Ot.prp. nr. 92 (1998-99)

Om lov om behandling av personopplysninger (personopplysningsloven)

Til innholdsfortegnelse

3 Noen utgangspunkter

3.1 Hva er personvern?

Personvern er et sammensatt begrep som i moderne språkbruk og offentlig debatt har en vid betydning som strekker seg langt utover det området som personregisterloven regulerer. Det er vanskelig å gi noen eksakt definisjon av personvernbegrepet, men sentralt står hensynet til personlighetens rettsvern. For å illustrere mangfoldet i personvernbegrepet deler personregisterlovutvalget begrepet inn i følgende tre perspektiver;

  • det integritetsfokuserte personvernet

  • det maktfokuserte personvernet og

  • det beslutningsfokuserte personvernet.

Når personvernet betraktes med fokus på den personlige integriteten, legger man sentral vekt på den enkeltes ønske om å ha kontroll over opplysninger om seg selv, særlig opplysninger som anses som personlige. Også retten til å være i fred fra andre, uavhengig av om fredsforstyrrelsen innebærer at personlige opplysninger blir røpet, kan sies å høre med under en slik synsvinkel. Med dette utgangspunktet trekker man opp en sirkel av privatsfære rundt enkeltpersoner, slik at det kreves en tillatelse eller en legitim grunn for andre til å nærme seg. Bestemmelser om taushetsplikt er delvis begrunnet ut fra et slikt perspektiv.

Kunnskap om andre mennesker kan gi makt, i sin alminnelighet og spesielt over de menneskene som kunnskapen gjelder. Ut fra dette utgangspunktet kan det bli viktig for enkeltpersoner å motvirke at andre styrker sin posisjon ved å ha tilgang til mye og betydningsfull personinformasjon. Det kan med bakgrunn i et slikt perspektiv oppstilles et ønske om å kontrollere teknologibruk som kan anvendes for å skaffe tilgang til personinformasjon. Et eksempel som illustrerer denne synsvinkelen på personvernet er markedsaktører som benytter informasjonsteknologi for å kartlegge forbrukernes forbruksmønstre og vaner for øvrig, slik at de blir i stand til å påvirke dem som kunder.

Personopplysninger brukes ofte som grunnlag for beslutninger av ulike slag, både innen offentlig og privat sektor. F eks samler forsikringsselskaper inn personopplysninger for å vurdere søknader om livsforsikring, mens ligningskontorene bruker opplysninger fra selvangivelse og oppgavepliktige tredjemenn til å fastsette skatt. Disse opplysningene vil danne et viktig faktisk grunnlag for den beslutningen som fattes. Det er ut fra et slikt perspektiv viktig å sikre at behandlingen av slike personopplysninger foregår på en måte som er egnet til å sikre riktige og rettferdige avgjørelser. Ikke minst gjelder dette i de tilfellene der avgjørelser automatiseres ved hjelp av datamaskinsystemer.

De tre perspektivene må ikke oppfattes som noen tredeling av personvernbegrepet, men som en illustrasjon av begrepets sammensatte karakter. Når man benytter personvernbegrepet i konkrete situasjoner, vil det variere hvilket av de tre perspektivene som dominerer. Ofte vil det være naturlig å benytte alle de tre perspektivene i sammenheng. Som nevnt i utredningen vil man kunne benytte de tre innfallsvinklene samtidig der en takstmann fra et forsikringsselskap skal taksere en skade på en privatbolig. Kommentarer knyttet til innredning i hjemmet kan bli opplevd som en krenkelse av private forhold. Takstmannens observasjoner kan bli avgjørende for erstatningsutbetalingen. I tillegg kan omfanget av forsikringsselskapets kunnskap om personlige forhold bli opplevd som utslag av et system der selskapet som den sterke part vet svært mye om kunden, og benytter denne kunnskapen til å fremme sine egne interesser.

I norsk juridisk teori er det utviklet en modell som beskriver de antatte interessene hos dem som blir registrert, dvs interessene bak personvernet. Denne modellen kalles «interessemodellen» og den beskriver personvernet som et knippe ideelle «interesser» som man tillegger enkeltmennesker. Interessemodellen er relevant enten man benytter et integritets-, makt-, eller beslutningsfokus på personvernet. Vektleggingen av interessene vil imidlertid variere noe alt avhengig av det fokus man velger.

Etter interessemodellen beskrives personvernet ved hjelp av individuelle og kollektive interesser. De individuelle interessene gjelder den enkeltes rett til å ha kontroll med personopplysninger som angår ham eller henne selv. Disse interessene angis ved stikkordene diskresjon, fullstendighet, innsyn og privatlivets fred. De kollektive interessene beskriver de interessene som folk har som en gruppe (f eks som samfunn) i å ha kontroll med opplysninger om gruppens medlemmer. Disse interessene angis ved stikkordene en borgervennlig forvaltning, et robust samfunn og et begrenset overvåkingsnivå. Modellens oppregning av interesser fungerer som en slags huskeliste ved anvendelse bl a av personregisterlovens regler. Vektleggingen av de ulike interessene vil variere ut fra den konkrete situasjonen. F eks vil hensynet til diskresjon få større vekt jo mer sensitive opplysninger man har med å gjøre. For en nærmere beskrivelse og eksemplifisering av de ulike interessene vises til utredningen punkt 3.4.

Personverninteressene vil kunne stå i motstrid til andre interesser som f eks kostnadseffektivitet, kommersielle interesser, interessen i en effektiv etterforskning av straffesaker, tilbud om adekvate helsetjenester, forbrukerinteresser, presse- og informasjonsfrihet m v. Som utvalget samtidig peker på, kan det imidlertid ofte være sammenfall mellom slike andre interesser og personverninteressene. F eks vil det være i kredittopplysningsbyråenes interesse at de opplysningene de disponerer er korrekte og dekkende, noe som også begrunnes ut fra personverninteressene i innsyn og fullstendighet.

3.2 Teknologiske og samfunnsmessige utviklingstrekk med spesiell betydning for personvernet

Det norske velferdssamfunnet gjør det i stadig stigende grad nødvendig å gjøre omfattende og intensiv bruk av personopplysninger. I mange sammenhenger skjer anvendelsen av slike opplysninger med et omfang og på en måte som nødvendiggjør bruk av informasjonsteknologi. Anvendelsen av informasjonsteknologi har i mange år vært et satsingsområde for såvel offentlig som privat sektor, nasjonalt og internasjonalt. Satsingen på informasjonssamfunnet og IT vil trolig gjøre det stadig mer utfordrende å ivareta personvernet. Framstillingen av ny teknologi gjør det mulig å samle inn og behandle mer informasjon enn tidligere. Samfunnets informasjonsgrunnlag øker også i volum p g a de registrertes egne bidrag til registreringen av personopplysninger, f eks gjennom bruk av korttjenester. På denne måten begrenses den enkeltes «private sfære». Det blir i stigende grad mulig å organisere og behandle opplysninger uavhengig av avstand og landegrenser, og omløpshastigheten øker. Det blir i en slik sammenheng viktig hvordan vi legger premissene for teknologiutviklingen, og hvordan vi anvender den nye teknologien. Det blir også viktig å finne frem til en rettslig regulering av personopplysningsbehandlinger som i størst mulig grad er teknologiuavhengig og som tar høyde for en stadig utvikling av informasjonssamfunnet. For en nærmere beskrivelse av utviklingstrekkene i informasjonssamfunnet vises til kapittel 4 i utredningen.

3.3 Reguleringsform med fokus på behandling av personopplysninger

Personregisterlovutvalget har lagt frem et lovforslag som inneholder generelle regler om hvordan personopplysninger skal behandles og legger opp til et administrativt system for overprøving av behandlingene, med mulighet for sanksjoner som tvangsmulkt, erstatning og straff. Systematisk er forslaget for en stor del utformet etter mønster av EU's personverndirektiv. Forslaget representerer samtidig en videreføring av sentrale grunntrekk i gjeldende personregisterlov.

Et sentralt spørsmål er om man ivaretar personvernet best gjennom å fokusere på hvordan personopplysninger skal behandles, eller om man i stedet bør begrense seg til å regulere slik behandling av personopplysninger som representerer misbruk og for øvrig la regler om taushetsplikt sette de nødvendige begrensningene for når personopplysninger kan behandles. En hovedinnvending mot en behandlingsmodell er at den spenner svært vidt og muligens over unødvendig mye. Ny teknikk og stadig utvidede kommunikasjonsformer kan lett føre til en så omfattende bruk av data at svært mange av dagliglivets gjøremål vil falle inn under behandlingsreglene. Det kan i en slik sammenheng fremstå som tilnærmet umulig å regulere de mengdene av personopplysninger som blir behandlet i ulike kanaler gjennom et administrativt overprøvingssystem. Dette øker igjen risikoen for at behandlingsreglene ikke blir respektert. Norsk Redaktørforening har med tilslutning fra Norske Avisers Landsforbund pekt på under høringen at dette spørsmålet burde vært vurdert av personregisterlovutvalget.

Det forhold at mange mennesker kjenner ubehag i forhold til andres håndtering av personopplysninger utgjør imidlertid i seg selv et sterkt argument for å regulere selve behandlingen av opplysningene, bl a gjennom å stille krav til dataenes kvalitet. Internasjonale regelverk som Europarådets personvernkonvensjon, OECD's retningslinjer og EU's personverndirektiv bygger alle på en behandlingsmodell. Det samme gjelder lovgivningen i EU-landene. Departementet går på denne bakgrunn inn for å følge opp utvalgets forslag om en lov som inneholder generelle regler for behandlingen av personopplysninger. Det bør samtidig understrekes at de reglene som gis, nødvendigvis må være nokså generelle i sin form, og at reglenes nærmere innhold må fastlegges gjennom praksis. Bl a i lys av den stadige teknologiske utviklingen er det neppe til å unngå at det på ulike områder kan reise seg vanskelige spørsmål der løsningen kan synes usikker, og der det kanskje også kan bli spørsmål om behov for lovendringer. Dette er blant de forhold som gjøre det påkrevd med en etterkontroll av loven, jf punkt 15.3. Det er nok også mulig at det vil kunne bli en diskusjon på internasjonalt nivå om behovet for i større utstrekning å gå over til en regulering som fokuserer på misbruk av personopplysninger.

3.4 Personvern og åpenhet

En ny lov om behandling av personopplysninger reiser enkelte problemstillinger som aksentuerer spenningen mellom personvern og åpenhet.

For det første vil regler som begrenser mulighetene til å behandle personopplysninger, ha en side til ytrings- og informasjonsfriheten. Mer presist er det nødvendig å avveie personverninteressene mot behovet for fritt å kunne samle, bearbeide og presentere personopplysninger, typisk som ledd i journalistisk virksomhet eller ved å ikle dem et kunstnerisk uttrykk.

Reglene i den nye personopplysningsloven får i utgangspunktet anvendelse for alle som behandler personopplysninger. Det er nødvendig å vurdere nærmere om man for å ivareta hensynet til ytrings- og informasjonsfriheten må tilpasse eller gjøre unntak fra reglene i lovforslaget. Dette er en vanskelig vurdering mellom to sentrale og grunnleggende verdier i et demokratisk samfunn: hensynet til den enkeltes personvern og hensynet til fritt å kunne motta og formidle informasjon og meninger.

Det er på det rene at mediene gjennom sin bruk av personopplysninger for journalistiske formål har en sentral rolle i forhold til ytringsfriheten. Medienes frihet til å håndtere personopplysninger vil derfor stå sentralt i den avveiningen som her må foretas. Det er imidlertid viktig å være oppmerksom på at ytringsfriheten også gjelder for andre som behandler personopplysninger, det være seg enkeltpersoner, politiske eller ideelle organisasjoner som behandler personopplysninger som ledd i ulike typer ytringer om samfunnsforhold.

Når man spesielt vurderer rammeverket for medienes håndtering av personopplysninger, er det på den ene siden viktig å legge vekt på deres rolle som en grunnleggende bærebjelke for en bred informasjon og meningsbrytning i et demokratisk samfunn. På den annen side er det et klart behov for å styrke rettssikkerheten og personvernet for enkeltpersoner i forhold til media. Når pressen eller media generelt omtales som «den fjerde statsmakt», ligger det i dette at media kan utøve en makt som - når den berører enkeltindivider - kan reise lignende rettssikkerhetsspørsmål som i forhold til andre maktutøvere i samfunnet. Medias situasjon i en næring som i stigende grad preges av konkurranse, kan lettere føre til at hensynet til enkeltindivider kommer i klemme. Personvernhensyn vil i en viss utstrekning bli ivaretatt gjennom annen lovgivning, som straffelovens regler om ærekrenkelser og privatlivets fred, ulovfestede regler om personlighetsvern osv. Det reelle personvernet er også avhengig av medieetiske holdninger og praksis.

Ytringsfriheten er vernet av Grunnloven § 100 som i første punktum setter forbud mot forhåndssensur av trykte skrifter og som i annet og tredje punktum begrenser adgangen til å pålegge ansvar for ytringer i trykt skrift. Artikkel 10 i den europeiske menneskerettighetskonvensjonen (EMK) oppstiller en grunnleggende rett for enhver til fritt å motta og meddele opplysninger og ideer. Lovbestemte inngrep i disse rettighetene kan bare forsvares i den grad de er nødvendige i et demokratisk samfunn og ivaretar nærmere oppregnede formål, som f eks vernet av andres omdømme eller rettigheter. Den europeiske menneskerettskonvensjonen har samtidig i artikkel 8 en bestemmelse som beskytter privatlivets fred. Også artikkel 19 i den internasjonale konvensjon om sivile og politiske rettigheter (SP) beskytter ytrings- og informasjonsfriheten, mens artikkel 17 beskytter privatlivets fred.

Som det redegjøres nærmere for under punkt 11.6 i proposisjonen, er det bare noen få bestemmelser i forslaget til ny personopplysningslov som det vil være nødvendig å begrense fordi man ellers kan komme i konflikt med bestemmelsene om ytringsfrihet i Grunnloven, EMK og SP. I all hovedsak blir det derfor en lovgivningspolitisk vurdering å ta stilling til hvor langt man bør gå i å begrense lovens virkefelt for å gi ytrings- og informasjonsfriheten tilstrekkelig albuerom. I kapittel 11 vil departementet behandle nærmere hvilke bestemmelser i lovforslaget som det bør gjøres unntak fra av hensyn til ytringsfriheten.

Lovforslaget har også en side til offentlighetsprinsippet, dvs allmennhetens tilgang til forvaltningens saksdokumenter. Å gi innsyn i personopplysninger er behandling av personopplysninger i lovforslagets forstand. Som det vil bli redegjort nærmere for i kapittel 12, vil ikke lovforslagets regler begrense retten til innsyn etter offentlighetslovgivningen. Men innsynsretten etter personopplysningsloven kan bli et supplement til allerede eksisterende innsynsregler, bl a fordi innsynsretten avgrenses på en annen måte enn etter offentlighetsloven og forvaltningsloven. Disse spørsmålene vil bli drøftet nærmere under punktene 12.5 og 5.2.4.5.

3.5 Forholdet til forskning og statistikk

I forbindelse med forskningsprosjekter og utarbeiding av ulike former for statistikk behandles ofte personopplysninger. Det er ikke sjelden sensitive personopplysninger behandles, og behandlingen skjer i dag som regel elektronisk. Interessene i gode forskningsresultater kan av og til komme i konflikt med personverninteresser. Behandling av personopplysninger for forskning eller statistiske formål vil likevel i en del tilfeller stå i en særstilling, ut fra de viktige samfunnsmessige interesser som kan være knyttet til den vitenskapelige eller statistiske virksomheten.

I utgangspunktet vil de alminnelige reglene i den nye personopplysningsloven også gjelde for behandling av personopplysninger i forskning og for statistiske formål. For forskningsprosjekter som gjør bruk av alminnelige personopplysninger, vil lovforslaget i utgangspunktet medføre meldeplikt, jf § 31. Forskning som innebærer bruk av sensitive personopplysninger, vil være konsesjonspliktig etter § 33. I tråd med EU-direktivet foreslås samtidig enkelte særregler for på enkelte punkter å tilpasse regelverket til forskningens særlige behov. I henhold til § 9 bokstav h i lovforslaget skal man uten å innhente den registrertes samtykke kunne gis konsesjon til å behandle sensitive personopplysninger når dette er nødvendig for historiske, statistiske og vitenskapelige formål. En forutsetning er at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene den kan medføre for den enkelte. Det foreslås også en særskilt presisering i § 11 annet ledd om grunnkrav til behandling av personopplysninger for å legge forholdene til rette for gjenbruk av opplysninger som ledd i forskning eller statistisk virksomhet. I tillegg videreføres den nåværende begrensningen i den registrertes rett til å kreve innsyn i personopplysninger som bare benyttes for forskningsformål, jf § 18 fjerde ledd. I medhold av § 28 annet ledd i lovforslaget åpnes det for å lagre personopplysninger i større utstrekning enn ellers så sant de lagres for historiske, statistiske eller vitenskapelige formål.

Det er allerede et nært samarbeid mellom forskningssektoren og Datatilsynet med det formål å ivareta personvernhensyn i forbindelse med forskning. Gjennom arbeidet i Datafaglig sekretariat, gjennom de regionale forskningsetiske komiteer for medisinsk forskning, og til en viss grad gjennom de nasjonale forskningsetiske komiteer, foretas det en forhåndsvurdering av forskningsprosjekter som skal igangsettes. Datafaglig sekretariat gir informasjon og veiledning, og fungerer som et kontaktledd mellom forskningsmiljøene og Datatilsynet. I Rådet for persondataarkivering, der Datatilsynet møter som observatør, behandler man spørsmål om arkivering og gjenbruk av forskningsopplysninger. Det kontaktnettet som allerede er skapt på forskningens område, skulle legge forholdene vel til rette for en videre utvikling av samarbeidet med Datatilsynet under den nye personopplysningsloven. F eks kan man i den grad det måtte være behov for mer detaljerte regler for forskningens vedkommende, i samarbeid med Datatilsynet utarbeide bransjevise atferdsnormer til bruk for de ulike forskningsmiljøene, jf punkt 6.10 i proposisjonen.

Til forsiden