5 Den enkeltes rettigheter
5.1 Innledning
Utvalget omtaler i kapittel 11 i utredningen såkalte individuelle personverngarantier, dvs garantier som gir rettigheter for den enkelte registrerte til å ivareta sitt personvern. Som eksempel på en slik rettighet kan nevnes rett til innsyn i personregistre og til å kreve personopplysninger slettet i registrene. I et samfunn der mengden av personopplysninger øker, vil det bli en stadig mer krevende oppgave for borgerne å vareta personvernet gjennom de rettighetene som tilstås den enkelte. Utvalget understreker derfor behovet for å legge til rette for at disse rettighetene skal være effektive hjelpemidler for folk flest (utredningen s 61).
Det er naturlig å dele de forskjellige rettighetene inn i følgende grupper:
Rett til å kreve innsyn
Rett til å bli varslet om innsamling av personopplysninger
Rett til å motsette seg visse typer behandling av personopplysninger
Rett til å kreve personopplysninger rettet, supplert eller slettet.
Utvalget foreslår utvidede regler om rett til å kreve innsyn i behandlingen av personopplysninger og nye regler som pålegger de behandlingsansvarlige å varsle de registrerte når opplysninger om dem samles inn. Utvalget går også inn for gi den registrerte større adgang til å kreve opplysninger om seg selv sperret eller slettet enn det som følger av gjeldende lov. EU-direktivet utgjør en sentral premiss for de fleste elementene i utvalgets forslag på dette området, ettersom direktivet her har utførlige regler, ikke minst når det gjelder innsyn og varsling i artiklene 10-13.
Det har vært generell oppslutning under høringen om å styrke de registrertes rettigheter. En del instanser har imidlertid hatt kommentarer til enkeltheter i de ulike varslings,- innsyns,- og slettingsreglene. Noen instanser har også påpekt at utvalgets forslag kan medføre urimelig store kostnader for de behandlingsansvarlige.
5.2 Den enkeltes rett til innsyn
Personregisterloven, personverndirektivet og europarådskonvensjonen har en rekke regler som gir den enkelte mulighet for kjennskap til behandling av personopplysninger. Utvalget deler reglene inn i følgende hovedgrupper:
plikt for tilsynsmyndigheten til å føre en allment tilgjengelig fortegnelse over melde- og konsesjonspliktige databehandlinger
plikt for den behandlingsansvarlige som ikke er undergitt melde- og konsesjonsplikt til å gjøre informasjon om behandling av personopplysninger allment tilgjengelig
rett for den enkelte til å få innsyn i generell informasjon om formål, opplysningstyper, kilder for opplysningene m v
rett for den registrerte til å få innsyn i innholdet av konkrete behandlinger som gjelder en selv
rett for den registrerte til innsyn i behandlingsregler («logikken»).
Innsynsreglene må ses i sammenheng med den plikten som EU-direktivet pålegger den behandlingsansvarlige til å informere (varsle) enkelte registrerte om visse generelle forhold knyttet til behandlingen av personopplysninger, jf nærmere under punkt 5.3.
Reglene om innsyn er indirekte knyttet til innholdet av melde- og konsesjonsplikten, jf kapittel 6 i proposisjonen. De opplysningene som foreslås inntatt i meldingen til Datatilsynet, vil grovt sett være de samme som hver enkelt skal kunne kreve innsyn i og som skal fremgå av den alminnelige fortegnelsen som Datatilsynet skal opprette om melde- og konsesjonspliktige databehandlinger.
Reglene om innsyn vil supplere innsynsbestemmelsene i offentlighets- og forvaltningsloven, jf punkt 5.2.4.5 og kapittel 12.
5.2.1 Plikt for tilsynsmyndigheten til å føre en allment tilgjengelig fortegnelse over meldepliktige og konsesjonspliktige personopplysnings behandlinger
5.2.1.1 Gjeldende rett
Personregisterloven § 4 etablerer en plikt for Datatilsynet til å føre en systematisk og allment tilgjengelig fortegnelse over personregistre med konsesjon etter § 9. På grunn av stor arbeidsbyrde har det ikke vært mulig for Datatilsynet å opprette en slik fortegnelse som er lett tilgjengelig. Interesserte kan imidlertid i medhold av offentlighetsloven § 2 annet ledd kreve innsyn i bestemte konsesjonssaker ved å ta kontakt med Datatilsynet.
5.2.1.2 Internasjonale regler
EU-direktivet pålegger tilsynsmyndigheten plikt til å føre et register over meldepliktige behandlinger av personopplysninger, jf artikkel 21 nr 2. Registeret skal minst omfatte de samme opplysningene som meldinger om personopplysningsbehandlinger skal inneholde i henhold til artikkel 19. Dette innebærer at registeret blant annet skal inneholde opplysninger om den behandlingsansvarliges navn og adresse, behandlingens formål, en beskrivelse av kategorien av registrerte og av de typer opplysninger som vedrører dem.
Europarådskonvensjonensynes i artikkel 8 a å forutsette en tilsvarende fortegnelse som fastsatt i direktivet, men knesetter ingen klar plikt til å opprette en slik oversikt.
5.2.1.3 Utvalgets forslag
Utvalget går inn for en ordning der melde- og konsesjonsplikt må sees i sammenheng, jf kapittel 12 i utredningen. Som en følge av dette foreslår utvalget en plikt for Datatilsynet til å etablere en sentral fortegnelse som skal inneholde opplysninger om både konsesjons- og meldepliktige personopplysningsbehandlinger. Fortegnelsen skal inneholde opplysninger om den behandlingsansvarlige, behandlingens formål, beskrivelse av de typer personopplysninger som inngår i behandlingen, kilde for opplysningene og hvem personopplysningene vil bli utlevert til. Fortegnelsen skal også inneholde opplysninger om planlagt utlevering av opplysningene til andre stater.
Utvalget mener at oversikten kan bli et nyttig virkemiddel for personer som aktivt ønsker å utøve rett til innsyn, samtidig som den vil gi den enkelte en bedre oversikt og kontroll med de databehandlinger som foretas. Fortegnelsen vil kunne bidra til offentlighet og åpenhet om databehandlingsvirksomhet både i offentlig og privat sektor, samtidig som den vil kunne være til nytte for Datatilsynets kontroll- og informasjonsvirksomhet.
5.2.1.4 Høringsinstansenes syn
Ingen høringsinstanser har hatt innvendinger mot utvalgets forslag. Den norske Advokatforeningunderstreker betydningen av en slik fortegnelse som et viktig redskap for å kunne gjøre bruk av de individuelle rettighetene som den registrerte har i medhold av lovforslaget.
5.2.1.5 Departementets vurdering
Departementet slutter seg til forslaget om å opprette en sentral fortegnelse over innmeldte personopplysningsbehandlinger, jf § 42 tredje ledd nr 1 i lovforslaget. En slik oversikt vil på mange måter ha samme funksjon som en journal har i forhold til offentlighetsloven og dermed utgjøre et nyttig redskap for dem som ønsker å orientere seg om hvilke databehandlinger som foretas. Det er viktig at oversikten blir lett tilgjengelig, oversiktlig og med gode søkefunksjoner.
Det vil for enkelte personopplysningsbehandlingers vedkommende være nødvendig å begrense innholdet i oversikten, f eks av hensyn til etterforskning av straffbare handlinger, rikets sikkerhet m v, jf nærmere under punkt 5.2.3.
5.2.2 Plikt for behandlingsansvarlige som ikke er undergitt melde- eller konsesjonsplikt til å gjøre informasjon om personopplysningsbehandlinger allment tilgjengelig
Personregisterloveninneholder ikke noen regler som pålegger registereiere som er unntatt fra konsesjonskravet å sikre offentlig tilgjengelighet om de personopplysningene som vedkommende behandler.
Artikkel 18 nr 2, 3 og 4 i EU-direktivet unntar en del typer behandlinger av personopplysninger fra meldeplikt, jf f eks behandlinger hvor det ikke er sannsynlig at de registrertes rettigheter eller friheter krenkes. Opplysninger om disse behandlingene vil heller ikke bli samlet i noen offentlig fortegnelse over databehandlinger. For å sikre offentlig tilgjengelig informasjon om disse behandlingene pålegger artikkel 21 nr 3 den behandlingsansvarlige å utarbeide en offentlig tilgjengelig oversikt som i hovedsak skal inneholde de samme opplysninger som den offentlige fortegnelsen over meldepliktige behandlinger.
Som det fremgår nedenfor under punkt 5.2.3 går både utvalgetog departementet inn for å pålegge behandlingsansvarlige som ikke er undergitt melde- eller konsesjonsplikt å gjøre tilgjengelig slike opplysninger som den offentlige fortegnelsen over konsesjons- og meldepliktige behandlinger skal inneholde.
5.2.3 Rett til innsyn i generell informasjon om behandlingen
5.2.3.1 Gjeldende rett
Etter personregisterloven § 7 tredje ledd er det en generell adgang for alle til å få vite hvilke typer opplysninger som er tatt inn i offentlige registre. Innsynsretten gjelder uavhengig av om man selv er registrert i vedkommende register. Gjennom å sammenholde personregisterloven § 4 med §§ 6 og 11 kan det muligens også hevdes at det eksisterer en rett til å få opplysninger om formålet med et konsesjonspliktig register, hvem som er registeransvarlig og hvilke regler som gjelder for registeret og som er fastsatt imedhold av § 11.
5.2.3.2 Internasjonale regler
EU-direktivet gir i artikkel 12 den registrerte rett til å få opplyst hos den behandlingsansvarlige om det behandles personopplysninger om en selv, om formålet med behandlingen, hvilke opplysningstyper som brukes, kilden for og mottakerne av opplysningene, samt i visse tilfeller «logikken» bak visse behandlinger. Ulike unntak fra denne innsynsretten er hjemlet i artikkel 13. Den som ikke er registrert i vedkommende register, kan ikke kreve innsyn etter denne bestemmelsen, men kan få tilgang til mer generelle opplysninger fra den offentlige fortegnelsen hos kontrollmyndigheten eller gjennom den oversikten som de behandlingsansvarlige som er unntatt fra meldeplikt er pålagt å ha, jf artikkel 21 nr 2 og 3 og ovenfor under punktene 5.2.1 og 5.2.2.
Etter Europarådskonvensjonenartikkel 8 a har alle i utgangspunktet rett til å få opplyst om det eksisterer et edb-basert register og hvem som er behandlingsansvarlig. Konvensjonen har samtidig en del unntaksbestemmelser som ligner unntaksreglene i EU-direktivet.
5.2.3.3 Utvalgets forslag
Utvalget understreker på s 63 i utredningen at retten for enhvertil å få generell informasjon om behandlingen av personopplysninger er et viktig og nødvendig supplement til den enkeltes rett til innsyn i personopplysninger om seg selv. Utvalget ser det som avgjørende for personvernet at innsynsretten etter personregisterloven § 7 styrkes og videreføres ved at den utvides så den også omfatter innsyn i personregistre hos private behandlingsansvarlige.
Utvalget foreslår at både offentlige og private behandlingsansvarlige skal ha plikt til å gi generell informasjon om behandlingen av personopplysninger, jf § 16 i utvalgets lovutkast. Informasjonsplikten vil omfatte de samme typer opplysninger som skal inntas i Datatilsynets offentlige oversikt ( jf punkt 5.2.1) og gjelder derved flere kategorier av opplysninger enn dem som omfattes av dagens innsynsrett i offentlige registre. Selv om det for konsesjons- eller meldepliktige behandlinger er mulig å innhente informasjonen ved å henvende seg til Datatilsynet, går utvalget inn for at plikten til å gi slik generell informasjon skal omfatte samtlige behandlingsansvarlige; også de som er melde- eller konsesjonspliktige etter lovforslaget. Dette er en utvidelse i forhold til EU-direktivet som bare legger denne plikten på dem som ikke har melde- eller konsesjonsplikt, jf punkt 5.2.2. Utvalget legger vekt på at det vil gi den enkelte en dårligere oversikt dersom vedkommende må henvende seg ulike steder avhengig av om behandlingen er melde-/konsesjonspliktig eller ikke når vedkommende ønsker innsyn. Ettersom de opplysningstypene som opplysningsplikten omfatter er sentrale og generelle i formen, legger utvalget til grunn at en slik plikt ikke vil medføre merarbeid av betydning for de behandlingsansvarlige.
5.2.3.4 Høringsinstansenes syn
Med unntak av Sparebankforeningen og Den norske Bankforening har det ikke kommet innvendinger mot at plikten til å gi generell informasjon om en persondatabehandling skal gjelde alle behandlingsansvarlige. Bankforeningene mener at man bør unngå et tosporet system der samme type informasjon kan innhentes både hos de behandlingsansvarlige og Datatilsynet. Et slikt system vil pålegge de melde- og konsesjonspliktige behandlingsansvarlige unødvendige merkostnader.
Flere instanser påpeker behovet for å gjøre visse unntak fra den generelle innsynsadgangen. Advokatforeningen og Bankforeningen mener det bør gjøres unntak fra den generelle informasjonsplikten for opplysninger som er å anse som fortrolig informasjon og bedriftshemmeligheter for den behandlingsansvarlige. Om dette heter det bl a i uttalelsen fra Den norske Advokatforening:
«Behandling av personopplysninger blir for mange bedrifter et stadig viktigere konkurransemessig virkemiddel i store deler av næringslivet. For mange bedrifter vil opplysninger som angitt i § 16 første ledd nr. 3), 4) og 5) være opplysninger som betraktes som fortrolig informasjon og bedriftshemmeligheter som konkurrenter ikke må få kjennskap til. Advokatforeningen kan - på bakgrunn av den spesielle innsynsrett for den enkelte i § 18 - heller ikke se at sterke personverninteresser svekkes, dersom det foretas en avgrensning av den generelle innsynsretten i § 16, mot hensynet til bedrifts- og forretningshemmeligheter e.l.»
Finansdepartementetog Skattedirektoratetunderstreker behovet for å gjøre unntak for registre som er opprettet for å ivareta behandling av personopplysninger til underretnings- og kontrollformål i forbindelse med arbeidet med å forebygge, avdekke eller etterforske straffbare handlinger. Politiets Overvåkingstjenestemener det bør gjøres unntak for politiets registre. Norsk Presseforbund uttaler at pålegget om å gi generell informasjon ikke kan få praktiske konsekvenser for den registrertes reelle adgang til innsyn i redaksjonelle registre.
5.2.3.5 Departementets vurdering
Retten for enhver til å be om generelle opplysninger er et viktig ledd i en styrking av den enkeltes mulighet til selv å ivareta sitt personvern. Som Datatilsynethar påpekt under høringen, gir det mulighet for den enkelte til å få opplysninger om et register også før vedkommende er registrert. Departementet er videre enig med utvalget i at plikten til å gjøre generelle opplysninger tilgjengelige bør gjelde for alle behandlingsansvarlige, uansett om behandlingene er underlagt melde-/konsesjonsplikt eller ikke. Det er mulig at en slik plikt vil kunne medføre visse meromkostninger for en del behandlingsansvarlige. Men ettersom de opplysningene som skal gjøres tilgjengelig er de samme som skal meldes til Datatilsynet for de melde-/konsesjonspliktige behandlingene før behandlingen tar til, kan departementet vanskelig se at det vil gi merarbeid av betydning for de behandlingsansvarlige å gjøre dem tilgjengelige for de enkeltpersoner som måtte be om innsyn.
Det er behov for å gjøre visse begrensninger i innsynsadgangen. F eks bør det, som også utvalget har foreslått, åpnes for unntak i den grad det er nødvendig av hensyn til rikets sikkerhet, ut fra beredskapshensyn eller av hensyn til forebygging og etterforskning av straffbare handlinger.
Som Den norske Advokatforeningog Den norske Bankforeningpeker på, har behandling av personopplysninger blitt et stadig viktigere konkurransemessig virkemiddel i store deler av næringslivet. I en viss utstrekning vil forretningsmessige forhold være omfattet av regler om taushetsplikt, slik at innsynsadgangen etter personopplysningsloven må stå tilbake. For behandlingsansvarlige i offentlig sektor følger en slik begrensning av forvaltningsloven § 13. For private behandlingsansvarlige finnes spredte taushetspliktsbestemmelser i særlovgivningen, jf f eks banklovgivningen. Behovet for å gjøre unntak fra innsynsreglene av hensyn til forretningshemmeligheter har vært fremhevet under utarbeidelsen av art 13 nr 1 bokstav g i EU-direktivet. Departementet har på denne bakgrunn utformet en unntaksregel som åpner for at private behandlingsansvarlige skal kunne nekte innsyn i opplysninger som det vil være av konkurransemessig betydning å hemmeligholde, jf § 23 første ledd bokstav f i lovforslaget. Departementet vil imidlertid peke på at den informasjonen som det på generelt grunnlag skal åpnes for innsyn i, forutsettes å være så generell i sin form at den normalt ikke vil inneholde fortrolig informasjon om forretningsforhold.
Det følger av § 7 i lovforslaget at den generelle innsynsadgangen ikke vil få anvendelse i forhold til redaksjonelle registre, jf nærmere under punkt 11.6.
Som utvalget og flere høringsinstanser peker på, er det sammenfall mellom de generelle opplysningene som den enkelte kan kreve hos den behandlingsansvarlige og de opplysningene som kan innhentes gjennom den offentlige fortegnelsen hos Datatilsynet. Når man begrenser den enkeltes generelle innsyn i opplysninger om behandlingen, er det naturlig å åpne for tilsvarende unntak fra innholdet i den offentlige fortegnelsen, jf § 42 tredje ledd nr 1 i lovforslaget.
Utvalget skiller klart mellom den innsynsretten som tilkommer enhver og den som gjelder for den registrerte, jf §§ 16 og 18 i utvalgets lovutkast. Dette er et skille som også opprettholdes i departementets lovforslag, jf § 18 første ledd sammenlignet med annet og tredje ledd. Departementet foreslår imidlertid at en behandlingsansvarlig som mottar en begjæring om generelt innsyn av eget tiltak skal opplyse om den som ber om innsyn er registrert, og samtidig gi slike opplysninger som den registerte har krav på, jf § 18 annet ledd i lovforslaget.
5.2.4 Retten til innsyn i opplysninger om en selv
5.2.4.1 Gjeldende rett
Etter personregisterloven § 7 første ledd har den enkelte rett til innsyn i opplysninger om seg selv når opplysningen lagres eller bearbeides ved hjelp av elektroniske hjelpemidler. Loven gjør unntak fra innsynsretten for registre som bare skal brukes til utarbeidelse av statistisk materiale, forskning og generelle planer. Innsynsretten gjelder heller ikke opplysninger som det må anses utilrådelig at vedkommende får kjennskap til, av hensyn til personens helse eller forholdet til andre personer som står vedkommende nær. I offentlig sektor gjelder innsynsretten også opplysninger som behandles manuelt, med mindre dokumentene kan unntas som interne etter forvaltningsloven § 18. I medhold av personregisterloven § 7 fjerde ledd er det gitt forskrifter om innsynsrett i manuelle personalregistre i privat sektor. I tillegg til personregisterlovens bestemmelser er innsynsretten regulert i Datatilsynets konsesjoner, jf personregisterloven § 11 annet ledd nr 7.
5.2.4.2 Internasjonale regler
Artikkel 12 i EU-direktivet gir på samme måte som personregisterloven § 7 den enkelte rett til å kreve innsyn i hvilke opplysninger som blir behandlet om vedkommende. Direktivet likestiller innsyn i manuelle personregistre og i opplysninger som behandles elektronisk. I artikkel 13 er det gjort ulike unntak fra innsynsretten, f eks når det er nødvendig av hensyn til statens sikkerhet eller for forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger. Artikkel 13 nr 2 inneholder en unntaksregel for opplysninger som skal benyttes for forskning og statistikk. Denne unntaksbestemmelsen er noe mer begrenset enn den nåværende regelen i personregisterloven, ettersom den krever at opplysningene ikke skal anvendes til å treffe tiltak eller avgjørelser rettet mot bestemte personer og at det ikke skal være noen risiko for krenkelse av privatlivets fred.
Europarådskonvensjonenartikkel 8 b knesetter prinsippet om rett til innsyn i opplysninger om den enkelte. I artikkel 9 har konvensjonen unntaksbestemmelser som ligner unntaksbestemmelsene i EU-direktivet. Konvensjonen krever at unntaket «.. er et nødvendig tiltak i et demokratisk samfunn» og unntar statistikk og forskning når dette åpenbart ikke setter personvernet i fare. Også denne unntakshjemmelen er m a o snevrere enn personregisterloven § 7, men likevel noe videre enn artikkel 13 nr 2 i direktivet.
5.2.4.3 Utvalgets forslag
Utvalget foreslår i tråd med EU-direktivet å likestille retten til innsyn i manuelle og elektronisk lagrede opplysninger, og går også inn for at innsynsretten bør være den samme i forhold til private og offentlige behandlingsansvarlige. Forslaget innebærer en utvidet innsynsrett hos private behandlingsansvarlige i forhold til gjeldende personregisterlovgivning, der innsynsretten bare omfatter elektronisk lagrede opplysninger. På s 65 i utredningen kommenterer utvalget utvidelsen slik:
«Utvalget antar at en slik utvidelse vil ha beskjedne praktiske konsekvenser. Det finnes allerede i dag eksempler på opplysningsplikter/innsynsretter innen privat sektor i henhold til særlovgivning, se f eks forskringsavtaleloven § 17-2 som gir forsikringstakeren rett til å kreve utskrift av livsforsikringsregisteret. I tillegg antar utvalget at det i henhold til kontrakt, kutymer og praksis innen flere bransjer gis innsyn i opplysninger om kunden selv. En bestemmelse om innsynsrett i private manuelle personregistre vil derfor dels innebære en utvidelse og dels en bekreftelse av eksisterende innsynspraksis.
Innsyn i private manuelle registre vil bl a berøre virksomheter som ikke forestår maskinell behandling men i stedet håndterer forholdsvis begrensede mengder personopplysninger. For disse vil belastningen som følge av en utvidet innsynsrett trolig bli liten. En utvidelse til manuelle registre vil imidlertid også føre til at den enkelte kan kontrollere at opplysninger slik de har innkommet til en behandlingsansvarlig i privat sektor er de samme som de opplysningene som er lagt til grunn ved en etterfølgende edb-behandling. Slikt innsyn er i utgangspunktet aktuelt for mange store virksomheter og for store informasjonsmengder, men i praksis vil trolig kun et fåtall benytte seg av en rett til innsyn i saksmapper m v. Dersom det faktisk foreligger strid eller usikkerhet om opplysninger i papirdokumenter, kan det uansett være urimelig å nekte et innsyn som kan bidra til en avklaring av spørsmålet. Særlig gjelder dette dersom opplysningene skal benyttes til å treffe beslutninger som får rettslige eller viktige konsekvenser for den enkelte.»
Utvalget foreslår visse begrensninger i innsynsadgangen- for interne dokumenter, opplysninger som det vil være utilrådelig å gi innsyn i av helsemessige grunner og opplysninger som skal benyttes til forskning og statistikk, jf §19 i utvalgets lovutkast. Unntaksreglene er i hovedsak en videreføring av nåværende unntaksregler i personregisterloven § 7.
5.2.4.4 Høringsinstansenes syn
Datatilsynetog Den norske Advokatforening gir sin tilslutning til forslaget om å utvide innsynsretten til også å omfatte manuelle personregistre i privat virksomhet. Sparebankforeningen uttaler at de aksepterer en slik utvidelse, men under forutsetning av at den behandlingsansvarlige kan kreve et visst vederlag.
Norsk Journalistlag og Norsk Presseforbund uttaler at innsynsretten ikke bør få noen praktisk betydning i forhold til journalisters arbeid.
Norges Forsikringsforbund mener at innsynsretten på flere punkter vanskelig lar seg forene med forsikringsvirksomhet og de reglene som følger av forsikringslovgivningen. Forsikringsvirksomhet kjennetegnes ved at selskapene må forholde seg til flere potensielle rettssubjekter i tilknytning til én og samme forsikringsavtale. Utvalgets forslag vil derved gi en rekke personer rett til å kreve innsyn som vil være uforenlig med systemet i forsikringsavtaleloven. I høringsuttalelsen heter det bl a om dette:
«I tillegg til sin kontraktsmotpart i forsikringsavtalen - forsikringstakeren - vil det kunne være flere personer som er omfattet eller berørt av forsikringsavtalen og som etter nevnte regler eller avtale er berettiget til erstatning eller ytelser. Det dreier seg i denne sammenheng om forsikrede, sikrede, medlemmet, skadelidte, begunstigede, medforsikrede mv. Forsikringsselskapets forpliktelser overfor disse rettssubjektene er i stor utstrekning lovfestet i fal og tilgrensende lovgivning. Det vil i denne forbindelse være nødvendige for forsikringsselskapet å registrere opplysninger om også disse rettssubjekter. En slik innsamling og registrering innebærer igjen at forsikringsselskapet behandler personopplysninger i utkastets forstand om vedkommende, hvoretter vedkommende automatisk vil være gitt fulle innsynsrettigheter. Når § 18 gir den registrerte rettigheter, vil dette begrepet (den registrerte) omfatte en rekke kategorier rettssubjekter som det etter vårt skjønn vil være uforenlig med fal å gi en slik innsynsrett. Eksempelvis vil enhver som er inntatt som begunstiget i en livsforsikringspolise kunne nytte innsynsretten til å få kjennskap til at han/hun er begunstiget. Dette vil i en rekke tilfeller komme i direkte konflikt med forsikringstakerens ønsker og hensynene bak en slik begunstigelse. Slik innsynsrett følger da heller ikke av fal. Et annet eksempel har en i ansvarsskadesaker hvor skadelidte vil ha stilling som direkte rettighetshaver i forsikringen. I alminnelige ansvarssaker står skadelidtes interesser gjerne også i motsetning til sikredes (forsikringstakerens) interesser. Ved registrering av opplysninger om og fra skadelidte, vil de aller fleste opplysningene forsikringsselskapet lagrer direkte eller indirekte kunne knyttes til skadelidte, jf den svært vide definisjonen av begrepet personopplysninger. I slike tilfeller, hvor forsikringsselskapet har en forsikringsavtale med sikrede, vil skadelidte ofte i praksis måtte gis tilnærmet samme innsynsrett som sikrede (forsikringstakeren). Forsikringsselskapet og forsikringstaker kan i alminnelig ansvarsforsikring begge holdes ansvarlig for skaden og har derfor felles interesser i å møtegå urettmessige krav mv. I denne relasjon fortoner en slik omfattende innsynsrett overfor skadelidte seg som helt ødeleggende for den nødvendige tilliten i avtaleforholdet mellom forsikringsselskapet og forsikringstaker. Det vil også kunne reises spørsmål ved om en slik innsynsrett for skadelidte vil være i strid med den lovfestede taushetsplikt forsikringsselskapene har etter forsvl § 1-3.........Unntakene etter § 19 vil ikke fange opp ovenstående forhold.»
Norges Forsikringsforbund mener også at den utvidede innsynsretten hvor det gis innsyn i manuelt lagrede opplysninger, må avgrenses mot konfliktløsningstilfellene, der selskapene f eks er involvert i rettssaker. Særlig gjelder dette i sviksaker der innsyn vil kunne begrense selskapets muligheter for å dokumentere forsikringssvik. Forbundet frykter at utvalgets forslag vil pålegge f eks forsikringsgivere en opplysningsplikt som er videre enn den alminnelige plikten etter sivilprosesslovgivningen til å fremlegge skriftlige bevis, jf tvistemålsloven kapittel 19. Om dette uttaler Forsikringsforbundet:
«Den betydelige utvidelsen av innsynsretten som utvalget foreslår, hvor det også gis innsyn i manuelt lagrede opplysninger, innebærer i forhold til tvister for domstolene at den ene parten blir gitt innsyn i deler av den annen parts informasjon, handlingsalternativer og strategier mv. Det er tale om en potensielt strategisk og prosesstaktisk meget viktig innsynsrett for den ene parten i den annen parts forhold og forberedelser til domstolsbehandlingen. Opplysningsplikten for blant annet forsikringsgiver vil være betydelig mer omfattende enn den alminnelige plikten etter sivilprosesslovgivningen til å fremlegge skriftlige bevis etter tvml kapittel 19. Særlig i relasjon til saker hvor forsikringsselskapet har begrunnet mistanke om svik, vil et slikt innsyn kunne begrense forsikringsselskapets muligheter til å nå frem med innsigelsen. Det kan i denne sammenheng synes som om lovutkastet har grepet for langt inn i konfliktløsningstilfellene.»
På samme måte som når det gjelder den generelle innsynsadgangen har enkelte instanser som f eks Skattedirektoratet og Finansdepartementet påpekt behovet for å gjøre unntak for opplysninger som oppbevares med det formål å forebygge, avdekke eller etterforske straffbare handlinger. Politiets overvåkingstjeneste er blant de politifaglige instansene som understreker at de foreslåtte unntakene fra innsynsretten ikke er tilstrekkelige for politiets arbeidsregistre.
Forbrukerombudet tar til orde for at den behandlingsansvarlige skal pålegges å angi en begrunnelse for avslaget i de tilfellene der den registrerte nektes innsyn.
5.2.4.5 Departementets vurdering
Departementet slutter seg til forslaget om å gi den registrerte innsynsrett både i manuelle registre og opplysninger som behandles elektronisk, uten hensyn til om opplysningene behandles i det offentlige eller private. En slik utvidet innsynsrett vil først og fremst bedre mulighetene til å skaffe seg oversikt over personopplysningsbehandlinger hos private, der det i dag bare i begrenset grad er åpnet for innsyn i manuelle registre. Forslaget innebærer også at den registrerte gis rett til innsyn i flere kategorier av opplysninger enn etter gjeldende lov; f eks hvem opplysningene skal utleveres til, kilden for opplysningene og sikkerhetstiltak, jf § 18 i lovforslaget.
Bestemmelsen om den registrertes innsynsrett vil supplere den innsynsadgangen som den registrerte har i medhold av offentlighetsloven og forvaltningsloven. Det vil i medhold av bestemmelsen kunne kreves innsyn i alle de opplysningene om den registrerte som behandles elektronisk eller i et manuelt personregister, uten hensyn til om den registrerte er å anse som part i en forvaltningssak og uavhengig av om opplysningene er samlet i én eller flere saker.
På samme måte som når det gjelder innsyn i generell informasjon om behandling av personopplysninger, er det nødvendig å åpne for unntak fra den registrertes innsynsrett. Unntak kan begrunnes i såvel offentlige som private hensyn. Som eksempel på opplysninger som bør unntas fra informasjonsplikten ut fra offentlige hensyn kan nevnes opplysninger som behandles i forbindelse med forebygging og etterforskning av straffbare handlinger og opplysninger som må unntas av hensyn til rikets sikkerhet. Som eksempel på private interesser som kan begrunne unntak fra informasjonsplikten kan nevnes tilfeller der menneskerettsorganisasjoner gjennom å måtte utgi opplysninger om den registerte vil kunne bringe andre personer (f eks kilder til opplysningene) eller disse organisasjonenes vitale interesser i fare. Som Norges Forsikringsforbund har pekt på under høringen, kan det også være behov for å unnta opplysninger om hvem som er oppnevnt som begunstiget, der en innsynsrett for den begunstigede vil kunne være direkte i strid med forsikringstakerens ønsker.
Tilføyelsen i § 23 annet ledd om at det kan gis innsyn til en representant for den registrerte i de tilfeller der det av helsemessige grunner vil være utilrådelig å gi opplysninger direkte til den registrerte selv, innebærer en styrking av innsynsretten i forhold til gjeldende personregisterlov. Det vises for øvrig til merknadene til § 23.
Regelen om den registrertes innsynsrett får ikke anvendelse i forhold til pressens arkiver, jf § 7 i lovforslaget og punkt 11.6 i proposisjonen.
Som Forbrukerombudet har pekt på under høringen, bør den behandlingsansvarlige pålegges å begrunne hvorfor den registrerte nektes innsyn. En slik plikt vil kunne medvirke til å bevisstgjøre de behandlingsansvarlige om sine forpliktelser etter loven, samtidig som den vil gjøre det enklere for den registrerte å gå videre med saken, f eks i form av en henvendelse til Datatilsynet. Departementet går derfor inn for å pålegge den behandlingsansvarlige en plikt til å begrunne et avslag med å vise til den relevante lovbestemmelsen, jf § 23 tredje ledd i lovforslaget.
Spørsmålet om den behandlingsansvarlige skal kunne kreve vederlag for å gi innsyn, behandles under punkt 5.6.2.
5.2.5 Innsyn i behandlingsregler som den behandlingsansvarlige bruker til å behandle personopplysninger
Et særskilt spørsmål er om man ved automatiserte avgjørelser bør ha anledning til å kreve innsyn i de behandlingsreglene (den «logikken») som avgjørelsesorganet bruker til å behandle personopplysninger.
5.2.5.1 Gjeldende rett
Personregisterloven har ikke bestemmelser om innsyn i behandlingsregler ved automatiserte avgjørelser. I medhold av forvaltningens generelle veiledningsplikt etter forvaltningsloven § 11 og begrunnelsesplikt ved enkeltvedtak etter § 25 vil det etter omstendighetene være nærliggende og i visse tilfelle også nødvendig å forklare de rettslige behandlingsreglene som benyttes i et edb-program. Plikten for ligningsmyndighetene til å opplyse skattyteren om hvordan de har kommet frem til fastsettelsen av inntekt og formue er et eksempel på at det i medhold av særlovgivningen (ligningsloven § 8-9 nr 2) vil kunne være nødvendig å ta utgangspunkt i edb-rutiner når man nærmere skal forklare fremgangsmåten ved fastsettelsen.
5.2.5.2 Internasjonale regler
EU-direktivet gir i artikkel 12 bokstav a tredje strekpunkt enhver rett til å få vite hvilken logikk som ligger bak edb-behandlingen av opplysninger om vedkommende i de tilfellene der behandlingene utelukkende baseres på edb og munner ut i en avgjørelse som har rettslig eller annen vesentlig betydning for den registrerte. På s 70 i utredningen heter det om denne innsynsregelen:
«Logikkinnsynet etter direktivet gjelder med andre ord ved visse avgjørelser av konkrete saker. Bestemmelsen får derfor preg av å være et krav om begrunnelse og innebærer f eks ingen plikt til å etablere innsyn i logikken bak en edb-behandling forut for en avgjørelse. Dette er en viktig presisering, fordi en rett til et slikt innsyn uavhengig av konkrete avgjørelser ville innebære en forpliktelse til å gi innsyn i alle mulige behandlingsregler innenfor enhver avgjørelsestype til enhver tid. Dermed får regelen mer et preg av å støtte opp under den enkeltes varetagelse av sine interesser i konkrete saker, snarere enn å støtte den enkeltes behov for generelt å orientere seg om behandlingsmåter og mulige framtidige beslutninger.»
Om bakgrunnen for direktivbestemmelsen uttaler utvalget videre på s 71 i utredningen:
«Riktignok vil det regelmessig være slik at reglene i edb-programmene uttrykker innholdet i regler som finnes i vanlig språk, f eks i lov, forskrift eller kontrakt. Programmene gir imidlertid et presist uttrykk for bestemte tolkingsvalg blant flere mulige. Det kan lett tenkes å være uenighet mellom f eks et avgjørelsesorgan og en part om riktigheten av slike valg. En plikt til å måtte forklare innholdet av visse datamaskinprogrammer, kan derfor sees som en forutsetning for en tilstrekkelig opplysning om innholdet i rettsanvendelsen, f eks med tanke på domstolsprøving.»
5.2.5.3 Utvalgets forslag
Utvalget foreslår en bestemmelse etter mønster av direktivet som gir rett til innsyn i behandlingsreglene (logikken) ved enkeltavgjørelser som fullt ut er basert på automatisk behandling av personopplysninger, jf § 22 i utvalgets lovutkast.
Som eksempel på en behandling som etter omstendighetene vil kunne omfattes av forslaget, nevner utvalget systemer for vurdering av kredittverdighet der det ikke foregår noen manuell etterprøving av resultatet fra den maskinelle behandlingen, jf f eks i form av «bankkiosker» med fullautomatisert behandling av søknader om lån til forbrukerkjøp.
5.2.5.4 Høringsinstansenes syn
Det har ikke kommet prinsipielle innvendinger mot utvalgets forslag under høringen. Den norske Advokatforeningmener at innsynsregelen er svært viktig for grunnleggende rettsikkerhetsgarantier i forhold til enkeltindividers personvern. Om dette heter det blant annet i uttalelsen:
«Advokatforeningen er enig med utvalget i at i den grad det gjennomføres automatisering av beslutninger vil det være nødvendig for den enkelte å ha krav på innsyn i logikken eller eventuelt begrunnelsen bak avgjørelsen. Den enkelte vil lett kunne føle maktesløshet ved automatisert regelanvendelse uten rett til innsyn i logikken bak Edb-behandlingen av de relevante personopplysninger. Advokatforeningen ser på denne tilsynelatende mindre viktige bestemmelse som svært viktig for grunnleggende rettsikkerhetsgarantier i forhold til enkeltindividets personvern. Det vil representere en svekket rettssikkerhet hvis beslutningsavgjørelser foretas på bakgrunn av personopplysninger uten at det også samtidig gis innsyn i logikken og anvendelsen av de aktuelle personopplysninger. Særlig i forhold til offentlig forvaltning er det viktig med et slikt logikk-innsyn slik at ikke dette medfører reduserte krav til begrunnelse i forhold til offentlige beslutninger.
Også i forhold til privat sektor vil det være viktig med logikkinnsyn. Advokatforeningen vil særlig her vise til bl.a utviklingen av kredittvurderinger av personer på bakgrunn av foreliggende faktaopplysninger uten nærmere vurdering av personen. Det vil være viktig for den enkelte å få innsyn i f.eks. i logikken i kredittvurderingene ved et eventuelt avslag på eks en lånesøknad.
Advokatforeningen er av den oppfatning at eventuelle tilleggskostnader ved logikkinnsyn må vike for det grunnleggende prinsipp om et individuelt personvern. Det er også uklart hvor eventuelt store tilleggskostnadene vil bli for de behandlingsansvarlige.»
5.2.5.5 Departementets syn
Departementet slutter seg til utvalgets forslag og tiltrer i den sammenheng også Den norske Advokatforenings synspunkter på betydningen av å kunne kreve en begrunnelse for regelinnholdet i automatiserte beslutningsprosesser.
Ettersom sentrale deler av vår forvaltningslovgivning allerede innebærer et krav om at offentlige organer i visse tilfeller må kunne redegjøre for «logikken» i de datamaskinprogrammene som er bestemmende for det rettslige innholdet i forvaltningsvedtak (uavhengig av om vedtakene er automatisert eller ei), får bestemmelsen om logikkinnsyn først og fremst betydning for privat sektor. Som også utvalget peker på, må det nok antas at det i dag er et meget lite antall datamaskinsystemer i privat sektor som vil omfattes av forslaget til innsynsregel, ettersom det ved de fleste automatiserte tjenester finner sted en manuell overprøving av beslutningen. Innsynsregelen gir imidlertid uttrykk for en rett til å kreve innsyn og begrunnelse som prinsipielt sett er viktig, og som kan vise seg å få større praktisk betydning i fremtiden.
5.3 Den behandlingsansvarliges informasjonsplikt overfor de registrerte
5.3.1 Gjeldende rett
Personregisterloven har ingen generelle regler om at registereiere har plikt til å gi informasjon av eget tiltak til dem som er registrert i registeret. Kredittopplysningsforetak har imidlertid en plikt til å sende gjenpart til den registrerte når de gir kredittopplysning skriftlig om personer som ikke er næringsdrivende, jf pregl § 19. Etter forvaltningsloven § 17 annet og tredje ledd har forvaltningsorganer ved forberedelse av enkeltvedtak som hovedregel plikt til å forelegge opplysninger som de mottar, til uttalelse fra partene i en forvaltningssak.
Stortinget traff 21 april 1994 et vedtak der det bl a het følgende:
«Stortinget ber Regjeringen legge fram forslag til endringer i lov om personregistre, slik at eieren av et personregister som hovedregel plikter å varsle personene som registreres eller er registrert, om registreringen, dens omfang og formålet med denne.»
Personregisterlovutvalget ble i sitt mandat bedt om å vurdere og legge frem forslag til lovbestemmelser i tråd med vedtaket.
5.3.2 Internasjonale regler
EU-direktivet inneholder i artiklene 10 og 11 regler om informasjonsplikt for den behandlingsansvarlige både når personopplysninger samles direkte inn fra den registrerte, og når personopplysninger hentes fra andre kilder enn den registrerte selv.
Ved innsamling av personopplysninger fra den registrerte har den behandlingsansvarlige plikt til å gi informasjon om hvem som er behandlingsansvarlig og formålet med behandlingen (artikkel 10). I tillegg skal det gis opplysninger som er nødvendige for å sikre den enkelte en rimelig behandling av opplysningene om ham/henne. Som eksempler på dette nevnes opplysninger om mottakere av de opplysningene som samles inn, om det er obligatorisk å svare på spørsmål, og om det er noen rett til innsyn i og adgang til å få rettet opplysninger om den registrerte. Opplysningslikten gjelder bare informasjon om behandlingen av opplysninger om den registrerte selv.
Det gjelder unntak fra opplysningsplikten for informasjon som den registrerte allerede er kjent med. I tillegg kan det i medhold av artikkel 13 gjøres unntak når det er nødvendig av hensyn til f eks rikets sikkerhet eller rettslig forfølging av straffbare forhold.
På s 66 i utredningen omtaler utvalget direktivets opplysningsplikt slik:
«Direktivet forutsetter at den behandlingsansvarlige gjør vurderinger av hva den registrerte er kjent med, og hva som er nødvendig for en rimelig behandling av opplysningene. Såvel generell kunnskap om svakheter ved selve behandlingen som kunnskap om individuelle forhold må trekkes inn i vurderingen. En kan ikke ut i fra artikkel 10 utlede noen undersøkelsesplikt for at den behandlingsansvarlige skal få nødvendig kunnskap om relevante forhold. En slik undersøkelsesplikt kan imidlertid tenkes å hvile på annet grunnlag. Prinsippet om forsvarlig saksbehandling innen offentlig forvaltning innebærer bl a en forpliktelse til forsvarlig saksutredning, jf forvaltningsloven § 17 første ledd og § 37 første ledd.»
Artikkel 11 i direktivet pålegger den behandlingsansvarlige en opplysningsplikt overfor den registrerte i de tilfellene der det er andre enn den registrerte selv som er kilden til opplysningene.Det er i hovedsak de samme opplysningene som skal gis etter denne bestemmelsen som i de tilfellene der opplysningene innhentes direkte fra den registrerte. Også denne bestemmelsen forutsetter dermed en konkret vurdering av hva som er nødvendig å gi av informasjon for å sikre en rimelig behandling av personopplysningene.
På samme måte som når det gjelder informasjon som innhentes direkte fra den registrerte, er det ikke nødvendig å informere i de tilfellene der den registrerte allerede er kjent med de nødvendige opplysningene. I medhold av artikkel 11 nr 2 er det heller ingen informasjonsplikt når registrering eller utlevering av personopplysninger uttrykkelig er fastsatt ved lov. Det åpnes også for en mer skjønnsmessig adgang til å gjøre unntak dersom det er umulig eller uforholdsmessig vanskelig å gi informasjon om innhentingen av opplysninger til den registrerte.
5.3.3 Utvalgets forslag
Etter utvalgets oppfatning er direktivets informasjonsplikt et viktig supplement til den retten som de registrerte har til innsyn i personopplysninger om dem selv. Samtidig understreker utvalget at det er viktig å unngå en strøm av informasjon til de registrerte som samlet sett blir så stor at den gjør det vanskelig for den enkelte å få tak i den kunnskapen som er nødvendig for å nyttiggjøre seg retten til å kreve innsyn i behandling av personopplysninger. Utvalget er også opptatt av å utforme informasjonsplikten på en måte som forhindrer at kostnadene og ulempene for de behandlingsansvarlige blir urimelig store. Etter utvalgets syn er det først og fremst informasjonsplikten i de tilfellene der opplysningene er samlet inn fra andre enn de registrerte selv, som vil kunne føre til merkostnader for de behandlingsansvarlige. Utvalget konkluderer slik på s 67 i utredningen:
«Utvalget ønsker på denne bakgrunn å finne fram til en ordning der informasjonsplikten konsentreres rundt tilfelle der informasjon er spesielt ønskelig ut fra hensynet til personvernet. Dette kan oppnås ved å tilpasse varslingsplikten innenfor de rammer direktivet og Stortingets vedtak setter.»
Utvalget foreslår deretter regler om informasjonsplikt for den behandlingsansvarlige både når det innhentes personopplysninger fra den registrerte selv og når slike opplysninger innhentes fra andre kilder, jf §§ 20 og 21 i utvalgets lovutkast. Informasjonen til den registrerte skal bl a omfatte hvem som er behandlingsansvarlig og formålet med innsamlingen av opplysningene. Når opplysninger innhentes fra andre enn den registrerte, skal det også informeres om hvem denne kilden er. Utvalget foreslår unntak fra varslingsplikten der den registrerte allerede antas å kjenne til de forholdene som det skal varsles om. Når opplysninger hentes fra andre enn den registrerte, foreslår utvalget også unntak dersom det er umulig eller uforholdsmessig vanskelig å varsle de registrerte eller det er fastsatt i lov at det er adgang til å registrere eller videregi opplysningene.
Når det gjelder den praktiske gjennomføringen av informasjonsplikten, peker utvalget blant annet på på at varsel ofte kan gis via kommunikasjon som uansett finner sted mellom den behandlingsansvarlige og de registrerte. Om dette heter det på s 67 i utredningen:
«Utvalget nøyer seg her med å understreke at varsling ikke er nødvendig der den registrerte allerede kjenner til persondatabehandlingen, og at det er tilstrekkelig å varsle første gang vedkommende behandlingsansvarlig innhenter opplysningene. Varsel kan dessuten ofte gis via kommunikasjon som uansett finner sted mellom den behandlingsansvarlige og den registrerte - de fleste persondatabehandlinger som finner sted foregår som ledd i en virksomhet hvor det oppstår kontakt mellom den registrerte og den behandlingsansvarlige. I slike tilfelle er det ikke nødvendig med en egen varslingsforsendelse for å oppfylle informasjonsplikten.»
5.3.4 Høringsinstansenes syn
Under høringen har flere instanser uttrykt støtte til de nye varslingsreglene som utvalget foreslår. Datatilsynetog Den norske Advokatforeningunderstreker at varslingsplikten viderefører prinsippet om at den enkelte skal ha kontroll over opplysninger om seg selv, samtidig som den bevisstgjør den enkelte om hvilke personregistre eller personopplysningsbehandlinger som gjør bruk av opplysninger om vedkommende.
En del instanser legger samtidig vekt på at varslingsplikten ikke må bli så omfattende at den blir uhåndterlig for de behandlingsansvarlige og en forvirrende «støy» for de registrerte. Statskonsultog Den norske Advokatforeninguttaler at lovforslaget her synes å legge opp til en varslingsplikt som ivaretar disse hensynene. Den norske Bankforeningog Norges Forsikringsforbundmener at varslingsplikten kan medføre ikke ubetydelige kostnader for de behandlingsansvarlige, men peker samtidig på betydningen av å benytte de kommunikasjonskanalene som allerede eksisterer mellom de behandlingsansvarlige og de registrerte for å varsle i henhold til lovforslagets bestemmelser. Nærings- og handelsdepartementetfremhever muligheten for å varsle via annonsering, f eks når det gjelder dataoverføringer i forbindelse med samordningsarbeidet knyttet til det nye oppgaveregisteret.
Datatilsynetog Forbrukerombudetmener varslingsreglene på enkelte punkter er for skjønnsmessig utformet, samtidig som de i for stor grad legger opp til en vurdering på den behandlingsansvarliges hånd. Om dette heter det blant annet i uttalelsen fra Forbrukerombudet:
«Skjønnsmessige og uklare regler vil kunne gi rom for uthuling av den registrertes rettigheter og føre til ulike vurderinger og uensartet praksis hos ulike foretak. Forbrukeren risikerer å ikke motta sentral informasjon som er av betydning for vedkommendes rettigheter og plikter. Bakgrunnen for reglene er etter det jeg kan forstå at det tas sikte på fleksible løsninger og arbeidsbesparelser fra den behandlingsansvarliges side. Den behandlingsansvarlige har imidlertid mulighet til å utarbeide noe av informasjonen standardisert og på den måten effektivisere og smidiggjøre sine rutiner. Hensynet til at informasjonsplikten oppfylles må gå foran en eventuell arbeidsbesparelse for den behandlingsansvarlige. Dersom informasjonsplikten gjøres til en standard prosedyre vil også tvil og etterfølgende tvister minimaliseres.»
Norsk Journalistlagog Norsk Redaktørforeningmener det er uhensiktsmessig å operere med varslingsregler for pressen, blant annet under henvisning til det grunnleggende prinsippet om kildevern.
Norges Forskningsråd, NESH (Den nasjonale etiske komité for samfunnsfag og humaniora)og Universitetet i Bergengår inn for at det presiseres uttrykkelig i loven at opplysningsplikten ved innsamling fra andre enn den registrerte ikke gjelder når opplysningene skal brukes til forskning. De viser blant annet til artikkel 11 nr 2 i EU-direktivet der det fremgår at unntaket for de tilfellene der varsling er umulig eller uforholdsmessig vanskelig er utformet nettopp med tanke på blant annet forskning. Om dette uttaler NESH blant annet:
«Forskning innebærer ofte at det samles inn opplysninger fra andre enn den registrerte selv. I § 21 om varslingsplikt til den registrerte ved innsamling av opplysninger fra andre enn den registrerte, tas det imidlertid ingen spesielle hensyn til forskningen. Det er imidlertid vanskelig å se den saklige grunnen til ikke å ta slike hensyn her. Som nevnt gis det i § 8 anledning til gjenbruk av opplysninger for forskningsformål uten samtykke. Men en slik gjenbruk av opplysninger for forskningsformål må være å anse - fra det forskningsprosjektets synspunkt - som en innsamling av personopplysninger fra andre enn den registrerte. Det ser ut til at slik gjenbruk dermed medfører en plikt til å varsle de registrerte. Dette ser ut til å skape et spenningsforhold til §§ 8 og 9, og med § 19 der det gjøres unntak fra innsynsretten i forskningsregistre. Dette er også et punkt der direktivet er klart: det skal gis fritak fra opplysningsplikten ved gjenbruk av personopplysninger for forskningsformål. Det samme bør gjøres klart med det norske lovforslaget.
Det er også rene forskningsetiske hensyn som taler for dette. Det er mange eksempler på forskning på personregistre der det ville være en belastning for de som er gjenstand for forskning å bli informert om eller bedt om å samtykke til forskningen, men hvor de ikke påføres noen belastning ved at forskningen gjennomføres.»
Økokrimog Politiets overvåkingstjenestepeker på de problemer varslingsplikten kan medføre for politiets arbeid, f eks når de som ledd i en straffesak innhenter opplysninger fra andre. Skattedirektoratetuttaler at det må kunne gjøres unntak fra varslingsplikten når etterforskningsmessige forhold tilsier det.
Skattedirektoratetog Den norske Bankforeningpeker på behovet for å samordne unntakene i reglene om innsynsrett og varslingsplikt. Varslingsplikten fremstår i realiteten som en «tvungen innsynsrett», og unntakene bør derfor være de samme i begge regelsett.
Norges Forsikringsforbunduttaler at varslingsplikten reiser tilsvarende problemer som innsynsretten i forhold til forsikringsvirksomhet. Den vil innebære en varslingsplikt overfor begunstigede etter en livsforsikring som er uforenlig med forsikringsavtalelovgivningens prinsipper, samtidig som den vil være problematisk i forhold til innhenting av opplysninger fra vitner i forsikringssaker. Om dette heter det i høringsuttalelsen:
«Ved behandling av skadesaker vil forsikringsselskapet ofte samle inn opplysninger gjennom samtaler med vitner om skadetilfellet. Slike innsamlede opplysninger vil per definisjon være personopplysninger om forsikringstakeren, da opplysningene har sammenheng med forhold knyttet til en identifisert forsikringstaker. Lovforslaget innebærer for det første at forsikringsselskapet blir pålagt en varslingsplikt overfor forsikringstakeren ved innhenting av enhver vitneforklaring, og pålagt å utgi identifikasjon av kilden/vitnet. Dette vil ofte være uheldig for vitnet og ikke sjelden være direkte i motsetning til hva vitnet ønsker eller stiller som betingelse. Spesielt i svikssaker eller i saker hvor forsikringsselskapet avdekker ulike former for kriminalitet, kan en slik varslingsplikt (tvungent innsyn) få meget uheldige konsekvenser for vitnet. Forsikringsnæringen vil i slike tilfeller få problemer med at vitnene ikke lenger ønsker å gi opplysninger når det medfører en slik automatisk varsling, noe som fremstår som svært skadelig for det samlede forsikringskollektiv og det arbeide forsikringsnæringen nedlegger for å motvirke og avdekke bedrageri mot forsikringskollektivet. Det system med utsatt innsynsrett som følger av lovutkastets § 19 femte ledd, vil ikke avhjelpe situasjonen i forhold til vitner som ikke ønsker å stå frem.»
5.3.5 Departementets vurdering
Varslingsreglene er nye og viktige ledd i styrkingen av den enkeltes mulighet til å holde oversikt over hva som registreres om vedkommende. Gjennomført uten unntak vil imidlertid varslingsplikten bli uhåndterlig for behandlingsansvarlige, samtidig som den vil kunne bli så omfattende at den mer forvirrer enn opplyser den registrerte. Derfor er det viktig å forsøke å gjøre den så smidig som mulig, uten å undergrave intensjonen med varslingsplikten.
Etter departementets syn har utvalget funnet frem til regler som stort sett balanserer og ivaretar de ulike hensynene.
For å ivareta behovet for smidighet og fleksibilitet vil varslingsreglene i noen grad måtte bygge på skjønnsmessige kriterier. Departementet har likevel funnet grunn til å stramme inn unntakene på enkelte punkter i forhold til utvalgets forslag. For behandlinger som den registrerte allerede kjenner til, bør varsling bare kunne unnlates når det er på det reneat den registrerte er kjent med opplysningene fra før, jf §§ 19 og 20 i lovforslaget. I de tilfellene der de behandlingsansvarlige unnlater å varsle om innhenting av opplysninger som en følge av at det er umulig eller uforholdsmessig vanskelig, har departementet føyet til en regel om at informasjonen likevel alltid skal gis senest i forbindelse med at det gjøres en henvendelse til den registrerte på grunnlag av opplysningene. På denne måten bygges det inn en sikkerhet for at den registrerte får kjennskap til hvilken personopplysningsbehandling som ligger bak handlinger som får betydning for ham eller henne, jf nærmere under merknadene til § 20 tredje ledd i lovforslaget.
Innhenting av opplysninger for forskning vil være et eksempel på innhenting som ofte vil kunne falle inn under lovforslagets unntak for varsling som vil være uforholdsmessig vanskelig å gjennomføre, jf § 20 annet ledd bokstav b i lovforslaget. Også for forskning må det imidlertid i hvert enkelt tilfelle foretas en konkret vurdering av om varslingen vil være så omfattende at den vil medføre et uforholdsmessig stort arbeid for den behandlingsansvarlige veiet opp mot de konsekvensene gjenbruken vil få for de registrerte. Dette fremgår bl a av EU-direktivet art 11 nr 2 der behandling av opplysninger for forskningsformål benyttes som eksempel på gjenbruk som etter omstendighetene kan berettige unntak fra varslingsplikten. Departementet foreslår derfor ikke noe generelt unntak for gjenbruk av personopplysninger for forskning.
Ettersom varslingsplikten i praksis vil virke som en slags innsynsrett for den registrerte, er det behov for å koordinere unntaksbestemmelsene i de to regelsettene. F eks bør man unngå at en behandlingsansvarlig pålegges å varsle om innhenting av opplysninger som det vil være utilrådelig av hensyn til den registrertes helse å informere vedkommende om. Departementet foreslår derfor at unntakene fra innsynsreglene i det alt vesentlige gis tilsvarende anvendelse i forhold til varslingsreglene, jf § 23 i lovforslaget som oppstiller felles unntaksregler både fra innsyns- og varslingsbestemmelsene.
Varslingsreglene vil ikke gjelde for dem som behandler personopplysninger som ledd i journalistisk virksomhet, jf § 7 i lovforslaget og punkt 11.6 i proposisjonen.
For de behandlingsansvarlige vil det være viktig å se de ulike varslingsreglene i sammenheng. Ved første gangs kontakt med de registrerte kan man varsle også om mulighetene for senere innhenting av informasjon fra andre enn den behandlingsansvarlige, og på den måten gjøre det unødvendig å varsle når informasjonen senere blir samlet inn. Et selskap som ønsker å tilby betalingskort vil f eks ved inngåelsen av avtalen kunne informere forbrukeren om at det løpende vil bli samlet inn ulike opplysninger om vedkommendes forbruk. Det vil da være unødvendig å varsle forbrukeren for hver enkelt opplysning som senere blir samlet inn. Ønsker derimot selskapet å innhente personopplysninger på annen måte eller fra andre typer av kilder enn dem det har informert forbrukeren om ved avtaleinngåelsen, vil det ha plikt til å varsle spesielt om denne innhentingen.
Varslingsplikten bør kunne varetas gjennom elektronisk kommunikasjon til den det gjelder, særlig i forbindelse med elektronisk handel som forutsetter at brukeren er i stand til å kommunisere elektronisk.
5.3.6 Varslingsplikt ved bruk av personprofiler
Som et supplement til de generelle varslingsreglene foreslår utvalgeten særlig regel om varslingsplikt ved bruk av såkalte personprofiler, jf § 23 i utvalgets lovutkast. En personprofil er en samling av opplysninger som brukes for å anta noe om personers preferanser, holdninger og atferdsmønstre. De elektroniske sporene den enkelte etterlater seg, f eks på internett, kan være av stor markedsføringsverdi. Utvalget foreslår at slike personprofiler ikke skal kunne benyttes uten at den opplysningene gjelder, varsles om hvilke opplysninger og kilder som er anvendt. Formålet er bl a å unngå situasjoner der den ene parten vet noe om den andre uten at sistnevnte vet hvorfor. Slik informasjonsmessig ubalanse kan virke manipulerende for den som ikke vet hvorfor den andre har kunnskap om ham eller henne. Bestemmelsen regulerer direkte en viktig anvendelse av personinformasjon som skaper personvernbehov som de andre varslingsreglene bare delvis imøtekommer, bl a fordi de øvrige reglene ikke pålegger å varsle om at personprofilen er utarbeidet og hvordan dette er gjort.
Under høringen har Norske Annonsørers Forbundgitt uttrykk for at varslingsplikten for deres virksomhet vil føre til omfattende administrative systemer som ikke vil være gjennomførbare i praksis. Forbrukerombudetog Datatilsynetmener at man bør gå lenger, enten ved å sette krav om at den enkelte på forhånd skal være informert om at personopplysningene skal kunne benyttes på denne måten, eller ved å lovfeste restriktive grenser for adgangen til å sette sammen opplysninger med det formål å danne personprofiler for bruk i markedsføringsøyemed.
Departementet går inn for å følge opp utvalgets forslag til varslingsregel. En slik regel kan motvirke at det å henvende seg til forbrukere på bakgrunn av personprofiler vil få en manipulerende effekt. Varslingsregelen vil ikke begrense adgangen til å utarbeide personprofiler, men visse begrensninger følger av andre bestemmelser i lovforslaget, jf bl a punkt 6.8.4 i proposisjonen: Bruken av opplysninger til å utarbeide slike profiler må oppfylle de grunnleggende vilkårene som oppstilles for i det hele tatt å behandle personopplysninger i §§ 8 og 9 i lovforslaget samt kravene til saklighet og relevans i § 11. Personopplysninger vil heller ikke kunne benyttes til å utarbeide personprofiler hvis det er uforenlig med det formålet som opplysningene opprinnelig er innsamlet for, jf § 11 første ledd bokstav c. Dersom det benyttes sensitive personopplysninger eller andre personopplysninger på en måte som kan representere en særlig stor risiko for personvernet, vil det også foreligge konsesjonsplikt i henhold til § 33 i lovforslaget.
Departementet er enig med de høringsinstanser som understreker betydningen av at den enkelte på forhånd informeres om at personopplysninger skal benyttes til å utarbeide personprofiler. Departementet foreslår derfor i § 19 første ledd at behandlingsansvarlige som innhenter personopplysninger fra den registrerte, plikter å opplyse om hva opplysningene skal brukes til og hvem de eventuelt vil bli utlevert til.
Det vil være adgang for den registerte til å reservere seg mot direkte markedsføring, jf nærmere under punkt 5.4.1.
5.4 Den enkeltes rett til å motsette seg visse typer persondatabehandling
5.4.1 Den registrertes rett til å motsette seg at bestemte opplysninger blir behandlet
5.4.1.1 Gjeldende rett
Etter personregisterloven §§ 8a og 28 jf personregisterforskriften § 6-4 har enhver krav på å få navnet sitt sperret mot utsendelse av adressert reklame. Reservasjonsretten omfatter både adressert reklame og telefonmarkedsføring. Det finnes ingen andre regler om adgang til å nekte visse typer behandling av personopplysninger.
5.4.1.2 Internasjonale regler
EU-direktivet oppstiller i artikkel 14 bokstav b en rett til å motsette seg persondatabehandlinger som er ledd i markedsføring. Den registrerte kan enten nekte all behandling som ledd i markedsføring eller kreve varsel før første gangs videreføring av opplysninger med henblikk på markedsføring. Medlemsstatene pålegges å iverksette de tiltakene som er nødvendige for at rettighetene i forhold til markedsføring blir kjent blant de registrerte.
Direktivet inneholder også en bestemmelse som på nærmere angitte vilkår gir den enkelte rett til å motsette seg at visse særlige kategorier av personopplysninger blir behandlet, jf artikkel 14 bokstav a. Dette gjelder behandlinger som er nødvendige ut fra hensynet til samfunnsmessige interesser eller offentlig myndighetsutøving eller behandlinger som er nødvendige for at behandlingsansvarlige og/eller de tredjemenn som opplysningene skal videregis til, skal kunne forfølge sine legitime interesser. Slike behandlinger skal den registrerte kunne gjøre innsigelser mot dersom det foreligger vektige grunner knyttet til den registrertes særlige situasjon. Det er anledning til å begrense denne innsigelsesretten i nasjonal lovgivning.
5.4.1.3 Utvalgets forslag
Utvalget går inn for å videreføre adgangen til å kunne reservere seg mot utsending av adressert reklame og telefonmarkedsføring. Ettersom det stadig blir vanskeligere for den enkelte å få oversikt over hvilke registre som inneholder opplysninger om en selv, viser utvalget til betydningen av å få opprettet et sentralt reservasjonsregister der de som ønsker seg slettet fra alle registre i adresserings - og distribusjonsforetak kan oppnå dette gjennom ett og samme krav om sletting. Utvalget foreslår at det nedfelles i loven at alle som markedsfører direkteminst to ganger i året, skal vaske sine registre mot et sentralt reservasjonsregister.
Utvalget anser det ikke nødvendig eller hensiktsmessig å gi noen egen regel for å gjennomføre innsigelsesretten i direktivet artikkel 14 a. Om dette heter det på s 68 i utredningen:
«Utvalget ser artikkel 14 a som et utslag av en grunnleggende rettighet til å råde over opplysninger om en selv. Med de begrensninger som ligger i bestemmelsen, blir imidlertid regelen svært lite praktisk. I tillegg må det gjøres unntak av hensyn til ytringsfrihet og pressefrihet. Utvalget legger til grunn at direktivet artikkel 14 nr 1 er tilstrekkelig gjennomført dels ved at lovforslaget gir den enkelte rettigheter (se for eksempel lovforslaget §§ 25 og 26 om retten til å kreve opplysninger slettet) og dels ved at slike beføyelser kan utledes fra ulovfestede personvernprinsipper (se for eksempel Rt 1952 side 1217).»
5.4.1.4 Høringsinstansenes syn
Den norske Advokatforening, Datatilsynet, Forbrukerombudet, Forbrukerrådet, LOog Yrkesorganisasjonenes Sentralforbundstøtter uttrykkelig adgangen til å reservere seg mot reklame og markedsføring i et sentralt reservasjonsregister. Norske Annonsørers Forbunder enige i at det bør opprettes ett felles reservasjonsregister, men er kritiske til at registeret skal omfatte både adresserte utsendelser og telefonsalg. Etter deres oppfatning er ønsket om å reservere seg mot telefonsalg jevnt over sterkere enn å unngå adressert reklame. De mener derfor at det bør skilles mellom reservasjon mot uadresserte tilbud, adresserte tilbud og telefonsalg.
Forbrukerombudettar til orde for at man bør vurdere å gå lenger, ved å stille krav om forhåndssamtykke til telefonsalg og direkteadressert reklame.
LOmener man bør vurdere muligheten for å innføre en reservasjonsrett mot lagring av såkalte elektroniske spor som følge av bruk av elektroniske betalingsmidler, bonuskort, mobiltelefon, internett osv.
Den norske Advokatforeningreiser også spørsmål om innsigelsesretten i EU-direktivet art 14 a i større utstrekning bør lovfestes.
5.4.1.5 Departementets vurdering
Departementet slutter seg til utvalgets forslag om å videreføre adgangen til å kreve sitt navn sperret mot bruk i markedsføringsøyemed. Fra de registrertes synspunkt er det viktig at det er mulig å kunne reservere seg mot både telefonsalg og adressert reklame i ett felles reservasjonsregister. Departementet kan i denne sammenheng ikke se at det er grunn til å skille mellom telefonmarkedsføring og adressert reklame slik Norske Annonsørers Forbund tar til orde for.
Å nedfelle et generelt krav om forhåndssamtykke til telefonsalg og direkteadressert reklame slik Forbrukerombudetforeslår, fremstår som tungvint og vanskelig å gjennomføre i praksis. Departementet er også i tvil om det er behov for et slikt krav når den enkelte får anledning til å reservere seg mot all reklame i ett felles reservasjonsregister. I forbindelse med gjennomføringen av EU's fjernsalgsdirektiv (Europaparlamentets- og rådsdirektiv 97/7/EF om vern av forbrukere med hensyn til avtaler som inngås ved fjernsalg) vil det imidlertid bli vurdert om man skal oppstille krav om forhåndssamtykke for enkelte former for markedsføring.
Under punkt 6.8.4 er det redegjort nærmere for regler i lovforslaget som begrenser adgangen til å bruke personopplysninger som er lagt igjen i form av såkalte elektroniske spor. Departementet er enig med Landsorganisasjonen i Norgesom påpeker at det kan være grunn til å vurdere om man i tillegg til de behandlings- og varslingsreglene som foreslås, bør vurdere en generell rett til å reservere seg mot lagring av elektroniske spor, slik at man f eks kan handle anonymt uten å måtte etterlate seg opplysninger som kan spores tilbake til en selv. Dette er imidlertid en problemstilling som reiser flere spørsmål og krever en nærmere utredning av blant annet tekniske og kostnadsmessige forhold. Regjeringen vil komme tilbake til dette spørsmålet særskilt som ledd i det pågående arbeidet med å legge til rette for elektronisk handel.
Departementet ser ikke behov for å utforme en mer generell reservasjonsregel etter mønster av artikkel 14 a i EU-direktivet og slutter seg til utvalgets begrunnelse for dette.
5.4.2 Rett til i visse tilfeller å kreve manuell behandling av personopplysninger
5.4.2.1 Gjeldende rett
Personregisterloven har ingen regler om rett til å nekte automatiserte avgjørelser som innebærer behandling av personopplysninger.
5.4.2.2 Internasjonale regler
EU-direktivet oppstiller i artikkel 15 nr 1 en rett forden enkelte til å nekte å la seg undergi avgjørelser om personlige forhold som har rettsvirkninger for ham eller henne eller som berører vedkommende i vesentlig grad og som i sin helhet er truffet på grunnlag av edb-behandling. Avgjørelser om ervervsevne, kredittverdighet, pålitelighet og atferd er av de typene som omfattes av denne regelen. Av mer konkrete eksempler nevner utvalget et avslag på arbeidsledighetstrygd grunnet i at søkeren selv er skyld i ledigheten, og utarbeiding av kundeprofiler for videre spredning til tilbydere av varer og tjenester. Det er et vilkår for å kunne kreve manuell behandling at personopplysningsbehandlingen utelukkendeskjer ved edb. En manuell etterkontroll av resultatet fra edb-behandlingen vil derfor føre til at behandlingen ikke kan nektes etter denne direktivbestemmelsen.
Fra utgangspunktet om å kunne nekte å bli undergitt fullt ut automatiserte avgjørelser oppstiller direktivet i artikkel 15 nr 2 to unntak;
når den helt automatiserte avgjørelsen skjer som ledd i inngåelsen eller oppfyllelsen av en kontrakt, dersom den registrerte selv har anmodet om inngåelsen/oppfyllelsen eller det eksisterer tiltak som er egnet til å ivareta den registrertes interesser (f eks i form av en uttalerett for den registrerte),
når den automatiske behandlingen er hjemlet i lov, forutsatt at det er vedtatt lovbestemmelser som ivaretar den registrertes berettigede interesser.
Som eksempel på den første unntakskategorien nevner utvalget en fullstendig automatisert kredittvurdering dersom behandlingen av personopplysninger skjer som ledd i inngåelse av en låneavtale som den registrerte selv har bedt om.
5.4.2.3 Utvalgets forslag
Etter utvalgets syn er det - med de vide unntakene som direktivet åpner for - bare i spesielle tilfeller det vil foreligge en rett til å nekte fullstendig automatisert behandling av personopplysninger. Om bestemmelsens praktiske betydning heter det videre på s 69 i utredningen:
«Hvor stor betydning bestemmelsen får for personvernet vil bl a avhenge av hvor strenge krav som stilles til tiltakene for å vareta personvernet. Det er kun hvis disse tiltakene er tilfredsstillende at manuell vurdering ikke kan kreves. Datatilsynet kan ta stilling til om tiltakene er tilfredsstillende. En kan ikke utelukke en samfunnsutvikling der de typer fullstendig automatiserte beslutninger hvor nektelsesretten gjelder blir vanligere. Det er derfor mulig at en norsk lovbestemmelse etter mønster av artikkel 15 vil kunne påvirke utformingen av de automatiske behandlingene i en - sett fra personvernhensyn - positiv retning.»
Utvalget foreslår etter dette en regel i § 27 i sitt lovutkast som etter mønster av direktivet gir rett til å kreve manuell behandling av personopplysninger ved enkeltavgjørelser som fullt ut baserer seg på elektronisk behandling og som karakteriserer personlige egenskaper. Denne retten skal ikke gjeldeder det er truffet tilstrekkelige tiltak for å ivareta vedkommendes personverninteresser ved den fullautomatiserte behandlingen og avgjørelsen er hjemlet i lov eller knytter seg til inngåelse eller oppfyllelse av en kontrakt.
Utvalget understreker at direktivet ikke legger begrensninger på adgangen til å få en atuomatisert avgjørelse prøvet for domstolene eller klaget inn for et overordnet forvaltningsorgan. Datatilsynet vil dessuten kunne stå fritt til å gi pålegg om utbedring av manglende behandlingsrutiner også i de tilfeller der det ikke er anledning til å motsette seg automatisert behandling, f eks fordi behandlingen er ledd i oppfyllelsen av en kontrakt.
5.4.2.4 Høringsinstansenes syn
Ingen har under høringen hatt prinsipielle innvendinger mot forslaget om å lovfeste en rett til i visse tilfeller å kreve manuell behandling av personopplysninger. Forbrukerombudet, Den norske Advokatforeningog Skattedirektoratetgir imidlertid uttrykk for at de foreslåtte unntakene er så vide at det er vanskelig å forutsi om bestemmelsen vil få noen praktisk betydning. Den norske Advokatforening frykter også at vide unntak kan føre til en mer utstrakt domstolsprøving.
Forbrukerombudeter skeptisk til å gjøre unntak fra retten til å kreve manuell behandling der avgjørelsen er knyttet til inngåelse eller oppfyllelse av en kontrakt. Etter som det erfaringsvis er slik at mange automatiserte avgjørelser nettopp knytter seg til inngåelse eller oppfyllelse av kontrakter, frykter ombudet at man gjennom et slikt unntak vil kunne uthule bestemmelsen slik at den ikke får noen praktisk betydning. Den norske Bankforeningmener derimot at både EU-direktivet og utvalgsforslaget går for langt i å forby fullstendig automatisert behandling og peker derfor på betydningen av å implementere unntaket for kontraktsinngåelser/-oppfyllelser.
5.4.2.5 Departementets vurdering
Departementet slutter seg til utvalgets forslag i hovedtrekk. Selv om regelen trolig vil ha begrenset betydning i dag, kan det ikke utelukkes at den vil bli mer praktisk i fremtiden hvis fullstendig automatiserte beslutningsprosesser blir vanligere. Når det gjelder unntaket for avgjørelser som knytter seg til inngåelse eller oppfyllelse av kontrakter, er det viktig å understreke kravet om at det må være truffet tilstrekkelige tiltak for å ivareta vedkommendes personverninteresser. I medhold av dette kravet kan det f eks legges vekt på om den registrerte er gitt rett til å uttale seg før den automatiserte avgjørelsen treffes. Datatilsynet har kompetanse til å avgjøre om personverntiltakene er tilstrekkelige og kan gi pålegg om opphør av den automatiske behandlingen dersom de ikke finner at tiltakene for å sikre personvernet er tilfredsstillende, jf § 46 i lovforslaget. Unntaket vil for øvrig ikke få anvendelse der den automatiske behandlingen fører til at den registrerte ikke får noe tilbud. I slike tilfeller gjelder retten til å kreve manuell overprøving på vanlig måte, jf merknadene til § 25 i lovforslaget.
5.5 Plikt til å rette, slette og supplere
5.5.1 Gjeldende rett
Etter personregisterloven § 8 har den registeransvarlige plikt til å rette, slette eller supplere personopplysninger som er uriktige, ufullstendige eller ulovlige å ta inn i et register, dersom manglene kan få betydning for den registrerte. Den registeransvarlige skal også sørge for at virkningene av manglene blir minst mulig for den registrerte. Retting m v skal i utgangspunktet foretas av eget tiltak fra den registeransvarliges side. Datatilsynet har samtidig myndighet til å gi pålegg om dette, jf § 8 annet ledd. Pålegget kan påklages til Justisdepartementet.
5.5.2 Internasjonale regler
Etter artikkel 12 bokstav b i EU-direktivet har den registrerte rett til å få rettet, slettet eller sperret mangelfulle opplysninger. Som eksempel på mangler som kan kreves rettet nevnes i direktivet ufullstendige og unøyaktige opplysninger. Bestemmelsen må også sees i sammenheng med artikkel 6 i direktivet som stiller krav til lovlighet og rimelighet av behandlinger, formålsangivelse for behandlinger og krav til personopplysningers kvalitet.
I artikkel 12 c gis den enkelte også rett til å kreve at den behandlingsansvarlige underretter dem som opplysningene måtte være utlevert til, om at opplysningene er slettet, rettet eller sperret. Dette gjelder likevel ikke dersom en slik underretning er umulig eller uforholdsmessig vanskelig å gjennomføre.
Etter artikkel 28 nr 3 annet strekpunkt i direktivet skal tilsynsmyndigheten kunne kreve at personopplysninger slettes, tilintetgjøres eller sperres.
Europarådskonvensjonenartikkel 8 bokstavene c og d forplikter landene til å gi de registrerte rett til å få opplysninger om dem selv rettet eller slettet dersom opplysningene er behandlet i strid med konvensjonens artikler 5 og 6, som stiller krav til datakvalitet og vilkår for behandling av sensitive opplysninger. Statene pålegges også å gi regler som gir rett til en selvstendig prøving av krav fra den registrerte om retting eller sletting.
5.5.3 Utvalgets forslag
Utvalget går inn for å videreføre den nåværende regelen i personregisterloven med enkelte endringer. Den behandlingsansvarlige skal ha plikt til å sørge for at registrerte personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å registrere rettes, slettes eller suppleres, dersom mangelen kan få betydning for den registrerte, jf § 25 i utvalgets lovutkast. Er det brukt eller gitt videre mangelfulle opplysninger, skal den behandlingsansvarlige også ha plikt til å rette opp de uheldige følgene dette får for den registrerte. Utvalget foreslår at Datatilsynet får myndighet til å pålegge personopplysninger rettet, slettet eller supplert, ogtil å pålegge personopplysninger sperret i de tilfellene hvor de uriktige opplysningene av ulike grunner ikke kan eller bør slettes. Sperring vil være aktuelt der det er forbudt ved lov å slette opplysninger.
Med bakgrunn blant annet i Datatilsynets konsesjonspraksis foreslår utvalget også regler om sletting og sperring av personopplysninger som ikke er mangelfulle, men der den behandlingsansvarlige enten mangler saklig grunn for å oppbevare dem eller opplysningene er belastende for den registrerte og det finnes forsvarlig å slette/sperre dem ut fra en samlet vurdering av ulike interesser, jf § 26 i utvalgets lovutkast. Datatilsynet skal også her kunne gi pålegg om sperring og sletting, og disse påleggene går foran arkivlovens regler om kassasjon. I tråd med arkivloven 4 desember 1992 nr 126 skal Riksarkivaren høres før man sletter personopplysninger i saker der de mangelfulle opplysningene har hatt noe å si for saksforberedelsen, vedtaket eller annet som kan dokumenteres etter formålet med arkivloven.
5.5.4 Høringsinstansenes syn
Flere høringsinstanser har vært opptatt av forholdet mellom de foreslåtte reglene om retting og sletting og arkivlovgivningens regler om kassasjon. Den norske Advokatforeningmener at sletting av personopplysninger bør kunne finne sted uhindret av arkivhensyn og at hensynet til enkeltindividet bør gis større vern enn arkivhensyn. Kulturdepartementet finner det fortjenstfullt at utvalget har tatt mål av seg til å rydde opp i den uklarhet som til dels hersker i forholdet mellom gjeldende personregisterlov og arkivreglene hva angår grunnlaget for retting og sletting av personopplysninger. Men departementet hadde helst sett at også bestemmelser om sletting av personopplysninger i offentlige arkiver, i likhet med annen kassasjon av offentlig arkivmateriale, ble forankret alene i arkivlovens kassasjonsregler. Også Riksarkivarenmener at de reglene utvalget foreslår bidrar til et klarere og mer balansert lovverk i skjæringspunktet mellom personvernregler og bestemmelsene om kassasjon og bevaring av arkivmateriale, men at det er behov for å klargjøre enkelte problemer. Blant annet er det behov for å sikre at personopplysninger som har hatt betydning for vedtak som er fattet kan dokumenteres senere, f eks i forbindelse med erstatningskrav fra den registrerte.
Riksarkivaren tar videre opp spørsmålet om man ved sletting av personopplysninger som inngår i et saksdokument bare skal slette de aktuelle opplysningene eller om hele dokumentet må slettes. Om dette heter det i uttalelsen:
«Saksdokumenter er ofte av en slik art at innholdet ikke lenger er meningsfylt hvis personopplysningene blir slettet. Noen ganger kan meningsinnholdet bli helt misvisende og gi opphav til uheldige spekulasjoner hos leseren, f.eks. spekulasjoner som innebefatter andre personer. Dette gjelder ikke minst hvis dokumentet omhandler forholdet mellom flere personer og den enes identitet blir strøket.
Det er behov for en nærmere drøfting av hvordan man skal få til sletting av opplysninger i saksdokumenter, og dette burde vært gjort i en utredning som foreslår innføring av slike bestemmelser. Riksarkivaren er av den oppfatning at saksdokumenter som er bearbeidet på denne måten, har en meget tvilsom verdi som dokumentasjon, og de kan ikke betraktes som fullverdige arkivdokumenter. Riktignok kan man finne det hensiktsmessig å offentliggjøre dokumenter med sensitiv informasjon strøket. Men det er noe helt annet å slette opplysningene slik at det ikke er mulig for noen å finne ut hva som er det korrekte innholdet.
Riksarkivarens prinsipielle oppfatning er at dersom man skal slette opplysninger i et saksdokument, må hele dokumentet slettes. Dette er nødvendig for å hindre at ettertiden sitter igjen med misvisende dokumentasjon. Men framfor alt etterlyser vi en nærmere drøfting av problemet. Man kan ikke iverksette en lov med slike bestemmelser uten at dette spørsmålet har fått sin avklaring og konsekvensene er vurdert.»
Datatilsynetog Forbrukerombudetmener at plikten til å rette/slette mangelfulle opplysninger bør gjelde uten hensyn til om mangelen kan få betydning for den registrerte. Om dette uttaler Datatilsynet:
«Dersom feilopplysningen gjelder sensitive forhold vil ofte den blotte eksistens av feilopplysninger oppleves som belastende for den opplysningen gjelder. Det bør derfor fremkomme at det ikke er et ubetinget krav at en må kunne påvise hvilken betydning feilen kan få.»
Norges forskningsrådog Kirke,- utdannings- og forskningsdepartementetmener det er behov for å klargjøre adgangen til å lagre opplysninger for forskning og vitenskapelige forhold. Om dette uttaler Norges forskningsråd blant annet:
«Vilkår for når personopplysninger skal slettes har hittil blitt gitt som konsesjonsvilkår etter lovens § 11. Det foreslås nå å lovfeste dette i § 26, Sletting og sperring av personopplysninger. Bestemmelsen følger naturlig av prinsippet om formålsbestemthet. Dette spørsmålet blir behandlet i direktivets art 6e) hvor det er nedfelt at personopplysninger «ikke må opbevares på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendig af hensyn til de formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt. Medlemsstaterne fastsætter de fornødne garantier for personoplysninger, der i historisk, statistisk eller videnskapelig øjemed opbevares længere en i ovennævnte periode.»
Utvalgets lovforslag gjør ikke tilsvarende unntak for lagring av opplysninger for vitenskapelige formål.»
5.5.5 Departementets vurdering
Utvalgets forslag vil styrke personvernet og skape bedre harmoni mellom arkivlovgivningen og personvernlovgivningen enn i dag. Departementet mener derfor at hovedtrekkene i forslaget bør følges opp. Som noen av høringsinstansene har pekt på, er det imidlertid enkelte spørsmål som krever nærmere avklaring.
Et viktig spørsmål er avveiningen av personvernhensyn mot dokumentasjons- og forskningshensyn. Dette er en avveining som i høy grad knytter seg til valg av virkemiddel når opplysningene skal rettes (retting brukes i det følgende om å treffe tiltak for å oppfylle lovens krav). Retting kan skje på flere måter, f eks gjennom sletting (irreversibel fjerning av de aktuelle personopplysningene), sperring (opplysningene gjøres midlertidig utilgjengelige) og supplering (nye opplysninger legges til). Etter direktivet og utvalgets forslag er virkemidlene sidestilte. Valget mellom dem har imidlertid vidtrekkende konsekvenser som tilsier at loven bør stille opp visse retningslinjer for hvilket virkemiddel som skal brukes i rettingen.
Det bør etter departementets syn oppstilles som et utgangspunkt at retting som hovedregel bør skje ved at de uriktige opplysningene tydelig markeres som uriktige, kombinert med en supplering med korrekte opplysninger. Sletting bør bare benyttes når meget sterke personvernhensyn taler for det.
Det er flere grunner til at sletting bør nyttes med varsomhet. Rettssikkerhetshensyn tilsier at det bør være mulig i ettertid å undersøke om f eks et vedtak er fattet på uriktig grunnlag. Sletting kan skape hull i dokumentasjonsmaterialet, og på den måten gi opphav til nye mangler og uklarheter. Ofte vil opplysninger i et dokument ha betydning for flere personer, og også disses dokumentasjonsmuligheter vil måtte tas i betraktning. Forsåvidt gjelder personopplysninger i forvaltningens saksdokumenter, kan også offentlighetsprinsippet tale for varsomhet med å slette uriktige eller ulovlig behandlede personopplysninger. Selv om offentlighetslovens ord ikke er til hinder for sletting, kan det hevdes å være i dårlig samsvar med hensynene bak offentlighetsprinsippet - herunder muligheten til kritisk å belyse forvaltningens virksomhet - dersom uriktige opplysninger i forvaltningssaken sporløst fjernes gjennom sletting. Også kulturelle hensyn, herunder behov for kildemateriale for historisk forskning, kan tilsi varsomhet med å rette ved å slette.
Departementet går på denne bakgrunn inn for å følge prinsippet i arkivloven § 9 bokstav d om at arkivmateriale ikke kan rettes ved sletting dersom opplysningene har hatt noe å si for f eks et vedtak, jf § 27 annet ledd i lovforslaget. Ved at retting i stedet skjer ved bruk av supplering og markering av at de opprinnelige opplysningene var uriktige, reduseres også konflikten mellom personvernhensyn og dokumentasjons- og forskningshensyn m v etter arkivloven. Fra dette utgangspunktet foreslår departementet et unntak som åpner for at Datatilsynet likevel kan pålegge sletting dersom tilstrekkelig tungtveiende personvernhensyn tilsier det. Et slikt pålegg vil gå foran arkivloven § 9 bokstav d. Før pålegget kan gis, skal Riksarkivaren høres.
I tråd med høringsuttalelsene fra Datatilsynet og Forbrukerombudet går departementet inn for at retting skal skje selv om feilen ikke har noen påviselig betydning for den registrerte.
I bestemmelsen om sletting og sperring av personopplysninger som ikke er mangelfulle, foreslår departementet enkelte endringer bl a for å få klarere frem forholdet til arkivlovgivningen, jf § 28 i lovforslaget. Det bør presiseres uttrykkelig at personopplysninger som det ikke lenger er nødvendig å oppbevare for å gjennomføre formålet med behandlingen enten skal slettes, eller, når arkivlovgivningen påbyr det, avleveres til arkivdepot. Overflødige personopplysninger kan imidlertid fortsatt oppbevares for å bli brukt som ledd i historisk, statistisk eller vitenskapelig virksomhet.
Departementet er enig med utvalget at i det bør være en viss adgang for den registrerte til å kreve slettet eller sperret personopplysninger som ikke er mangelfulle eller overflødige, men som likevel oppleves som belastende. Vilkårene for å kreve slik sletting eller sperring bør imidlertid være strenge. Departementet går derfor inn for at den registrerte bare skal kunne kreve slettet eller sperret opplysninger som er sterkt belastende for ham eller henne, jf § 28 tredje ledd i lovforslaget. Dette er en skjerping av vilkårene sammenlignet med utvalgets forslag. I tillegg er det et vilkår at det anses forsvarlig å sperre eller slette opplysningene ut fra en samlet vurdering hvor flere interesser og hensyn tas i betraktning. Sletting eller sperring må heller ikke være i strid med annen lovgivning. Datatilsynet kan likevel beslutte å slette opplysninger selv om dette ikke er i samsvar med de kassasjonsbestemmelsene som er fastsatt i medhold av arkivloven, men Riksarkivaren skal høres før slik avgjørelse treffes.
Riksarkivaren har under høringen reist spørsmål om hvordan sletting skal gjennomføres - om hele dokumentet skal slettes, eller om bare deler av det skal slettes. Med departementets forslag til regler vil sletting bli brukt relativt sjelden. Og når opplysninger likevel slettes, bør slettingen kombineres med en tilføyelse av de riktige opplysningene. Dersom slik tilføyelse ikke er mulig, f eks fordi man ikke klarer å rekonstruere hva som er korrekte opplysninger, foreslår departementet en bestemmelse om at hele dokumentet skal slettes dersom de delene av dokumentet som gjenstår etter slettingen, gir et åpenbart misvisende bilde av saken, jf § 27 fjerde ledd. Hvis det er korrekte opplysninger som skal slettes i medhold av § 28, og dokumentet etter slettingen vil gi et åpenbart misvisende bilde, følger det på samme måte av § 28 siste ledd i lovforslaget at hele dokumentet skal slettes.
5.6 Noen fellesspørsmål
5.6.1 Tidsfrister for å etterkomme krav fra de registrerte
5.6.1.1 Gjeldende rett
Det finnes ingen generell regel om hvor raskt de registeransvarlige skal gi svar på henvendelser fra de registrerte eller utføre plikter i forhold til disse. Svar på forespørsler om innsyn i personregistre etter personregisterloven § 7 skal ifølge personregisterforskriften § 1-1 og 1-2 gis snarest mulig og senest innen én måned. For innsyn i hvilke opplysningstyper som er tatt inn i offentlige registre, skal svar gis umiddelbart jf forskriften § 1-3. Melding om utlevering av kredittopplysninger om privatpersoner til den omspurte skal sendes samtidig med at kredittopplysningene avgis, jf personregisterloven § 19.
5.6.1.2 Internasjonale regler
Også i EU-direktivet er det bare enkelte spredte bestemmelser om hvor raskt de registrerte skal motta svar og meldinger fra de behandlingsansvarlige. Etter artikkel 12 om den registrertes rett til innsyn skal innsyn gis uten ugrunnet opphold.
5.6.1.3 Utvalgets forslag
Etter utvalgets syn har det stor betydning for effektiviteten av de individuelle behandlingsgarantiene at de registrerte får en rask tilbakemelding på sine henvendelser etter loven. Utvalget foreslår derfor at krav om generell informasjon om personopplysningsbehandlinger, innsyn i opplysninger om den registrerte, informasjon om automatiserte avgjørelser, retting eller sletting av opplysninger, manuell behandling og reservasjon mot navnebruk i markedsføringsøyemed skal gjennomføres uten ugrunnet opphold og senest innen én måned, jf § 14 i utvalgets lovutkast. Dersom forholdene tilsier lengre svartid enn én måned, kan gjennomføringen skje senere. I slike tilfeller skal det likevel gis et svar innen den lovbestemte fristen der det opplyses om grunnen til forsinkelsen og det sannsynlige tidspunktet for gjennomføringen.
5.6.1.4 Høringsinstansenes syn
Det er ikke kommet innvendinger mot utvalgets forslag under høringen.
5.6.1.5 Departementets vurdering
Departementet slutter seg til forslaget. På samme måte som etter offentlighetsloven § 9 første ledd er det en forutsetning at både innsynsbegjæringer og andre henvendelser bør avgjøres raskt. Hva som skal regnes som begrunnet opphold, vil avhenge av en konkret vurdering der man bl a må se hen til begjæringens omfang, om begjæringen reiser vanskelige avveininger, den behandlingsansvarliges arbeidsmengde for øvrig og behovet for en rask avgjørelse, jf nærmere under merknadene til § 16.
5.6.2 Kostnader knyttet til de registrertes rettigheter
5.6.2.1 Gjeldende rett
Det er ikke gitt noen generell regel om adgang til å ta seg betalt for innsyn m v i personregisterloven. Etter personregisterloven § 20 annet ledd kan kredittopplysningsforetak beregne seg en rimelig godtgjørelse for skriftlige meldinger til de registrerte om hvilke kredittopplysninger om dem som foretaket har.
5.6.2.2 Internasjonale regler
Etter EU-direktivet artikkel 12 skal den registrerte kunne begjære innsyn hos den registeransvarlige uten urimelige kostnader. Innsigelsesretten mot bruk av personopplysninger for markedsføring skal i henhold til artikkel 14 kunne gjennomføres kostnadsfritt. Utover dette er det ikke sagt noe om hvorvidt det skal kunne kreves betaling av de registrerte som benytter seg av direktivets individuelle personverngarantier.
5.6.2.3 Utvalgets forslag
Utvalget går inn for at det som utgangspunkt ikke skal koste noe for de registrerte å praktisere de individuelle personverngarantiene, jf § 15 første punktum i utvalgets lovutkast som fastslår at de individuelle rettighetene skal utøves vederlagsfritt. Utvalget legger da vekt på at en betaling for å benytte seg av disse garantiene vil kunne høyne den enkeltes terskel for å bruke de rettighetene som lovforslaget er tenkt å gi. Videre heter det om dette på s 74 i utredningen:
«For det andre kan betaling innebære en forskjell mellom de som kan ta seg råd og de som ikke kan ta seg råd til å benytte sin rett. Å ta betaling kan på denne måten brukes som et virkemiddel for den behandlingsansvarlige til å holde folk unna, og unngå flest mulig forespørsler om innsyn mv.
På denne bakgrunn mener utvalget at det klare utgangspunktet må være at all praktisering av de individuelle personverngarantiene i utgangspunktet ikke skal koste noe. Innsyn må i utgangspunktet være en driftsutgift for den behandlingsansvarlige. Samtidig medgir utvalget at det kan oppstå situasjoner der praktiseringen av loven kan bli så omfattende og tidkrevende at det kan oppstå uakseptable belastninger for den enkelte behandlingsansvarlige.»
Utvalget åpner derfor for at det kan gis forskrift om betaling til den behandlingsansvarlige dersom særlige grunner gjør det nødvendig.
5.6.2.4 Høringsinstansenes syn
Forbrukerombudet, Pasientombudet for Akershus fylkeskommuneog Den norske lægeforeningstøtter utvalgets forslag. Den norske Advokatforeninggår i utgangspunktet mot at det åpnes for ved forskrift å gi bestemmelser om at det i særlige tilfeller kan tas betaling for å gjøre innsynsretten gjeldende. Sparebankforeningen, Finansieringsselskapenes foreningog Den norske Bankforeningmener at loven i visse tilfeller bør åpne direkte for at det kan kreves vederlag for de faktiske kostnadene som innsynsbegjæringer m v påfører de behandlingsansvarlige. De viser bl a til at gjennomføringen av de mange individuelle rettighetene som utvalgets forslag legger opp til vil kreve betydelig ressursinnsats og medføre store kostnader for banker og andre finansinstitusjoner. Om dette heter det f eks i uttalelsen fra Den norske Bankforening:
«Effektuering av de mange individuelle rettigheter etter lovutkastet, herunder den behandlingsansvarliges varslings- og informasjonsplikt, samt den registrertes innsynsrett, vil kreve betydelig ressursinnsats og medføre store kostnader for banker og andre finansinstitusjoner. Vi har forståelse for synspunktet om at personvernet under visse omstendigheter kan bli svekket dersom den registrerte avkreves et vederlag som i realiteten innebærer at vedkommende av økonomiske grunner ikke er i stand til å gjøre gjeldende sine lovbaserte rettigheter. Vi kan på den annen side ikke akseptere at en rimelig dekning (betaling) av de kostnader som medgår til uthenting av opplysninger, bearbeiding, tilrettelegging og utsending av forespurt informasjon til kunden (ofte flere ganger til samme kunde), generelt vil hindre eller redusere vedkommende i å gjøre gjeldende sine rettigheter etter loven. Vi viser i denne sammenheng til personverndirektivet art. 12 som motsvarer lovutkastets § 18 (Den registrertes rett til innsyn) og § 22 (Rett til begrunnelse for fullstendig automatiserte avgjørelser). Det fremgår av art. 12 bokstav a) at innsynsretten skal skje fritt og uavhengig, med rimelig mellomrom og uten større ventetid eller større kostnad. EU-direktivet aksepterer således at det tas noe betalt for de kostnader som medgår til effektuering av opplysningsplikten.
Bankforeningen ber Justisdepartementet vurdere en oppmykning av det strenge vederlagsforbudet som er foreslått i utk. § 15, slik at de behandlingsansvarlige kan ta noe betalt for sine kostnader. Vi er klar over at utvalget i samme paragraf har foreslått en hjemmel for Kongen til å gi forskrifter om adgangen til å kreve vederlag, men mener at det bør fremgå direkte av loven at den behandlingsansvarlige kan kreve et rimelig vederlag når særlige grunner gjør det nødvendig.»
5.6.2.5 Departementets vurdering
Departementet er enig med utvalget og flertallet av høringsinstansene i at det klare utgangspunktet bør være at det ikke skal koste noe for den registrerte å gjøre gjeldende de rettighetene som lovutkastet gir til å kreve innsyn, begrunnelse, retting og reservasjon mot direkte markedsføring. Hvor store kostnader det vil innebære for de behandlingsansvarlige å etterkomme innsyns- og rettingskravene er det vanskelig å si noe sikkert om, blant annet fordi det er usikkert hvor mange som vil komme til å benytte seg av de nye reglene. I utgangspunktet bør det imidlertid kunne legges til grunn at dette er kostnader som bør dekkes som driftsutgifter av de behandlingsansvarlige. Hvis det i lys av erfaringene med loven viser seg å oppstå situasjoner der praktiseringen av de individuelle personverngarantiene blir så omfattende og tidkrevende at det fører til uakseptable belastninger for den enkelte behandlingsansvarlige, bør det åpnes for å gi regler om betaling ved forskrift. Slike forskrifter vil f eks måtte vurderes dersom det skulle vise seg å bli nødvendig å begrense gjentatte og til dels formålsløse forespørsler om innsyn fra samme person i de samme opplysninger. I slike tilfeller kan det f eks være hensiktsmessig å oppstille en tidsgrense for hvor ofte det kan begjæres innsyn uten vederlag. Det vil uansett være en forutsetning at et eventuelt vederlag ikke skal overstige de direkte kostnadene ved å utlevere informasjonen.
Før det gis opplysninger om en registrert bør den behandlingsansvarlige gis anledning til å kreve at den registrerte leverer en skriftlig og undertegnet begjæring om innsyn, jf § 24 i lovforslaget. Foruten å skape klarhet for den behandlingsansvarlige, vil en slik regel bidra til å sikre at det er den registrerte som får tilgang til informasjonen.