6 Regulering og kontroll
6.1 Innledning
Lovregler som gir uttrykk for hvordan personopplysninger kan brukes (materielle regler) gir ikke i seg selv gode nok garantier for at bruken av personopplysninger foregår på en forsvarlig måte. I en del tilfeller er det derfor nødvendig å supplere lovens generelle regler med andre styringsmekanismer (kollektive personverngarantier) som f eks krav om tillatelse for behandling av personopplysninger og hjemmel for ulike kontrollordninger. Sist, men ikke minst, er det viktig med gode opplysningstiltak og effektiv veiledning om hvilke regler som gjelder.
Når man vurderer nærmere ulike reguleringsformer og kontrollordninger, er det viktig å se det samlede sett av virkemidler i sammenheng. Valg av regulerings- og kontrollordninger har også sammenheng med hvem som skal stå for regulerings- og kontrollvirksomheten i praksis, jf kapittel 13 og de administrative og økonomiske konsekvensene av de ordningene som blir foreslått, jf kapittel 15.
6.2 Gjeldende rett
Personregisterloven gjør i dag bruk av flere reguleringsformer, ved at den kombinerer en omfattende konsesjonsplikt med materielle regler som gir uttrykk for hvordan personopplysninger kan behandles samt rådgivning og etterfølgende kontroll fra Datatilsynets side.
Konsesjonsplikten er omfattende og gjelder for opprettelse av personregistre som skal gjøre bruk av edb og manuelle personregistre som inneholder sensitive personopplysninger, jf personregisterloven § 9. Konsesjonsspørsmålet avgjøres ut fra en interesseavveining der personverninteresser veies mot interessene bak opprettelsen av registeret. Når Datatilsynet gir konsesjon, fastsetter det også en rekke vilkår for opprettelse og bruk av registeret, f eks om hvilke opplysninger registeret kan inneholde og hva disse opplysningene kan brukes til. På grunn av det store antallet konsesjonssøknader har Datatilsynet på en rekke områder utarbeidet typekonsesjoner og rammekonsesjoner som setter visse generelle vilkår. Reelt sett har Datatilsynets konsesjonspraksis fungert som en slags forskriftsregulering.
For å unngå en rutinemessig konsesjonsbehandling av en stor mengde like registre og registre som er uproblematiske ut fra et personvernsynspunkt, er det i personregisterforskriften kapittel 2 fastsatt en rekke unntak fra konsesjonsplikten i kombinasjon med diverse materielle bestemmelser som disse registrene er underlagt, jf kapittel 3 i forskriften. Eksempler på registre som er fritatt er kunderegistre i banker og finansinstitusjoner, personalregistre og dags- og ukepressens personregistre. I henhold til personregisterloven § 41 er også personregistre innenfor offentlig forvaltning som er opprettet ved egen lov fritatt for konsesjonsplikt. Andre regler i personregisterloven, som f eks bestemmelsene om rett til innsyn, vil likevel gjelde for disse registrene om ikke hjemmelsloven bestemmer noe annet.
Personregisterloven inneholder relativt få regler om hvordan personopplysninger kan behandles (materielle regler). Bortsett fra pregl § 6 som setter krav til saklig begrunnelse for registrering er hovedtyngden av slike materielle regler gitt i forskrifter til loven (først og fremst for de registrene som er fritatt for konsesjonsplikt) eller gjennom Datatilsynets konsesjoner.
Etter pregl § 5 og § 3 annet ledd skal Datatilsynet føre kontroll med sikte på å undersøke om lov og konsesjonsvilkår blir etterlevd. Samtidig har tilsynet som oppgave å gi råd og veiledning om spørsmål om personvern og datasikring til dem som planlegger å opprette personregistre. Datatilsynet skal også gi uttalelse i spørsmål som gjelder bruk av personopplysninger.
6.3 Internasjonale regler
EU-direktivet etablerer i artiklene 18 og 19 en tilsynsordning der hovedregelen er meldeplikt til tilsynsmyndigheten for all elektronisk behandling av personopplysninger. Medlemsstatene kan selv bestemme om enkelte eller alle manuelle behandlinger skal være underlagt meldeplikt eller en forenklet form for meldeplikt. For personopplysningsbehandlinger som kan innebære særlige farer for de registrertes friheter og rettigheter, krever artikkel 20 i direktivet at det skal foretas en strengere forhåndskontroll. Det er opp til medlemsstatene å fastsette hvilke behandlinger som antas å innebære en slik risiko at man i medhold av denne bestemmelsen f eks kan pålegge konsesjonsplikt.
Artikkel 18 nr 2, 3 og 4 oppstiller visse unntak fra meldeplikten der man på nærmere bestemte vilkår enten kan gi regler om forenklet meldeplikt eller helt frita for meldeplikt. For det første gjelder det unntak for behandlinger hvor det ikke er sannsynlig at de registrertes rettigheter eller friheter krenkes, jf artikkel 18 nr 2. For det annet kan det gjøres unntak for behandlinger som har som formål å føre et register som i henhold til lov eller administrative bestemmelser skal være offentlig tilgjengelig generelt eller for personer som kan godtgjøre å ha en slik legitim interesse, jf artikkel 19 nr 3. Unntaket vil f eks omfatte Løsøreregisteret og Elektronisk grunnbok. For det tredje kan det gjøres unntak fra meldeplikten for intern behandling av sensitive opplysninger i en stiftelse, sammenslutning eller annen ideell organisasjon med politisk, filosofisk, religiøst eller faglig formål, jf artikkel 18 nr 4 som viser til artikkel 8 nr 2 bokstav d.
Europarådskonvensjonen har blant annet regler om at det skal innføres hensiktsmessige kontrollordninger for brudd på hovedprinsippene for datavern i konvensjonen, jf artikkel 10, samtidig som spesielle kategorier av personopplysninger bare skal kunne behandles dersom lovgivningen gir «tilstrekkelig vern», jf artikkel 6. Vurderingen av hva som er å anse som hensiktsmessige kontrolltiltak og tilstrekkelig vern overlates til det enkelte land.
6.4 Utvalgets forslag
Utvalget går inn for at man på samme måte som i dag kombinerer flere reguleringsformer, men med en annen vektlegging av de respektive virkemidlene enn i gjeldende personregisterlov:
Konsesjonsplikten videreføres, men i et mer begrenset omfang enn i dag.
Den delen av konsesjonsplikten som ikke vil bli videreført, foreslås avløst av en meldeplikt i kombinasjon med mer vidtrekkende tilsynsoppgaver og sanksjonsmidler for Datatilsynet.
I tillegg til en forsterket tilsynsvirksomhet skal Datatilsynet på samme måte som i dag ha rett og plikt til å gi råd og veiledning til dem som planlegger å behandle eller allerede behandler personopplysninger, og til å gjennomføre etterfølgende kontroller.
Flere materielle regler om hvordan personopplysninger skal behandles foreslås inntatt direkte i loven.
Det foreslås regler om sikring og internkontroll som innebærer at både offentlige og private virksomheter må etablere og dokumentere tiltak for å påse at lovens regler og Datatilsynets krav overholdes.
Det oppfordres til bruk av bransjevise atferdsnormer som er retningslinjer om behandling av personopplysninger som virksomheter eller bransjerepresentanter selv utarbeider på frivillig basis.
Utvalget understreker betydningen av å se de ulike virkemidlene i sammenheng.
Utvalgets forslag vil bli behandlet nærmere under punktene 6.5 til 6.10.
6.5 Meldeplikt
6.5.1 Innledning
Meldeplikt innebærer at den som ønsker å sette i gang en viss form for behandling av personopplysninger, må orientere tilsynsorganet før behandlingen iverksettes. Med bakgrunn i meldingen kan tilsynsorganet gripe inn og treffe vedtak eller på annen måte kommunisere med den som meldingen kommer fra. Tilsynsmyndigheten tar selv stilling til hvordan den vil behandle de meldingene som kommer inn.
Etter gjeldende rett har man ikke noen generell meldepliktordning i tillegg til konsesjonssystemet for opprettelse av personregistre. Den eneste bestemmelsen om meldeplikt finnes i personregisterforskriften § 8-1 jf pregl § 36, og gjelder overføring av personopplysninger til utlandet.
6.5.2 Utvalgets forslag
Utvalget drøfter på s 79 i utredningen fordeler og ulemper ved meldeplikt som virkemiddel. Om dette heter det bl a:
«For det første synes det på det rene at en meldeplikt vil binde opp atskillig mindre arbeidskapasitet hos Datatilsynet enn en konsesjonsordning. Den frigjorte arbeidskapasiteten kan i stedet benyttes til krevende konsesjonssaker eller til andre reguleringsmåter som for eksempel rådgivning. Ettersom det i mindre grad vil finne sted en oppfølgning av den enkelte melding, kan også saksbehandlingsrutinene gjøres mer fleksible enn i dag. Meldingene vil etterhvert utgjøre et betydelig erfaringsmateriale, blant annet fordi ny teknologi kan gjøre det mulig å behandle meldinger atskillig mer konstnads- og formålseffektivt enn tidligere.
Samtidig er det klart at meldeplikt har sine klare begrensninger som tiltak. Erfaringene fra meldeplikten i prisloven viser at et system med en omfattende meldeplikt lett kan bli svært tungvint og legge betydelige kostnader på såvel de meldepliktige som meldingsmottakerne (jf NOU 1991: 27 s 166 flg). Behandlingen eller gjennomgåelsen av meldingene må videre jevnt over bli atskillig mer overfladisk enn behandlingen av en søknad om konsesjon. Hvis det viser seg at behandlingen var konsesjonspliktig, og ikke bare meldepliktig, kan det dessuten ha oppstått økonomisk tap eller annen og mindre reparerbar skade før tilsynsmyndigheten rekker å gripe inn. Slik er det imidlertid også i dag med registre som det feilaktig ikke søkes om konsesjon for. I tillegg kan det være fare for at den meldepliktige regner manglende reaksjon fra tilsynsorganet som en «godkjenning» av behandlingen, selv om den manglende oppfølgingen skyldes helt andre årsaker, for eksempel manglende ressurser eller prioritering av andre arbeidsoppgaver. Denne faren kan imidlertid formentlig i stor grad ryddes av veien gjennom informasjon, f eks på meldeskjemaene.»
Utvalget mener at et meldepliktsystem må forutsette at meldingene skal være nyttige for formålet med å fremme personvern, og at utgiftene knyttet til meldesystemet skal stå i forhold til denne nytten. Meldeplikten bør videre fylle følgende funksjoner, jf s 80 i utredningen:
«Etablere en kontakt mellom Datatilsynet og den behandlingsansvarlige.
Gi grunnlag for å formidle regelinformasjon til de meldepliktige og bidra til å høyne bevissthetsnivået om personvernspørsmål hos disse.
De samlede meldingene skal utgjøre en vesentlig del av Datatilsynets kunnskapsbasis for tilsynets prioritering av arbeidsoppgaver, særlig i relasjon til kontroll, veiledning og regelverk.
Sikre offentlighet med hensyn til de behandlinger som foretas.....»
Utvalget går på denne bakgrunn inn for at det innføres meldeplikt for alle som benytter elektroniske systemer for behandling av personopplysninger og for opprettelse av manuelle registre med sensitive personopplysninger. Fordi utvalget går bort fra registerbegrepet som hovedbegrep, blir virkeområdet for meldeplikten videre enn dagens konsesjonsordning. Utvalget foreslår imidlertid at det åpnes for gjennom forskrift å fastsette visse unntak fra meldeplikten, f eks for behandling av personopplysninger i forbindelse med bruk av vanlig tekstbehandlingsutstyr. Utvalget mener også at de fleste av de nåværende forskriftsbestemte unntakene fra konsesjonsplikten bør videreføres som unntak fra meldeplikten i den nye loven.
For at meldingene skal være nyttige, anser utvalget det viktig at de inneholder opplysninger som gir tilsynsmyndigheten grunnlag for å prioritere innsatsen innen rettsinformasjon, veiledning og kontroll. Om dette heter det nærmere på s 80 i utredningen:
«Det er derfor viktig at meldingene gir en beskrivelse av de viktigste indikatorene for personverntrusler (for eksempel om grunnlaget for behandlingen, måten opplysningene blir hentet inn på, om det benyttes lukket eller åpent system, om det eksisterer faste rutiner for ivaretakelsen av den enkeltes rett til innsyn, retting, sletting og supplering mv). Det er også viktig at det på meldingene gis til en viss grad formaliserte opplysninger slik at det er mulig å skille ut kategorier av behandlinger.»
Kravene til meldingens innhold foreslås oppregnet i en egen lovbestemmelse(§ 32 i utvalgets lovutkast) som både i innhold og detaljnivå går lenger enn det som kreves i henhold til artikkel 19 i EU-direktivet.
6.5.3 Høringsinstansenes syn
Det er bred oppslutning blant høringsinstansene om å begrense den nåværende konsesjonsplikten til fordel for et meldepliktsystem kombinert med mer vidtrekkende tilsynsoppgaver for Datatilsynet. Det pekes blant annet på at en slik omlegging representerer en mer tidsmessig, praktisk og realistisk tilnærming til personvernet både for Datatilsynet, som får frigjort ressurser til fordel for kontroll-, rådgivnings- og informasjonsvirksomhet, og for de behandlingsansvarlige, som pålegges en høyere bevissthet om personvernregler og sikringstiltak. Enkelte høringsinstanser uttrykker likevel skepsis til en så sterk begrensning av konsesjonsplikten som utvalget legger opp til, jf nærmere under punkt 6.6.
Flere instanser har pekt på behov for å gjøre unntak fra meldepliktordningen, f eks for behandling av personopplysninger i journalistisk virksomhet, bankenes kunderegistre, Brønnøysundregistrene og gjenfinningsverktøy og låneregistre som er nødvendige for å sikre gode bibliotektilbud.
Datatilsynethar innvendinger mot utvalgets forslag om å unnta fra meldeplikten behandlinger som utelukkende gjør bruk av opplysninger som er allment tilgjengelige. De viser til at stadig mer informasjon blir allment tilgjengelig og at det er en tendens til at opplysninger som i seg selv er trivielle i stigende omfang kobles sammen og gir ny informasjon som brukes overfor den registrerte på en måte som truer personvernet. Som eksempler nevnes opplysninger fra internett, Brønnøysundregistrene, ligningsopplysninger og kommersialisering av offentlige registre generelt. Skattedirektoratetmener derimot at bruk av legalt, offentlig tilgjengelige opplysninger hvor verken kvalitet eller tilgjengelighet har betydning for den registrerte, bør unntas fra meldeplikt.
6.5.4 Departementets vurdering
Departementet er enig med utvalget og høringsinstansene i at det er behov for å legge om det nåværende konsesjonssystemet til et system som i hovedsak bygger på meldeplikt. Dagens omfattende konsesjonsordning påfører både Datatilsynet og mange konsesjonssøkere mye rutinearbeid som ikke nødvendigvis gir seg utslag i et sterkere personvern. Dette arbeidet har lagt beslag på mye av Datatilsynets ressurser, slik at tilsynet har hatt mindre tid enn ønskelig til å prioritere andre oppgaver som f eks kontroll og rådgivning. En effektiv kontroll med at lovens regler etterleves vil være av større betydning for ivaretakelse av personvernet enn rutinemessig behandling av konsesjonssøknader. Med mindre ressurser bundet opp i tradisjonell konsesjonsbehandling får Datatilsynet også større frihet til å sette inn sine ressurser på samfunnsområder der det særlig ser behov for å foreta kontroll med sikte på å styrke personvernet.
Det er også klart at EU-direktivet legger opp til en ordning der utgangspunktet er meldeplikt, og der konsesjonsbehandling bare skal kunne kreves i nærmere avgrensede tilfeller.
Departementet mener på samme måte som utvalget at det bør legges opp til en bred meldepliktordning. Gjennom meldeplikten etableres det en kontakt mellom Datatilsynet og den behandlingsansvarlige som er sentral både for tilsynets rådgivningsvirksomhet og for gjennomføringen av kontrollvirksomheten. Det er samtidig viktig å legge opp meldeplikten slik at man balanserer hensynet til relevant informasjon for Datatilsynet med hensynet til å unngå unødig merarbeid for de behandlingsansvarlige. Etter departementets oppfatning representerer utvalgets forslag til bestemmelser om meldingens innhold en god balanse mellom disse hensynene. De opplysningene som skal inntas i meldingen, vil være slike som den behandlingsansvarlige enkelt og raskt bør kunne finne frem. Det legges til grunn at meldingene kan gjøres kortfattet, f eks på ca 1 side, og de bør kunne sendes til Datatilsynet ved elektronisk post dersom den behandlingsansvarlige ønsker det.
Når det gjelder innholdet i meldeplikten, vil departementet understreke at det er selve behandlingsmåten - systemet for behandling - som skal meldes til Datatilsynet. Meldingen skal i utgangspunktet sendes én gang, ikke hver gang man behandler personopplysninger. For å illustrere dette nærmere vil f eks et markedsundersøkelsesbyrå måtte sende melding om at byrået driver med markedsundersøkelser og i den sammenheng blant annet opplyse om hvilke typer personopplysninger som inngår i arbeidet med markedsundersøkelsene, hvem opplysningene vil bli utlevert til og hvilke sikkerhetstiltak som er knyttet til behandlingen av personopplysningene. Det vil med andre ord ikke være nødvendig å sende melding for hver enkelt markedsundersøkelse som skal foretas. Det må imidlertid sendes ny melding dersom det f eks skal behandles nye typer av opplysninger eller opplysningene skal utleveres til andre enn oppgitt i den opprinnelige meldingen.
Det er grunn til å fremheve at meldeplikten skal være en første kontakt mellom Datatilsynet og de behandlingsansvarlige. Datatilsynet kan når det finner det nødvendig, undersøke nærmere og be om flere opplysninger.
For at meldingene skal kunne benyttes som grunnlag for Datatilsynets kontrollvirksomhet, vil det være nødvendig å lagre dem elektronisk på en måte som gjør at man med enkle søkekriterier kan peke ut særlige områder eller bransjer for kontroll.
Som både utvalget og flere høringsinstanser peker på, vil det være behov for å fastsette unntak fra meldeplikten. De nåværende unntakene fra konsesjonsplikten vil her kunne tjene som et mulig utgangspunkt for å vurdere nærmere hvilke unntak som bør gjøres fra meldeplikten. For øvrig vil det bl a være naturlig å gjøre unntak for ordinær bruk av tekstbehandlingsutstyr.
Datatilsynethar under høringen hatt innvendinger mot utvalgets forslag om å unnta fra meldeplikten behandlinger som utelukkende gjør bruk av allment tilgjengelige opplysninger. Bakgrunnen er faren for at man ved å koble sammen denne type opplysninger kan bruke den nye informasjonen overfor den registrerte på en måte som truer personvernet. Bruk av opplysninger som er gjort allment tilgjengelig, f eks gjennom offentlige registre, er utbredt. Når slike registre er opprettet ved lov, har lovgiverne tatt standpunkt til at dette skal være opplysninger som skal gjøres tilgjengelige for bruk. Men bruk i form av kobling av informasjon har sjelden vært vurdert, og det vil være viktig for Datatilsynet å kunne føre kontroll med at bruk og eventuell kobling ikke foregår på en måte som strider mot personopplysningslovens behandlingsregler. Unntar man bruk av slike opplysninger fra meldeplikt, vil grunnlaget for slik kontroll bli langt dårligere. Departementet er derfor enig med Datatilsynet i at et unntak for bruk av opplysninger som er gjort allment tilgjengelig er lite hensiktsmessig. Men bruk av slike opplysninger for private formål faller helt utenfor loven, jf § 3 annet ledd i lovforslaget.
For behandling av personopplysninger i journalistisk virksomhet er det ikke meldeplikt, jf § 7 i lovforslaget og kapittel 11 i proposisjonen.
Artikkel 18 nr 2 annet strekpunkt i EU-direktivet åpner for å gjøre unntak fra meldeplikten der den behandlingsansvarlige peker ut en person med ansvar for vern av personopplysninger, som særlig har som oppgave på en uavhengig måte å sikre at de nasjonale reglene om personvern etterleves og å føre en slik oversikt over behandling av personopplysninger hos den behandlingsansvarlige som skal være allment tilgjengelig i henhold til artikkel 21 nr 2. Bl a i Sverige, Nederland og Tyskland har man på ulikt vis etablert slike ordninger. I den svenske personopplysningsloven er det gitt egne regler om såkalte dataombud og om deres oppgaver og ansvar. Den som utpeker dataombud, er fritatt fra meldeplikt til tilsynsmyndigheten. Muligheten for å gjøre unntak fra meldeplikten for den som utpeker særlige dataansvarlige er ikke nærmere drøftet av utvalget, og har ikke vært fokusert under høringen. Departementet går heller ikke inn for å regulere nærmere en slik ordning i den nye personopplysningsloven nå. Samtidig ser departementet at en ordning med uavhengige dataansvarlige på sikt kan utvikles i en retning som både styrker personvernet og forenkler kommunikasjonen mellom de behandlingsansvarlige og Datatilsynet. I den anledning vil departementet peke på at de behandlingsansvarlige i samarbeid med Datatilsynet på frivillig basis bør kunne prøve ut forskjellige ordninger med utpeking av dataansvarlige. Om ønskelig bør det også kunne åpnes for sette i gang forsøksprosjekter i kombinasjon f eks med forenklinger i eller fritak fra meldeplikten ved forskrift, jf § 31 siste ledd i lovforslaget og merknadene til denne bestemmelsen. Dersom man i lys av erfaringene med en utprøving av ordningen finner det ønskelig å etablere et mer permanent og generelt system med utpeking av dataansvarlige, vil det kunne være behov for mer konkret å regulere de dataansvarliges oppgaver og ansvar i loven. Dette er et punkt som det er grunn til å feste særskilt oppmerksomhet ved i forbindelse med etterkontroll av loven, jf punkt 15.3 i proposisjonen.
6.6 Konsesjonsplikt
6.6.1 Innledning
Som det er redegjort for under punkt 6.2 har vi i dag en omfattende konsesjonsplikt, jf pregl § 9. Det er gjort en rekke unntak fra konsesjonsplikten i forskrifts form. Konsesjonsbehandlingen er dessuten i stor utstrekning standardisert gjennom bruk av type- og rammekonsesjoner.
6.6.2 Utvalgets forslag
På s 81 i utredningen drøfter utvalget fordeler og ulemper ved en konsesjonsordning. Utvalget uttaler blant annet:
«Ved at det kreves en tillatelse før behandlingen av personopplysninger kan finne sted, sikres man for det første - i motsetning til kontroll ved eget tiltak - at saken presenteres for tilsynsmyndigheten. For det andre kan konsesjonsbehandling føre til en grundig individuell vurdering av om konsesjon skal gis eller ikke. Dette avhenger av i hvilken grad konsesjonsbehandlingen er standardisert, og vil som regel forutsette at konsesjonsplikten ikke er for omfattende (jf dagens ordning med omfattende konsesjonsplikt og relativt utbredt bruk av rammekonsesjoner). Ettersom vurderingen av behandlingen skjer før behandlingen finner sted, hindres det at det oppstår skade eller andre uheldige virkninger som senere må repareres. Dette vil være kostnadsbesparende. Ved at det kan stilles vilkår i konsesjonen, gis også tilsynsmyndigheten mulighet til en fleksibel og smidig regulering. Datatilsynet har dessuten gjennom en årrekke ervervet betydelig erfaring om bruk av konsesjoner, og det er hensiktsmessig at disse erfaringene kommer til nytte også i tiden fremover.
På den annen side kan en konsesjonsordning være forbundet med klare ulemper. For det første kan ordningen binde opp arbeidskapasitet, slik at det blir for få ressurser til andre reguleringsformer, som for eksempel rådgivning og annen kontroll. For det andre tar konsesjonsbehandling relativt lang tid, noe som kan virke frustrerende for søkerne og fremstå som unødig omstendelig. Dette kan få uheldige samfunnsmessige konsekvenser.»
Utvalget konkluderer med at konsesjonsplikten bør begrenses til de tilfellene der hensynet til personvernet gjør det sterkt ønskelig med en grundig forhåndsvurdering av personvernkonsekvensene av en planlagt behandling. Det er derfor de behandlingene som typisk kan forventes å utgjøre en særlig stor trussel for personvernet som etter utvalgets syn bør underlegges konsesjonsplikt. Utvalget foreslår på denne bakgrunn at det kreves konsesjon for behandling av personopplysninger som kan karakteriseres som sensitive og som kan munne ut i en avgjørelse som er bestemmende for bestemte personers rettigheter eller plikter, jf § 33 i utvalgets lovutkast. Konsesjonsplikten forutsettes å omfatte elektronisk behandling av slike opplysninger og manuell behandling når opplysningene inngår i et personregister.
På s 82 - 83 i utredningen drøfter utvalget forholdet til forskning. Ved registerforskning vil det ofte være spørsmål om å koble (samkjøre) to eller flere registre. Ved forskningsprosjekter som forutsetter aktiv deltakelse fra personer, vil det ofte reise seg ulike spørsmål knyttet til respondentenes samtykke. Etter de kriteriene som utvalget foreslår for konsesjons/meldeplikt, vil de fleste forskningsprosjekter være meldepliktige. Etter utvalgets oppfatning vil det ved noen forskningsprosjektene være behov for en vurdering av prosjektet også før detsettes i gang, blant annet for å foreta en avveining av hvilke krav det skal stilles til samtykkeerklæringen fra de personene som det skal forskes på. I og med at forskningen selv har etablert rutiner for at slik forhåndsvurdering blir foretatt, gjennom behandling i Datafaglig sekretariat, Den nasjonale etiske komité for samfunnsfag og humaniora, Den nasjonale etiske komité for medisin og Den nasjonale etiske komité for naturvitenskap og teknologi, ser imidlertid ikke utvalget noe behov for at Datatilsynet vurderer de samme spørsmålene. Utvalget vurderer derfor en meldeplikt som tilfredsstillende også for behandling av personopplysninger i forbindelse med forskning.
Utvalget går inn for at personregistre i offentlig virksomhet som er opprettet ved egen lov, skal undergis de samme reglene for konsesjons- og meldeplikt som behandlinger i privat sektor. I dag er disse registrene unntatt fra konsesjonsplikt i medhold av personregisterloven § 41. På s 83 i utredningen uttaler utvalget:
«Konsesjon- eller meldeplikt (eventuelt forenklet behandling, se merknadene til § 31) vil gi Datatilsynet den ønskelige oversikt over hvilke behandlinger som foretas innen offentlig forvaltning, slik at de kan utøve sin kontroll også her. Dette kan dessuten bidra til å høyne bevissthetsnivået om personvernspørsmål hos den meldepliktige ved at man må vurdere og redegjøre for den hjemmelen man har til å registrere personopplysninger. Videre etableres det en kontakt mellom den registeransvarlige og Datatilsynet og man sikrer offentlighet med hensyn til de personregistrene som opprettes med hjemmel i lov.»
Når Datatilsynet tar stilling til en konsesjonssøknad, skal det etter personregisterloven § 10 foreta en avveining av personverninteresser mot de interessene som begrunner registeret. Loven har ikke noen nærmere retningslinjer for den vurderingen som må foretas, men Datatilsynet legger gjennom sin praksis visse føringer på fremtidige avgjørelser. Utvalget vurderer i utredningen om man bør presisere nærmere i loven når konsesjon skal gis, men konkluderer med at dette neppe er hensiktsmessig. Om dette heter på s 84 i utredningen:
«Ettersom konsesjon i henhold til utvalgets forslag skal reserveres for de tvilsomme og særlig viktige tilfellene, vil avgjørelsen av om konsesjon skal tildeles jevnt over by på vanskeligere og mer kompliserte avgjørelser enn i dag. Dette gjør det meget vanskelig å utforme tilfredsstillende detaljerte generelle regler for hvordan konsesjonsspørsmålet skal bedømmes. Utvalget foreslår at bestemmelsen i personregisterloven § 10 videreføres slik at vurderingen av om konsesjon skal gis fortsatt baseres på en bred interesseavveining.»
6.6.3 Høringsinstansenes syn
Blant høringsinstansene tar Den norske Advokatforening og Norges Forsikringsforbundtil orde for å avskaffe konsesjonsordningen helt og holdent. Advokatforeningen mener det er vanskelig å finne frem til hensiktsmessige og praktikable avgrensningskriterier for konsesjonsplikten på et område som i så stor grad gjennomgår en akselererende utvikling. Foreningen peker også på at konsesjonsplikten binder opp relativt betydelige ressurser hos Datatilsynet. Norges Forsikringsforbund uttaler at beskyttelsen av den behandlingsansvarliges bruk av sensitive personopplysninger er så godt utbygd ellers i lovforslaget at det ikke ser behov for konsesjonsplikt for sensitive opplysninger. De viser også til at man i den svenske utredningen om ny personopplysningslov (SOU 1997: 39 s 418-419) har lagt opp til en avvikling av konsesjonsordningen.
LOog Yrkesorganisasjonenes Sentralforbund uttrykker generell skepsis mot utvalgets forslag til avgrensning av konsesjonsplikten. I uttalelsen fra LO heter det blant annet:
«Vi er imidlertid skeptiske til at nåværende konsesjonsplikt i så stor grad skal erstattes av meldeplikt. Når forslaget til ny lovtekst om konsesjonsplikt, begrenses til å omfatte behandling av sensitive personopplysninger med formål å treffe enkeltavgjørelser som er av stor betydning for den enkelte, har vi å gjøre med subjektive størrelser. Dersom Datatilsynet skal gå fra å gi konsesjoner til å drive rådgivning og etterkontroll, vil en slik regel medføre at konsekvensen for den registrerte vil inntreffe før belysning av hvilken definisjon som skal legges til grunn for vurdering av størrelsen på konsekvensen. En presisering er nødvendig.....
På denne bakgrunn vil LO be departementet grundig vurdere en større grad av siling av hvilke typer personopplysninger som skal være underlagt konsesjonsplikt heller enn meldeplikt. Likeledes ber vi om at begreper knyttet til vurderingen av lovligheten av behandlingen/utløsning av konsesjons- eller meldeplikt formuleres som mest mulig objektive størrelser.»
Yrkesorganisasjonenes Sentralforbund mener at det fortsatt bør legges opp til konsesjonsbehandling for registre fra private aktører.
Også enkelte andre instanser mener at den foreslåtte konsesjonsordningen på enkelte punkter er for snever. Datatilsynet, Den norske Dataforeningog Forbrukerombudet reiser spørsmål om det ikke også bør være adgang til å kreve konsesjon for visse typer behandlinger av personopplysninger som ikke er av sensitiv karakter, men hvor særlige forhold tilsier en forhåndskontroll. Om dette heter det blant annet i uttalelsen fra Datatilsynet:
«Forslaget stiller krav om at det må dreie seg om sensitive data. Et typisk trekk ved utviklingen er stadig større mengder data som registreres. Store mengder ikke-sensitive data vil ofte kunne utgjøre en vel så stor trussel mot personvernet som sensitive data, særlig tatt i betraktning at det sjelden er taushetsplikt knyttet til denne type data. Et eksempel på dette er kortsystemer som registrerer alle dagligvarekjøp som gjøres. I tillegg vil f eks registrering av økonomiske data eller data om folks lesevaner kunne virke krenkende på den enkeltes integritet..»
Den norske Dataforeninguttaler at det er gode grunner for å opprettholde konsesjonsplikt i tilfeller der store mengder personopplysninger som i utgangspunktet kan være trivielle, kobles eller sammenstilles for å betjene nye formål, særlig med henblikk på kontroll av de registrerte. Skattedirektoratetmener at den foreslåtte avgrensningen av konsesjonsplikten bør utvides til også å omfatte behandlinger hvor det er viktig å sikre opplysningskvalitet.
Datatilsynethar også innvendinger mot at konsesjonsplikten faller bort for forskningsregistre, og mener det er viktig at Datatilsynet på dette området gis adgang til å slå de etiske prinsippene fast gjennom vilkårslæren slik situasjonen er i dag. Norges forskningsrådog Det norske universitetsrådpeker på at man med utvalgets forslag legger et økt ansvar på forskerne og deres forskningsetiske komitéer, men konkluderer med at den modellen vi allerede har for å ivareta personvernhensyn innen forskningssektoren skulle legge forholdene godt til rette for å erstatte konsesjonsplikten med en meldeplikt kombinert med andre reguleringsformer. Forutsetningen er imidlertid at det formelle samarbeidet mellom Datatilsynet og forskningssektoren videreføres under den nye loven.
Noen høringsinstanser tar også til orde for å gjøre unntak fra konsesjonsplikten på bestemte områder. Forsvarsdepartementetkan ikke se at det er behov for konsesjonsplikt for de registrene som er opprettet ved lov. Det bør være tilstrekkelig med meldeplikt når Stortinget på denne måten har tatt standpunkt til opprettelsen av registeret. Sparebankforeningenuttaler at visse typer av behandlinger av personopplysninger bør fritas for konsesjonsplikt og i stedet underlegges meldeplikt. Den norske Bankforening foreslår at det gjøres tilsvarende unntak som etter gjeldende rett fra konsesjonsplikten for banker og andre finansinstitusjoners behandling av sensitive personopplysninger. Riksarkivaren går inn for å gjøre unntak for offentlige og private saksarkiver, samtidig som man i forskrift setter de vilkår som er nødvendige for å sikre personvernet for disse arkivenes vedkommende. Dette vil være i tråd med forskriften til gjeldende personregisterlov, der det er gjort unntak fra konsesjonsplikten for elektroniske arkiv. Om bakgrunnen for forslaget heter det blant annet i høringsuttalelsen:
«Man må gå ut fra at ethvert organ, offentlig og privat, fra tid til annen mottar og må behandle henvendelse (brev) som inneholder sensitive personopplysninger. Formålet med henvendelsen og behandlingen vil som regel være enkeltavgjørelser i ovennevnte betydning. Dette er noe man må forholde seg til som følge av de henvendelser man får - det er m.a.o. ikke resultat av en bevisst innsamling av opplysninger. Det følger av dette at ethvert organ vil måtte behandle sensitive personopplysninger, og at ethvert saksarkiv vil måtte inneholde slike opplysninger. I det minste har man ingen garanti for at dette ikke skjer som ledd i den ordinære virksomhet organet bedriver. Videre er det vanskelig å tenke seg en noenlunde forsvarlig behandling uten å komme inn under lovens saklige virkeområde (f. eks. ved at arkivsystemet må betraktes som personregister)....
Ethvert saksarkiv, offentlig og privat vil i henhold til ovenstående måtte forventes å være konsesjonspliktig etter § 33. Dette kan umulig være i tråd med utvalgets intensjon om å redusere omfanget av konsesjonsbehandlingen. Utvalget er riktignok til dels oppmerksom på problemet i sin kommentar til § 33, men det virker ikke som man er oppmerksom på hvilket enormt omfang det har.»
6.6.4 Departementets vurdering
Departementet er enig med utvalget og flertallet av høringsinstansene i at det fremdeles er behov for en forhåndskontroll med slike typer behandlinger av personopplysninger som representerer en særlig risiko for personvernet. En slik tilnærming er også i samsvar med EU-direktivet artikkel 20.
Departementet mener at den nærmere utformingen av konsesjonsplikten bør tilfredsstille togrunnkrav. For det første tilsier legalitetsprinsippet at avgrensningen av konsesjonsplikten bør være så klar og entydig som mulig. Behovet for en rettsteknisk praktikabel avgrensning er understreket av flere høringsinstanser. For det andre må det kreves at avgrensningen utformes slik at den reelt sett treffer persondatabehandlinger som utgjør en særlig trussel mot personvernet.
Behandling av sensitive personopplysninger bør være et naturlig utgangspunkt for hva som skal være konsesjonspliktig. Hva som er å anse som sensitive opplysninger, følger av § 2 nr 8 i lovforslaget, som igjen bygger på kriterier som for en stor del vil være kjent og innarbeidet i gjeldende praksis.
Som enkelte høringsinstanser har påpekt, gir utvalgets forslag om ytterligere å innsnevre konsesjonsplikten til behandlinger som har til formål å treffe «enkeltavgjørelser» en avgrensning som kan være vanskelig å praktisere. Det kan være flere grunner til dette. Begrepet enkeltavgjørelse, som er en nyskaping fra utvalgets side, bygger på enkeltvedtaksbegrepet i forvaltningsloven - forvaltningsloven kapittel IV-VI gjelder bare for enkeltvedtak. Det er imidlertid vel kjent at det i mange tilfeller kan være vanskelig å avgjøre om man står overfor et enkeltvedtak. Fordeling av offentlige tjenestetilbud er et av mange eksempler. I forhold til forvaltningsloven er denne usikkerheten til å leve med, fordi forvaltningslovens regler kan anvendes selv om det er usikkert om de gjelder. Analogisk anvendelse av en konsesjonsordning vil derimot ikke kunne gi noen holdbar avklaring av usikkerheten. Når et begrep som tilsvarer enkeltvedtaksbegrepet skal anvendes på privat virksomhet, oppstår ytterligere usikkerhet. Begrepet enkeltvedtak forutsetter at noen (normalt et forvaltningsorgan) harkompetanse til ensidig å treffe et vedtak som retter seg mot andre. Kompetansegrunnlaget er offentlig myndighet. I privat sektor er det derimot hovedsaklig avtaler som er kompetansenormerende. Avtaler forutsetter enighet mellom partene. Et begrep som tilsvarer enkeltvedtaksbegrepet blir derfor vanskelig å anvende når grunnlaget for avgjørelsen bygger på avtale. Departementet går på denne bakgrunn ikke inn for å ta opp begrepet enkeltavgjørelse som kriterium for konsesjonspliktige behandlinger, jf § 33 første ledd i lovforslaget.
Ved å sløyfe forutsetningen om at behandlingen må ha som formål å treffe enkeltavgjørelser, får man en bredere anlagt konsesjonsordning enn det som følger av utvalgets forslag. F eks vil det kreves konsesjon for registrering av helseopplysninger i forbindelse med forskning. Det vil derfor være behov for å gjøre unntak fra konsesjonskravet for behandlinger av sensitive personopplysninger som det ikke er behov for å forhåndskontrollere ut fra et personvernsynspunkt. Som Riksarkivaren peker på, bør det bl a gjøres unntak for enkeltvis og mer tilfeldig behandling av sensitive personopplysninger som følge av at enkeltpersoner uoppfordret henvender seg til den behandlingsansvarlige. Mange virksomheter - både offentlige og private - mottar fra tid til annen henvendelser fra enkeltpersoner som inneholder sensitive personopplysninger om vedkommende. For å kunne besvare eller arkivere henvendelsen, vil det være nødvendig å behandle den i lovforslagets forstand uten at det av den grunn bør være påkrevd å søke om konsesjon. Departementet foreslår derfor et lovbestemt unntak fra konsesjonsplikten for behandling av sensitive personopplysninger som er avgitt uoppfordret, jf § 33 første ledd annet punktum i lovforslaget.
Departementet går også inn for å videreføre bestemmelsen i pregl § 41 som unntar fra konsesjonsplikten de personregistre i offentlig virksomhet som er opprettet ved egen lov, jf § 33 fjerde ledd i lovforslaget. Det synes overflødig med konsesjonsbehandling når Stortinget gjennom lovgivningsprosessen har tatt standpunkt til opprettelsen. Personverninteressene bør for disse registrenes vedkommende kunne varetas under forberedelsen av den aktuelle hjemmelsloven. Men også disse registrene bør være meldepliktige. Gjennom meldingen opprettes det kontakt mellom den behandlingsansvarlige og Datatilsynet, samtidig som registrene inntas i den offentlige fortegnelsen over konsesjoner og meldinger som Datatilsynet skal føre på grunnlag av innmeldte behandlinger i henhold til § 42 tredje ledd nr 1 i lovforslaget.
Øvrige unntak fra hovedregelen om konsesjonsplikt kan mest hensiktsmessig gis i forskrift. Unntakene vil måtte utformes detaljert og konkret. Det vil være naturlig å ta utgangspunkt i de unntakene som finnes i forskriften til personregisterloven når man nærmere tar stilling til hvilke behandlinger som bør unntas fra konsesjonsplikten, jf f eks det nåværende unntaket for føring av personalregistre. Det kan også være aktuelt å kombinere unntak fra konsesjonsplikt med forskriftsregulering av bestemte bransjer eller homogene typer behandlingsansvarlige. En slik løsning vil kunne sikre likebehandling og gi en bedre utnyttelse av Datatilsynets ressurser på områder hvor det i praksis vil være likelydende konsesjoner for en rekke behandlingsansvarlige.
Departementet er enig med de høringsinstanser som har tatt til orde for at det bør være konsesjonsplikt for enkelte behandlinger av personopplysninger som ikke er sensitive, men som kan representere en åpenbar trussel for personvernet. Dette kan f eks gjelde behandling av personopplysninger for ulike kontrollformål eller behandlinger som medfører en sammenkobling av et stort antall personopplysninger om den registrerte. Departementet foreslår derfor i § 33 annet ledd en bestemmelse som gir Datatilsynet adgang til å bestemme at også annen behandling enn den som gjelder sensitive personopplysninger, skal kreve konsesjon dersom den ellers åpenbart vil krenke tungtveiende personverninteresser. Med personverninteresser siktes det til den registrertes interesse i det som stikkordsmessig kan oppsummeres som diskresjon, fullstendighet, innsyn og privatlivets fred og til kollektive personverninteresser som pålitelig elektronisk informasjonsbehandling og et begrenset overvåkingsnivå, jf nærmere s 24 flg i utvalgets utredning.
Det kan i en del tilfeller være nyttig for den behandlingsansvarlige å få avklart på forhånd om en behandlingsmetode vil kreve konsesjon. F eks vil behandlingsansvarlige som utvikler større edb-systemer føle behov for å vite om Datatilsynet vil benytte adgangen til å bestemme at behandlinger av andre personopplysninger enn de sensitive må ha konsesjon. Departementet foreslår derfor en bestemmelse om at den behandlingsansvarlige kan kreve at Datatilsynet tar stilling til om en behandling vil kreve konsesjon, jf nærmere merknadene til § 33 tredje ledd i lovforslaget.
6.7 Rådgivning og kontroll
6.7.1 Innledning
Det følger av pregl §§ 5 og 3 annet ledd at Datatilsynet skal kontrollere om personregisterlovens regler etterleves og at tilsynet skal veilede de som planlegger å opprette personregistre om personvern og datasikring.
6.7.2 Utvalgets forslag
Utvalget går inn for å videreføre dagens regler om rådgivning og kontroll i det nye lovforslaget, og legger til grunn at Datatilsynet vil kunne vie disse oppgavene større oppmerksomhet som følge av at det vil gå med mindre ressurser til konsesjonsbehandling.
6.7.3 Høringsinstansenes syn
Flere høringsinstanser har i forbindelse med sine kommentarer til meldepliktordningen understreket betydningen av at Datatilsynet får frigjort ressurser til rådgivning, informasjon, og kontrollvirksomhet. Også når det gjelder de behandlingsansvarliges arbeid med å gjennomføre tilstrekkelige sikkerhetstiltak, har enkelte høringsinstanser påpekt behovet for veiledning og bistand fra Datatilsynet.
6.7.4 Departementets vurdering
En grunnleggende forutsetning for lovforslaget er at Datatilsynet i større grad enn tidligere skal konsentrere seg om etterfølgende kontrollvirksomhet og om informasjons- og veiledningsarbeid. Disse oppgavene blir helt sentrale når man begrenser konsesjonsordningen til fordel for et system som i utgangspunktet baserer seg på meldeplikt. Som det fremgår av kapittel VIII i lovforslaget, får Datatilsynet utvidet adgang til å gi de behandlingsansvarlige pålegg om å endre eller stanse behandling av personopplysninger som foregår i strid med lovens regler. Påleggene vil kunne følges opp med tvangsmulkt dersom de ikke blir etterlevet.
Med bakgrunn i de meldingene som de behandlingsansvarlige pålegges å sende inn, vil Datatilsynet f eks kunne foreta sektorvise kontroller der tilsynet etter tur plukker ut særlige områder for nærmere gjennomgang og oppfølgning.
6.8 Materielle regler
6.8.1 Innledning
Personregisterloven har i begrenset grad regler om hvordan personopplysninger skal behandles. Slike regler følger i all hovedsak av Datatilsynets konsesjonsvilkår, eller av forskrift for de personregistrene som er fritatt for konsesjonsplikt.
6.8.2 Utvalgets forslag
Utvalget foreslår at man i større grad enn i dag lovfester materielle regler som direkte gir uttrykk for hvordan behandling av personopplysninger bør foregå. Selv om det er begrenset hvor detaljert slike regler kan utformes for å kunne passe for et bredt spekter av virksomheter, mener utvalget at de vil være nyttige. Om dette heter det på s 84 i utredningen:
«Begrunnelsen for dette er flerdelt. Dels kan materielle regler være nyttige hjelpemidler ved fortolkningen av lovens øvrige bestemmelser og dels kan de i større grad enn detaljfokuserte regler påvirke holdninger blant regelbrukerne. I tillegg er det etter utvalgets syn hensiktsmessig å på denne måten synliggjøre internasjonale retningslinjer (som for eksempel FNs og OECDs retningslinjer, se kapittel 9) som ikke på annen måte eksplisitt nedfeller seg i loven. Datatilsynets erfaring gjennom bruk av konsesjoner kan dessuten på denne måten komme til nytte ved at tidligere konsesjonsvilkår i noen grad kan nedfelles i materielle regler i loven.»
De viktigste materielle regler som utvalget foreslår, er krav til saklighet og relevans ved behandling av personopplysninger (§ 7 i utvalgets utkast), vilkår for bruk av personopplysninger til andre formål enn det de opprinnelig var innhentet for (§ 8 i utvalgets utkast) og en nærmere presisering av når man kan behandle sensitive opplysninger (§ 9 i utvalgets utkast) Utvalget foreslår også en egen regel om bruk av fødselsnummer (§ 10 i utvalgets utkast).
Sammenholdt med reglene som utvalget foreslår om innsyn, varsling, retting osv - og som er omhandlet i kapittel 5 i proposisjonen - innebærer utvalgets forslag en regulering som i atskillig større grad enn personregisterloven oppstiller regler for hvordan de behandlingsansvarlige skal håndtere de personopplysningene som samles inn.
6.8.3 Høringsinstansenes syn
Det synes å være generell oppslutning blant høringsinstansene om å lovfeste flere alminnelige regler om hvordan personopplysninger kan eller skal behandles. Det pekes blant annet på at man ved å innta flere materielle regler styrker personverninteressene og bedrer brukervennligheten både for de registrerte og de behandlingsansvarlige.
Den norske Advokatforeningreiser spørsmål om det er enda flere regler fra gjeldende forskrifter og konsesjoner som kan danne utgangspunkt for materielle regler i lovs form.
Datatilsynetgår inn for at man også lovfester en regel om utlevering av personopplysninger.
Flere instanser har hatt kommentarer til utvalgets forslag til regel om når opplysninger kan brukes til et annet formål enn det de opprinnelig var innhentet for (§ 8 i utvalgets lovutkast). Enkelte instanser, som Datatilsynetog Forbrukerombudet, har gitt uttrykk for at bestemmelsen i for stor grad åpner for skjønnsmessige vurderinger og derfor kan bli tøyet for vidt av de behandlingsansvarlige. Norges Forsikringsforbundog Den norske Bankforening har reist spørsmål om bestemmelsen i tilstrekkelig grad åpner for bruk av kundeopplysninger i de sentrale kunderegistrene i bank- og forsikringskonsern. Politiets overvåkingstjeneste er av dem som mener bestemmelsen er for restriktiv i forhold til bruk av personopplysninger i kriminalitetsbekjempende arbeid. Norges forskningsråd, Den nasjonale forskningsetiske komité for samfunnsvitenskap og humaniora (NESH) og Det norske universitetsrådreiser spørsmål om bestemmelsen i større utstrekning bør utformes slik at den uttrykkelig tar hensyn til de særlige behovene som forskningen har. De viser bl a til EU-direktivet artikkel 6 nr 1 b der det presiseres uttrykkelig at gjenbruk av opplysninger for forskningsformål ikke er å anse som uforenlig med de opprinnelige formålene.
Forbrukerrådetuttaler at forbrukerne bør ha krav på informasjon om at opplysningene brukes til annet enn det opprinnelige formålet og ønsker også en generell regel om at man kan reservere seg mot annen bruk av personopplysninger enn den som er opplyst.
6.8.4 Departementets vurdering
Departementet er enig med utvalget i at det bør innføres flere regler i loven som direkte sier noe om hvordan personopplysninger kan brukes. Selv om slike bestemmelser nødvendigvis må utformes nokså generelt og skjønnsmessig, vil det ha en informativ egenverdi å ha dem nedfelt i loven. Ved utarbeiding f eks av bransjevise atferdsnormer vil det være muligheter for å konkretisere reglene nærmere for ulike bransjer eller sektorer i samarbeid med Datatilsynet.
Departementet har merket seg synspunktene fra en del av høringsinstansene om å gi mer utførlige behandlingsregler i lovforslaget. Blant annet på denne bakgrunn foreslår departementet å gå lenger i å utpensle i lovteksten hvilke grunnleggende krav som må stilles til behandlingen av personopplysninger, jf §11 i lovforslaget og merknadene til denne bestemmelsen. Departementet foreslår også en regel som angir vilkårene for når man i det hele tatt kan behandle personopplysninger, jf § 8 i lovforslaget. En slik løsning er i samsvar med EU-direktivet og lovforslagene i de øvrige nordiske land.
Hvilken adgang det bør være til å benytte personopplysninger til andre formål enn det de opprinnelig er innsamlet for er et sentralt og viktig spørsmål. Både EU-direktivet (art 6 nr 1 bokstav b) og Europarådets personvernkonvensjon (art 5 bokstav b) oppstiller som et grunnleggende prinsipp at personopplysninger ikke kan behandles på en måte som er uforenlig med det formålet opplysningene opprinnelig ble innsamlet for. Departementet har forenklet og omformulert utvalgets forslag til regel om når personopplysninger kan brukes til andre formål enn de opprinnelig ble innsamlet for, jf § 8 i utvalgets lovutkast. Dersom en behandlingsansvarlig ønsker å benytte personopplysninger som vedkommende har innhentet til andre og nye formål enn det de opprinnelig er innsamlet for, vil den behandlingsansvarlige i første omgang måtte godtgjøre at den nye bruken fyller kravene til lovlig behandling i § 8, eventuelt også § 9 dersom bruken omfatter sensitive personopplysninger. I tillegg oppstilles det som et særskilt vilkår at det nye formålet ikke må være uforenlig med det formålet som opprinnelig lå til grunn for innsamlingen av personopplysningene, jf § 11 første ledd bokstav c i lovforslaget. Forenlighetskravet vil utgjøre en selvstendig og viktig begrensning bl a for adgangen til å bruke elektroniske spor og til å samkjøre registre eller andre informasjonssamlinger, jf nærmere nedenfor og under merknadene til § 11. For å ivareta hensynet til forskningen foreslår departementet å presisere i lovteksten at gjenbruk av personopplysninger for historiske, statistiske eller vitenskapelige formål ikke anses som uforenlig med de opprinnelige innsamlingsformålene, forutsatt at samfunnets interesse i at gjenbruken finner sted klart overstiger de ulempene som den kan medføre for den registrerte, jf bl a art 6 nr 1 bokstav b i EU-direktivet.
En behandlingsansvarlig som ønsker å bruke innsamlede opplysninger til andre formål enn det de opprinnelig ble innhentet for, må etter departementets forslag innhente samtykke fra den registrerte, eller godtgjøre at bruken faller inn under et av de andre grunnvilkårene i § 8 i lovforslaget. I de tilfellene der behandlingen utelukkende bygger på samtykke fra den registrerte, vil m a o den registrerte kunne reservere seg mot at opplysningene brukes til andre formål enn det de opprinnelig ble innsamlet for. I den grad gjenbruken av de innsamlede opplysningene knytter seg til et av de andre behandlingsgrunnlagene i § 8, vil kravet om forenlighet sette grenser for gjenbruksadgangen.
Som Forbrukerrådet peker på, er det viktig for den registrerte å bli informert om hvilke formål opplysningene om ham eller henne skal brukes til. Det følger av de nye varslingsreglene i §§ 19 og 20 i lovforslaget at den behandlingsansvarlige skal varsle den registrerte om hva som er formålet med å innhente opplysninger om vedkommende, både der opplysningene samles inn fra den registrerte selv og der de hentes inn fra andre. Det skal også opplyses om opplysningene vil bli utlevert til andre. Hvis innsamlede personopplysninger brukes til å utarbeide såkalte personprofiler, følger det av § 21 i lovforslaget at den registrerte også skal varsles om hvilke opplysningstyper som er anvendt og hvor opplysningene er hentet fra.
Hvis ikke opplysningene er belagt med taushetsplikt, avhenger den behandlingsansvarliges adgang til å utlevere personopplysninger til andre av de alminnelige vilkårene for å behandle opplysningene i §§ 8 og 9 i lovforslaget. Det avgjørende vil derfor være om den registrerte samtykker i utlevering, om utleveringen er hjemlet i lov, eller om utleveringen er nødvendig for å oppfylle et av de formålene som de grunnleggende behandlingsreglene oppstiller. Departementet finner det på denne bakgrunn ikke hensiktsmessig å utforme en egen generell regel om utlevering. På enkelte punkter er det imidlertid behov for særlige regler om adgangen til å utlevere personopplysninger, jf § 9 annet ledd om at ideelle sammenslutninger ikke kan utlevere sensitive personopplysninger uten at den registrerte samtykker og § 39 om utlevering av billedopptak gjort ved fjernsynsovervåking. Forholdet til utlevering i medhold av offentlighetslovens regler omtales nærmere i kapittel 12 i proposisjonen.
Lagring og bruk av personopplysninger som den enkelte legger igjen, f eks ved bruk av elektroniske betalingskort, reiser en rekke spørsmål i forhold til personvernet. Ikke minst gjelder dette muligheten for at slike opplysninger senere f eks kan bli brukt som ledd i en generell kartlegging av og kontroll med kortinnehaverens handlinger og disposisjoner. En slik bruk av detaljert informasjon om kjøpe- og dermed forbruksvaner kan oppleves som en krenkelse av personvernet - iallfall dersom det ikke opplyses om bruken. Departementets forslag til generell varslingsregel i § 19 i lovforslaget vil pålegge den som tilbyr betalingskort å informere om betalingsopplysninger vil bli brukt til andre formål enn det som måtte følge direkte av innsamlingen og om hvem opplysningene eventuelt vil bli utlevert til. Gjennom slik informasjon vil den enkelte kunne ta behandlingsformålene med i vurderingen av om han eller hun vil benytte seg av elektronisk handel, eventuelt på hvilke vilkår. Forslaget om å innføre en særlig varslingsplikt for bruk av personprofiler vil i kombinasjon med reglene om sletting av overflødige opplysninger kunne bidra til å redusere en del av den usikkerheten som mange føler at knytter seg til lagringen av personopplysninger, jf §§ 21 og 28 i lovforslaget. Med departementets forslag til mer utførlige behandlingsregler må dessuten bruken av elektroniske spor fylle grunnvilkårene i lovforslagets § 8 for når personopplysninger kan behandles. I tillegg følger det av § 11 at de elektroniske sporene ikke kan brukes til formål som er uforenlige med det formålet som opprinnelig lå til grunn for innsamlingen av opplysningene. Det vil derfor i utgangspunktet ikke være mulig å bruke sporene til formål som kunden ikke var klar over da sporene ble lagt igjen. Det vil også være en naturlig oppgave for Datatilsynet å fortsette sitt arbeid med å informere om at det legges igjen elektroniske spor, slik at de som handler på internett eller vedhjelp av betalingskort kan ta hensyn til dette.
6.9 Internkontroll
6.9.1 Utvalgets forslag
For å understreke det ansvaret som den enkelte behandlingsansvarlige har for å følge lovverket om personvern, foreslår utvalget å innføre regler om internkontroll. Disse reglene vil pålegge både offentlige og private behandlingsansvarlige en plikt til å etablere systematiske tiltak for å påse og dokumentere at såvel personvernlovgivningen som ulike pålegg fra Datatilsynet blir etterlevd. På s 86 i utredningen uttaler utvalget om dette forslaget:
«Etter utvalgets syn vil et slikt system sannsynligvis bidra til å bevisstgjøre de behandlingsansvarlige (de må dokumentere hvilke tiltak som gjennomføres) mht de reglene som gjelder for behandling av personopplysninger. Det vil dessuten gjøre det enklere for Datatilsynet å sile ut de virksomhetene som bør utsettes for ytterligere kontroll, og man vil på den måten oppnå mer effektiv kontroll ved bruk av mindre ressurser.»
6.9.2 Høringsinstansenes syn
Det har ikke kommet innvendinger under høringen mot forslaget om å innføre internkontroll.
Den norske Advokatforening mener at det er behov for å samordne de reglene om interkontroll som gis i tilknytning til personopplysningsloven med andre former for internkontroll, slik at næringslivet kan forholde seg til mer enhetlige og lettere tilgjengelige regler om dette.
6.9.3 Departementets vurdering
Innføring av internkontroll er et viktig virkemiddel for å bevisstgjøre de behandlingsansvarlige og sikre at de forpliktelsene som loven pålegger, blir etterlevd. Dette må ses i sammenheng med de krav som § 13 i lovforslaget stiller til informasjonssikkerhet. Det bør derfor kunne ligge et betydelig potensiale i kravet til internkontroll, særlig dersom oppfølgingen kontrolleres aktivt fra Datatilsynets side.
For gjøre reglene enklere tilgjengelig for næringslivet bør forskriftene om internkontroll så langt som mulig utformes etter mønster av eksisterende internkontrollordninger i medhold av bl a arbeidsmiljølovgivningen, jf internkontrollforskriften 6 desember 1996 nr 1127.
6.10 Bransjevise atferdsnormer
6.10.1 Innledning
I andre land har man positive erfaringer med bruk av retningslinjer for behandling av personopplysninger som virksomheter eller bransjerepresentanter selv utarbeider på frivillig basis og som fungerer som et slags internt reglement. Utvalget ser en rekke fordeler ved bruk av slike atferdsnormer og mener at gode grunner taler for at de også tas i bruk i Norge. Etter artikkel 27 nr 2 i EU-direktivet skal det være anledning til å forelegge forslag til bransjenormer for Datatilsynet til vurdering.
6.10.2 Høringsinstansenes syn
Det er relativt få høringsinstanser som uttrykkelig har kommentert forslaget om å oppfordre til bruk av bransjevise atferdsnormer. I forbindelse med sine kommentarer til omleggingen av konsesjonsordningen påpeker imidlertid enkelte instanser mer generelt at utarbeiding av bransjenormer i samarbeid med Datatilsynet vil være et nyttig supplement til meldeplikten. Statistisk sentralbyråmener at forslaget om bransjevise atferdsnormer vil kunne veie opp for ulempene ved at man ikke lenger har den tryggheten som ligger i at mottakeren har konsesjon. Norsk Markedsanalyseforening viser til gode erfaringer med bransjens etiske regler om personvern.
Forbrukerrådet uttaler at de gjennomgående har gode erfaringer fra samarbeid med bransjer om å utarbeide retningslinjer for reklamasjonshåndtering. For øvrig mener rådet at effekten av bransjenormer vil avhenge av hvor godt bransjen er organisert og hvor stor organisasjonsprosent den har.
Sparebankforeningen, Den norske Bankforeningog Den norske Advokatforeningstiller seg skeptisk til utformingen av bransjevise atferdsnormer. De reiser blant annet spørsmål om hvilken rettslig status slike normer skal ha. Advokatforeningen frykter at en økning av antallet normkategorier som den behandlingsansvarlige må forholde seg til, kan føre til en ansvarspulverisering.
6.10.3 Departementets vurdering
Departementet støtter utvalgets forslag om å oppfordre til bruk av bransjevise atferdsnormer. Slik departementet ser det, er det grunn til å anta at slike atferdsnormer vil være nyttige hjelpemidler for en rekke behandlingsansvarlige. Blant annet vil normene kunne avhjelpe den usikkerhet som enkelte behandlingsansvarlige måtte føle med hensyn til hvilke forholdsregler som de må ta når de skal behandle personopplysninger.
Personopplysningslovens regler skal gjelde for et bredt spekter av samfunnsområder og vil derfor være generelt utformet. Hvordan lovbestemmelsene skal anvendes innenfor ulike bransjer og områder vil det nok være et behov for å få utmeislet nærmere. Som utvalget peker på, vil standardiserte atferdsnormer være et virkemiddel som gir muligheter for en smidig tilpasning. Samtidig vil de kunne åpne for å innføre retningslinjer som går enda lenger i å verne den registrerte enn det loven gjør.
Arbeidet med bransjevise atferdsnormer vil også utgjøre et viktig ledd i samarbeidet mellom brukerne og Datatilsynet og representere en nyttig kanal for tilsynets arbeid med å informere og veilede om personvernspørsmål. Utarbeidingen kan dessuten bidra til en øket bevisstgjøring om personvernspørsmål i de behandlingsansvarliges rekker.
Som både utvalget og flere høringsinstanser peker på, vil bransjenormene være retningslinjer som virksomheter eller bransjeorganisasjoner selv utarbeider på frivillig basis, og som gir uttrykk for bransjens syn på hva som er rimelige krav til behandling av personopplysninger på eget område. Det er naturlig å sammenligne reglene med et internt reglement. Unnlatelse av å følge normene vil kunne bli møtt med reaksjoner fra bransjeorganisasjonene, men vil ikke i seg selv resultere i noen offentligrettslig reaksjon. Normene vil kunne få betydning for forståelsen av rettslige standarder og skjønnsmessige begreper som benyttes i personopplysningsloven. Departementet deler ikke den frykten som enkelte høringsinstanser gir uttrykk for om at man ved å oppfordre til utarbeiding av slike normer vil skape en uklarhet som fører til ansvarspulverisering.
Som eksempel på et område der bransjenormer kan være et nyttig virkemiddel kan nevnes elektronisk handel. Ved elektronisk handel og forretningsdrift får man stadig nye muligheter til å skape et sterkere og bedre personvern, bl a fordi brukerne direkte kan gjøres oppmerksom på personvernspørsmål. Som ledd i slike bransjenormer kan man bl a understreke at alle nettsteder bør informere om sin personvernpolicy; for de meldepliktige behandlingene, men også generelt hva som er virksomhetens policy på området. Den lovbestemte informasjonsplikten vil inngå i en slik informasjon, men også annen relevant informasjon kan tas med.