6 Lovutkastet og personvern
Det går frem av personopplysningsloven § 1 første ledd at loven skal ”beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger”. Etter § 1 andre ledd skal loven bidra til at personopplysninger behandles i samsvar med grunnleggende personvernhensyn, herunder ”behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger”.
Opplysninger som genereres fra varslings- og lokaliseringsteknologi som kan knyttes til en enkeltperson vil være personopplysninger, jf. § 2 nr. 1. Dette vil typisk være informasjon om hvor en person har beveget seg eller befinner seg, som geografiske koordinater eller kartinformasjon. Opplysningene vil ikke være sensitive opplysninger etter personopplysningsloven § 2 nr. 8 bokstav c, da de ikke sier noe om vedkommendes helseforhold. Behandlingen av personopplysninger som genereres fra varslings- og lokaliseringsteknologi vil derfor falle innenfor personopplysningslovens virkeområde, og helseregisterloven kommer ikke til anvendelse.
Det kan likevel forekomme at det også er nødvendig å behandle helseopplysninger i tilknytning til bruk av varslings- og lokaliseringsteknologi. Det kan f. eks. være hvis vedkommende som er utstyrt med slik teknologi lokaliseres og blir funnet skadet. Dokumentasjon av den nødvendige helsehjelp vil følge de alminnelige reglene om journalplikt etter helsepersonelloven § 39. Dette gjelder også annen journalverdig informasjon som eventuelt kan utledes fra bruk av varslings- og lokaliseringsteknologi. Avveiningen av hva som skal føres i journalen når man bruker denne type teknologi, vil være den samme som helsepersonell ellers foretar når de vurderer hva som skal inngå i journalen eller ikke.
Vilkårene for behandling av personopplysninger går frem av § 8. Personopplysninger kan bare behandles dersom den registrerte har samtykket eller det er fastsatt i lov at det er adgang til slik behandling eller det er nødvendig av nærmere angitte grunner. I tilfeller hvor vedkommende har samtykkekompetanse, vil samtykke være det rettslige grunnlaget for behandling av personopplysninger som er nødvendig ved bruk av varslings- og lokaliseringsteknologi. Dette forslaget gjelder imidlertid de tilfeller hvor vedkommende ikke har samtykkekompetanse, hvor det rettslige grunnlaget følger av lovutkastet. Vedtak om bruk av varslings- og lokaliseringsteknologi foreslås hjemlet i lov, og dette må anses som tilstrekkelig hjemmel for å behandle tilhørende personopplysninger.
Personopplysninger må behandles i henhold til grunnkravene i personopplysningsloven § 11. Formålet med behandlingen av personopplysningene må være uttrykkelig angitt og saklig begrunnet i virksomheten, jf. § 11 første ledd bokstav b. Videre må personopplysningene være tilstrekkelige og relevante for formålet, korrekte og oppdaterte og ikke lagres lenger enn det som er nødvendig for formålet, jf. § 11 første ledd bokstav d og e.
Formålet med behandling av personopplysninger som genereres av varslings- og lokaliseringsteknologi er å hindre eller begrense risiko for skade på vedkommende selv. Hensikten er ikke å lagre vedkommendes bevegelser over tid, men å kunne lokalisere vedkommende når det er risiko for skade. Det kan typisk være sist kjente posisjon og hvor vedkommende har vært i forkant av utløsning av f. eks en alarm. Hvis vedkommende som er utstyrt med varslings- og lokaliseringsteknologi kommer trygt tilbake fra en tur, er det ikke nødvendig å lagre vedkommendes lokaliseringsdata fra den turen. Dette innebærer at lagringen av personopplysninger vil være kortvarig med en fortløpende sletteplikt etter hvert som personopplysningene ikke lenger er relevante for formålet, jf. § 28 første ledd. Det kan i tillegg være behov for å kunne lagre vedkommendes bevegelsesmønster over en periode i en kartleggingsfase, men disse må slettes når formålet med kartleggingen er oppnådd.
Det forutsettes at det foretas en konkret vurdering av behovet for lagring av bevegelsesmønster knyttet til formålet med tiltaket. Det er viktig å ha gode tekniske løsninger og gode rutiner for å unngå lagring av overskuddsinformasjon, og ikke minst ha gode sletterutiner for å oppfylle kravene etter personopplysningsloven.
Pliktene etter personopplysningsloven påligger den som er behandlingsansvarlig for personopplysningene etter loven, jf. § 2 nr. 4. Begrepet ”behandlingsansvarlig” tilsvarer begrepet ”databehandlingsansvarlig” som benyttes i helseregisterloven. Behandlingsansvarlig vil være den virksomhet som treffer vedtak om bruk av varslings- og lokaliseringsteknologi. Dette kan f. eks. være en kommune eller et helseforetak. Behandlingsansvarlig kan benytte en databehandler, jf. § 2 nr. 5, som kan være f. eks. en privat tilbyder eller en felles trygghetssentral, men en databehandler kan ikke behandle opplysningene på annen måte enn det som er skriftlig avtalt.
Videre kan vedtaket om å ta i bruk varslings- og lokaliseringsteknologi innebære behandling av helseopplysninger, for eksempel knyttet til vurdering av samtykkekompetanse.