4 Lovens saklige og geografiske virkeområde
4.1 Fra register til behandling
4.1.1 Gjeldende rett
Personregisterlovens anvendelsesområde knytter seg i hovedsak til opprettelse og bruk av personregistre, jf § 1. Loven skiller ikke mellom manuelle og elektroniske personregistre, men legger vekt på om opplysningene er lagret systematisk, slik at man kan gå inn i registeret og finne igjen opplysninger om en bestemt person. Det har ved flere anledninger vært pekt på at lovens personregisterbegrep er blitt mindre hensiktsmessig som avgrensningskriterium, ettersom den teknologiske utviklingen har gjort det stadig enklere å finne frem til opplysninger uten at de er lagret systematisk.
Personregisterloven regulerer også bruk av personopplysninger i kreditt-, databehandlings- og adresseringsvirksomhet og i markeds- og opinionsundersøkelser, jf § 1 tredje ledd og kapitlene 5 til 8 som gir nærmere regler for bruken av personopplysninger i disse virksomhetene. Loven inneholder imidlertid ingen generell definisjon av «bruk eller behandling av personopplysninger».
4.1.2 Internasjonale regler
EU-direktivet får som hovedregel anvendelse på behandling av personopplysninger som helt eller delvis foretas ved hjelp av edb og på manuell behandling av personopplysninger der disse inngår eller skal inngå i et personregister, jf artikkel 3 nr 1. Behandlingsbegrepet rekker vidt og defineres i norsk oversettelse slik i artikkel 2 bokstav b:
«enhver operasjon eller rekke av operasjoner som med eller uten elektroniske hjelpemidler utføres i forbindelse med personopplysninger, for eksempel innsamling, registrering, systematisering, oppbevaring, tilpasning eller endring, gjenfinning, søking, bruk, videreformidling ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, sperring, sletting eller tilintetgjøring».
Registerbegrepet har en mer begrenset betydning enn etter den norske personregisterloven, etter som det bare har betydning for direktivets anvendelse på manuell behandling av personopplysninger. Et register defineres slik i artikkel 2 c):
«enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag».
Det er visse forskjeller på hvilke regler i direktivet som gjelder for henholdsvis manuelle registre og elektronisk behandling av personopplysninger, f eks når det gjelder meldeplikt.
Europarådskonvensjonenbenytter et behandlingsbegrep kombinert med et elektronisk dataregisterbegrep, jf artikkel 3:
«Partene forplikter seg til å anvende denne konvensjonen på elektroniske persondataregistre og elektronisk databehandling av personopplysninger i den offentlige og private sektor.»
Elektronisk databehandling defineres slik i artikkel 2 c):
«følgende operasjoner dersom de utføres helt eller delvis ved hjelp av automatiserte metoder: lagring av opplysninger, utføring av logiske og/eller aritmetiske operasjoner i tilknytning til disse opplysninger samt forandring, sletting, gjenfinning eller spredning av dem.»
4.1.3 Utvalgets forslag
Utvalget går inn for å la den nye personopplysningsloven omfatte all elektronisk behandling av personopplysninger og manuell behandling når personopplysningene skal inngå i et register, jf § 3 første ledd i utvalgets forslag. Utvalget foreslår en definisjon av behandlingsbegrepet som samsvarer med EU-direktivet, slik at det omfatter enhver operasjon som utføres på personopplysninger, f eks innsamling, registrering, systematisering, endring, utlevering og sletting, jf § 2 nr 2 i utvalgets forslag.
Når man skal ta stilling til om det foreligger en elektronisk behandling av personopplysninger (som alltid er omfattet av lovforslaget) eller en manuell behandling (som bare er omfattet i den grad personopplysningene skal inngå i et personregister), legger utvalget sentral vekt på om det er mulighet for å søke i materialet slik at enkeltpersoner lett kan gjenfinnes.
4.1.4 Høringsinstansenes syn
Det er generell oppslutning under høringen om forslaget om å gå bort fra et registerbegrep når det gjelder elektronisk behandling av personopplysninger. Enkelte instanser peker imidlertid på at det foreslåtte behandlingsbegrepet favner vidt og stiller spørsmål ved hva begrepet nærmere innebærer bl a i forhold til vanlig saksbehandling i den offentlige forvaltning ved hjelp av tekstbehandlingsutstyr.
En del høringsinstanser har kommentarer til hvordan grensen mellom elektronisk og manuell behandling nærmere bør trekkes. Det pekes bl a på at det ikke kan være avgjørende om opplysningene er lagret i maskinlesbar form, etter som også vanlig maskinskrevet tekst på papir kan gjøres maskinlesbar gjennom scanning. Det kan videre være vanskelig å sondre mellom digitale og analoge overvåkingssystemer, ettersom dagens teknologi gjør det mulig også å søke i analoge opptak.
LOog Datatilsynetstiller spørsmål ved om det i det hele tatt er grunn til å sondre mellom elektronisk og manuelt lagrede personopplysninger. Om dette heter det bl a i Datatilsynets uttalelse:
«Det er her blitt et unaturlig skille mellom elektronisk lagrede personopplysninger og manuelt lagrede personopplysninger. Det er ikke bare systematikk og gjenfinning som skaper trusler, også identifisering kan skape personverntrusler.»
4.1.5 Departementets vurdering
Departementet er enig med utvalget i at det i lys av den teknologiske utviklingen er naturlig å gi loven et videre anvendelsesområde enn det som følger av personregisterbegrepet i personregisterloven. Departementet slutter seg derfor til forslaget om å la loven omfatte all elektronisk behandling av personopplysninger. Departementet er også enig i at loven bør gjelde for manuell behandling av personopplysninger i den utstrekning opplysningene skal inngå i et personregister.
Etter departementets syn er faren for personvernet størst der man ved enkle midler kan gjenfinne, koble og spre personopplysninger. For manuelt lagrede opplysninger er det først og fremst når de er inntatt i et register at f eks gjenfinnings- og koblingsmulighetene er til stede. Dersom loven skulle gjelde for all manuell behandling av personopplysninger, kan den få et så omfattende virkefelt at det er fare for at det i praksis blir umulig for de behandlingsansvarlige å etterleve lovens regler. En slik utvidelse vil blant annet føre til at lovens regler skulle gjelde for saksmapper og arkivmateriale som er tematisk oppbygget, enda det der vil være uhåndterlig f eks å praktisere bestemmelsene om retting av personopplysninger.
Departementet vil også peke på at EU-direktivet i artikkel 3 nr 1 jf punkt 27 i direktivets fortale skiller klart mellom elektroniske og manuelle personopplysninger. Direktivet gjelder generelt for elektronisk behandling av personopplysninger, og for manuell behandling der personopplysningene inngår eller skal inngå i et personregister.
Når man nærmere skal skille mellom elektronisk og manuell behandling, må man legge vekt på om den særlige risiko som elektronisk behandling medfører for personvernet er til stede. Søkbarheten vil være et sentralt moment. Foreløpig er det slik at det først og fremst er opplysninger lagret i maskinlesbar form som det er enkelt å søke i. At også opplysninger som utelukkende er lagret manuelt, f eks på papirkopi, kan gjøres elektroniske gjennom f eks scanning, bør ikke uten videre medføre at det anses som noen elektronisk behandling å håndtere dem. Det er først når de er gjort maskinlesbare, f eks gjennom scanning, at de blir søkbare i en slik grad at behandlingen må anses som elektronisk.
Det kan være grunn til å advare mot å feste seg for mye ved tekniske løsninger og begreper som digital og analog lagring når man skal trekke grensen mellom elektronisk og manuell behandling. Teknikken er stadig under utvikling, f eks med tanke på bedre søkemuligheter. Selv om det først og fremst er ved digital lagring at man i dag har utviklet søkemuligheter, har enkelte høringsinstanser pekt på at det stadig mer blir mulig å søke også i videoopptak som er lagret analogt.
Elektronisk ord- og tekstbehandling som innebærer behandling av personopplysninger omfattes i utgangspunktet av EU-direktivet og av utvalgets lovforslag. Derimot er det klart at direktivet ikke i første rekke tar sikte på slik behandling. Det bør man ta i betraktning når bestemmelsene i lovforslaget skal anvendes f eks i forhold til vanlig saksbehandling i offentlig forvaltning med tekstbehandlingsutstyr. Det vil normalt være slik at utarbeidelsen av et brev eller annen løpende tekst vil være en behandling som fyller vilkårene for lovlig behandling i §§ 8 og 9 og at de sikkerhetstiltak som må iverksettes i henhold til § 13 kan tilpasses det forhold at det er tale om ord- og tekstbehandling. De grunnleggende kravene til behandling av personopplysninger i § 11 bør uten større problemer kunne anvendes også på personopplysninger i løpende tekst. Utkast til brev som skrives ved hjelp av tekstbehandling, vil normalt være å anse som interne dokumenter og dermed være unntatt fra innsyn i henhold til § 23 første ledd, særlig bokstav e. Privatpersoners ord- og tekstbehandling og kommunikasjon med e-post faller som regel under unntaket for behandling av personopplysninger for rent personlige formål i § 3 annet ledd. Meldeplikt for ord- og tekstbehandling i henhold til §§ 31 og 32 i lovforslaget vil føre til et enormt antall meldinger som vil være vanskelig å håndtere administrativt både for de behandlingsansvarlige og Datatilsynet. Det vil derfor være naturlig å begrense eller gjøre unntak fra meldeplikten for slik behandling i medhold av § 31 siste ledd
4.2 Bør lovforslaget omfatte opplysninger om juridiske personer?
4.2.1 Gjeldende rett
Personregisterloven omfatter opplysninger og vurderinger som direkte eller indirekte kan knyttes til identifiserbare enkeltpersoner, sammenslutninger eller stiftelser, jf pregl § 1 annet ledd.
4.2.2 Internasjonale regler
EU-direktivet omfatter enhver form for informasjon om identifiserte eller identifiserbare fysiske personer, jf artikkel 2 bokstav a. Direktivet er likevel ikke til hinder for at man på nasjonalt plan også lar personopplysningslovgivningen omfatte juridiske personer. Som juridiske personer regnes bl a selskaper og andre sammenslutninger, stiftelser, staten og kommunene.
Også i Europarådskonvensjonen er personopplysningsbegrepet knyttet til opplysninger som gjelder identifiserbare enkeltpersoner, jf artikkel 2 bokstav a.
4.2.3 Utvalgets forslag
Utvalget går inn for at opplysninger om juridiske personer ikke lenger bør omfattes direkte av loven. Om bakgrunnen for dette uttaler utvalget bl a på s 53-54 i utredningen:
«Utvalget er enig i at også opplysninger om juridiske personer (f eks opplysninger om produksjonsplaner, regnskap etc) ofte vil ha et legitimt behov for vern. Behovet for å verne denne typen av opplysninger er imidlertid i stor grad begrunnet i andre hensyn enn personvernhensyn. Som oftest er det økonomiske interesser som gjør seg gjeldende - i motsetning til tradisjonelle personverninteresser (ikke-økonomiske interesser). Foran i kapittel 3 er det «integritetsfokuserte» personvernet beskrevet som et ønske om å ha kontroll med opplysninger som oppleves som strengt personlige; en juridisk person har ingen slik opplevelse. Ut i fra det «maktfokuserte» personvernet gjør heller ikke de samme hensyn seg gjeldende. Styrkeforholdet mellom store markedsaktører eller myndigheter og juridiske personer er som regel (avhengig av størrelsen på den juridiske personen) ikke så skjevt som mellom førstnevnte gruppe og en enkelt fysisk person. Opplysninger om juridiske personer er dessuten ofte regulert av annen lovgivning....»
Utvalget viser også til at man i de fleste andre land velger å utelate opplysninger om juridiske personer fra sin personvernlovgivning og at heller ikke europarådskonvensjonen eller direktivet omfatter juridiske personer. Utvalget understreker imidlertid at lovforslaget omfatter opplysninger om fysiske personer som knytter seg til juridiske personer, f eks opplysninger om at en person er registrert som innehaver av en virksomhet.
4.2.4 Høringsinstansenes syn
Flere høringsinstanser tar opp spørsmålet om loven også bør gjelde for juridiske personer. Av de instansene som uttaler seg om spørsmålet støtter Norsk Redaktørforening, Norske Avisers Landsforening, Advokatforeningen, Datatilsynet, Sparebankforeningen, Den norske Bankforening, Norges Forsikringsforbundog Næringsdepartementetuttrykkelig utvalgets forslag. De legger blant annet vekt på at behovet for å la personopplysningsloven gjelde ikke er det samme for juridiske personer og at de beskyttelsesverdige personverninteressene hovedsakelig er knyttet til fysiske personer. Datatilsynet uttaler i sin høringsuttalelse:
«Datatilsynets erfaring har vist at de beskyttelsesverdige personverninteressene hovedsakelig er knyttet til fysiske personer. Det er derfor bra at loven endres på dette punkt.»
Samtidig peker Datatilsynet på at det i forhold til kredittopplysningsvirksomhet kan være et særlig behov for også å regulere bruk av kredittopplysninger om juridiske personer.
Den Norske Dataforening og Statistisk Sentralbyråstiller seg derimot mer skeptisk til en slik avgrensning og mener at behovet for personvern også for juridiske personer bør vurderes på et bredere grunnlag enn det utvalget har gjort. Også Finansdepartementettar i sin uttalelse til orde for en bredere behandling av dette spørsmålet.
4.2.5 Departementets vurdering
Departementet er enig med utvalget og flertallet av de høringsinstansene som har uttalt seg, i at det i all hovedsak er andre hensyn enn de rene personverninteressene som begrunner behovet for vern for juridiske personer, og da særlig forretningsmessige, konkurransemessige og økonomiske hensyn.
Med et såpass vidtrekkende anvendelsesområde som det personopplysningsloven legger opp til, vil det dessuten kunne være vanskelig å fullt ut å overskue konsekvensene av også å la loven omfatte juridiske personer. F eks kan det være uhensiktsmessig om næringsdrivende i medhold av reglene om varslingsplikt ved innhenting av personopplysninger fra andre i stor utstrekning skal varsle hverandre hver gang de henter inn opplysninger om hverandre, jf § 20 i lovforslaget.
Departementet legger også vekt på at andre land som det er naturlig å sammenligne seg med, enten har eller forbereder personvernlovgivning som i utgangspunktet bare omfatter opplysninger om fysiske personer. Det gjelder f eks Danmark, Finland, og Sverige.
Som Datatilsynetsier i sin høringsuttalelse, er det likevel et behov for å verne også næringsdrivende mot misbruk ved innsamling og formidling av kredittopplysninger. Kredittopplysningsvirksomhet omfatter i praksis en stor spredning av opplysninger om juridiske personer. Kredittanmerkninger oppfattes av mange som sensitive og kan i flere sammenhenger få betydelige konsekvenser for den registrerte. Datatilsynet opplyser videre at det trolig er innen kredittopplysningsvirksomheten at tilsynet har flest henvendelser fra registrerte næringsdrivende. For kredittopplysningsvirksomhet vil det være nødvendig å supplere lovforslaget med utfyllende forskrift, jf § 3 i lovforslaget og punkt 7.5 i proposisjonen. Departementet foreslår at det åpnes for å gi forskrift om at enkelte av lovens regler også skal gjelde for kredittopplysninger om andre enn fysiske personer, jf § 3 siste ledd.
4.3 Offentlig og privat virksomhet
4.3.1 Gjeldende rett
De fleste kapitlene i personregisterloven får anvendelse både på offentlig og privat virksomhet, jf § 1 tredje ledd. Det er likevel enkelte forskjeller på hvilke regler som gjelder for de to sektorene. For eksempel er innsynsretten videre i forhold til offentlige enn private registre, jf pregl § 7 annet og tredje ledd.
4.3.2 Internasjonale regler
I EU-direktivet er reglene for offentlig og privat sektor i utgangspunktet de samme. En begrunnelse for dette er bl a at borgernes rettsvern ikke bør være avhengig av hvor opplysningene om dem blir behandlet.
Direktivet gjelder ikke for behandlinger av personopplysninger på områder som ikke omfattes av fellesskapsretten, f eks opplysninger som angår den offentlige sikkerhet, forsvar, statens sikkerhet og statens aktiviteter på det strafferettslige området, jf artikkel 3 nr 2. Dette medfører at landene står fritt til selv å bestemme hvordan reglene skal utformes på disse områdene.
På samme måte som personregisterloven unntar EU-direktivet i artikkel 3 nr 2 annet strekpunkt privatpersoners bruk av personopplysninger med henblikk på utøvelse av rent personlige eller familiemessige aktivitet er fra direktivet.
Etter Europarådskonvensjonenartikkel 3 nr 1 gjelder konvensjonen på elektroniske dataregistre og elektronisk databehandling av personopplysninger både i offentlig og privat sektor. Reguleringen i nasjonal rett kan imidlertid være ulik for de to sektorer, jf artikkel 9.
4.3.3 Utvalgets forslag
Utvalget foreslår at også den nye loven skal gjelde både for offentlig og privat sektor. Om dette heter det på s 57 og 58 i utredningen:
«Også behandling av personopplysninger i private sektor kan være av stor betydning for den enkelte. I den senere tid har det dessuten vært tendenser til at oppgaver som tradisjonelt har blitt utført av det offentlige overlates til private. Dette skjer ofte ved at private virksomheter overtar totalansvaret for f eks yting av tjenester, men også ved at det offentlige setter ut enkelte ledd i utføringen av sin virksomhet til private aktører («outsourcing»). I tillegg til at denne utviklingen kan gjøre det vanskeligere enn før å skille mellom offentlig og privat virksomhet, ville det være uheldig om en endret arbeidsfordeling førte til mindre betryggende regulering og behandling av personopplysninger. Denne utviklingen er derfor slik utvalget ser det ytterligere ett argument for at både offentlig og privat virksomhet bør reguleres av loven, og for at beskyttelsesnivået bør være det samme i offentlig og privat sektor.»
Utvalget drøfter på s 58 i utredningen om det bør være ulike regler for offentlig og privat virksomhet, men trekker den hovedkonklusjonen at det i utgangspunktet ikke er grunn til å utforme forskjellige regler.
Utvalget går inn for å unnta fra lovens virkefelt behandling av personopplysninger for rent personlige aktiviteter, på linje med det som følger både av personregisterloven og EU-direktivet.
4.3.4 Høringsinstansenes syn
Det har ikke kommet innvendinger under høringen mot å la personopplysningsloven gjelde både for offentlig og privat virksomhet.
4.3.5 Departementets vurdering
Departementet slutter seg til utvalgets vurderinger og går inn for at loven skal gjelde for både offentlig og privat virksomhet. Departementet foreslår også at det gjøres unntak for behandling av personopplysninger for rent private formål, jf § 3 annet ledd i lovforslaget.
4.4 Sensitive personopplysninger
4.4.1 Gjeldende rett
Begrepet «sensitive personopplysninger» benyttes ikke i personregisterloven, men er en praktisk fellesbetegnelse for særlig følsomme personopplysninger som har et særskilt vern. Opplysningstyper som er undergitt særskilt regulering i personregisterloven, er opplysninger om rase, politisk eller religiøs oppfatning, opplysninger om at en person har vært mistenkt, tiltalt eller dømt for straffbare forhold, opplysninger om helseforhold og misbruk av rusmidler, opplysninger om seksuelle forhold og visse opplysninger om familieforhold, jf personregisterloven §§ 6 og 9.
4.4.2 Internasjonale regler
EU-direktivet forbyr i utgangspunktet all behandling av personopplysninger om rasemessig eller etnisk bakgrunn, politisk, religiøs eller filosofisk overbevisning, medlemsskap i fagforening og opplysninger om helse eller seksuelle forhold, jf artikkel 8 nr 1. Det finnes visse unntaksregler, f eks der den registrerte selv samtykker i slik behandling, der behandlingen er nødvendig for å gjennomføre enkelte helsetjenester og der det er nødvendig å behandle sensitive opplysninger for å overholde arbeidsrettslige forpliktelser, jf artikkel 8 nr 2 og 3.
I henhold til Europarådskonvensjonenartikkel 6 skal visse særlige kategorier av opplysninger ikke behandles elektronisk uten at nasjonal lovgivning gir tilstrekkelig vern. Nærmere bestemt gjelder dette opplysninger som åpenbarer rasemessig opprinnelse, politiske oppfatninger samt religiøs eller annen tro, personopplysninger om helse eller seksualliv og personopplysninger som gjelder domfellelser for straffbare handlinger.
4.4.3 Utvalgets forslag
I tråd med blant annet EU-direktivet finner utvalget det nødvendig å undergi særlig følsomme opplysninger særskilt lovregulering på enkelte punkter; når det gjelder adgangen til i det hele tatt å behandle opplysningene og plikten til å søke om konsesjon forut for behandlingen. Forslaget til oppregning av slike særkategorier av opplysninger forutsettes i hovedsak å dekke de samme kategoriene som i dag er særregulert i personregisterloven. I tillegg har utvalget som følge av EU-direktivet føyd til opplysninger om fagforeningstilhørighet. Om denne tilføyelsen uttaler utvalget på s 133-134 i utredningen:
«Opplysning om medlemsskap i fagforening er i Norge tradisjonelt ikke oppfattet som en sensitiv personopplysning. Det kan derfor være noe fremmed at slike opplysninger bare skal behandles dersom nærmere bestemte vilkår er oppfylt. Det antas imidlertid at unntakene i § 9 vil dekke de tilfellene hvor slik behandling er ønskelig eller nødvendig. Med hjemmel i § 9 kan det behandles opplysninger om medlemsskap i fagforeninger dersom den registrerte uttrykkelig samtykker, behandlingen er fastsatt i lov eller den behandlingsansvarlige er forpliktet til å foreta behandlingen i henhold til avtale mellom partene i arbeidslivet.»
4.4.4 Høringsinstansenes syn
Enkelte høringsinstanser reiser spørsmål ved om oppregningen av sensitive opplysninger bør snevres inn. Norsk Journalistlagog LOpeker på at medlemskap i fagforeninger etter norsk tradisjon ikke fremstår som noen sensitiv personopplysning, og foreslår at dette utgår av lovens oppregning av sensitive opplysninger. Norsk Redaktørforeninggår imot at man skal legge opp til et videre spekter av sensitive opplysninger enn det EU-direktivet krever, og viser i den anledning til forslaget om å anse som en sensitiv personopplysning at en person «har vært mistenkt, siktet, tiltalt eller dømt for straffbare forhold».
Den norske Advokatforeningreiser spørsmål om oppregningen bør suppleres til også å omfatte andre opplysninger, som f eks opplysninger om økonomiske forhold eller opplysninger om familiære forhold som strekker seg utover de opplysningene som direkte gjelder helse. Også Datatilsyneter opptatt av at andre opplysninger kan oppleves som sensitive av den enkelte og at man i slike tilfeller etter en særskilt vurdering kan komme til at en registrering ikke bør finne sted eller at det bør settes særlige vilkår for den. På denne bakgrunn foreslår Datatilsynet at tilsynets adgang til å gi pålegg om behandling av personopplysninger utvides, slik at det kan gis pålegg om at behandling av personopplysninger som på grunn av sitt omfang eller sin art vil virke krenkende for den enkelte skal opphøre eller gjennomføres på særskilte vilkår.
4.4.5 Departementets vurdering
Utvalgets definisjon av sensitive opplysninger bygger på en videreføring av gjeldende rett samtidig som den gjennomfører artikkel 8 nr 1 i EU-direktivet. Direktivet gir en uttømmende og bindende oppregning av hvilke typer personopplysninger som skal regnes som sensitive.
Departementet er enig med de høringsinstansene som påpeker at det etter norske forhold ikke er naturlig å betrakte opplysninger om fagforeningstilhørighet som sensitive. Med de reglene som foreslås i § 9 i lovforslaget åpner man imidlertid for å behandle slike opplysninger i den utstrekning dette er ønskelig eller nødvendig. Det vises da spesielt til § 9 første ledd bokstav a når den registrerte samtykker, bokstav b når slik behandling er fastsatt i lov, og bokstav f når behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter.
Som Norsk Redaktørforening peker på, kan det synes uklart om opplysninger om straffbare forhold er å anse som sensitive personopplysninger i EU-direktivets forstand. Denne typen opplysninger er ikke inntatt i direktivets oppregning i artikkel 8 nr 1 som i utgangspunktet oppstiller et forbud mot å behandle sensitive opplysninger. Det følger imidlertid av artikkel 8 nr 5 at opplysninger om straffbare forhold er av en særlig følsom karakter, slik at behandlingen av dem skal undergis en spesielt betryggende behandling. Når man også legger vekt på at Europarådets personvernkonvensjon i artikkel 6 anser personopplysninger om domfellelser for straffbare handlinger som sensitive, finner departementet det naturlig å behandle opplysninger om straffbare forhold som sensitive også i den nye personopplysningsloven. Departementet finner også støtte for en slik løsning i pkt 11 i direktivets fortale der det fremgår at de prinsippene om vern av personers rettigheter og friheter som omhandles i direktivet presiserer og utvider prinsippene fastsatt i Europarådets konvensjon 28 januar 1981 om personvern i forbindelse med databehandling av personopplysninger.
Spørsmålet om å gi tilsynsmyndigheten adgang til å sette særlige vilkår for behandling av opplysninger som ikke er sensitive i lovforslagets forstand, men som likevel oppfattes som særlig følsomme av den enkelte, behandles nærmere under punkt 14.6 i proposisjonen, jf også punkt 6.6.4 om konsesjonsplikt.
4.5 Geografisk virkeområde
4.5.1 Gjeldende rett
Personregisterloven har ikke regler om lovens stedlige virkeområde. Etter alminnelige interlegale prinsipper gjelder loven for personregistre og annen bruk av personopplysninger i visse typer virksomheter som drives fra riket utenom Svalbard og Jan Mayen, fra norske skip og på anlegg og innretninger på den norske kontinentalsokkelen.
Personregisterloven gjelder som hovedregel ikke for personregistre i utlandet, selv om opplysningene i registrene kan knyttes til norske personer. Men det er meldeplikt til Datatilsynet for den som vil overføre personopplysninger til utlandet når formålet med overføringen er å innføre opplysningene i et register, jf pregl § 36 tredje ledd og § 8-1 i forskriften til personregisterloven.
4.5.2 Internasjonale regler
I henhold til artikkel 4 i EU-direktivet skal man som hovedregel anvende det landets lov hvor den behandlingsansvarlige er etablert. Det er m a o etableringsstedet som i utgangspunktet avgjør lovvalget, og ikke det stedet hvor behandlingen faktisk foregår. For behandlingsansvarlige som ikke har etableringssted på fellesskapets territorium, men som benytter hjelpemidler som er plassert innenfor dette området, skal det landets lov gjelde hvor utstyret er plassert, med mindre hjelpemidlene bare benyttes til transitt. De nasjonale tilsynsmyndighetene skal etter artikkel 28 ha kontrollmyndighet over all behandling av personopplysninger som foregår i eget land, f eks innsamling av opplysninger som finner sted i landet.
4.5.3 Utvalgets forslag
Utvalget foreslår at den nye loven om behandling av personopplysninger skal gjelde for behandlingsansvarlige som er etablert i Norge, herunder på norske skip eller på anlegg eller innretning på kontinentalsokkelen, jf § 6 i utvalgets lovutkast. For behandlingsansvarlige med hovedsete i en annen EØS-stat og datterselskap eller filial i Norge, skal den norske loven gjelde for all behandling av personopplysninger knyttet til den norske filialens/datterselskapets virksomhet. Utvalget går også inn for at loven skal gjelde når en behandlingsansvarlig som er etablert utenfor EØS-området, benytter hjelpemidler i Norge ved behandlingen av personopplysningene, med mindre disse hjelpemidlene bare benyttes til å transportere personopplysningene via Norge. Utvalget foreslår at loven skal gjelde for Svalbard og Jan Mayen.
4.5.4 Høringsinstansenes syn
Det er svært få høringsinstanser som har knyttet merknader til utvalgets forslag. Utenriksdepartementet har imidlertid ønsket en utdyping av spørsmålet om loven skal få anvendelse på Svalbard.
4.5.5 Departementets vurdering
Departementet slutter seg i hovedtrekk til utvalgets forslag. Det kan imidlertid reises visse innvendinger mot å la loven gjelde for Svalbard og Jan Mayen uten videre. Befolkningen på Svalbard og Jan Mayen bør ha samme krav på personvern som på fastlandet, men særlig forholdene på Svalbard kan gjøre det nødvendig å vurdere visse særlige tilpasninger. Departementet går derfor inn for å erstatte utvalgets forslag med en hjemmel for Kongen til å gi forskrift om hvilke bestemmelser i den nye loven som skal gjelde for Svalbard og Jan Mayen og til eventuelt å fastsette særregler, jf § 4 i lovforslaget.
4.6 Behov for å unnta fra loven helt eller delvis bestemte former for behandling av personopplysninger
4.6.1 Gjeldende rett
Etter pregl § 1 fjerde ledd kan det bestemmes ved forskrift at loven ikke skal gjelde for visse typer personregistre. For personregistre som er nødvendige ut fra beredskapshensyn eller hensynet til rikets sikkerhet er det ved forskrift 21 desember 1979 gjort unntak fra pregl § 4 (opprettelse av systematisk fortegnelse over personregistre som skal være offentlig tilgjengelig), § 5 (Datatilsynets adgang til opplysninger om registrene) og § 7 (de registrertes innsynsrett).
I henhold til pregl § 41 er personregistre i organer for stat eller kommune unntatt fra konsesjonsplikten når registrene er opprettet ved egen lov. De øvrige reglene i personregisterloven gjelder ogsåfor slike registre, i den utstrekning ikke annet følger av hjemmelsloven.
4.6.2 Utvalgets forslag
Personregisterlovutvalget foreslår i § 3 siste ledd en forskriftshjemmel der Kongen gis adgang til å gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte former for elektronisk behandling av personopplysninger. I merknadene til bestemmelsen uttaler utvalget at forskriftshjemmelen må benyttes slik at eventuelle unntak er forenlige med EU-direktivet, og viser i den sammenheng til artikkel 3 nr 2 der direktivet regner opp de sakområdene som det ikke gjelder for (bl a behandling som gjelder offentlig sikkerhet, forsvar, statens sikkerhet og statens virksomhet på det strafferettslige området). Som et eksempel på områder der det kan være grunn til å gjøre unntak - iallfall fra deler av den nye personopplysningsloven - nevner utvalget strafferegistre, som i dag er unntatt fra konsesjonsplikt i medhold av pregl § 41 jf strafferegistreringsloven 11 juni 1971 nr 52.
Personregisterlovutvalget foreslår i § 44 i lovutkastet at den nye personopplysningsloven skal gjelde for behandling av personopplysninger som er regulert i annen lov med mindre noe annet følger av hjemmelsloven.
4.6.3 Høringsinstansenes syn
Under høringen har Politiets Overvåkingstjeneste, ØKOKRIM, Riksadvokatenog Kripostatt sterkt til orde for unntak for politiets registre, enten generelt eller for store deler av loven. De etterlyser en bredere vurdering av lovforslagets bestemmelser i forhold til politiets registre, ikke minst når det gjelder innsyns- og varslingsreglene. I høringsuttalelsen fra Politiets Overvåkingstjeneste heter det bl a om dette:
«Overvåkningssentralen forutsetter at det må gis forskrift som unntar politiets registre generelt. Forsåvidt gjelder strafferegistrene, vil det være en videreføring av gjeldende rett, jf. konsesjonsfritaket i medhold av personregisterloven § 41, jf lov av 11 juni 1971 nr 52 om strafferegistrering. For POTs del vil forskrift om at loven ikke skal gjelde, kunne utferdiges under henvisning til Direktivets bestemmelser om behandling som vedrører offentlig sikkerhet m.v.
For politiet generelt, og i særdeleshet for POT, er det især innsynsadgangen som tilsier at det utferdiges forskrift i medhold av § 3 siste ledd. Det vises til at POTs personregistre er unntatt personregisterlovens alminnelige innsynsregler, jf ovennevnte forskrift gitt ved kgl.res. av 21.12.1979. Prinsippet om verken å bekrefte eller avkrefte om noen har vært gjenstand for overvåkningsvirksomhet fremgår også av lov av 3. februar 1995 nr 7 om kontroll med etterretnings-, overvåknings- og sikkerhetstjenesten § 8. Bakgrunnen for at politiets arbeidsregistre i dag er unntatt innsyn er selvsagt at politiets kriminalitetsbekjempelse ville bli nærmest meningsløs og uten effekt dersom uverifiserte og personømfintlige opplysninger gis ut til den det angår. Foruten de konkrete skadevirkningene for det pågående politiarbeidet, tilsier hensynet til kildebeskyttelse og skjerming av metodebruk at innsyn ikke gis i politiets arbeidsregistre. For POTs del kommer dessuten de sikkerhetsmessige skadevirkninger som innsyn kan få. Det gjør seg dessuten gjeldende særlig hensyn i forbindelse med personkontroll i klareringssaker.»
4.6.4 Departementets vurdering
Departementet er enig med utvalget i at personopplysningsloven bør være en generell lov som i utgangspunktet gjelder for all slags behandling av personopplysninger. For enkelte personopplysningsbehandlinger kan man om nødvendig gi særlige regler i lovgivning som mer spesifikt regulerer vedkommende form for behandling.
Det vil være nødvendig å gjøre unntak fra deler av den nye personopplysningsloven for personopplysningsbehandlinger som er nødvendige ut fra beredskapshensyn eller hensynet til rikets sikkerhet. Det er også behov for unntak for politiets behandling av personopplysninger bl a i tilknytning til politiets arbeidsregistre.
Som det bl a fremgår av NOU 1998: 4 om Politiets overvåkingstjeneste, er politiets arbeidsregistre i dag underlagt særlige regler på en rekke punkter, dels i form av regulering i strafferegisterloven med forskrifter, dels i form av foreløpige retningslinjer utarbeidet av Justisdepartementet (rundskriv G 96/95) om etablering, bruk m m av politiets arbeidsregistre. For overvåkingstjenestens registre er det også gitt visse regler i overvåkingsinstruksen (kgl res 19 august 1994 nr 1302). Stortinget vedtok i februar 1999 en midlertidig lov om begrenset innsyn i overvåkingspolitiets arkiver og registre. For de politiregistrene som er hjemlet i strafferegistreringsloven er det ikke konsesjonsplikt, jf pregl § 41. Etter som strafferegistreringsloven ikke selv inneholder innsynsregler, har Datatilsynet gitt midlertidig aksept for unntak fra personregisterlovens innsynsregler for politiets arbeidsregistre. For overvåkingstjenstens registre gjelder særlige regler i overvåkingsinstruksen.
Danielsenutvalget går i NOU 1998: 4 inn for å videreføre de nåværende unntakene fra personregisterloven for overvåkingstjenestens registre, og foreslår samtidig at flere grunnleggende regler for overvåkingstjenestens registrering av personopplysninger inntas uttrykkelig i strafferegistreringsloven. Når det gjelder forholdet til Datatilsynets kontrollvirksomhet, legger utvalget vekt på at politiets overvåkingstjeneste er underlagt særskilt kontroll fra EOS-utvalget, samtidig som tjenesten også ellers er underkastet en mer omfattende kontroll fra overordnede myndigheters side enn det som er vanlig. En ytterligere kontroll fra Datatilsynets side vil etter utvalgets oppfatning fremstå som uheldig og muligens også virke pulveriserende for den overordnede myndighetens ansvar.
Dersom Danielsenutvalgets forslag følges opp, vil man få grunnleggende behandlingsregler for overvåkingstjenesten i strafferegistreringsloven som i medhold av forslaget til § 5 i lovforslaget her vil gå foran personopplysningslovens regler. I lys av den særlige kontroll som er etablert for registreringen i overvåkingstjensten, ser departementet liten grunn til at personopplysningslovens regler skal gjelde i tillegg for overvåkingspolitiets registre. Når det gjelder de øvrige politiregistrene, er det i dag et uoversiktlig regelverk der strafferegistreringsloven inneholder få materielle regler og der unntak fra personregisterloven til dels beror på midlertidige dispensasjoner fra Datatilsynet. Departementet ser på denne bakgrunn et klart behov for å gjennomgå strafferegistreringsloven med sikte på en generell revisjon; dels for å vurdere hjemmelsgrunnlaget for de ulike politiregistrene og dels for å lovfeste grunnleggende behandlingsregler for behandling av personopplysninger i registrene i tråd med den nye personopplysningsloven. Departementet vil derfor igangsette et slikt utredningsarbeid. For registrering og bruk av personopplysninger i Schengen informasjonssystemet (SIS) er det nylig vedtatt en egen lov, basert på Ot prp nr 56 (1998-99) Om lov om Schengen informasjonssystem (SIS) og lov om endringer i utlendingsloven og i enkelte andre lover som følge av Schengensamarbeidet.
I påvente av en generell revisjon av strafferegistreringsloven vil det være hensiktsmessig å la den nye personopplysningsloven gjelde for politiregistrene i utgangspunktet, og samtidig åpne for unntak ved forskrift fra deler av loven. Departementet slutter seg derfor til utvalgets forslag om en forskriftshjemmel som gir Kongen adgang til å bestemme nærmere hvilke deler av personopplysningsloven som bør få anvendelse for disse politiregistrenes vedkommende, jf § 3 tredje ledd i lovforslaget. Unntak vil særlig være påkrevet i forhold til reglene om den registrertes rett til innsyn og den behandlingsansvarliges varslingsplikt, men kan også være nødvendig i forhold til regler om konsesjons,- eller meldeplikt, regelen om Datatilsynets tilgang til opplysninger osv. På den annen side er det grunn til å anta at f eks lovens generelle krav til saklig og korrekt behandling i § 11 samt kravene til sikring i § 13 og internkontroll i § 14 bør kunne gjelde også for denne type registre.
Et eget spørsmål er i hvilken utstrekning Stortingets behandling av personopplysninger bør falle utenfor loven. Spørsmålet er ikke vurdert av utvalget, og det er heller ikke kommentert under høringen. Lovforslaget omfatter også behandling av personopplysninger som finner sted som ledd i virksomheten i Stortinget og tilknyttede institusjoner som f eks Sivilombudsmannen og Riksrevisjonen. Dette er i samsvar med personregisterlovens regler, som i utgangspunktet også omfatter personregistre som føres av Stortinget og Riksrevisjonen, men som unntar registre over stortingsrepresentanter og medlemmer av stortingskomitéer fra konsesjonsplikten, jf personregisterforskriften § 2-15. EU-direktivet må trolig forstås slik at det ikke er adgang til å gjøre noe alminnelig unntak for politiske organers behandling av personopplysninger. Unntak for Stortinget og tilknyttede institusjoner må derfor vurderes i forhold til hver enkelt artikkel innenfor de rammene direktivet setter. Hvorvidt det er ønskelig å gjøre unntak, er en vurdering som Stortinget selv er nærmest til å foreta. Departementet nøyer seg derfor med å peke på behovet for å vurdere særlige innsynsregler, unntak fra melde- og konsesjonsplikten, og om det er Datatilsynet eller andre som bør føre tilsyn med at Stortinget etterlever loven. Hvis Datatilsynet skal føre tilsyn, bør det vurderes om det er behov for særskilte unntak fra tilsynets adgang til å gi pålegg og ilegge tvangsmulkt.