlag for kontroll, og skal derfor være tilgjengelig for Datatilsynet, Personvernnemnda og eventuelle andre som utfører tjeneste for tilsynsmyndigheten. Tilsynsmyndighetene vil også kunne kontrollere om dokumentasjonen av sikkerhetstiltakene er god nok.
Datatilsynets kontroll med sikkerhetstiltak vil - i tråd med tilsynets generelle kompetanse - være sektorovergripende. På områder hvor sikkerhetskrav for behandling av personopplysninger er oppstilt uten hjemmel i lov, f eks i instruks, vil sikkerhetskravene i loven her supplere de ulovfestede sikkerhetskravene, slik at Datatilsynets kontroll kan baseres på lovens krav. På områder der det i annen lovgivning er oppstilt særlige sikkerhetskrav som avviker fra kravene i loven her, vil Datatilsynet fremdeles ha kontrollkompetanse, men kontrollen må da baseres på de særskilte lovreglene. Justisdepartementet vil i den forbindelse påpeke at det er viktig at sikkerhetskravene i loven her ikke fravikes i annen lovgivning med mindre det er et reelt behov for dette, og at eventuelle avvikende sikkerhetskrav gir minst like god sikkerhet som loven her foreskriver. For å sikre at elektronisk samhandling ikke hindres unødig, bør sikkerhetskravene så langt råd er harmoniseres. Det er derfor særlig viktig at Datatilsynet trekkes inn som rådgiver på et tidlig tidspunkt når det vurderes å lovfeste sikkerhetskrav som avviker fra loven her.
Krav om at dokumentasjon skal være tilgjengelig er for tydelighets skyld tatt inn i annet ledd, men følger også av internkontrollbestemmelsen i § 14.
Tredje leddslår fast at behandlingsansvarlige som overlater behandlingen av personopplysninger til en databehandler eller andre, skal sørge for at disse oppfyller kravene i første og annet ledd, jf direktivet artikkel 17 nr 2. At databehandleren må oppfylle kravene, følger direkte av første og annet ledd. Poenget med tredje ledd er å pålegge den behandlingsansvarlige ansvar for å sikre at databehandleren faktisk etterlever sikkerhetskravene loven pålegger ham. Det følger av § 15 annet ledd at plikten til å gjennomføre nødvendige sikkerhetstiltak skal være nedfelt i avtale mellom den behandlingsansvarlige og databehandleren. Ikke sjelden vil også andre enn databehandleren få tilgang til opplysningene, f eks servicepersonell som utfører vedlikehold eller reparasjon på datamaskinutstyr, men som ikke har befatning med opplysningene på en slik måte at de er å anse som databehandlere etter definisjonen i § 2 nr 5 i lovforslaget. For disse gjelder ikke sikkerhetskravene i loven direkte, men den behandlingsansvarlige har som følge av tredje ledd ansvar for å sikre at også disse gruppene sikrer personopplysningene på minst like god måte som loven og forskriftene krever - f eks ved å nedfelle krav til sikkerhet i kontrakten mellom den behandlingsansvarlige og dennes partnere eller leverandører.
Fjerde ledd gir hjemmel for Kongen til å gi nærmere forskrifter om informasjonssikkerhet ved behandling av personopplysninger.
Til § 14 Internkontroll
Bestemmelsen tilsvarer i hovedsak utvalgets forslag til § 12 og er ny i forhold til gjeldende rett, jf også punkt 6.9 i proposisjonen. Første ledd pålegger alle behandlingsansvarlige en plikt til å etablere rutiner for å sikre at de kravene som loven stiller til behandling av personopplysninger blir etterlevet. Det samme gjelder vilkår eller pålegg som Datatilsynet måtte fastsette med hjemmel i §§ 35 eller 46. Kravet om å sikre personopplysningenes kvalitet er fremhevet særskilt, bl a for å understreke at den behandlingsansvarlige er forpliktet til å tenke gjennom oppdateringsrutiner og sikre prosedyrer for å rette opp feilregistreringer. Med kvalitet siktes det til korrekte, fullstendige og aktuelle opplysninger som er relevante for formålet med behandlingen.
Internkontrolltiltakene skal dokumenteres og være tilgjengelige for medarbeiderne hos den behandlingsansvarlige og hos databehandleren, jf annet ledd. Det er tilstrekkelig at dokumentasjonen er tilgjengelig for medarbeiderne i den grad tilgang er nødvendig for at den enkelte medarbeideren skal kunne utføre sine pålagte oppgaver.
Dokumentasjonen som kreves i henhold til denne bestemmelsen skal også være tilgjengelig for tilsynsmyndigheten. Internkontrollsystemet og dokumentasjonen må ajourføres fortløpende etter som forholdene endrer seg.
Kongen kan i forskrift gi mer detaljerte regler om internkontroll, jf tredje ledd.
Til § 15 Databehandlerens rådighet over personopplysninger
Bestemmelsen tilsvarer § 13 i utvalgets forslag og gjennomfører art 17 nr 3 og 4 i direktivet. Bestemmelsen viderefører pregl § 23 men rekker videre, fordi «databehandlere» omfatter langt flere enn «databehandlingsforetak» som benyttes i personregisterloven.
Hvem som regnes som databehandler fremgår av definisjonen i § 2 nr 5.
Selv om det overlates til en databehandler å bistå med å gjennomføre en personopplysningsbehandling, er det den behandlingsansvarlige som har hovedansvaret for og rådigheten over opplysningene. Databehandleren kan bare råde over opplysningene på den måten som er skriftlig avtalt med den behandlingsansvarlige, jf første ledd første punktum. I annet punktum er det for ordens skyld presisert at personopplysningene heller ikke kan overlates til andre for lagring eller bearbeidelse uten at dette er avtalt med den behandlingsansvarlige.
I henhold til annet ledd, som er nytt i forhold til utvalgets forslag, skal det framgå uttrykkelig av den skriftlige avtalen mellom den behandlingsansvarlige og databehandleren at databehandleren også er pliktig til å gjennomføre de sikringstiltak som følger av § 13. Et slikt krav til avtalen fremgår av art 17 nr 3 og 4 i direktivet og vil kunne bidra til å sikre at reglene om behandlingssikkerhet i § 13 blir etterlevet.
Til § 16 Frist for svare på henvendelser om informasjon m v
Bestemmelsen, som tilsvarer utvalgets § 14, gjennomfører bl a direktivet artikkel 12 om at den registrerte skal gis innsyn uten ugrunnet opphold, jf også punkt 5.6.1 i proposisjonen. Bestemmelsen er noe annerledes utformet enn utvalgets forslag, men innholdet er stort sett det samme.
Første ledd pålegger den behandlingsansvarlige å gi den registrerte innsyn osv uten ugrunnet opphold, og senest innen 30 dager etter at den registrerte henvendte seg til den behandlingsansvarlige. Hva som skal regnes som begrunnet opphold må vurderes konkret, med vekt på bl a hvor vanskelige spørsmål gjennomføringen av rettigheten reiser, begjæringens omfang og den behandlingsansvarliges arbeidsmengde for øvrig. Det må også legges vekt på i hvilken grad den som har bedt om f eks innsyn har behov for en rask avgjørelse. Vurderingen vil kunne variere noe ettersom hva slags rettighet det er tale om. Mens det raskt bør kunne avklares om f eks en person er registrert, kan spørsmål om sletting av opplysninger som ikke er mangelfulle, ta noen tid å avklare. Det må tas hensyn til det særlige behovet en registrert kan ha for å overholde klage- eller søksmålsfrister.
I enkelte tilfeller kan det være umulig å ta stilling til den registrertes krav innen trettidagersfristen i første ledd. Dersom forsinkelsen har sin årsak f eks i forhold som har en ekstraordinær karakter og som den behandlingsansvarlige ikke eller bare i begrenset grad har herredømme over, kan gjennomføringen utsettes, jf annet ledd første punktum. Det kan f eks være at en uforutsebar systemfeil eller diskkrasj gjør det umulig å gi innsyn. Det samme kan gjelde i de tilfellene der riksarkivaren må høres før opplysninger kan slettes, jf § 27 tredje ledd og § 28 fjerde ledd. Forsinkelse på grunn av dårlige rutiner eller sommel hos den behandlingsansvarlige vil derimot ikke være tilstrekkelig til å kunne utsette gjennomføringen i henhold til denne bestemmelsen.
Til § 17 Betaling
Bestemmelsen er innholdsmessig identisk med utvalgets forslag til § 17, med unntak av et nytt siste punktum, se også punkt 5.6.2 i proposisjonen. Bestemmelsen lovfester dagens rettstilstand, selv om personregisterloven - med unntak av § 20 annet ledd - ikke regulerer adgangen til å kreve vederlag for å oppfylle lovens regler. EU-direktivet har ikke noen generell regel om dette, men bestemmer i artikkel 12 bokstav a at innsynsretten skal gis uten urimelige kostnader.
Første ledd slår fast at den enkelte ikke skal betale eller yte annet vederlag for å gjøre bruk av retten til informasjon etter kapittel III eller rettighetene i kapittel IV. Om begrunnelsen for dette vises til departementets vurderinger i punkt 5.6.2.5.
Annet ledd gir Kongen - når særlige grunner gjør det nødvendig - adgang til å gi forskrift om at den registrerte må betale vederlag til den behandlingsansvarlige. Med særlige grunner siktes bl a til at kostnadene for de behandlingsansvarlige mot formodning viser seg å bli meget høye, eller at det er behov for å bruke vederlag for å begrense gjentatte og formålsløse forespørsler om innsyn fra samme person i de samme opplysningene. I siste punktum sies det uttrykkelig at et eventuelt vederlag ikke skal overstige de faktiske kostnadene forbundet med å gjennomføre de rettighetene som tilkommer den registrerte.
Kapittel III Informasjon om behandling av personopplysninger
Kapitlet inneholder regler om rett til innsyn i personopplysninger og om plikt for den behandlingsansvarlige til å varsle de registrerte når personopplysninger om dem samles inn. Reglene er i stor utstrekning omstrukturert i forhold til utvalgets forslag, først og fremst med sikte på å gjøre dem enklere og mer oversiktlige. Kapitlet innledes med en bestemmelse om retten enhver - og ikke bare den registrerte - har til informasjon og den utvidete retten for den som er registrert, jf § 18. Disse reglene medfører en plikt for den behandlingsansvarlige til å gi informasjon på begjæring. Dernest følger regler om plikt for den behandlingsansvarlige til å informere av eget tiltak - ved innsamling av opplysninger fra den registrerte og ved innsamling fra andre, jf §§ 19 og 20. Deretter følger særlige regler om rett til informasjon om automatiserte avgjørelser og personprofiler, jf §§ 21 og 22, før kapitlet avsluttes med fellesbestemmelser om unntak fra retten til informasjon og om hvordan informasjonen skal gis, jf §§ 23 og 24.
Til § 18 Rett til innsyn
Bestemmelsen følger hovedtrekkene i utvalgets §§ 16 og 18 og gjennomfører EU-direktivet artikkel 21 nr 3 og artikkel 12 a første og annet strekpunkt.
Første ledd, som gir enhver rett til generell informasjon om behandling av personopplysninger, styrker allmennhetens rett til innsyn forhold til personregisterloven (jf pregl § 7 tredje ledd). Retten til generell informasjon om behandlingen omtales mer generelt under punkt 5.2.3 i proposisjonen.
Når den behandlingsansvarlige er et organ for stat eller kommune, vil den generelle innsynsadgangen etter loven her supplere innsynsretten som følger av offentlighetsloven, jf § 6 i lovforslaget og merknadene til denne bestemmelsen.
Informasjonen som skal gis, er i hovedsak den samme som skal meldes til Datatilsynet. For meldepliktige behandlinger vil den som ønsker innsyn, kunne velge om innsyn skal kreves hos den behandlingsansvarlige eller å be om innsyn i den offentlige meldingsfortegnelsen hos Datatilsynet, jf § 42 tredje ledd nr 1.
Første ledd første punktum gir enhver (jf offentlighetsloven § 2) rett til å få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar. Formålet med bestemmelsen er å gi den som ber om innsyn en oversikt over de ulike formene for behandling, slik at han eller hun kan identifisere en eller flere bestemte behandlinger som det er interessant å få nærmere informasjon om. Retten til å få en oversikt over behandlingene vil langt på vei ha samme betydning som en postjournal har etter offentlighetsloven, og vil gi grunnlag for å individualisere behandlinger en ønsker nærmere innsyn i, jf nedenfor.
Første ledd gir videre den som ber om det rett til nærmere informasjon om en bestemt type behandling. I «bestemt» ligger et krav om individualisering av den behandlingen det ønskes nærmere informasjon om. Det er ikke nødvendig å begrunne hvorfor en ønsker informasjonen, og det er heller ikke adgang til å kreve at den som ber om innsyn legitimerer seg. Legitimasjon vil imidlertid kunne kreves når det gjelder innsyn i opplysninger som bare tilkommer registrerte, jf annet og tredje ledd og § 24 i lovforslaget.
Hva slags informasjon man har krav på i kraft av innsynsretten for enhver, fremgår av bokstav a - f. Ettersom informasjonen skal ha samme omfang som meldingen som skal sendes til Datatilsynet, legges det opp til at informasjonen skal være generell, standardisert og kortfattet. Etter bokstav f, som gir rett til innsyn i om personopplysningene vil bli utlevert m v, er det tilstrekkelig å angi kategorier av mottakere, f eks aktører i bestemte bransjer. Det er ikke nødvendig å navngi eller på annen måte identifisere hver mottaker. På den annen side vil det ikke oppfylle lovens krav om informasjonen blir så abstrakt at den blir nærmest intetsigende. Noe av formålet med bestemmelsen er å gi den enkelte mulighet til å få kunnskap om den aktuelle behandlingen før vedkommende blir registrert. På denne måten kan den enkelte gis et bedre grunnlag til f eks å ta stilling til om risikoen for personvernet ved å bli rabattkortkunde oppveies av fordelene som kortbruken kan gi.
Det er tilstrekkelig at den behandlingsansvarlige gir den informasjonen som er tilgjengelig for ham eller henne. Når det f eks gjelder informasjon om hvor opplysningene er hentet fra, er det tilstrekkelig å informere om hvor den behandlingsansvarlige har hentet dem fra - det er ikke nødvendig at den behandlingsansvarlige utreder hva som var den opprinnelige kilden for opplysningene.
Begrensninger i innsynsretten følger av § 23.
Dersom den som ber om innsyn er registrert, har vedkommende også krav på mer utfyllende informasjon om de opplysningene som behandles om vedkommende selv, jf annet ledd. Også dette er informasjon som den behandlingsansvarlige skal gi av eget tiltak - den registrerte behøver ikke be uttrykkelig om tilleggsinformasjonen som bare tilkommer registrerte. Den registrerte kan imidlertid begjære innsyn i slike opplysninger direkte uten først å gå veien om generell informasjon i første ledd. For å sikre at opplysninger ikke utleveres til andre enn den som virkelig er registrert, kan den behandlingsansvarlige kreve dokumentasjon i samsvar med § 24 i lovforslaget. Utvalget la i sitt forslag til § 18 opp til at dette var informasjon som den registrerte selv måtte be om. Departementet kan ikke se at det vil være noen fordel verken for den registrerte eller den behandlingsansvarlige å måtte behandle begjæringer om innsyn i to omganger; først i generell informasjon som tilkommer enhver og dernest i slike opplysninger som bare tilkommer den registrerte.
Den registrerte skal for det første få vite hvilke opplysninger om vedkommende selv som behandles, jf bokstav a. Dette gir bl a mulighet for å avdekke uriktige eller ufullstendige opplysninger, som så kan kreves rettet, jf § 27. Innsynsretten gjelder både opplysninger som er inntatt i manuelle personregistre, og opplysninger som behandles elektronisk. Innsynsretten gjelder likt for offentlige og private behandlingsansvarlige. Den registrerte skal også informeres om sikkerhetstiltak ved behandlingen så langt det å gi slik informasjon ikke svekker sikkerheten, jf bokstav b og utvalgets § 18 første ledd nr 5. Enkelte høringsinstanser har uttrykt skepsis til at det skal kunne kreves innsyn i sikkerhetstiltak. Departementet vil for sin del peke på at selv om de fleste registerte nok vil ha begrenset innsyn i tekniske sikkerhetsdetaljer, kan det være betryggende å vite at visse sikkerhetstiltak er på plass. Som også utvalget understreker, finnes det dessuten flere typer sikkerhetstiltak som ikke svekkes selv om det gis innsyn i dem.
Tredje ledd pålegger den behandlingsansvarlige på visse vilkår og etter anmodning fra den registrerte å gi utfyllende informasjon til den registrerte om forhold som nevnt i første ledd. Bakgrunnen er at den registrerte kan ha behov for mer konkret og individualisert informasjon enn den generelle og kortfattede informasjonen som skal gis etter første ledd. For eksempel kan den registrerte ønske mer konkret informasjon om hvem opplysningene om ham eller henne selv utleveres til.
Fjerde ledd oppstiller unntak fra innsynsretten for opplysninger som utelukkende behandles for historiske, statistiske eller vitenskapelige formål, jf § 19 første ledd i utvalgets forslag og art 13 nr 2 i direktivet. Uttrykket «historiske» omfatter bl a behandling i form av arkivering. Den registrerte kan f eks ikke henvende seg på Riksarkivet og kreve innsyn i alle opplysningene om en selv som måtte være lagret der i manuelle personregistre eller elektroniske informasjonssamlinger. For å understreke at unntaket ikke skal innebære noen fare for krenkelse av personvernet, er det i samsvar med utvalgets forslag tilføyet et vilkår om at behandlingen ikke får direkte betydning for den registrerte. Dette innebærer at den registrerte likevel har innsynsrett dersom behandlingen enten får rettsvirkninger eller direkte faktiske virkninger for ham eller henne, jf s 146 i utredningen. Øvrige unntak fra den registrertes rett til innsyn følger av § 23 i lovforslaget.
Til § 19 Informasjonsplikt når det samles inn opplysninger fra den registrerte
Bestemmelsen, som er ny i forhold til gjeldende rett, tilsvarer utvalgets § 20 og gjennomfører direktivet artikkel 10, jf også punkt 5.3 i proposisjonen. Den behandlingsansvarlige blir pålagt å informere den registrerte om forhold som nevnt i første ledd bokstav a - e når det innsamles opplysninger fra den registrerte. Informasjonen skal gis av eget tiltak; i motsetning til innsynsretten i § 18 er det ikke nødvendig at den registrerte ber om informasjon.
Bestemmelsen gjelder bare når personopplysningene samles inn fra den registrerte selv. Uttrykket «samles inn» omfatter for det første at den behandlingsansvarlige gjør uttrykkelige muntlige eller skriftlige henvendelser til den registrerte og ber om opplysninger. Men også mer indirekte innsamling omfattes, som for eksempel at den registrerte etterlater seg elektroniske spor i systemer for betalingsformidling, elektroniske informasjonstjenester eller gjennom systemer fra elektronisk handel. Hvordan varslingsplikten her mest praktisk kan gjennomføres, avhenger av hvordan systemet for innsamling av sporene er innrettet. Dersom innsamlingen av de elektroniske sporene forutsetter forutgående kontakt mellom den behandlingsansvarlige og den registrerte, typisk ved at den registrerte må disponere et kort for å få tilgang til tjenester eller rabatter og etterlater seg elektroniske spor i den forbindelse, kan varselet tas inn i avtale eller en informasjonsfolder. Dersom innsamlingen av de elektroniske sporene ikke forutsetter kontakt mellom den behandlingsansvarlige og den registrerte, som f eks bruk av informasjonstjenester eller andre tjenester som er allment tilgjengelig på nettet, kan varslingen gjennomføres ved at det opplyses om behandlingen av opplysningene gjennom lett tilgjengelig elektronisk informasjon før kontakten med nettstedet opprettes.
Uttrykket «samler inn» forutsetter at innhentingen av opplysningene bunner i et ønske om å tilegne seg informasjon om den registrerte, og omfatter ikke elektroniske spor som er nødvendige for å gjennomføre tekniske prosesser og som utelukkende nyttes til dette.
I henhold til bokstav b skal den behandlingsansvarlige opplyse om hva som er formålet med å samle inn opplysninger om den registrerte. Dersom det på et senere tidspunkt blir aktuelt å benytte opplysningene til et annet formål innenfor rammen av § 11, må den registrerte varsles på ny om dette formålet for at informasjonsplikten skal være oppfylt.
I forhold til utvalgets forslag er det nytt at den behandlingsansvarlige uten videre skal informere om opplysningene vil bli utlevert til andre, jf bokstav c. Dette får bl a betydning i forhold til utlevering av elektroniske spor som en registrert vil legge igjen hos en behandlingsansvarlig, jf ovenfor.
Informasjonen skal gis før den registrerte eventuelt gir fra seg opplysningene - noe av formålet med bestemmelsen er å sørge for at den registrerte har nok informasjon om behandlingen til å avgjøre om han eller hun vil gi fra seg opplysninger når dette er frivillig, jf bokstav d.
Den behandlingsansvarlige har plikt til å gi den registrerte ytterligere informasjon dersom dette må til for at den registrerte skal kunne bruke sine rettigheter på best mulig måte, jf bokstav e.
Annet ledd gjør unntak fra informasjonsplikten slik at det ikke er nødvendig å gi den registrerte informasjon som han eller hun allerede kjenner til. Det vil derfor som regel være tilstrekkelig å gi den registrerte informasjonen én gang. Unntaket får særlig betydning for behandlingsansvarlige som jevnlig samler inn opplysninger. For at unntaket skal få anvendelse stilles det strenge beviskrav - det må være klart at den registrerte har slik kunnskap fra før.
Til § 20 Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte
Bestemmelsen, som i hovedsak svarer til utvalgets § 21 og gjennomfører direktivet artikkel 11, pålegger den behandlingsansvarlige varslingsplikt når det samles inn opplysninger om den registrerte fra andre enn den registrerte selv, jf også punkt 5.3 i proposisjonen. Bestemmelsen har ingen parallell i personregisterloven.
Innhenting av opplysninger omfattes av behandlingsbegrepet, og kan bare finne sted dersom de grunnleggende behandlingsvilkårene er oppfylt, jf §§ 8 flg.
Første ledd oppstiller hovedregelen om at det skal varsles, og sier hva det skal informeres om, jf henvisningen til § 19 første ledd. Som hovedregel skal det varsles straks opplysningene er innhentet. Det er bare når opplysningene er samlet inn for å gis videre til andre at varsling kan utsettes, og da bare til utleveringen skjer.
Varslingen skal i utgangspunktet være individuell, dvs at den skal rette seg mot hver enkelt registrert. Dersom dette ikke er mulig, kan det være aktuelt å varsle kollektivt, f eks gjennom annonsering.
Enkelte høringsinstanser reiser spørsmål om varslingsreglene også kommer til anvendelse når noen mottar personopplysninger passivt, f eks i form av innberetning fra bobestyrer. Slik første ledd er utformet i departementets forslag, kreves det en viss aktivitet fra den som mottar opplysningene for at varslingsplikten skal gjelde, jf også merknadene til § 19. Samle inn er med andre ord noe mer enn å motta personopplysninger som ledd f eks i ordinær forvaltningsvirksomhet. Avgjørende i tvilstilfelle vil være om det reelt sett er et personvernbehov for varsling.
Det er ikke plikt til å varsle dersom innsamlingen av opplysningene er hjemlet i lov, jf annet ledd bokstav a. Dette gjelder bl a plikten til å levere selvangivelse, jf ligningsloven 13 juni 1980 nr 24 kapittel 4. I slike tilfeller vil loven selv gi tilstrekkelig varsel. Den informasjon som nevnes i § 20 jf § 19 første ledd, kan den registrerte da be om i medhold av § 18.
Varsel er heller ikke påkrevd dersom varsling er umulig eller uforholdsmessig vanskelig, jf annet ledd bokstav b. Om varsling er «uforholdsmessig vanskelig» avhenger av en konkret avveining av den registrertes nytte av å bli varslet holdt opp mot de ressursene det vil kreve å gjennomføre varslingen. Praksis i tilknytning til de liknende unntakene i forvaltningsloven § 16 tredje ledd bokstav a og b kan gi veiledning om hvor mye som skal til før unntaket får anvendelse.
Bokstav c slår fast at det heller ikke er nødvendig å gi den registrerte informasjon som han eller hun allerede kjenner til. For behandlingsansvarlige som jevnlig innhenter opplysninger, vil det som regel være tilstrekkelig å gi den registrerte informasjonen én gang, jf også § 19 om informasjonsplikt første gang opplysningene innhentes.
Andre unntak fra varslingsplikten følger av § 23 i lovforslaget.
Dersom det ikke er varslet i medhold av unntaket i bokstav b, skal det likevel varsles dersom den behandlingsansvarlige senere henvender seg til den registrerte på grunnlag av opplysningene, jf tredje ledd. Bestemmelsen sikrer at den registrerte får kjennskap til hvilken personopplysningsbehandling som ligger bak handlinger som får betydning for ham eller henne. Som eksempel kan nevnes direkte markedsføring, hvor markedsføreren samler inn opplysninger om en rekke personer for å velge ut dem som et tilbud best kan rettes mot. Etter omstendighetene kan antallet personer det samles inn opplysninger om være så stort at varsling er uforholdsmessig vanskelig, men tredje ledd krever varsling av dem som markedsføringen faktisk blir rettet mot.
Til § 21 Informasjonsplikt ved bruk av personprofiler
Bestemmelsen, som følger opp utvalgets § 23, har ingen uttrykkelig parallell i direktivet. I hovedsak svarer bestemmelsen til utvalgets forslag, men begrepet enkeltavgjørelse er tatt ut, jf diskusjonen i punkt 6.6.4.
Bestemmelsen gir rett til informasjon ved bruk av personprofiler, og får bl a betydning for bruken av elektroniske spor, dvs personopplysninger som rutinemessig innsamles i systemer for betalingsformidling, elektroniske informasjonstjenester og annet. For eksempel gir bruk av bonuskort mulighet til å innhente og sette sammen opplysninger om tid og sted for vareinnkjøp, samt hvilke varer og tjenester som erverves. Personprofiler kan også baseres på personopplysninger som er samlet inn på annen måte, f eks på opplysninger om inntektskategori, boligstrøk og alder. Felles for profilene er gjerne at de danner grunnlag for antagelser om ulike behov, som f eks at personene er mottakelige for tilbud om elektronisk handel. Profilene kan også nyttes til verving av medlemmer til organisasjoner, til givere til ideelle organisasjoner eller for politisk påvirkning. Endelig kan personprofiler inngå i grunnlaget for avgjørelser som retter seg mot den registrerte, som f eks risikokartlegging i forsikringsforhold eller ved behandling av lånesøknader.
Bestemmelsen medfører plikt til å varsle om at personprofiler er anvendt, hvilke kilder og opplysningstyper som er anvendt og hvem som er behandlingsansvarlig for profilen. Derimot kreves ikke at det informeres om hvilke konkrete antagelser som ligger bak den enkelte personprofilen.
Bestemmelsen supplerer de øvrige reglene om informasjonsplikt i §§ 18-20 fordi disse reglene ikke pålegger varsling om at personprofilen er utarbeidet og bare delvis hvordan dette er gjort.
Utarbeiding av personprofiler er behandling av personopplysninger, og må oppfylle de alminnelige vilkårene for slik behandling, jf §§ 8, 9 og 11 i lovforslaget.
Til § 22 Rett til informasjon om automatiserte avgjørelser
Bestemmelsen, som svarer til utvalgets § 22 og gjennomfører direktivet artikkel 12 bokstav a tredje strekpunkt, gir den registrerte rett til informasjon om helt automatiserte avgjørelser. Bestemmelsen har ingen parallell i personregisterloven, men liknende rett til informasjon fra offentlige behandlingsansvarlige kan bygges på annen lovgivning, f eks forvaltningsloven §§ 24 og 25 om partens rett til begrunnelse for enkeltvedtak. I forhold til private behandlingsansvarlige vil bestemmelsen gi innsyn som man ikke har krav på etter gjeldende rett.
Bestemmelsen gjelder bare for fullstendig automatiserte avgjørelser, dvs beslutninger som utelukkende er basert på beslutningsprosessen i et datamaskinsystem (jf direktivet artikkel 15). Dersom ett eller flere mennesker tar del i beslutningsprosessen, f eks ved å tolke resultatet av datamaskinbehandlingen, eller ved å kvalitetskontrollere dette, gjelder ikke bestemmelsen. Det manuelle delen av behandlingen må imidlertid være reell.
Bestemmelsen gjelder enhver avgjørelse som retter seg mot den registrerte og som bygger på personopplysninger. Med avgjørelse menes beslutning som har rettslige eller faktiske virkninger for den registrerte. Eksempler på slike avgjørelser er enkeltvedtak i forvaltningen og avgjørelse av lånesøknad eller ønske om å tegne forsikring.
Det skal informeres om hvordan datamaskinbehandlingen har kommet frem til resultatet. For å oppfylle dette må det redegjøres for den beslutningsprosessen som ligger til grunn for avgjørelsen, dvs regelinnholdet i datamaskinprogrammene. Med «regler» menes normer som styrer avgjørelsesprosessen, som f eks tolkninger av rettsregler, avtaler eller skjønnsmessige vurderinger.
Unntak fra retten til informasjon er gitt i § 23 i lovforslaget. Blant annet er det ikke påkrevd å gi informasjon om programvare som det kan være av konkurransemessig betydning å hemmeligholde, jf § 23 første ledd bokstav f.
Til § 23 Unntak fra retten til informasjon
Bestemmelsen oppstiller felles unntak fra plikten til å gi informasjon om behandlingen, jf direktivet artikkel 13. Bestemmelsen erstatter og videreutvikler utvalgets forslag til unntaksregler i § 16 tredje ledd og § 19. Departementet ser det som hensiktsmessig så langt som mulig å harmonisere unntakene fra de ulike reglene om varsel og innsyn. Unntakene er av en slik karakter at de omfattes av direktivet artikkel 13. Det vises for øvrig til de generelle merknadene pkt 5.2.4.5.
Første ledd bokstav a tilsvarer unntaket i offentlighetsloven § 6 første ledd nr 1, og tolkningspraksis vedrørende denne bestemmelsen vil være veiledende ved anvendelsen av dette unntaket. Mens offentlighetsloven § 6 første ledd nr 1 gjelder almennhetens innsyn i dokumentet som sådan, har imidlertid § 23 første ledd bokstav a et snevrere virkefelt. Den gjelder for det første bare informasjon om konkrete personopplysninger og behandlingen av disse. Med unntak av § 18 første ledd er ikke informasjonsplikten generell, men bare rettet mot den registrerte. Hvorvidt innsyn eller varsling ville kunne skade rikets sikkerhet, landets forsvar eller forholdet til fremmede makter eller internasjonale organisasjoner må derfor vurderes konkret ut fra hvilket skadepotensiale utlevering av de aktuelle opplysningene til den registrerte vil ha.
Første ledd bokstav b gjør unntak for opplysninger som det er påkrevet å hemmeligholde av hensyn til å forebygge, etterforske, avsløre eller rettslig forfølge straffbare handlinger. Med etterforskning menes slik etterforskning som reguleres av straffeprosessloven kapittel 18. Bestemmelsen åpner også for unntak for å avdekke straffbare forhold som ledd i andre kontrolletaters virksomhet, jf f eks toll- og ligningsvesenet.
Første ledd bokstav c tilsvarer forvaltningsloven § 19 første ledd bokstav c og skal forstås på samme måte. Bestemmelsen vil imidlertid også gjelde for private behandlingsansvarlige. Det følger av annet ledd at opplysningene på anmodning kan gjøres kjent overfor en representant for den registrerte med mindre særlige grunner taler mot det.
Første ledd bokstav d henviser til lovbestemmelser om taushetsplikt, og gjør det klart at slik taushetsplikt går foran personopplysningslovens bestemmelser om informasjonsplikt og innsynsrett. For offentlige behandlingsansvarlige er særlig de generelle reglene i forvaltningsloven § 13 praktiske.
Unntaket i første ledd bokstav e omfatter personopplysninger som utelukkende finnes i organinterne dokumenter i offentlig eller privat virksomhet - typisk konsepter og utkast som utarbeides og bearbeides med elektronisk saksbehandlingsutstyr. Unntaket er dels praktisk begrunnet, og dels forankret i hensyn som underbygger unntaksreglene i offentlighetsloven § 5 første ledd og forvaltningsloven § 18 annet ledd første punktum. Unntaket gjelder bare dersom opplysningene ikke er utlevert til andre, dvs andre forvaltningsorganer eller andre rettssubjekter enn den behandlingsansvarlige.
Unntaket i første ledd bokstav f er et generelt utformet og gir adgang til å gjøre unntak fra informasjonsplikten når åpenbare og grunnleggende private eller offentlige interesser tilsier det. Vilkårene for å gjøre unntak i medhold av denne bestemmelsen er strenge, jf de kvalifiserte kravene som kommer til uttrykk i «åpenbare» og «grunnleggende».
Offentlighetsloven § 6 inneholder en rekke bestemmelser om unntak fra offentlighet på bakgrunn av offentlige og private interesser. Disse unntakene kan være veiledende også i forhold til bokstav f. Som nevnt under merknaden til første ledd bokstav a, vil imidlertid den konkrete vurderingen ofte falle annerledes ut ved anvendelsen av personopplysningsloven enn ved anvendelsen av offentlighetsloven i og med at innsynsretten etter personopplysningsloven for en stor del knytter seg til innsyn i eller varsling om opplysninger om en selv.
Det kan være grunn til å holde tilbake opplysninger som det vil være av konkurransemessig betydning å hemmeligholde. Slike opplysninger vil ofte være underlagt taushetsplikt i offentlige organer, jf forvaltningsloven § 13 første ledd nr 2, og dermed falle inn under unntaksbestemmelsen i bokstav d. Tilsvarende taushetsplikt finnes imidlertid ikke for private rettssubjekter. Departementet vil understreke at konkurransemessige hensyn bare unntaksvis vil gi hjemmel for ikke å gi den registrerte innsyn i opplysninger om den registrerte selv. Unntaket som er begrunnet i slike hensyn vil først og fremst gjelde opplysninger om selve behandlingsmåten. Skal opplysninger om den registrerte unntas på dette grunnlaget, må den behandlingsansvarlige påvise at utvalget av opplysninger om den registrerte i seg selv er av en slik karakter at det er av konkurransemessig betydning å hemmeligholde dem.
Et annet eksempel på at unntak kan være påkrevet fordi innsyn kan skade åpenbare og grunnleggende private interesser er opplysninger om hvem som er begunstiget i livsforsikringer. Det samme gjelder andre opplysninger i forsikringsforhold som - om andre enn avtalepartene fikk adgang til dem - ville ødelegge tilliten i avtaleforholdet mellom forsikringsselskapet og forsikringstakeren.
Såvel private som forvaltningsorganer kan videre ha behov for å kunne holde tilbake persontilknyttede opplysninger som f eks samles opp som ledd i den interne forberedelsen av eget forsvar i rettssaker, dersom det kan antas at utlevering av informasjonen vil skade ens stilling som part i rettergangen.
Nok et eksempel på et mulig unntak er der menneskerettighetsorganisasjoner gjennom å måtte utgi opplysninger om den registerte, vil kunne bringe andre personer (f eks kildene til opplysningene) i fare.
Den som nekter innsyn under henvisning til et av unntakene, må begrunne dette skriftlig med presis henvisning til unntakshjemmelen, jf tredje ledd. Dette vil bidra til å bevisstgjøre de behandlingsansvarlige, samtidig som det vil gi den registerte dokumentasjon som gjør det lettere å henvende seg til Datatilsynet for å anmode om bistand for å vurdere om opplysningsplikten er overholdt.
Til § 24 Hvordan informasjonen skal gis
Skriftlighetskravet innebærer at det må brukes skrifttegn når informasjonen skal gis eller begjæres, men er ikke til hinder for at det nyttes elektroniske dokumenter. Bestemmelsen viderefører og samler utvalgets forslag til § 16 annet ledd annet punktum og § 18 annet ledd annet punktum.
Informasjon kan kreves både hos den behandlingsansvarlige og dennes databehandler. I hvilken utstrekning databehandleren på egen hånd kan ta stilling til begjæringer om innsyn avhenger av avtalen mellom databehandleren og den behandlingsansvarlige, jf § 15. Selv om databehandleren har fullmakt til å avgjøre innsynsbegjæringer, vil det være den behandlingsansvarlige som har hovedansvaret for at lovens innsyns-, og varslingsregler blir overholdt, jf merknadene til § 15 og § 2 nr 5.
Adgangen til å kreve en skriftlig og undertegnet innsynsbegjæring skal sikre at det er den registrerte og ingen annen som får tilgang til opplysningene. Begjæringen kan sendes elektronisk. Det må isåfall kunne kreves at den registrerte identifiserer seg på en tilstrekkelig sikker måte, f eks ved bruk av digital signatur.
Kapittel IV Andre rettigheter for den registrerte
Til § 25 Rett til å kreve manuell behandling
Bestemmelsen, som følger opp utvalgets § 27, gjennomfører direktivet artikkel 15 nr 1. Departementet har gitt bestemmelsen en litt annen utforming, men innholdet svarer i hovedsak til utvalgets forslag. Bestemmelsen er ny i forhold til gjeldende rett.
Hva slags avgjørelser som bestemmelsen får anvendelse på, er nærmere kommentert i merknadene til § 22 som gir rett til informasjon om tilsvarende avgjørelser.
Med «overprøves av en fysisk person» menes at den registrerte kan kreve at avgjørelsen granskes av et menneske som har kompetanse til å endre avgjørelsen. Den behandlingsansvarlige har imidlertid ikke plikt til å treffe en ny avgjørelse med et annet innhold - det er den automatiske behandlingsmåten bestemmelsen skal avhjelpe, ikke nødvendigvis resultatet. Dersom en registrert søker om lån via en bankkiosk, og avgjørelsen av lånesøknaden fullt ut skjer gjennom automatisk databehandling, kan han eller hun kreve at avslag på lånesøknaden undersøkes av en person. Noe positivt utfall kan den registrerte ikke kreve.
Annet ledd oppstiller unntak fra bestemmelsen. Retten til å kreve manuell overprøving gjelder ikke for avgjørelser som er hjemlet i lov. Dette vil gjelde de fleste avgjørelser hvor det utøves offentlig myndighet med adgang til å klage etter forvaltningslovens regler, jf fvl kapittel VI. Eksempel på avgjørelser som vil omfattes av unntaket er vedtak om trygdeutbetalinger. Tilskuddsordninger vil derimot først måtte lovhjemles for å falle inn under unntaket. Retten til å kreve manuell overprøving gjelder heller ikke når avgjørelsen treffes som ledd i oppfyllelsen av en kontrakt. Unntaket knyttet til kontrakt gjelder bare dersom det faktisk er inngått en avtale. Hvis den automatiske avgjørelsen går ut på at den registrerte ikke får noe tilbud, gjelder retten til overprøving. For begge unntakene er det i tillegg et vilkår at den registrertes personverninteresser blir varetatt på en tilstrekkelig måte. Datatilsynet har kompetanse til å avgjøre om personverntiltakene er tilstrekkelige, jf § 46 i lovforslaget.
Til § 26 Rett til å reservere seg mot direkte markedsføring
Bestemmelsen, som bygger på utvalgets § 28 og viderefører personregisterloven § 8a og § 28 første ledd, gjennomfører direktivet artikkel 14 b.
Departementet er enig med utvalget i at det er mest nærliggende at reglene om reservasjonsregisteret gis i personopplysningsloven med tilhørende forskrifter. Departementet har i hovedsak fulgt opp utvalgets forslag.
Annet ledd gir den registrerte rett til å kreve sitt navn sperret mot bruk til direkte markedsføring uavhengig av hva slags medium markedsføreren benytter. Reservasjonsretten omfatter all adressert reklame (i postkasse, på telefaks og e-post) samt telefonsalg. At også telefonsalg er omfattet er nytt i forhold til personregisterloven.
Med «direkte markedsføring» menes direkte henvendelser til enkeltpersoner for å selge varer, tjenester eller medlemskap. I motsetning til utvalget mener departementet at reservasjonsretten også bør omfatte markedsføring i regi av ideelle organisasjoner, sml utvalgets uttalelser i utredningen s 151. Dette skyldes dels at en vesentlig del av telefonsalget forestås av ideelle organisasjoner, slik at man ved å unnta dem vil uthule reservasjonsretten, dels at et slikt unntak vil kunne være i strid med Europaparlaments- og rådsdirektiv 97/7/EF om vern av forbrukere med hensyn til avtaler som inngås ved fjernsalg (fjernsalgsdirektivet) art 10.
Sperring kan kreves både i det sentrale reservasjonsregisteret og i markedsførerens eget register, jf annet ledd annet punktum.
Den behandlingsansvarlige har plikt til å oppdatere adresseregisteret i henhold til det sentrale reservasjonsregisteret fire ganger per år, jf tredje ledd. Oppdateringsfrekvensen er økt i forhold til utvalgets forslag om to ganger årlig.
For å sikre at lovforslaget er forenlig med fjernsalgsdirektivet artikkel 10, som har som formål å gi forbrukeren rett til effektivt å kunne reservere seg mot visse typer markedsføring hvor man benytter fjernkommunikasjon, unnlater departementet å følge opp forslaget om å åpne for forskriftsbestemte unntak fra plikten til å oppdatere adresseregistrene mot reservasjonsregisteret, jf § 28 tredje ledd annet punktum i utvalgets lovutkast.
Mottakere av direkte reklame skal få opplyst hvem som har oppgitt personopplysningene som ligger til grunn for henvendelsen, jf fjerde ledd. I dette ligger krav om obligatorisk kildemerking for adressert reklame, eller - for markedsføring over telefon - plikt til å opplyse hvem som er kilde for personopplysningene. Bestemmelsen lovfester Datatilsynets praksis, som har dette som vilkår i konsesjonene for adresserings- og distribusjonsforetak. Bestemmelsen går lenger enn personregisterloven § 28 som gir rett til å be om kildeangivelse, men som ikke pålegger at dette automatisk opplyses.
Det følger av femte ledd at reservasjonsretten i det sentrale reservasjonsregisteret ikke gjelder for markedsføring av egne produkter fra behandlingsansvarlige som den registrerte har et løpende kundeforhold til. Ofte vil det i slike sammenhenger være vanskelig og unaturlig å sondre mellom saklig informasjon knyttet til avtaleforholdet og markedsføring av produkter med nær sammenheng til dette. Et løpende kundeforhold vil i mange sammenhenger kunne anses som et samtykke til at foretaket kan sende kunden informasjon og reklame innenfor sitt område, og kunden vil alltid ha mulighet til å reservere seg direkte hos markedsføreren. Unntaket må derfor anses forenlig med fjernsalgsdirektivet. Hva som skal til for at det dreier seg om et løpende kundeforhold må vurderes bl a med bakgrunn i hvilken bransje og hvilke varer eller tjenester det dreier seg om. Typiske eksempler på løpende kundeforhold er langvarige avtaleforhold som f eks avtale om banklån eller livsforsikring.
Til § 27 Retting av mangelfulle personopplysninger
Bestemmelsen, som tilsvarer utvalgets § 25 og personregisterloven § 8, gjennomfører direktivet artikkel 12 b og c, jf også artikkel 6 nr 1 d. Departementet har utformet bestemmelsen noe annerledes enn utvalget foreslo, jf merknadene nedenfor.
Sletting av korrekte, men overflødige personopplysninger reguleres i § 28, mens plikten for den behandlingsansvarlige til å rette mangelfulle personopplysninger av eget tiltak også følger av § 11 første ledd bokstav e i lovforslaget.
Første ledd pålegger den behandlingsansvarlige å rette ulike former for mangelfulle personopplysninger. Rettingen skal skje av eget tiltak - det er ikke nødvendig at den registrerte ber om retting. Muntlig eller skriftlig begjæring fra den registrerte kan likevel ha betydning rent faktisk, fordi den behandlingsansvarlige på denne måten blir kjent med at opplysningene er mangelfulle. I motsetning til utvalgets forslag gjelder plikten til å rette selv om opplysningsmangelen ikke kan få betydning for den registrerte.
I tillegg til å rette de mangelfulle opplysningene skal den behandlingsansvarlige om mulig sørge for at feilen ikke får betydning for den registrerte, jf første ledd annet punktum, bl a ved å varsle mottakere som har fått utlevert opplysningene om at opplysningene er mangelfulle og gi korrekte og fullstendige opplysninger. Den som blir varslet vil i sin tur ha plikt til å varsle det eventuelle neste leddet opplysningene er utlevert til i den utstrekning vedkommende har behandlet opplysningene på en måte som faller inn under loven i henhold til § 3. Varsling kreves ikke dersom dette er umulig eller uforholdsmessig vanskelig, jf reservasjonen «om mulig».
Dersom den registrerte ikke er fornøyd med rettingstiltakene, kan han eller hun anmode Datatilsynet om å gi pålegg etter § 46.
Annet ledd oppstiller nærmere regler om retting av uriktige eller ufullstendige personopplysninger. I utgangspunktet er det den behandlingsansvarlige som selv avgjør hvordan retting skal skje. På enkelte områder vil det også være egne lovregler som regulerer dette, jf f eks lov om regnskap 17 juli 1998 § 2-1 tredje ledd som slår fast at registrerte opplysninger som hovedregel ikke skal endres, og at nødvendig korreksjon skal skje med gjensidig henvisning mellom den nye og den opprinnelig registrerte opplysningen. Forskrift 17 mars 1989 nr 277 om legers og helseinstitusjoners journal for pasient slår i § 11 fast at retting ikke må foretas ved sletting eller fjerning av det som er journalført - det kreves ny journalføring eller datert rettelse. Dersom det er behov for å kunne dokumentere at det er behandlet uriktige eller ufullstendige personopplysninger bør retting bare unntaksvis gjennomføres ved at opplysningene slettes. Det kan f eks dreie seg om opplysninger som har dannet grunnlag for vedtak som er truffet av offentlige organer, eller for avtaler som en privat behandlingsansvarlig har inngått med den registrerte. I slike tilfeller tilsier bl a rettsikkerhetshensyn og kulturelle hensyn at retting skjer ved at opplysningene markeres og suppleres med korrekte og fullstendige opplysninger. På denne bakgrunn går departementet inn for å presisere særskilt at retting av uriktige eller ufullstendige personopplysninger som kan ha betydning som dokumentasjon, skal foretas i form av en tydelig markering av de feilaktige opplysningene supplert med korrekt informasjon, jf også punkt 5.5.5 i proposisjonen.
Tredje ledd, gir adgang for Datatilsynet til å bestemme at mangelfulle personopplysninger skal slettes selv om de kan ha betydning som dokumentasjon. Bestemmelsen skyldes at de uriktige eller ufullstendige personopplysningene kan gi et så uheldig og stigmatiserende bilde av den registrerte at markering og supplering åpenbart ikke gir noen tilfredsstillende løsning for den registrerte. Det kan f eks være behandlet uriktige opplysninger om at den registerte sympatiserer med terroristiske grupperinger eller er bruker av barnepornografi. I slike tilfeller - når tungtveiende personvernhensyn tilsier det - er Datatilsynet gitt kompetanse til å bestemme at de uriktige eller ufullstendige opplysningene skal slettes, dvs fjernes for godt, eller sperres - dvs oppbevares, men gjøres utilgjengelige slik Datatilsynet bestemmer. Sperring bør foretrekkes dersom det gir en tilfredsstillende løsning. I samsvar med prinsippet nedfelt i arkivloven § 9 og § 18 vil Datatilsynets vedtak om sletting gå foran arkivlovens kassasjonsbestemmelser, jf tredje punktum. Dagens praksis med at Riksarkivaren skal høres før det treffes vedtak om sletting, bør nedfelles i lovteksten, jf annet punktum.
Også ved sletting bør det om mulig suppleres med korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, bør hele dokumentet slettes, jf fjerde ledd.
Etter femte ledd kan Kongen gi utfyllende bestemmelser om hvordan retting skal gjennomføres.
Til § 28 Forbud mot å lagre unødvendige personopplysninger
Bestemmelsen, som svarer til utvalgets § 26 og gjennomfører direktivet artikkel 6 nr 1 e, avviker på flere punkter fra utvalgets forslag. Bestemmelsen har ingen parallell i personregisterloven, men sletting av personopplysninger reguleres i Datatilsynets konsesjoner.
Etter første ledd skal ikke behandlingsansvarlige lagre personopplysninger lenger enn det er nødvendig for å gjennomføre formålet med behandlingen. I tråd med lovens generelle anvendelsesområde gjelder bestemmelsen for personopplysninger som enten inngår i et manuelt personregister, eller som behandles elektronisk. Bestemmelsen vil typisk få betydning når en personopplysningsbehandling skal avsluttes, eller når behandlingen skal bygge på nye eller andre opplysninger enn dem som hittil har vært behandlet. Dersom det f eks er nødvendig å oppbevare opplysninger av hensyn til etterfølgende kontroll med et vedtak, jf § 27 annet ledd, vil dette være et formål som kan gjøre det nødvendig å oppbevare opplysningene selv om hovedformålet med innsamlingen av opplysningene er gjennomført.
Bestemmelsen sier uttrykkelig hva som skal skje med personopplysningene det ikke lenger er behov for. Hvis ikke opplysningene i medhold av lov skal oppbevares, skal de slettes. Eksempler på lovgivning som krever oppbevaring er hovedreglene i arkivloven §§ 9 og 10, og lov om regnskap 17 juli 1998 § 2-7 som pålegger plikt til å oppbevare visse regnskapsdokumenter - herunder timelister og andre arbeidstidsregistreringer - i 10 år. Et annet eksempel på særregulering finnes i forskrift 17 mars 1989 nr 277 om legers og helseinstitusjoners journal for pasient som i § 15 bestemmer at journaler i bl a somatiske og psykiatriske sykehus i utgangspunktet skal oppbevares i ubegrenset tid.
Annet ledd slår fast at første ledd ikke er til hinder for at de overflødige personopplysninger fortsatt oppbevares av den behandlingsansvarlige for å bli brukt som ledd i historisk, statistisk eller vitenskapelig virksomhet. Det er en forutsetning at samfunnets interesse i at opplysningene fortsatt blir lagret klart overstiger de ulempene som oppbevaringen kan få for den enkelte. Oppbevaringen kan finne sted så lenge disse formålene gjør det nødvendig. Det oppstilles som personverngaranti at opplysningene ikke skal kunne knyttes til de registrerte lenger enn nødvendig. Dersom den behandlingsansvarlige kan oppfylle formålet ved å behandle opplysninger som er anonymisert eller pseudonymisert, plikter han å gjøre dette. Departementet antar dette er særlig praktisk når personopplysninger nyttes til statistisk virksomhet eller for ulike forskningsformål. Opplysninger som ikke kan knyttes til en bestemt registrert er ikke lenger personopplysning i lovens forstand, og reguleres ikke av loven.
Tredje ledd, som tilsvarer utvalgets § 26 annet ledd, gir den registrerte rett til - såfremt visse vilkår er oppfylt - å kreve opplysninger om seg selv sperret eller slettet selv om de er korrekte. Vilkårene for dette er imidlertid strenge. For det første kan sletting bare kreves dersom oppbevaringen av de aktuelle opplysningene er sterkt belastende for den registrerte. Departementet har her kvalifisert vilkåret i forhold til utvalgets forslag, jf uttrykket «sterkt», slik at det skal mer til før sletting kan kreves. Hva som anses som «sterkt belastende» må i utgangspunktet vurderes objektivt - det må spørres om oppbevaringen av denne type opplysninger ville oppleves som sterkt belastende av folk flest. Men også den registrertes egen oppfatning kan tas med i vurderingen. For det annet kan sletting ikke gjennomføres hvis det vil stride mot annen lov, jf tredje ledd bokstav a. Endelig må sletting finnes forsvarlig etter en samlet totalvurdering hvor en rekke interesser og hensyn må tas i betraktning. For eksempel må det vurderes om sletting kan påvirke andres mulighet til å kunne dokumentere rettslige eller faktiske forhold. Dersom sletting av opplysninger om A vil føre til at B mister mulighet til å dokumentere et rettskrav, vil det være et tungtveiende argument mot å tillate sletting, og lett føre til at sletting ikke finnes «forsvarlig» slik loven nytter ordet. Men også mer kollektive interesser må tas med i vurderingen, som for eksempel behovet for kildemateriale til historisk forskning og kulturhistorisk virksomhet.
Fjerde ledd gir Datatilsynet adgang til å beslutte sletting eller sperring. Tilsynet kan beslutte at personopplysninger skal slettes, selv om dette ellers ville vært i strid med arkivlovens bestemmelser om kassasjon. Også Datatilsynets vedtak etter denne bestemmelsen går foran det betingede kassasjonsforbudet i arkivloven §§ 9 og 18, og Riksarkivaren skal høres før det treffes vedtak om sletting.
Dersom det gir en tilfredsstillende løsning bør man som alternativ til sletting vurdere sperring av opplysningene, jf også merknadene til § 27.
Kapittel V Overføring av personopplysninger til utlandet
Til § 29 Grunnleggende vilkår
Bestemmelsen gir hovedregelen for overføring av personopplysninger til utlandet. Den bygger i stor utstrekning på utvalgets forslag til § 29, jf også art 25 i direktivet, men er omformulert og forenklet. Bestemmelsen er ny i forhold til gjeldende rett.
I kravet om at vedkommende stat skal sikre en forsvarlig behandling av personopplysningene ligger at overføringen av personopplysninger ikke må medføre noen vesentlig forringelse av det vernet som lovforslaget her skal sikre. Dette gjelder både de materielle kravene som stilles til behandlingen av opplysningene, hvilke rettigheter de registrerte tilstås og andre krav som f eks tilsyn og informasjonssikkerhet. Det bør også legges vekt på om det er mulig å få kontrollert og overprøvd for domstolene om reglene overholdes.
Stater som har gjennomført EU-direktivet om personopplysninger skal anses å oppfylle kravet til forsvarlig behandling i første punktum, jf punkt 10.5 i proposisjonen.
I vurderingen av om en stat sikrer en forsvarlig behandling av personopplysningene må det legges vekt på personvernlovgivningen i vedkommende stat, men også på andre reguleringsformer som f eks bransjenormer, regler for god forretningsskikk osv. Det må videre legges vekt på hva slags opplysninger det er tale om å overføre og formålet med overføringen. Oppregningen av momenter i annet ledd er ikke uttømmende.
Det er i utgangspunktet den behandlingsansvarlige selv som må vurdere om det landet som opplysningene skal overføres til vil sikre en forsvarlig behandling, jf punkt 10.5. Datatilsynet vil imidlertid ha en sentral veiledningsfunksjon, jf § 42 tredje ledd nr 6 i lovforslaget.
Bestemmelsen gjelder overføring til en adressat i utlandet. Det forhold at opplysninger som sendes elektronisk til en adressat i Norge rent faktisk transporteres via et annet land, medfører ikke at det må anses som en overføring til en annet stat i henhold til denne bestemmelsen. Det samme gjelder dersom opplysningene mellomlagres i utlandet uten at den behandlingsansvarlige på forhånd kjenner til dette. Oversending av personopplysninger via e-mail vil etter dette være en overføring dersom mottakeren befinner seg i utlandet.
Om tilgjengeliggjøring av opplysninger på internett f eks i form av en hjemmeside, vises til de generelle merknadene under punkt 10.5. Som det fremgår der, bør det ved vurderingen etter § 29 legges avgjørende vekt på om opplysningene er av en slik art at de kan offentliggjøres i henhold til de alminnelige behandlingsreglene i §§ 8 og 9 i lovforslaget. Kan opplysningene gis en ubegrenset spredning i medhold av disse bestemmelsene, bør de også kunne offentliggjøres globalt via internett.
Til § 30 Unntak
Bestemmelsen åpner for at personopplysninger i en del nærmere angitte tilfeller også kan overføres til stater som ikke sikrer et tilstrekkelig beskyttelsesnivå i henhold til § 29. Bestemmelsen er på enkelte punkter endret i forhold til utvalgets forslag til § 30, bl a for å bringe den nærmere i samsvar med artikkel 26 i direktivet.
En forutsetning for at det skal være aktuelt å overføre personopplysninger til utlandet er at det i det hele tatt er tillatt å behandle opplysningene i henhold til §§ 8 og 9 i lovforslaget.
Det første unntaket gjelder der den registrerte har samtykket i overføringen, jf første ledd bokstav a som gjennomfører EU-direktivet artikkel 26 nr 1 a. Samtykket må være informert og uttrykkelig, jf § 2 nr 7 i lovforslaget. Dette innebærer at den registrerte som et minimum må opplyses om hvilke opplysninger som overføres, hvilket formål de overføres for og til hvilket land dette skjer. I tillegg skal det gis andre opplysninger som kan ha betydning for den registrertes vurdering av risikoen ved overføringen.
Overføring kan også finne sted dersom Norge i henhold til en folkerettslig overenskomst eller medlemskap i en internasjonal organisasjon har forpliktet seg til å overføre opplysninger, jf bokstav b. Bestemmelsen viderefører personregisterforskriften § 8-1 annet ledd.
Det kan videre gjøres unntak når overføring er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og den behandlingsansvarlige, jf bokstav c som gjennomfører artikkel 26 nr 1 b i direktivet. Unntaket vil f eks komme til anvendelse når den registrerte ønsker å inngå en kjøpsavtale med en selger i et annet land og i den anledning må gi fra seg navn, adresse osv. Det samme gjelder der et reisebyrå må overføre personopplysninger til et reiseselskap i utlandet for at den registrerte skal kunne gjennomføre en utenlandsreise. Unntaket tilsvarer § 8 bokstav a i lovforslaget, jf nærmere under merknadene til denne bestemmelsen.
Etter bokstav d er det mulig å overføre opplysninger dersom det er nødvendig for å inngå eller oppfylle en kontrakt med en tredjeperson i den registrertes interesse, jf artikkel 26 nr 1 c i direktivet. I motsetning til bokstav c er det ikke noe vilkår at den registrerte selv er part i avtalen. Unntaket vil derfor først og fremst få betydning for avtaler som inngås mellom en behandlingsansvarlig og en tredjeperson og som har en positiv betydning for den registrerte. Det kan f eks dreie seg om en forsikringsavtale som inngås mellom den behandlingsansvarlige og et utenlandsk forsikringsselskap der den registrerte får stilling som medforsikret, jf forsikringsavtaleloven kapittel 7. Et annet eksempel kan være avtaler mellom en arbeidsgiver og et norsk forsikringsselskap om forsikring av arbeidstakere som arbeider i utlandet.
Bokstav e åpner for å gjøre unntak når det er nødvendig for å beskytte den registrertes vitale interesser, jf artikkel 26 nr 1 e i direktivet. Vilkåret tilsvarer § 8 bokstav c, jf merknadene til denne bestemmelsen. Vilkåret vil f eks være oppfylt dersom den registrerte blir skadd i utlandet slik at vedkommende selv ikke er i stand til å samtykke, og det er nødvendig å overføre helseopplysninger for at en livsviktig operasjon kan gjennomføres.
Bokstav f åpner for å overføre personopplysninger når det er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, jf artikkel 26 nr 1 d i direktivet. Unntaket tilsvarer § 9 bokstav e i lovforslaget og skal forstås på samme måte.
Etter bokstav g kan det gjøres unntak når det er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, jf artikkel 26 nr 1 d i direktivet. Unntaket er utformet noe annerledes enn utvalgets forslag til § 30 nr 3, bl a for å bringe det i nærmere samsvar med ordlyden i direktivet. Eksempler på overføringer som vil omfattes av bestemmelsen kan være utveksling av opplysninger mellom skatte- og tollmyndigheter eller trygdemyndigheter i ulike land.
Bokstav h, som er ny i forhold til utvalgets forslag, gjør det uttrykkelig klart at det er adgang til å overføre opplysninger fra offentlige registre som i henhold til lov er tilgjengelig for innsyn, enten generelt eller for personer som kan godtgjøre en berettiget interesse i å hente ut informasjon, jf også art 26 nr 1 f i direktivet. Bestemmelsen vil bl a få betydning for registerinformasjon fra Brønnøysundregistrene. Det er en forutsetning for å overføre opplysninger i henhold til denne bestemmelsen at de vilkårene som er fastsatt for utlevering i vedkommende registerlov er oppfylt. Etter punkt 58 i direktivets fortale er det videre slik at en overføring ikke bør omfatte alle opplysninger eller hele kategorier av opplysninger som finnes i vedkommende register. I den grad registeret er tilgjengelig for personer med en berettiget interesse i å hente ut informasjon, skal overføringen bare kunne foretas etter anmodning fra disse personene eller dersom de selv er mottakere av opplysningene.
Datatilsynet har etter annet ledd adgang til å samtykke i at personopplysninger overføres til utlandet, også der vilkårene i første ledd ikke er oppfylt. I samsvar med art 26 nr 2 i direktivet har departementet valgt å sette som vilkår for et slikt samtykke at den behandlingsansvarlige godtgjør at det gis tilstrekkelige garantier for vern av de registrertes rettigheter. Slikt vern kan f eks etableres gjennom konktraktsbestemmelser.
Kongen kan gi nærmere bestemmelser om overføring ved forskrift, jf tredje ledd. Bl a kan det gis forskrift om å stanse eller begrense overføring av personopplysninger til bestemte stater som ikke tilfredsstiller kravene til tilstrekkelig forsvarlig behandling i henhold til § 29.Dette kan f eks være aktuelt for å følge opp felles tiltak som ledd i et fremtidig samarbeid innenfor EØS.
Kapittel VI Melde- og konsesjonsplikt
Til § 31 Meldeplikt
Bestemmelsen, som er ny i forhold til gjeldende rett, bygger på utvalgets forslag til § 31 og gjennomfører direktivet art 18 nr 1.
Første ledd angir utgangspunktet for når behandling av personopplysning skal meldes til Datatilsynet. Regler om hva meldingen skal inneholde, er gitt i § 32.
Det er den behandlingsansvarlige selv som skal sørge for at det blir sendt inn meldinger - enten i brev, på faks eller med e-post.
Det er selve behandlingsmåten som skal meldes til Datatilsynet, jf bokstav a - det skal ikke sendes melding hver gang den samme behandlingsmåten gjentas på forskjellige sett personopplysninger, jf punkt 6.5.4. Dersom den behandlingsansvarlige ønsker å behandle opplysninger på en måte som går utover den rammen som er angitt i meldingen, må det imidlertid sendes ny melding, jf tredje ledd.
Enkelte høringsinstanser mener at fristen for når melding skal sendes, bør utformes mer konkret enn utvalgets forslag om at meldingen skal sendes i «god tid» før behandlingen tar til. Departementet er enig i at det er behov for en klarere frist, og foreslår at meldingen skal gis senest 30 dager før behandlingen tar til eller personregisteret opprettes, jf annet ledd. Bestemmelsen innebærer at meldingen må være mottatt i Datatilsynet innen denne fristen. Den behandlingsansvarlige vil etter omstendighetene kunne være tjent med å sende inn meldingen enda tidligere, slik at det etableres en dialog med Datatilsynet og slik at spørsmålet om eventuell konsesjonsplikt kan avklares så tidlig som mulig.
Etter annet ledd annet punktum skal Datatilsynet gi den behandlingsansvarlige kvittering for at det har mottatt meldingen. For den behandlingsansvarlige vil kvitteringen tjene som dokumentasjon på at meldeplikten er oppfylt. Kvitteringen vil imidlertid ikke være noen godkjennelse fra Datatilsynet om at behandlingen som meldingen omfatter tilfredsstiller lovens krav.
I tredje ledd er det presisert at en behandlingsansvarlig som ønsker å behandle personopplysninger på en måte som går ut over den rammen for behandling som er angitt i meldingen i henhold til § 32 i lovforslaget må sende ny melding til Datatilsynet. Dette vil f eks være aktuelt hvis den behandlingsansvarlige ønsker å samle inn andre typer opplysninger enn det som er oppgitt i den opprinnelige meldingen, hvis opplysningene skal benyttes for et nytt formål innenfor rammen av lovens regler, eller når opplysningene skal utleveres til andre enn dem som i utgangspunktet er oppgitt.
Dersom det ikke er meldt endringer i forhold til den opprinnelige meldingen, skal ny melding sendes etter tre år, jf tredje ledd annet punktum. På denne måten sikres tilsynsmyndighetene god kvalitet på meldingsopplysningene ved at disse aldri vil være eldre enn tre år. Ved utløpet av fristen kan Datatilsynet ved behov henvende seg til den behandlingsansvarlige og få en avklaring på om manglende ajourføring skyldes en forglemmelse, at behandlingen er avsluttet eller at virksomheten er opphørt.
Fjerde leddgir Kongen hjemmel til å gi forskrift om at visse behandlingsmåter skal være unntatt fra meldeplikt, underlagt en forenklet meldeplikt eller underlagt konsesjonsplikt. Unntak fra meldeplikten bør i utgangspunktet bare gjøres der det er på det rene at behandlingen er helt ufarlig ut fra personvernhensyn. Ettersom meldesystemet vil være en essensiell informasjonsbærer for tilsynet, bør det ikke gjøres unntak fra meldeplikten begrunnet i ressurshensyn. Det åpnes også for å forenkle eller frita fra meldeplikten særskilte behandlingsansvarlige eller grupper av behandlingsansvarlige. Hjemmelen er inntatt for å åpne for en mulig utprøving av en forsøksordning med forenklet samarbeid med behandlingsansvarlige som utpeker særskilte dataansvarlige med et uavhengig ansvar for virksomhetens etterlevelse av personopplysningslovens regler, jf nærmere under punkt 6.5.4.
Til § 32 Meldingens innhold
Bestemmelsen bygger på utvalgets § 32 og gjennomfører direktivet artikkel 19.
Første ledd angir hvilke opplysninger meldingen skal inneholde. Departementet har foretatt enkelte mindre endringer i forhold til utvalgets forslag. I bokstav a (utvalgets § 32 første ledd nr 1) er «databehandler» føyet til, jf § 2 nr 5 og § 15 i lovforslaget. Bokstav b er ny, og bestemmer at det skal meldes fra om når behandlingen starter. Dette gjør det mulig å kontrollere om 30-dagers fristen i § 31 er overholdt. Bokstav e er noe omformulert i forhold til utvalgets nr 4, men innholdet er det samme. Det samme gjelder forholdet mellom bokstav f og utvalgets nr 5. I bokstav g er det presisert at det er det rettslige grunnlaget for innsamlingen av opplysningene som skal oppgis. Med rettslig grunnlag siktes det til hvilket eller hvilke vilkår i § 8 eller § 9 som er oppfylt slik at opplysningene kan behandles.
Annet ledd gir Kongen adgang til å gi nærmere forskrifter om bl a hvilke opplysninger meldingene skal inneholde. Bakgrunnen for dette er at det vil være nødvendig å supplere og detaljere opplysningene for at meldingene skal kunne fylle den analyseredskapsfunksjonen de er tiltenkt. Dette kan gjennomføres ved å ta i bruk koder og registreringsvalg, f eks slik at behandlingens formål kan beskrives som en kombinasjon av «bransje» og «rolle», der «bransje» angir virksomhetstype og «rolle» beskriver i hvilken sammenheng opplysninger om den registrerte behandles - som kunde, pasient e l. Tilsvarende kan gjøres på andre punkter hvor det er nødvendig å utdype innholdet i meldingen med nærmere definerte registreringsvalg.
Til § 33 Konsesjonsplikt
Bestemmelsen, som tilsvarer § 9 i personregisterloven og gjennomfører direktivet artikkel 20, bygger på utvalgets § 33 med visse endringer. Det følger av første ledd at det som hovedregel skal være konsesjonsplikt for behandling av sensitive personopplysinger, jf § 2 nr 8. Behandling av slike følsomme opplysninger medfører gjennomgående større risiko for personvernet enn andre typer opplysninger, og definisjonen i § 2 nr 8 gir en relativt klar avgrensning av hvilke opplysninger det dreier seg om. For at ikke konsesjonsplikten skal få et for stort omfang, og omfatte behandlinger som det ikke er behov for å forhåndskontrollere, må det gjøres flere unntak. Unntak av hensyn til ytringsfriheten følger av § 7. Det er heller ikke nødvendig å søke om konsesjon for å behandle sensitive personopplysninger som uoppfordret kommer inn til den behandlingsansvarlige, jf første ledd annet punktum og punkt 6.6.4 i proposisjonen. Øvrige unntak fra hovedregelen om konsesjonsplikt kan mest hensiktsmessig gis i forskrift, jf femte ledd.
Annet ledd gir Datatilsynet mulighet til å bestemme at også andre behandlinger enn dem som er nevnt i første ledd skal være konsesjonspliktige, dersom behandlingen ellers vil krenke tungtveiende personverninteresser. Bakgrunnen for bestemmelsen er at det ikke kan utelukkes at også behandling av opplysninger som ikke er sensitive i lovens forstand, etter omstendighetene bør konsesjonsbehandles. Datatilsynet vil da, såfremt lovens vilkår er oppfylt, på bakgrunn av meldingen kunne bestemme at den behandlingsansvarlige ikke kan starte eller forsette behandlingen før konsesjon eventuelt er gitt. Avgjørelsen om at konsesjon er nødvendig er så inngripende at den må anses som et enkeltvedtak, slik at forvaltningsloven kap IV - VI får anvendelse. Avgjørelsen kan påklages til Personvernnemnda, jf § 42 siste ledd og § 43 først ledd i lovforslaget.
Departementet understreker at vilkårene for å bestemme at det skal være konsesjonsplikt er strenge, og bestemmelsen er ment å være en sikkerhetsventil for ekstraordinære tilfeller. Annet ledd annet punktum oppstiller noen momenter som skal være med i vurderingen av om behandlingen ville krenke tungtveiende personverninteresser dersom den ble igangsatt uten konsesjon. Blant annet skal det tas hensyn til formålet med behandlingen. Behandlingsformål som kan få direkte virkning for de registrerte, som f eks kontrollformål, kan tale for konsesjonsplikt. Det samme gjelder tilfeller der det samles inn og sammenstilles en stor mengde opplysninger om enkeltpersoner.
Med personopplysningenes «mengde» menes både hvor mange registrerte det behandles opplysninger om, og hvor mange typer opplysninger som behandles om hver enkelt registrert.
Tredje ledd gir den behandlingsansvarlige rett til å få avklart på forhånd om en behandlingsmetode vil kreve konsesjon. Dersom Datatilsynet kommer til at behandlingsmetoden ikke krever konsesjon, kan den behandlingsansvarlige trygt nøye seg med å oppfylle meldeplikten. Dersom tilsynet kommer til at behandlingsmetoden er konsesjonspliktig, kan konsesjonssøknaden sendes inn på et tidlig stadium, og behandlingsmetoden eventuelt justeres i samråd med Datatilsynet. Avgjørelsen må regnes som enkeltvedtak, slik at forvaltningsloven kap IV til VI kommer til anvendelse. Departementet understreker at avklaring av om konsesjon er nødvendig, ikke betyr at konsesjon vil bli gitt, eller eventuelt på hvilke vilkår. Datatilsynet må selv vurdere om de opplysningene den behandlingsansvarlige legger frem, gjør at saken blir tilstrekkelig opplyst til at det kan tas stilling til om konsesjon er påkrevd, jf forvaltningsloven § 17 første ledd. Dersom saken ikke kan bli tilstrekkelig opplyst, f eks fordi behandlingsformen ennå ikke er planlagt i detalj, må tilsynet nøye seg med alminnelig rådgivning, jf § 42 tredje ledd nr 6 i lovforslaget. Slike uttalelser er ikke bindende for tilsynet og er ikke enkeltvedtak. Når en behandlingsansvarlig reiser spørsmål om en viss behandling trenger konsesjon, er det derfor viktig at Datatilsynet får klart frem om svaret er et råd eller et enkeltvedtak etter § 33 tredje ledd.
Fjerde ledd, som slår fast at konsesjonsplikt etter første og annet ledd ikke gjelder for personregistre i offentlige organer som er opprettet ved egen lov, viderefører prinsippet i personregisterloven § 41. For at et personregister skal være fritatt for konsesjon i medhold av denne bestemmelsen, kreves det at det eksplisitt fremgår av loven at det skal eller kan føres et register. Det er ikke tilstrekkelig at en særlov hjemler en aktivitet som gjør opprettelse av et personregister nødvendig. Selv om et register et fritatt fra konsesjonsplikt i medhold av bestemmelsen her, vil personopplysningsloven supplere den aktuelle særloven hvis ikke noe annet uttrykkelig fremgår av denne, jf § 5 i lovforslaget.
Femte ledd gir Kongen adgang til å gi forskrift om at visse behandlingsmåter skal være unntatt fra konsesjonsplikten i første ledd. I vurderingen av hvilke unntak som bør gjøres, er det naturlig å ta utgangspunkt i unntakene fra konsesjonsplikten etter personregisterloven § 9. Blant annet vil det bli vurdert å gjøre unntak fra konsesjonsplikten for behandling av personalopplysninger som nevnt i personregisterforskriften § 2-12 om personalregistre. Det kan også være aktuelt å kombinere unntak fra konsesjonsplikt med en mer detaljert forskriftsregulering av f eks en bestemt bransje eller homogen type behandlingsansvarlige.
Til § 34 Avgjørelsen av om konsesjon skal gis
Bestemmelsen angir den interesseavveiningen som må foretas når det skal vurderes om konsesjon skal gis, og viderefører personregisterloven § 10, jf Justisdepartementets merknader til denne bestemmelsen i Ot prp nr 2 (1977-78) side 80. Bestemmelsen svarer i hovedsak til § 34 i utvalgets utkast med språklige endringer.
Som ledd i vurderingen av om det skal gis konsesjon må det først klarlegges om personopplysningsbehandlingen vil volde problemer for den enkelte, og om problemene eventuelt avhjelpes ved lovens regler for behandlingen. Hvis behandlingen ikke volder problemer for den enkelte, vil det som regel ikke være aktuelt å nekte konsesjon. Dersom lovens materielle regler ikke gir et fullgodt personvern, kan det fastsettes supplerende, mer detaljerte eller strengere regler for hvordan behandlingen kan skje, enten i form av konsesjonsvilkår i henhold til § 35 i lovforslaget, eller - dersom det dreier seg om en homogen gruppe behandlingsansvarlige, typisk en bransje - i form av forskrifter med hjemmel i § 33 siste ledd. Til slutt må det vurderes om behandlingen slik den vil være regulert gjennom lov og konsesjonsvilkår eller forskrifter, fremdeles vil volde ulemper for den enkelte, og i så fall om fordelene ved behandlingen oppveier disse ulempene. På samme måte som i dag vil en rekke ulike typer interesser - økonomiske såvel som ideelle - måtte veies mot hverandre.
Til § 35 Vilkår i konsesjon
Bestemmelsen pålegger Datatilsynet å vurdere om det skal settes vilkår i konsesjonen dersom slike vilkår er nødvendige for å begrense ulempene behandlingen ellers ville medføre for den registrerte. Bestemmelsen, som bygger på personregisterloven § 11 og utvalgets § 35, er gitt en mer kortfattet utforming.
Bestemmelsen medfører en plikt til å vurdere å sette vilkår som trengs til å begrense ulempene, men innebærer ikke noen plikt til å fastsette slike vilkår. Om det skal gjøres, vil bero på en avveining av den type som nevnt i § 34. At plikten til å vurdere vilkår er overholdt selv om det ikke blir satt, må normalt vises gjennom begrunnelsen for konsesjonsvedtaket, jf fvl § 25.
Departementet har ikke sett behov for å videreføre den detaljerte oppregningen av ulike former for vilkår som kan være aktuelle. De fleste av forholdene som skal tas i betraktning i henhold til annet ledd i utvalgets forslag, gjelder forhold som skal være oppfylt ifølge lovforslagets øvrige regler. Behovet for en oppregning av forhold som det kan være særlig aktuelt å sette vilkår om, blir mindre når flere behandlingsregler er inntatt i loven. Eksemplene på vilkår og vurderinger som fremgår av personregisterloven § 11 og utvalgets § 35 vil likevel fremdeles kunne være relevante. Men også nye hensyn og vilkårstyper kan gjøre seg gjeldende gjennom teori og praksis. Yttergrensene for hvor tyngende vilkår som kan settes, følger av alminnelige forvaltningsrettslige regler sammenholdt med lovens formål.
Kapittel VII Fjernsynsovervåking
For å gjøre reglene om fjernsynsovervåking så oversiktlige som mulig har departementet valgt å samle dem i et eget kapittel. § 37 gir en oversikt over hvilke behandlingsregler som kommer til anvendelse for ulike typer fjernsynsovervåking. §§ 38-41 oppstiller enkelte særregler som supplerer de øvrige reglene i loven for fjernsynsovervåkingens vedkommende. Det følger av reglene i kapittel 8 at Datatilsynet skal føre tilsyn med at reglene følges og bl a gi pålegg i den utstrekning det er nødvendig.
Til § 36 Definisjon
Definisjonen tilsvarer gjeldende definisjon i personregisterloven § 37 a og er også i samsvar med utvalgets forslag til § 4 tredje ledd.
Til § 37 Virkeområde
De særlige reglene i §§ 38-41 gjelder for alle former for fjernsynsovervåking, også for den overvåkingen som ikke er å anse som elektronisk behandling i henhold til § 3 og som derfor ikke omfattes av lovforslagets alminnelige regler, jf første leddog punkt 8.5 i proposisjonen. Det samme gjør bestemmelsene i §§ 8, 9, 11, 31 og 32 i lovforslaget.
Henvisningen til §§ 8 og 9 om vilkår for å behandle personopplysninger og § 11 om grunnkrav til behandlingen innebærer bl a at overvåkingen på samme måte som i dag må være saklig begrunnet i den behandlingsansvarliges virksomhet, jf § 11 første ledd bokstav b. I tillegg stilles nå andre uttrykkelige krav til overvåkingen. Overvåkingen må grunnes på samtykke eller være nødvendig for å ivareta de interessene som er nærmere definert i §§ 8 eller 9. Formålet med fjernsynsovervåkingen må angis uttrykkelig i meldingen til Datatilsynet, og opptak som samles inn ved overvåkingen kan ikke benyttes til formål som er uforenlige med det opprinnelige formålet, jf § 11 første ledd bokstavene b og c og § 32. Av § 11 følger det at billedopptakene ikke kan lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf første ledd bokstav e.
Fjernsynsovervåking vil være meldepliktig etter § 31 uten hensyn til om den resulterer i billedopptak, jf punkt 8.5. Innmeldte overvåkinger skal inntas i den offentlige fortegnelsen som Datatilsynet skal utferdige over meldepliktige behandlinger, jf § 42 tredje ledd nr 1. Datatilsynet har kompetanse til å stanse og gi pålegg overfor fjernsynsovervåking som foregår i strid med lovens regler og vil også kunne ilegge tvangsmulkt dersom ikke påleggene overholdes, jf §§ 46 og 47. Den som ikke overholder pålegg gitt av Datatilsynet kan straffes, jf § 48 første ledd bokstav d. En behandlingsansvarlig som fjernsynsovervåker i strid med loven vil også kunne ilegges erstatningsansvar, jf § 49 i lovforslaget.
Fjernsynsovervåking og billedopptak der opptakene lagres manuelt som del av et personregister eller elektronisk på en måte som gjør det mulig å søke seg frem til enkeltpersoner, er behandling av personopplysninger i henhold til § 3 i lovforslaget, med den følge at også de øvrige bestemmelsene i loven får anvendelse, jf annet ledd.
Til § 38 Grunnkrav til overvåking
Bestemmelsen supplerer regelen om grunnkrav i § 11, og viderefører det kvalifiserte kravet for fjernsynsovervåking som følger av personregisterloven § 37 a første ledd annet punktum og som gjelder f eks for arbeidsplasser, jf også § 7 tredje ledd i utvalgets forslag.
Til § 39 Utlevering av billedopptak gjort ved fjernsynsovervåking
Bestemmelsen viderefører pregl § 37 b første ledd. Departementet ser i motsetning til utvalget behov for å beholde en særlig regel om utlevering av billedopptak som er gjort ved fjernsynsovervåking.
Til § 40 Varsel om at overvåking finner sted
De alminnelige reglene om varsling i lovforslaget passer dårlig på fjernsynsovervåking. Det vil som regel ikke være kontakt mellom den behandlingsansvarlige og de registrerte, og den behandlingsansvarlige vil ikke kjenne de registrertes identitet. Dette gjør at regelen om individuelt varsel ikke kan gjennomføres. Bestemmelsen viderefører varslingsplikten i straffeloven § 390 b, jf også utvalgets forslag til § 24. Departementet har imidlertid utvidet varslingsplikten, slik at den i tillegg til offentlig sted gjelder områder der en begrenset krets av personer ferdes jevnlig, i stedet for arbeidssted slik strl § 390 b nå lyder. Bakgrunnen er bl a at Datatilsynet gjennom sin praksis har erfart at det kan være behov for varsling på steder som det ikke uten videre er naturlig å betegne som offentlig sted eller arbeidsplass. Slik bestemmelsen utformes i departementets lovforslag, vil det også kreves varsling for overvåking f eks av parkeringsplasser i borettslag og foreningslokaler. Det vil i tillegg innebære en forenkling å knytte varslingsplikten til de samme steder der det stilles særlig strenge krav til overvåking etter § 38 i lovforslaget. Begrepet «offentlig sted» skal forstås på samme måte som i straffeloven § 390 b.
Til § 41 Forskrifter
På samme måte som etter personregisterloven bør det åpnes for å gi nærmere regler ved forskrift, f eks om sikring av fjernsynsopptak, bruk av billedopptak som gjøres ved fjernsynsopptak og sletting av slike opptak.
Kapittel VIII Tilsyn og sanksjoner
Til § 42 Datatilsynets organisering og oppgaver
Bestemmelsen bygger på personregisterloven §§ 2 og 3 annet ledd og lovfester viktige deler av artikkel 28 i EU-direktivet. Bestemmelsen viderefører grunnlaget for et datatilsyn og organiseringen av dette, og gir en oversikt over hvilke oppgaver Datatilsynet skal vareta. De første tre leddene er noe omstrukturert i forhold til utvalgets forslag, men tilsvarer innholdsmessig i hovedsak utkastet til § 36 i utredningen.
Første ledd slår fast at Datatilsynet skal være uavhengig i faglige spørsmål og lovfester de begrensninger en slik uavhengighet innebærer i Kongens adgang til å instruere tilsynet og omgjøre dets vedtak, jf nærmere under punkt 13.3.5.1. Datatilsynets uavhengighet knytter seg til håndheving av loven i enkelttilfeller. I den grad tilsynet får delegert myndighet til å gi forskrifter, følger det av alminnelige forvaltningsmessige prinsipper at departementet kan endre og eventuelt oppheve forskriftene.
Det følger av annet ledd at Datatilsynet ledes av en direktør. Direktøren utnevnes av Kongen. Kongen kan bestemme at direktøren skal ansettes på åremål.
I tredje ledd gis en oversikt over de ulike oppgavene som Datatilsynet får etter lovforslaget. I henhold til nr 1 skal tilsynet føre en offentlig tilgjengelig fortegnelse over alle de behandlinger som er innmeldt eller gitt konsesjon, jf også art 21 nr 2 i EU-direktivet og utvalgets forslag til § 17. Bestemmelsen viderefører prinsippet i pregl § 4 som gjelder for konsesjonspliktige personregistre. Fortegnelsen skal inneholde de samme opplysninger som det kan kreves innsyn i etter § 18 første ledd. På samme måte som i forhold til den generelle innsynsadgangen etter § 18, kan det være påkrevd å unnta enkelte opplysninger fra oversikten, jf § 23 i lovforslaget. Det vil være opp til Datatilsynet å bestemme på hvilken måte fortegnelsen skal offentliggjøres, f eks om den skal legges ut på internett. Ettersom oversikten har som formål å være et redskap for enhver som ønsker å orientere seg med tanke på å finne frem til personopplysningsbehandlinger som kan tenkes å berøre vedkommende, er det viktig at den blir lettvint å få tak i.
I henhold til nr 2 skal Datatilsynet behandle konsesjonssøknader samt motta meldinger og vurdere å gi pålegg der loven hjemler dette, jf bl a § 46 i lovforslaget. Som en følge av at konsesjonsplikten bygges ned i forhold til personregisterlovens system, vil tilsynets arbeid i større grad flyttes fra konsesjonsbehandling til etterfølgende kontroll på grunnlag av innkomne meldinger eller henvendelser fra publikum. Den reguleringen som det legges opp til, forutsetter derfor en øket vektlegging av de kontrolloppgavene som nevnes i nr 3.
Nr 3 viderefører pregl § 3 annet ledd nr 3.
Nr 4 viderefører pregl § 3 annet ledd nr 1, men er som følge av lovforslagets bredere virkeområde utvidet til å omfatte behandling av personopplysninger mer generelt, jf § 3 i lovforslaget.
Nr 5 er ny i forhold til gjeldende rett, men kodifiserer langt på vei Datatilsynets praksis. Tilsynet skal identifisere farer eller risiki for personvernet i samfunnet og gi råd om hvordan disse kan unngås eller begrenses.
I henhold til nr 6, som viderefører pregl § 3 annet ledd nr 2, skal Datatilsynet gi råd om sikkerhet i forbindelse med behandling av personopplysninger samt veilede om andre spørsmål om personvern. Nytt i forhold til gjeldende rett er at tilsynet skal bistå ved utarbeiding av bransjevise atferdsnormer, jf art 27 nr 2 i direktivet og punkt 6.10 i proposisjonen. En bransje som utarbeider retningslinjer for behandling av personopplysninger innen bransjen, skal kunne be Datatilsynet om råd i forbindelse med dette arbeidet. Normene gir uttrykk for bransjens syn på hva som er rimelige krav til behandling av personopplysninger og gir mulighet til å lage mer presise regler innenfor de rammene som loven gir. Unnlatelse av å følge normene vil ikke i seg selv utløse noen offentligrettslig reaksjon, men vil - avhengig av hva som fremgår av vedtektene - kunne medføre sanksjoner fra bransjeorganisasjonene.
Nr 7 viderefører pregl § 3 annet ledd nr 4. Det følger av art 28 nr 2 i EU-direktivet at medlemsstatene skal sørge for å innhente Datatilsynets synspunkter under utarbeiding av lover og forskrifter som har direkte betydning for personvernet. Det er viktig at Datatilsynet trekkes inn under høringen i forberedelsen av nytt regelverk som reiser personvernmessige problemstillinger, slik at man kan sikre seg at personvernaspektene blir grundig vurdert.
I nr 8 pålegges Datatilsynet å gi en årsmelding om virksomheten. Dette er i tråd med EU-direktivet art 28 nr 5 og innebærer også en lovfesting av gjeldende praksis. Årsmeldingen vil på samme måte som i dag være en viktig informasjonsformidler fra det faglig uavhengige Datatilsynet til både regjering og storting.
Av fjerde ledd går det frem at Datatilsynets avgjørelser i stor utstrekning kan klages inn for Personvernnemnda. En del av avgjørelsene som det er vist til i bestemmelsen, vil være enkeltvedtak i henhold til forvaltningsloven § 2 første ledd bokstav b og følgelig kunne påklages i medhold av forvaltningsloven kapittel VI. Dette gjelder f eks pålegg om at behandlinger må opphøre i medhold av § 46 eller vedtak om konsesjon i medhold av § 34. I forhold til enkelte avgjørelser kan det imidlertid være mer usikkert om det dreier seg om enkeltvedtak i forvaltningslovens forstand. Dette gjelder f eks der Datatilsynet i medhold av § 46 pålegger en behandlingsansvarlig å gi innsyn etter § 18 eller varsle den registrerte i medhold av § 20 i lovforslaget. Beslutning om å foreta stedlig kontroll i henhold til § 44 er et eksempel på en avgjørelse som ikke er et enkeltvedtak, men der klageadgang følger av forvaltningsloven § 15. Departementet har på denne bakgrunn funnet det hensiktsmessig med en regel som uttrykkelig fastslår hvilke avgjørelser som skal kunne klages inn for Personvernnemnda.
Til § 43 Personvernnemndas organisering og oppgaver
Bestemmelsen er ny i forhold til gjeldende rett. Den bygger i hovedsak på mindretallets forslag til § 37 i utredningen, men er noe omredigert.
Etter første leddskal Personvernnemnda avgjøre klager over Datatilsynets enkeltvedtak og andre avgjørelser som kan påklages. Hvilke avgjørelser dette er går nærmere frem av § 42 siste ledd og merknadene til denne bestemmelsen. Nemnda skal også kunne omgjøre Datatilsynets avgjørelser av eget tiltak, jf forvaltningsloven § 35 som også setter frister for omgjøringen.
Personvernnemnda skal på samme måte som Datatilsynet være faglig uavhengig av departementet, jf annet og tredje punktum i første ledd.
Personvernnemnda skal ha syv medlemmer, jf annet ledd.Medlemmene oppnevnes for fire år, med adgang til gjenoppnevning én gang. Lederen og nestlederen oppnevnes av Stortinget, mens de øvrige fem medlemmene oppnevnes av Kongen. Nemnda skal sammensettes på en måte som sikrer en høy kompetanse og et bredt erfaringsgrunnlag, jf punkt 13.3.5.2. Lederen og nestlederen bør ha juridisk embetseksamen.
Visse former for klagesaker kan det være behov for å avgjøre meget raskt. Ikke minst gjelder dette klager over beslutning om stedlig kontroll i henhold til § 44. Det kan i slike tilfeller være vanskelig å få innkalt medlemmene på kort varsel, samtidig som det er viktig for den behandlingsansvarlige å få en rask avklaring. Nemnda gis derfor adgang til å bestemme at slike klager skal kunne avgjøres av lederen eller nestlederen sammen med to andre medlemmer, jf tredje ledd.
I henhold til fjerde leddskal Personvernnemnda årlig orientere om sin virksomhet til Kongen. Det vil være naturlig at orienteringen på samme måte som Datatilsynets årsmelding legges frem for Stortinget. Som en følge av klagenemndas uavhengige stilling, skal søksmål om gyldigheten av nemndas avgjørelser rettes mot staten ved Personvernnemnda og ikke ved Justisdepartementet, jf femte ledd.
Kongen kan ved forskrift gi mer detaljerte regler om nemndas organisasjon og saksbehandling, jf sjette ledd.
Til § 44 Tilsynsmyndighetens tilgang til opplysninger
Bestemmelsen er i stor grad en videreføring av pregl § 5 og gjennomfører artikkel 28 nr 3 første strekpunkt. Departementet har i all hovedsak utformet bestemmelsen i samsvar med utvalgets forslag til § 38.
Første leddslår fast at Datatilsynet og Personvernnemnda kan kreve de opplysningene som er nødvendige for at de skal gjennomføre sine oppgaver. Bestemmelsen tilsvarer pregl § 5 første ledd første punktum. Retten til å kreve opplysninger er ikke begrenset av bestemmelser om taushetsplikt, jf tredje ledd.
Annet ledder i det vesentlige en videreføring av pregl § 5 første ledd annet og tredje punktum, med de justeringer som er nødvendige som følge av at den nye loven regulerer elektronisk behandling av personopplysninger mer generelt og ikke bare personregistre. Det er opp til Datatilsynet å vurdere om det bør foretas en stedlig kontroll, f eks med sikte på å kontrollere opplysninger som er gitt i en melding som den behandlingsansvarlige har sendt inn i medhold av § 31 i lovforslaget.
Reglene om stedlig kontroll suppleres av reglene i forvaltningsloven § 15 om fremgangsmåten ved gransking o.l. Bestemmelsen setter krav til måten kontrollen skal gjennomføres på når den utføres andre steder enn offentlige kontorer og andre tjenestesteder. Etter § 15 fjerde ledd kan den som granskningsforretningen angår klage over beslutningen om å fremme forretningen. Slik klage avgjøres av Personvernnemnda, jf §§ 42 fjerde ledd og 43 første ledd i lovforslaget.
Det følger av tredje leddat regler om taushetsplikt ikke begrenser adgangen til å kreve opplysninger etter første ledd eller foreta stedlig kontroll etter annet ledd. De alminnelige taushetspliktsreglene i forvaltningsloven § 13 gjelder også for ansatte i Datatilsynet, nemndsmedlemmer og andre som utfører tjeneste eller arbeid for tilsynsmyndighetene, jf § 45 første ledd første punktum i lovforslaget. Av § 45 første ledd annet punktum følger det at taushetsplikten også omfatter opplysninger om sikkerhetstiltak.
Hensynet til rikets sikkerhet kan tale for at tilsynsmyndighetene ikke bør ha ubegrenset adgang til enhver behandling av personopplysninger. Fjerde leddførste punktum åpner derfor for å gjøre unntak fra reglene i første til tredje ledd dersom det er nødvendig av hensynet til rikets sikkerhet. Bestemmelsen tilsvarer pregl § 5 tredje ledd første punktum jf kgl res 21 desember 1979 III som i dag unntar personregistre som er nødvendige ut fra beredskapshensyn eller rikets sikkerhet. På samme måte som nå vil den foreslåtte forskriftshjemmelen gi adgang til å unnta registre i den sivile og militære etterretningstjenesten.
Fjerde ledd annet punktum gir Kongen adgang til å gi forskrift om dekning av utgiftene ved kontroll, mens tredje punktum slår fast at forfalt bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg. Bestemmelsen er identisk med pregl § 5 tredje ledd annet og tredje punktum.
Til § 45 Taushetsplikt for tilsynsmyndighetene
Bestemmelsen svarer i hovedtrekk til utvalgets § 39 og § 11 tredje ledd annet punktum. Departementet har funnet det hensiktsmessig å samle reglene om taushetsplikt for tilsynsmyndighetene i én felles bestemmelse. Som en følge av dette har departementet også funnet det hensiktsmessig å si uttrykkelig i første ledd første punktum at forvaltningslovens regler om taushetsplikt gjelder for ansatte i Datatilsynet, medlemmer av Personvernnemnda og andre som utfører tjeneste for tilsynsmyndighetene. Det følger av annet punktum at taushetsplikten også omfatter opplysninger om sikkerhetstiltak, jf § 13 i lovforslaget, som svarer til § 11 tredje ledd annet punktum i utvalgets lovutkast. Den er nødvendig fordi det klart er behov for å hemmeligholde slike opplysninger, og den alminnelige taushetspliktsbestemmelsen i forvaltningsloven § 13 ikke er omfattende nok til å oppnå dette.
Annet ledd, som bygger på utvalgets § 39, gir tilsynsmyndighetene adgang til å gi utenlandske tilsynsmyndigheter taushetsbelagte opplysninger når dette må til for at de norske tilsynsmyndighetene eller den aktuelle utenlandske tilsynsmyndigheten skal kunne treffe vedtak som ledd i tilsynsvirksomheten.
Enkelte høringsinstanser har reist spørsmål om det er behov for mer presise vilkår for når det kan gjøres unntak fra taushetsplikt, for eksempel slik at det bare kan gjøres unntak fra taushetsplikt når Norge er forpliktet til å gi slike opplysninger i henhold til avtale med annen stat. Departementet har presisert i lovteksten at det bare kan gjøres unntak fra taushetsplikten når dette er nødvendig for å treffe vedtak som ledd i tilsynsvirksomheten, jf første punktum, men har ikke funnet grunn til å oppstille ytterligere vilkår. Det ligger allerede en begrensning i at Datatilsynet bare kan gi videre taushetsbelagte opplysninger som tilsynet selv har tilgang til. Departementet understreker videre at Datatilsynet bare har adgang, og ikke plikt til å benytte unntaket fra taushetsplikten, jf ordet «kan», og departementet forutsetter at tilsynet vurderer konkret om det er personvernmessig forsvarlig å gjøre bruk av unntaket. Dessuten gjelder reglene om overføring av personopplysninger til utlandet på vanlig måte, slik at personopplysninger som utgangspunkt bare kan overføres dersom opplysningene vil bli behandlet forsvarlig i mottakerlandet, jf § 29 i lovforslaget.
Til § 46 Pålegg om endring eller opphør av ulovlige behandlinger
Bestemmelsen gir Datatilsynet hjemmel til å utferdige pålegg om at ulovlig behandling av personopplysninger skal opphøre, eller i stedet fastsette vilkår for at behandlingen skal bli i samsvar med loven. Bestemmelsen er i hovedsak i samsvar med utvalgets forslag til § 40 og gjennomfører art 28 nr 3 annet strekpunkt i EU-direktivet. Bestemmelsen er ny i forhold til gjeldende rett der Datatilsynet bare har anledning til å gi pålegg knyttet til enkelte bestemmelser, jf f eks pregl § 8 annet ledd som gir Datatilsynet adgang til å gi pålegg om retting og sletting eller supplering av et personregister. Datatilsynet vil nå få generell adgang til å gripe inn med pålegg overfor den som overtrer lovens regler. Tilsynet vil f eks kunne gripe inn overfor behandlingsansvarlige som igangsetter fjernsynsovervåking uten saklig grunn, jf § 37 og § 11 første ledd bokstav b, eller overfor den som bruker personopplysninger til formål som er uforenlige med det formålet de opprinnelig ble innsamlet for, jf § 11 første ledd bokstav c. Datatilsynet vil videre kunne pålegge behandlingsansvarlige å gi innsyn eller varsel i medhold av reglene i kapittel III. Pålegg kan også rettes mot offentlige organer i den utstrekning ikke konstitusjonelle grunner er til hinder for dette.
Bestemmelsen gir ikke adgang for Datatilsynet til å gi pålegg om strengere regulering enn det som følger av loven, og tilsynet kan bare sette vilkår som bringer behandlingen i samsvar med lovens øvrige regler. Siden flere av behandlingsreglene i lovforslaget inneholder skjønnsmessige begreper, vil Datatilsynet i praksis kunne gi pålegg og sette vilkår som presiserer lovtekstens nærmere innhold innenfor rammen av ordlyden i de ulike bestemmelsene.
Som også utvalget peker på (jf s 161 i utredningen), må det i valget mellom pålegg om opphør eller fastsetting av vilkår tas hensyn til at førstnevnte reaksjon ofte vil være mest inngripende.
Departementet finner ikke grunn til angi nærmere i loven eksempler på momenter som Datatilsynet bør legge vekt på ved vurderingen av om det skal gis pålegg, og har derfor sløyfet annet ledd i utvalgets forslag til påleggsregel, jf også merknadene til § 35 om vilkår for konsesjonspliktige behandlinger
Til § 47 Tvangsmulkt
Bestemmelsen er innholdsmessig i samsvar med utvalgets forslag til § 41, selv om første ledd er omformulert. Adgangen til å ilegge tvangsmulkt er ny i forhold til gjeldende rett. Tvangsmulkt kan fastsettes både i selve det vedtaket som inneholder det materielle pålegget (forhåndssatt tvangsmulkt), eller senere, typisk når pålegget er overtrådt. Overtredelse av konsesjonsvilkår fastsatt i medhold av § 35 vil ikke i seg selv utløse tvangsmulkt. Det er først når det er gitt pålegg om å endre eller stanse en ulovlig behandling med en frist for å følge opp pålegget, at tvangsmulkt kan være aktuelt.
Mulktens størrelse må bestemmes av Datatilsynet i lys av alminnelige forvaltningsrettslige prinsipper, herunder hensynet til rimelig forholdsmessighet mellom det målet som søkes oppnådd og de virkemidlene som benyttes. Tvangsmulktens størrelse må bestemmes i lys av formålet - å sikre oppfyllelse av pålegget. Momenter som vil kunne ha betydning ved fastsettelsen av mulktens størrelse vil bl a være hvor viktig det pålegget som overtres er, hvor betydelig overtredelsen er, hvilke fordeler overtredelsen innebærer for den som gjør seg skyldig i den, hvilke ulemper overtredelsen medfører for den registrerte og for samfunnet for øvrig og hvor sterk økonomi den som overtrer pålegget har.
Tvangsmulkt kan ikke begynne å løpe før det har vært mulig for den behandlingsansvarlige å oppfylle pålegget. Etter annet ledd vil ikke tvangsmulkten løpe før klagefristen på tre uker er utløpt. Dersom vedtaket påklages, løper tvangsmulkten fra det tidspunktet Personvernnemnda fastsetter etter å ha opprettholdt Datatilsynets vedtak.
Datatilsynet kan etter tredje ledd frafalle påløpt tvangsmulkt. Vedtak om tvangsmulkt er tvangsgrunnlag for utlegg, jf tvangsfullbyrdelsesloven § 7-2 (d).
Til § 48 Straff
Bestemmelsen viderefører og supplerer pregl § 38 og er i store trekk i samsvar med utvalgets forslag til § 42.
Med unntak av at skyldkravet skjerpes til forsett eller grov uaktsomhet svarer første leddstort sett til utvalgets forslag. Særregelen om utlevering av billedopptak gjort ved fjernsynsovervåking bør straffebelegges på linje med gjeldende rett, jf pregl § 38 nr 3 og bokstav e. Departementet finner det også naturlig å straffesanksjonere plikten til å utlevere slike opplysninger som Datatilsynet måtte kreve som ledd i sin tilsynsvirksomhet i medhold av § 44 i lovforslaget, jf bokstav f og pregl § 38 nr 4.
Straffebudet omfatter både ansatte hos den behandlingsansvarlige og andre hjelpere som denne benytter ( f eks databehandlere). Foretaksstraff reguleres av straffeloven §§ 48 a og 48 b.
I medhold av annet ledd, som er nytt i forhold til pregl § 38, kan det idømmes fengsel inntil tre år dersom det foreligger særdeles skjerpende omstendigheter. Angivelsen av momenter som skal tas i betraktning er ikke uttømmende. I vurderingen av overtredelsens omfang og ulempen for den registrerte vil det bl a ha betydning hva slags opplysninger det dreier seg om og om disse er spredt eller gjort tilgjengelig for et stort antall personer.
Medvirkning straffes som i dag på samme måte, jf tredje ledd og personregisterloven § 38 annet ledd.
Fjerde ledd viderefører forskriftshjemmelen i personregisterloven § 38 tredje ledd.
Straffebestemmelsen suppleres av straffelovens regler om datakriminalitet, jf bl a straffeloven §§ 145 annet ledd, 151 b, 261, 291, 292, 391, 270 første ledd nr 2 og 391 a.
Til § 49 Erstatning
Bestemmelsen avviker på flere punkter fra gjeldende rett og skiller seg også i noen grad fra utvalgets forslag til § 43.
Erstatningsregelen bygger på et skyldansvar med omvendt bevisbyrde, jf første ledd og punkt 14.6 i proposisjonen. Det er derfor opp til den behandlingsansvarlige å godtgjøre at vedkommende ikke har opptrådt uaktsomt.
Den behandlingsansvarlige er ansvarlig for skader som oppstår som følge av at personopplysninger behandles i strid med lovens regler eller vedtak som er fattet i medhold av loven. I henhold til alminnelige regler om kontraktsmedhjelperansvar hefter den behandlingsansvarlige også for databehandlerens feil og forsømmelser.
I tråd med artikkel 23 i EU-direktivet er det ikke bare de registrerte som kan kreve erstatning i henhold til bestemmelsen, men også andre som måtte bli påført tap som følge av at personopplysninger behandles i strid med loven.
I annet ledd har departementet valgt å videreføre bestemmelsen i pregl § 40 om objektivt erstatningsansvar for kredittopplysningsforetak som har meddelt opplysninger som viser seg uriktige eller åpenbart misvisende. Utvalget har i sin § 43 annet ledd foreslått en hjemmel som åpner for å videreføre denne bestemmelsen ved forskrift. Etter departementets syn er bestemmelsen så sentral at den bør inntas i loven.
Erstatningsansvaret omfatter det økonomiske tapet som den enkelte er påført som følge av den ulovlige behandlingen, jf tredje ledd. Den skadelidte skal også kunne tilkjennes erstatning for krenkelse av ikke-økonomisk art, jf nærmere under punkt 14.6. I en slik vurdering vil det bl a være naturlig å legge vekt på krenkelsens grovhet, utvist skyld, den behandlingsansvarliges økonomi og hvilke andre sanksjoner som rettes mot den behandlingsansvarlige. Det vil også være naturlig å legge vekt på i hvilken utstrekning krenkingen har ført til en berikelse for den behandlingsansvarlige. For personopplysninger som behandles for næringsformål vil det oftere være slik at den krenkelsen som den skadelidte er påført korresponderer med en berikelse for den behandlingsansvarlige.
Kapittel IX Ikraftsetting. Overgangsregler. Endringer i andre lover
Til § 50 Ikraftsetting
Departementet foreslår at loven trer i kraft fra det tidspunkt Kongen bestemmer. Det vil være nødvendig å utarbeide flere forskrifter før loven trer i kraft. Datatilsynet vil ha behov for å forberede håndteringen av det nye regelverket såvel administrativt som teknisk. Som følge av omleggingen til en bredt anlagt meldeplikt vil det kreve ressurser og tid for å etablere et meldesystem som fungerer tilfredsstillende. I tillegg må det informeres om de nye reglene.
Til § 51 Overgangsregler
For behandling av personopplysninger som settes i gang etter ikrafttredelsen gjelder den nye loven fullt ut. For behandling som allerede er påbegynt før ikrafttredelsen er det behov for overgangsregler. Som også utvalget har pekt på, må man ved utformingen av reglene veie hensynet til at lovforslaget snarest mulig bør få den tilsiktede effekt mot det behovet de behandlingsansvarlige har for å innrette seg etter lovens regler. I denne sammenheng har det betydning at det nye lovforslaget på en rekke punkter skiller seg nokså sterkt fra personregisterlovens regler. Det er etter departementets syn behov for å etablere et klart og entydig skjæringspunkt mellom anvendelsen av nytt og gammelt regelverk. Det vil være vanskelig både for de behandlingsansvarlige, de registrerte og tilsynsmyndigheten å måtte forholde seg til en kombinasjon av nye og gamler regler i en mellomperiode. Sist, men ikke minst, er det nødvendig å utforme overgangsreglene slik at de i nødvendig utstrekning tar hensyn til Datatilsynets muligheter for å behandle meldinger og konsesjonssøknader i overgangsfasen mellom nytt og gammelt regelverk.
For de behandlingene som pågår ved ikrafttredelsen og som ikke er konsesjonspliktige i henhold til personregisterloven, må det sendes inn melding til Datatilsynet eller søkes om konsesjon innen ett år fra ikrafttredelsen, jf nr 1 første punktum. For den som ved ikrafttredelsen behandler personopplysninger i henhold til konsesjon som Datatilsynet har gitt i medhold av personregisterloven § 9, gjelder det en frist på to år fra ikrafttredelsen for å sende melding eller søknad om konsesjon, jf annet punktum. Inntil melding er sendt eller Datatilsynet har gitt ny konsesjon, gjelder de gamle reglene, enten de følger av personregisterloven med tilhørende forskrifter eller av konsesjonsvilkår som Datatilsynet tidligere har fastsatt, jf tredje punktum.
Som enkelte høringsinstanser har påpekt gir utvalgets forslag til § 46 første ledd om at de tidligere konsesjonsvilkårene skal anvendes i en mellomperiode så langt de ikke strider mot den nye loven, en uklar løsning som kan være egnet til å skape forvirring både for de behandlingsansvarlige og de registrerte. Særlig gjelder det i forhold til spørsmål som er regulert både i personregisterloven og personopplysningsloven, men på noe ulik måte. Departementet har derfor valgt å sette et klart skjæringspunkt mellom gammel og ny lovgivning. I tiden frem til det sendes inn melding eller mottas ny konsesjon, vil behandlingen i sin helhet kunne fortsette etter eksisterende regelverk. Dette er selvsagt ikke til hinder for at den behandlingsansvarlige allerede før dette tidspunkt begynner å praktisere regler som gir de registrerte utvidet rett til f eks å kreve innsyn eller til å bli varslet om at det innhentes opplysninger om dem. Når det gjelder varslingsreglene i §§ 19-21, vil det ellers være slik at disse bare gjelder for opplysninger som samles inn etter at de nye reglene får virkning for den behandlingsansvarlige.
Under høringen har det vært reist spørsmål til anvendelsen av bestemmelsene som begrenser bruk av personopplysninger til andre formål enn det de opprinnelig ble samlet inn for, jf § 11 første ledd bokstav a-c i lovforslaget og § 8 i utvalgets lovutkast. Dette spørsmålet reiser seg f eks i forhold til bruk av personopplysninger i andre registre enn de opprinnelig ble innsamlet for å brukes i. Dersom man i henhold til gjeldende regelverk eller konsesjonsvilkår benytter personopplysninger til formål som man er i tvil om dekkes av det primære innsamlingsformålet slik § 11 første ledd bokstav b er formulert, må man i den nye meldingen eller konsesjonssøknaden sørge for å formulere formålet slik at det klart og utvetydig dekker den bruken av opplysninger som man har til hensikt å foreta. I den grad behandlingen av opplysningene er avhengig av den registrertes samtykke i henhold til §§ 8 og 9 i lovforslaget, må det på samme måte opplyses om formålet når det innhentes opplysninger fra de registrerte etter at meldingen sendes inn eller Datatilsynet gir ny konsesjon. Det vil ikke være nødvendig å innhente (nytt) samtykke fra samtlige registrerte forsåvidt gjelder bruk av opplysninger som har vært igangsatt før dette tidspunktet med hjemmel i gjeldende lovgivning eller konsesjonsvilkår, med mindre opplysningene skal brukes på en annen måte enn det som tidligere var fastsatt, jf også nr 2.
Nr 2 er ny i forhold til utvalgets forslag. Dersom behandling av personopplysninger er hjemlet i samtykke fra den registrerte, vil samtykket fremdeles gjelde i den utstrekning det fyller kravene i § 2 nr 7 i lovforslaget, jf merknadene til denne bestemmelsen.
I henhold til nr 3 skal alle klager over Datatilsynets avgjørelser som kommer inn etter ikrafttredelsen behandles av Personvernnemnda. Dette innebærer at nemnda i en overgangsperiode også vil kunne komme til å behandle klager over avgjørelser som er fattet i medhold av personregisterloven.
Det kan være behov for å gi andre og mer detaljerte overgangsregler ved forskrift, jf nr 4.
Til § 52 Endringer i andre lover
Til nr 1 Endring i straffeloven
Som en følge av at den straffesanksjonerte plikten til å varsle om overvåking på offentlig sted eller arbeidssted inntas i personopplysningsloven § 40, oppheves den tilsvarende bestemmelsen i straffeloven § 390 b.
Til nr 2 Oppheving av personregisterloven
Personregisterloven 9 juni 1978 nr 48 erstattes i sin helhet av den nye personopplysningsloven og oppheves.
Til nr 3 Endring i straffeprosessloven
Som en følge av at § 390 b i straffeloven om fjernsynsovervåking på offentlig sted overføres til den nye personopplysningsloven § 40 må henvisningen i strprl § 202 a endres tilsvarende.
Til nr 4 Endring i inkassoloven
Henvisningen til personregisterloven i § 22 annet ledd erstattes med en henvisning til den nye personopplysningsloven.
Til nr 5 Endringer i arkivloven
Henvisningen til personregisterloven i § 9 bokstav c tredje punktum erstattes med en henvisning til lov om behandling av personopplysninger. Henvisningen i § 9 bokstav d annet punktum til vedtak om sletting i medhold av personregisterloven § 8 siste ledd og § 11 erstattes med henvisning til vedtak om sletting i medhold av personopplysningsloven § 27 tredje og femte ledd og § 28 fjerde ledd. Henvisningen i § 18 annet punktum til reglene om retting og sletting i personregisterloven erstattes med en henvisning til reglene om retting og sletting i personopplysningsloven.
Til nr 6 Endring i familievernkontorloven
Henvisning til bestemmelsen om konsesjonsplikt i personregisterloven § 9 erstattes med en henvisning til den nye konsesjonsbestemmelsen i personopplysningsloven § 33.
Til nr 7 Endringer i fritids- og småbåtloven
Henvisningene til personregisterloven i §§ 13 og 16 erstattes med henvisninger til den nye personopplysningsloven. I § 14 om innsynsrett erstattes henvisningen til innsynsregelen i personregisterloven § 7 med en henvisning til innsynsbestemmelsene i personopplysningsloven § 18 jf § 23.
Til nr 8 Endringer i lov om Schengen informasjonssystem (SIS)
Stortinget vedtok i midten av juni 1999 en lov om Schengen informasjonssystem (SIS). Loven er i det alt vesentlige en selvstendig og uttømmende regulering av registrering og behandling av personopplysninger i SIS, men generelle regler bl a om tilsynsmyndighetens organisering vil likevel følge av den alminnelige personvernlovgivningen. I § 23 annet ledd er klageadgangen over Datatilsynets avgjørelser avskåret. Bakgrunnen er bl a at det ikke anses forenlig med kravet til uavhengig tilsyn og kontroll i Schengenkonvensjonen å la klager over Datatilsynet behandles av et departement, slik ordningen er etter personregisterloven. I Ot prp nr 56 (1998-99) om lov om Schengen informasjonssystem (SIS) og lov om endringer i utlendingsloven og i enkelte andre lover som følge av Schengensamarbeidet viser man samtidig til at man vil vurdere klageordningen på mer generell basis, som ledd i arbeidet med ny personopplysningslov og komme tilbake til spørsmålet om administrativ overprøvelse av Datatilsynets avgjørelser i medhold av SIS-loven. Når man nå oppretter en uavhengig klagenemnd som på generell basis skal overprøve Datatilsynets avgjørelser, finner departementet det naturlig også å la denne nemnda behandle klager over vedtak som er truffet i medhold av SIS-loven. Departementet foreslår derfor å endre § 23 annet ledd slik at det går frem at Datatilsynets vedtak etter SIS-loven kan klages inn for Personvernnemnda. Som følge av endringen i § 23 er det også naturlig å gjøre endringer i §§ 3, 4 og 22 for å understreke at Personvernnemnda skal ha samme tilgang til opplysninger og dokumentasjon som Datatilsynet.