6 Konsesjonsplikt
6.1 Gjeldende rett
Personopplysningsloven §§ 33-35 har regler om konsesjon (forhåndstillatelse) fra Datatilsynet for behandling av personopplysninger.
Personopplysningsloven § 33 regulerer plikten til å søke konsesjon. Som hovedregel oppstår konsesjonsplikt dersom det skal behandles sensitive personopplysninger, jf. første ledd. Behandling av slike opplysninger anses gjennomgående å medføre større risiko for personvernet enn andre typer opplysninger. Det er tilstrekkelig at én opplysningstype er sensitiv for at hele behandlingen krever konsesjon.
For at konsesjonsplikten ikke skal få et for stort omfang gjøres det flere unntak, jf. Ot.prp. nr. 92 (1998-1999) side 128. Det er ikke nødvending å søke konsesjon der opplysningene er avgitt “uoppfordret”, det vil si frivillig og på eget initiativ, jf. personopplysningsloven § 33 første ledd annet punktum. Etter § 33 fjerde ledd gjelder heller ikke konsesjonsplikten for behandling av personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov. Øvrige unntak følger av personopplysningsforskriften §§ 7-13 til 7-27.
Etter § 33 annet ledd kan Datatilsynet kreve konsesjon etter en konkret vurdering. Bestemmelsen gjelder for behandling av ikke-sensitive opplysninger som “åpenbart vil krenke tungtveiende personverninteresser”. Dette er fastsatt eksplisitt for visse former for behandling av personopplysninger i telesektoren, forsikringsbransjen og for banker og finansieringsinstitusjoner, jf. personopplysningsforskriften §§ 7-1 til 7-3. Vilkårene for å bestemme at det skal være konsesjonsplikt er ment å være strenge, jf. Ot.prp. nr. 92 (1998-1999) side 129. Bestemmelsen åpner for at tilsynet fatter enkeltavgjørelser. Det er ikke hjemmel for generelle beslutninger om bestemte sakstyper.
Den behandlingsansvarlige kan etter personopplysningsloven § 33 tredje ledd kreve at Datatilsynet på forhånd tar stilling til spørsmålet om det foreligger konsesjonsplikt eller ikke.
Personopplysningsloven § 34 oppstiller retningslinjer for tilsynets vurderinger av når konsesjon skal gis. Tilsynet skal vurdere eventuelle ulemper behandlingen vil kunne medføre for den registrerte og om problemene kan fjernes ved at det stilles vilkår, jf. § 35.
Datatilsynets forhåndsavgjørelser og konsesjonsvedtak er enkeltvedtak etter forvaltningsloven. Vedtakene kan påklages til Personvernnemda, jf. personopplysningsloven § 42 fjerde ledd.
Personverndirektivet pålegger ikke statene å ha noen konsesjonsordning. Artikkel 20 forutsetter riktignok at visse typer behandlinger som representerer en særlig risiko for personvernet skal forhåndskontrolleres (“prior checking”). Direktivet knytter imidlertid ikke kontrollen til spesielle typer opplysninger og krever heller ikke at kontrollen gjennomføres av tilsynsmyndigheten.
Ved innføringen av personopplysningsloven ble konsesjonsplikten betydelig innskrenket i forhold til den tidligere personregisterloven. Den norske ordningen representerer imidlertid fortsatt en omfattende løsning for kontroll av behandling av personopplysninger. Erfaringer fra Datatilsynet har også vist at dagens konsesjonsordning favner for mye. Tilsynet benytter store ressurser på å forhåndsgodkjenne ulike behandlinger av personopplysninger som ikke nødvendigvis utgjør noen stor personvernmessig utfordring, og har i lengre tid uttrykt ønske om en gjennomgåelse av konsesjonsregelverket.
6.2 Schartum/Bygrave (2006)
6.2.1 Innledning
Utrederne drøfter endringer i konsesjonsreglene i rapporten side 104-125. De understreker innledningsvis at det er en sentral kobling mellom konsesjonsplikten og meldeplikten. Etter deres syn bør et svakt eller ikke-fungerende meldesystem gjøre det mindre aktuelt å redusere omfanget av konsesjonsplikten, og omvendt.
Utrederne mener også at dagens klare kobling mellom konsesjonsplikt og sensitive personopplysninger bør fjernes. Konsesjonsordningen bør etter deres syn i stedet baseres på en kombinasjon av følgende tre teknikker:
konsesjonsplikt for bestemte bransjer eller lignende, angitt i forskrift
konsesjonsplikt på grunnlag av konkret vurdering fra Datatilsynets side
konsesjonsplikt som er styrt av oppfatninger hos sammenslutninger av berørte enkeltpersoner
Utrederne fremsetter to alternative endringsforslag, et radikalt og et moderat. Det fremsettes videre forslag til enkelte øvrige justeringer i regelverket.
6.2.2 Mest vidtgående «radikalt» forslag
Utredernes mest vidtgående forslag går ut på en integrering av melde- og konsesjonsplikten. Utrederne foreslår at det innføres en generell hovedregel om at det skal sendes melding til Datatilsynet ved behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, jf. rapporten side 119-122.
Meldingen til Datatilsynet skal kunne medføre at tilsynet etter en konkret vurdering vedtar at behandlingen også krever konsesjon. I tillegg inneholder forslaget et demokratisk element, ved at registrerte personer eller organisasjoner som representerer personene, kan kreve konsesjonsbehandling på nærmere fastsatte vilkår.
Det mest vidtgående forslaget innebærer videre at den behandlingsansvarlige plikter å varsle personer som vil bli berørt av den planlagte behandlingen om at meldingen sendes Datatilsynet.
6.2.3 Minst vidtgående «moderat» forslag
Utredernes minst vidtgående forslag går ut på at det positivt angis i lov og forskrift hvilke konkrete kategorier behandlinger som medfører konsesjonsplikt, jf. rapporten side 123-125. Etter utredernes syn bør konsesjonsplikten innskrenkes til å gjelde noen få og åpenbare kategorier. Det foreslås imidlertid ingen konkrete kategorier i utredningen.
Utrederne foreslår videre at reglene kombineres med en kompetanse for Datatilsynet til å treffe vedtak om konsesjonsplikt i enkelttilfelle, dersom tungtveiende personverninteresser tilsier det og saken reiser spørsmål av prinsipiell betydning. Bestemmelsen foreslås utformet langs de samme linjer som gjeldende personopplysningsloven § 33 annet ledd.
6.3 Høringsnotatet
Departementet pekte i høringsnotatet på at erfaringer fra Datatilsynet kan tilsi at dagens konsesjonsplikt er for omfattende. Det er ønskelig med større fokus på etterfølgende kontroll og tilsyn, fremfor at Datatilsynet benytter store ressurser på forhåndsgodkjenning av ulike behandlinger av personopplysninger.
Departementet drøftet spørsmålet om Datatilsynets forhåndskontroll kan gjennomføres på annen måte enn gjennom et konsesjonssystem, jf. punkt 6.3.3.1 side 50:
“En nærliggende mulighet er i så fall å koble forhåndskontrollen opp mot meldepliktsordningen. En slik løsning er valgt i den svenske personuppgiftslagen. Etter 36 § skal den behandlingsansvarlige sende melding til tilsynsmyndighetene før en behandling gjennomføres. Etter 37 § gjelder ikke denne meldeplikten dersom den behandlingsansvarlige har personvernombud. For behandlinger som ”innebär särskilda risker för otilbörligt intrång i den personliga integriteten”, og som er nærmere definert ved forskrift, skal det imidlertid etter 41 § senest tre uker før behandlingen starter inngis melding til tilsynsmyndigheten for en forhåndskontroll. Forhåndskontrollen består i at det treffes en avgjørelse av om den aktuelle behandlingen er i tråd med personuppgiftslagen. For denne delen av meldepliktsordningen gjelder ikke unntaket i 37 § om personvernombud.
Etter norsk rett skal en melding inngis senest 30 dager før behandlingen tar til, jf. personopplysningsloven § 31 annet ledd første punktum. Etter mønster av de svenske reglene kunne man for eksempel tenke seg et system der det lempes på denne fristen, for eksempel ved at det blir tilstrekkelig at meldinger som hovedregel sendes Datatilsynet før behandlingen påbegynnes. Unntak kan eventuelt gjøres for behandlinger som krever forhåndskontroll, jf. personverndirektivet artikkel 20 og punkt 6.3.3.2 nedenfor. Her må melding sendes inn og forhåndskontroll foretas før behandlingen kan settes i gang. Personverndirektivet artikkel 20 har ingen regler om hvordan selve forhåndskontrollen skal foregå, men en skriftlig tilbakemelding fra Datatilsynet om handlingens lovlighet, eventuelt supplert med en klagerett, kan være et nærliggende alternativ.“
Departementet uttalte videre at det er nødvendig å gi en snevrere angivelse av de behandlinger som skal forhåndskontrolleres for å oppnå redusert ressursbruk, jf. punkt 6.3.3.2 side 52:
“Det kan for det første være et alternativ å knytte konsesjonsplikt eller annen forhåndskontroll til kun noen utvalgte typer sensitive personopplysninger. For eksempel må det antas at de fleste oppfatter opplysninger om medlemskap i fagforeninger som mindre sensitive enn for eksempel opplysninger om helseforhold.
Et annet alternativ kan være å ta utgangspunkt i bestemte bransjer eller virksomheter, typisk innenfor sektorer som vanligvis har høy frekvens av behandlinger av sensitive opplysninger. Forsikringsbransjen kan her være et eksempel.
En tredje mulighet kan være å begrense konsesjonsplikt eller annen forhåndskontroll til behandlinger som i seg selv kan oppleves som inngripende, eller som har potensial til å være personvernmessig krenkende. Visse typer fjernsynsovervåking, for eksempel på skoler, er behandlinger som kan tenkes å falle i en slik kategori. Det er også mulig å se for seg kombinasjoner av de angitte alternativer.”
6.4 Høringsinstansenes syn
6.4.1 Utredernes mest vidtgående «radikale» forslag
Fornyings-, administrasjons- og kirkedepartementet, Landbruks- og matdepartementet (på vegne av Mattilsynet), Skattedirektoratet, Datatilsynet, Finansnæringens Hovedorganisasjon-Sparebankforeningen og Handels- og Servicenæringens Hovedorganisasjon (HSH) har hatt særskilte merknader til utredernes mest vidtgående forslag. Ingen av høringsinstansene har gitt sin tilslutning til alle elementene i forslaget.
Fornyings-, administrasjons- og kirkedepartementet har bemerket at det er hensiktsmessig å redusere omfanget av konsesjonsplikten. I uttalelsen heter det:
“Vi er enige i at det ikke bør være en ubetinget konsesjonsplikt for all behandling av sensitive personopplysninger. Behandlinger av andre opplysninger kan også representere en betydelig personverntrussel, f.eks. ut fra antall personer det behandles personopplysninger om. En mulig løsning kan være at Datatilsynet, ut fra en vurdering av om behandlingen kan krenke tungtveiende personverninteresser, velger ut innmeldte behandlinger for konsesjonsregulering. De fleste behandlinger som kan tenkes å tilfredsstille dette vilkåret vil trolig inneholde sensitive personopplysninger, men også andre behandlinger kan omfattes av kriteriet.
Det er på den annen side usikkert om det blir tilstrekkelig forutberegnelig både for de behandlingsansvarlige og for de registrerte når Datatilsynet kan kreve konsesjonsregulering etter kriteriene i § 33. Det er viktig når planleggingen av behandlingen igangsettes at de behandlingsansvarlige har en rimelig mulighet til å innrette seg etter om en behandling bare er meldepliktig, eller om den vil utløse konsesjonsplikt.
Vi antar det også vil være viktig for tilsynsmyndigheten at vilkårene for tilsynets konsesjonsbehandling klargjøres i loven. Dette vil trolig redusere antall henvendelser med spørsmål om konsesjonsplikt og anmodning om tilsynets forhåndsuttalelse om mulig konsesjonsplikt. FAD mener § 33 derfor må oppstille flere og klare kriterier for Datatilsynets beslutning om konsesjonsregulering. […] Disse kriteriene vil kunne inngå som elementer i en vurdering av om en behandling kan krenke tungtveiende personverninteresser, men ikke nødvendigvis innebære at behandlingen vi/ krenke slike interesser.”
Skattedirektoratet støtter det mest vidtgående forslaget om at Datatilsynet gis rett til å kreve konsesjonsbehandling etter en konkret vurdering. Skattedirektoratet mener også at det er hensiktsmessig om behandlinger som er konsesjonspliktig angis positivt. Skattedirektoratet deler videre oppfatningen om at enkelte opplysningskategorier som er definert som sensitive ikke nødvendigvis er av en slik art at de i alle tilfeller bør være underlagt konsesjonsbehandling.
Datatilsynet er kritisk til forslaget om at tilsynet gis rett til å kreve konsesjon i enkelttilfelle:
“Datatilsynet vil ikke anbefale departementet å følge opp det radikale forslaget om å gi Datatilsynet en rett til å kreve konsesjonsbehandling i det enkelte tilfellet. En slik løsning vil i så fall innebære at tilsynet må forhåndsvurdere alle innkommende meldinger med tanke på konsesjonsplikt […].
Antallet nye meldinger som registreres i Datatilsynets database hvert år er allerede meget høyt, og vil trolig øke dersom spekteret av meldepliktige behandlinger utvides. […] Skulle alle disse meldingene forhåndsvurderes med tanke på senere konsesjonsbehandling, ville den manuelle sorteringen i seg selv sannsynligvis legge beslag på langt mer omfattende ressurser enn hva selve konsesjonsbehandlingen gjør i dag. Eventuelle gevinster i form av frigjorte ressurser, vil man følgelig måtte se langt etter.”
Ingen av høringsinstansene støtter forslaget om et demokratisk element, der de registrerte på visse vilkår skal ha rett til å kreve konsesjon.
Om dette uttaler Fornyings-, administrasjons- og kirkedepartementet:
“Vi er i tvil om hensiktsmessigheten av det "demokratiske elementet" som foreslås innført gjennom en rett for registrerte personer til å kreve konsesjonsbehandling. En ordning som den som foreslås i lovforslaget § 33a vil, slik vi ser det, kunne åpne for omfattende prosess. […] Videre er det slik at de personvernsaker borgerne engasjerer seg i, ikke nødvendigvis er de sakene som inneholder de største personverntruslene. Det er derfor ikke gitt at "det demokratiske elementet" vil gi den effekten man kunne håpe. Vi tror imidlertid at Datatilsynet, gjennom sin mulighet til å konsesjonsbehandle i medhold av § 33, vil kunne ivareta de relevante hensynene på en god måte.”
Landbruks- og matdepartementet (på vegne av Mattilsynet) mener det samme og uttaler:
“Dersom privatpersoner skal kunne kreve konsesjon vil dette kunne føre til at personer som misliker tilsyn og registreringer av slike opplysninger vil kreve konsesjon. Mattilsynet stiller seg derfor uforstående til at dette i praksis vil føre til ressursbesparelse for Datatilsynet og den konsesjonspliktige, da det er stor sannsynlighet for at behandlingen likevel må konsesjonsbehandles.”
6.4.2 Utredernes minst vidtgående «moderate» forslag
Bare Datatilsynet og Handels- og Servicenæringens Hovedorganisasjon (HSH) har særskilt kommentert utredernes minst vidtgående forslag. Ingen av høringsinstansene støtter forslaget. Datatilsynet uttaler:
“Også dette endringsforslaget innebærer at hovedregelen om konsesjonsplikt ved behandling av sensitive personopplysninger oppheves. I stedet skisseres en løsning som legger opp til at det kreves konsesjon ”for å behandle slike personopplysninger som er omfattet av personopplysningsforskriften kapittel [x.v]".
Det fremgår med andre ord at konsesjonsplikten skal utløses av egenskaper ved personopplysningene, slik som dagens ordning legger opp til. Spørsmålet som melder seg blir igjen hvilke kategorier av personopplysninger som skal underlegges konsesjonsplikten, om ikke nettopp de sensitive, eventuelt i tillegg til spesifikt angitte kategorier, som for eksempel behandles i stor utstrekning i visse bransjer.”
6.4.3 Alternativt forslag fra Datatilsynet
Datatilsynet har i sin høringsuttalelse fremmet et alternativt forslag til endringer i personopplysningsloven. Forslaget oppsummeres slik:
“Datatilsynets konklusjon er at hovedregelen om konsesjonsplikt bør beholdes slik den er, men at det samtidig bør innføres en skjønnsmessig adgang for tilsynet til å dispensere fra konsesjonsplikten. En slik dispensasjonshjemmel kan tilføyes lovens § 33, for eksempel i form av et nytt ledd. Bestemmelsen kan beskrives som en speilvendt variant av dagens annet ledd, som gir tilsynet adgang til å bestemme at behandling av andre opplysninger enn de sensitive, også skal underlegges konsesjonsplikt. På denne måten kan det sikres at konsesjonsplikten (på sikt) bare omfatter "behandlingsformer som typisk lett kan krenke personvernet", slik departementet formulerer det i mandatet til utrederne. Resultatet vil bli at ulempene ved dagens konsesjonsordning elimineres, samtidig som fordelene ved systemet bevares.”
Datatilsynet begrunner forslaget slik:
”Under dagens regime er det […] ikke mulig for Datatilsynet å unnta bestemte behandlinger av personopplysninger fra konsesjonsplikten. Dette medfører at visse behandlinger er underlagt konsesjonsplikt, uten at dette er fornuftig eller ønskelig sett fra noe ståsted. Under en modell som den ovenfor skisserte, kan man beholde koblingen mellom konsesjonsplikt og behandling av sensitive opplysninger, mens enkelte konkrete områder trolig bør angis positivt i tillegg. Som eksempler kan nevnes de bransjer som er underlagt konsesjonsplikt gjennom særskilt bestemmelse i forskrift, det vil si bank-, forsikrings-, kredittopplysnings- og telekommunikasjonsbransjen.
Datatilsynet bevarer på denne måten sin mulighet til å utøve en viss forhåndskontroll, i saker av stor personvernmessig betydning – det vil si der vektige personverninteresser står på spill – samtidig som saker som ikke representerer noen reell fare for personvernet unntas konsesjonsbehandling.
Det avgjørende for Datatilsynet er at de registrertes rettigheter ikke blir skadelidende. Dersom konsesjonsinstituttet innskrenkes, må det iverksettes andre kompenserende tiltak, enten i form av økt etterkontroll eller innføring av nye materielle plikter, hvor en utbygget meldeordning kunne inngå som et element – se imidlertid vår reservasjon over. Slike omfattende regelverksendringer bør imidlertid ikke iverksettes utelukkende for endringens skyld – det bør således, med en viss sannsynlighet, kunne konstateres at det finnes fordeler forbundet med endringene, som veier opp for de ulemper som et nytt regelverk vil kunne ha for den registrerte, den behandlingsansvarlige og rettsanvenderen.”
Om den konkrete utformingen av lovteksten uttaler Datatilsynet:
“Lovgiver bør utstyre lovteksten med standarder eller kriterier som gir nærmere anvisning på hva tilsynet kan legge vekt på i den forbindelse. Tilsynet antar at det vil være formålstjenlig med nokså skjønnsmessige formuleringer, som for eksempel "dersom åpenbare grunner gjør det unødvendig med konsesjonsbehandling".”
6.5 Departementets vurdering
Departementet deler synspunktene i Datatilsynets høringsuttalelse, og har kommet til at tilsynets eget forslag til endringer i personopplysningsloven § 33 i denne omgang er den beste løsning for å oppnå et forbedret konsesjonsinstitutt.
Forslaget vil kunne ivareta de relevante hensyn på forsvarlig vis. Konsesjonsordningen er et styringsinstrument som kommer i tillegg til lovens krav til den behandlingsansvarlige. Ordningen gjør det mulig å stille ekstra krav til behandlinger som kan krenke personvernet. Årsaken til at konsesjonsordningen har blitt noe for omfattende synes imidlertid å være at loven ikke åpner for at tilsynet dispenserer i de tilfellene hvor det er klart at konsesjon ikke er nødvendig. Datatilsynets alternative løsning innsnevrer virkefeltet i tråd med ønsket om å begrense omfanget av konsesjonsplikten.
Datatilsynet forvalter melde- og konsesjonsordningen. Tilsynets erfaringer med dagens system er således en viktig faktor ved valget av løsning. Departementet finner at forslaget vil gi tilsynet et praktisk verktøy i utøvelsen av forhåndskontrollen. Departementet mener videre at en ved å gå inn for Datatilsynets forslag kan oppnå formålet med endringen og samtidig beholde de positive sidene ved dagens system.
Departementet legger til at gode grunner taler for å være tilbakeholden med større endringer i dagens ordning, da det er usikkert om dette faktisk vil innebære en forbedring for dem det gjelder. Ved å innføre en skjønnsmessig adgang til å dispensere fra konsesjonsplikten kan reglene om meldeplikt beholdes uendret.
Departementet går etter dette inn for at det tilføyes et nytt tredje ledd i personopplysningsloven § 33, der Datatilsynet gis muligheten til å gjøre unntak fra kravet til konsesjon når dette fremstår som åpenbart unødvendig. Dette kan for eksempel være aktuelt i saker der det er innhentet aktivt samtykke fra den eller de registrerte. Avgjørelsene vil være enkeltvedtak som kan påklages.
Det tilføyes at ytterligere endringer i konsesjonsreglene, jf. også utredernes forslag, nok vil bli aktuelt på sikt. Departementet mener imidlertid at det er hensiktsmessig å avvente omfattende endringer inntil Datatilsynets eget endringsforslag har virket i noe tid. Mer omfattende endringer i konsesjonsordningen kan best utredes som ledd i en totalrevisjon av personopplysningsloven, jf. det pågående arbeidet i EU omtalt i punkt 3 foran.