5 Behandling av personopplysninger
5.1 Gjeldende rett
5.1.1 Innledning
Behandling av personopplysninger kan være nødvendig for flere oppgaver etter loven, blant annet for varslings- og tilsynsplikt, og for sikkerhetstiltak som den enkelte tilbyderen skal iverksette. Disse oppgavene kan nødvendiggjøre behandling av personopplysninger, blant annet ved innhenting og formidling av informasjon i forbindelse med en hendelse og ved tilsyn fra tilsynsmyndigheten. Det er ikke alltid disse oppgavene i utgangspunktet dreier seg om behandling av personopplysninger, men personopplysninger kan inngå i informasjonsgrunnlaget det er nødvendig å behandle ved utførelsen av oppgavene. Eksempelvis kan det ved varsling av en hendelse inngå personopplysninger i informasjonen den rammede tilbyderen oversender til det organ som er utpekt til å motta varsel. Mottak og behandling av varsler kan for eksempel inneholde personopplysninger i form av IP-adresser knyttet til digitale sikkerhetshendelser, personell som er berørt av hendelsen eller innhold som eventuelt er blitt kompromittert av hendelsen.
Etter lovforslaget skal tilbyderne iverksette «hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak», jf. §§ 7 andre ledd og 10 andre ledd. Ettersom det er opp til den enkelte tilbyderen å vurdere hvilke tiltak som bør iverksettes, er det ikke mulig å angi nærmere når det i den forbindelse vil være nødvendig å behandle personopplysninger, og heller ikke hvilke personopplysninger som vil behandles. Enkelte eksempler på sikkerhetstiltak som kan innebære behandling av personopplysninger om ansatte i virksomheten eller personer som kommuniserer eller benytter tilbyderens tjenester kan imidlertid nevnes, så som tilgangskontroll, kontrollert dataflyt, beskyttelse av data i ro og transitt, beskyttelse av e-post og sikkerhetsovervåking.
5.1.2 Personvernforordningen og personopplysningsloven
Det stilles krav til behandling av personopplysninger i personvernforordning (EU) 2016/679 og personopplysningsloven av 20. juli 2018, som gjennomfører personvernforordningen i norsk rett.
Personvernforordningen artikkel 5 nr. 1 angir grunnleggende prinsipper for behandling av personopplysninger. Prinsippene er lovlighet, rettferdighet og åpenhet, jf. bokstav a til f om formålsbegrensning, dataminimering, riktighet, lagringsbegrensning, integritet og konfidensialitet.
Etter personvernforordningen artikkel 6 nr. 1 må det foreligge et behandlingsgrunnlag for at behandling av personopplysninger skal være lovlig, og i bokstav a til f angis mulige grunnlag. For behandling på grunnlag av artikkel 6 nr. 1 bokstav c og e kreves det etter artikkel 6 nr. 3 at grunnlaget for behandlingen fastsettes «i unionsretten eller medlemsstatens nasjonale rett som den behandlingsansvarlige er underlagt». Det må etter disse behandlingsgrunnlagene foreligge et såkalt supplerende rettsgrunnlag for behandlingen.
I artikkel 9 nr. 1 oppstilles det et utgangspunkt om at behandling av særlige kategorier av personopplysninger er forbudt. I artikkel 9 nr. 1 listes følgende opplysninger: «personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering». Unntak fra dette utgangspunktet følger av artikkel 9 nr. 2 bokstav a til j. For behandling av særlige kategorier personopplysninger må det foreligge et behandlingsgrunnlag etter artikkel 6 nr. 1, jf. fortalepunkt 51. I tillegg må grunnlaget for behandlingen følge av unionsretten eller medlemsstatenes nasjonale rett. Det må med andre ord foreligge et supplerende rettsgrunnlag for behandlingen.
Behandling av personopplysninger om straffedommer og lovovertredelser reguleres i personvernforordningen artikkel 10. Det fremgår av artikkel 10 at behandling av slike opplysninger «på grunnlag av artikkel 6 nr. 1» bare skal utføres «under en offentlig myndighets kontroll» eller dersom behandlingen er «tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter». Dersom behandlingen ikke utføres under en offentlig myndighets kontroll må det altså foreligge et supplerende rettsgrunnlag for behandling av personopplysninger etter artikkel 10.
Personvernforordningen artikkel 5 nr. 1 bokstav b bestemmer at personopplysningene skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål. Videre slår bestemmelsen fast at opplysningene ikke må viderebehandles på en måte som er uforenlig med disse formålene. Behandling av opplysninger til et formål som ikke er forenlig med det opprinnelige formålet, er dermed i utgangspunktet forbudt. Dette omtales som prinsippet om «formålsbegrensning». For innhenting av opplysninger som allerede er samlet inn for uforenlige formål, eller utlevering av opplysninger som er samlet inn i medhold av bestemmelsen, til uforenlige formål, kreves et særskilt viderebehandlingsgrunnlag som oppfyller kravene i artikkel 6 nr. 4.
5.1.3 Grunnloven og internasjonale forpliktelser
Vernet av privatlivet etter Grunnloven § 102, den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8, FNs konvensjon om sivile og politiske rettigheter (SP) artikkel 17 og Europarådets personvernkonvensjon setter skranker for behandling av personopplysninger. I tillegg stiller legalitetsprinsippet krav ved myndighetenes inngrep overfor den enkelte, jf. Grunnloven § 113.
Grunnloven § 102 lyder:
«Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet».
I Prop. 56 LS (2017–2018) i punkt 6.4, har Justis- og beredskapsdepartementet redegjort nærmere for krav om rettsgrunnlag etter Grunnloven:
«Bestemmelsen kom inn i Grunnloven som ledd i grunnlovsreformen i 2014. Komiteen ga i Innst.186 S (2013–2014) punkt 2.1.9 side 27 uttrykk for at bestemmelsen «skal leses som at systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke og slettes når formålet ikke lenger er til stede».
Grunnloven § 102 gir ikke anvisning på noen adgang til eller vilkår for å gjøre inngrep i rettigheten. Høyesterett har imidlertid lagt til grunn at det kan gjøres inngrep i retten etter Grunnloven § 102 dersom tiltaket har en tilstrekkelig hjemmel, forfølger et legitimt formål og er forholdsmessig, se Rt-2014-1105 avsnitt 28 og Rt-2015-93 avsnitt 60.»
EMK artikkel 8 lyder:
«1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter».
I Prop. 56 LS (2017–2018) har Justis- og beredskapsdepartementet uttalt følgende om krav om rettsgrunnlag for behandling av personopplysninger etter EMK artikkel 8:
«Grunnloven § 102 har klare likhetstrekk med EMK artikkel 8, og må tolkes i lys av denne, jf. Rt-2015-93 avsnitt 57. Det er etter departementets vurdering ikke holdepunkter for at Grunnloven § 102 stiller strengere krav enn EMK artikkel 8 om rettsgrunnlag for behandling av personopplysninger. Ved siden av Grunnloven § 102 må også legalitetsprinsippet, jf. Grunnloven § 113, tas i betraktning. Det følger av Grunnloven § 113 at «[m]yndighetenes inngrep overfor den enkelte må ha grunnlag i lov».
[…]
Hva som er tilstrekkelig rettsgrunnlag for inngrep, beror på en konkret vurdering, blant annet av hvor inngripende behandlingen er. Etter departementets syn er det imidlertid ikke holdepunkter i EMDs praksis for at det gjelder et unntaksfritt krav om uttrykkelig hjemmel i særlovgivning for behandling av personopplysninger. Departementet legger til grunn at forordningen artikkel 6 nr. 1 bokstav a, b, d og f i seg selv etter omstendighetene kan være tilstrekkelige lovhjemler. Også forordningen artikkel 6 nr. 1 bokstav c og e i kombinasjon med et supplerende rettslig grunnlag som oppfyller kravene etter ordlyden i nr. 3, kan være tilstrekkelig. Videre vil forordningens generelle regler, eksempelvis om personvernombud, forhåndsdrøftinger, den registrertes rettigheter mv., utgjøre garantier i EMKs forstand.
Samtidig er det ikke tvilsomt at forordningens generelle regler, eventuelt i kombinasjon med et supplerende rettsgrunnlag som bare oppfyller minimumskravene etter ordlyden i artikkel 6 nr. 3, ikke alltid vil gi tilstrekkelig spesifikt rettsgrunnlag eller nødvendige garantier i tråd med Grunnloven og EMK. Det blir da nødvendig å utforme mer spesifikke rettsgrunnlag og ytterligere garantier i nasjonal rett, og det vil i mange tilfeller være nødvendig med uttrykkelig hjemmel i særlovgivning. Forordningen må med andre ord tolkes og anvendes i lys av Grunnloven og EMK.
Som beskrevet nærmere i neste punkt følger det av forordningen artikkel 6 nr. 2 og 3 at det i tilknytning til et supplerende rettsgrunnlag for behandling på grunnlag av artikkel 6 nr. 1 bokstav c og e «kan» fastsettes utfyllende og spesifiserende regler om behandlingen. Kravene i Grunnloven og EMK om rettsgrunnlag for inngrep i privatlivet kan etter omstendighetene innebære at det supplerende rettsgrunnlaget må inneholde slike mer spesifikke bestemmelser som artikkel 6 nr. 2 og 3 åpner for. Hva som kreves av det supplerende rettsgrunnlaget, kan ikke besvares generelt, men må avgjøres etter en konkret vurdering.»
5.2 Direktivet
NIS-direktivet artikkel 2 nr. 1 bestemmer at personopplysninger som behandles i henhold til direktivet, skal behandles i samsvar med direktiv 95/46/EF. Direktiv 95/46/EF ble opphevet og erstattet av personvernforordningen ved sistnevntes vedtakelse, jf. personvernforordningen artikkel 94 og fortalepunkt 171. Behandling av personopplysninger i henhold til NIS-direktivet skal i dag dermed skje i overenstemmelse med reglene i personvernforordningen.
5.3 Forslaget i høringsnotatet
I høringsnotatet foreslo departementet at personopplysninger som behandles i henhold til loven skal behandles i samsvar med de til enhver tid gjeldende personopplysningsregler, nå den generelle personvernforordningen. Det ble foreslått en egen lovbestemmelse om at adgangen til å behandle personopplysninger kommer til uttrykk i et forslag til § 6, som også ville omfatte behandling av særlige kategorier av personopplysninger, jf. personvernforordningen artikkel 9 nr. 2 bokstav g.
5.4 Høringsinstansenes syn
Kun et fåtall av høringsinstansene har kommet med merknader til høringsnotatets forslag til § 6 om behandling av personopplysninger. Datatilsynet skriver at de ikke kan se at bestemmelsen er begrunnet og forklart i høringsnotatet, og etterlyser dermed en nærmere redegjørelse for hvordan den tilfredsstiller kravene i personvernforordningen. Videre mener Datatilsynet at bestemmelsens formulering er for lite presis til å fungere som rettslig grunnlag etter personvernforordningen, og skriver at det bør være klare referanser til de bestemmelsene i personvernforordningen som er ment å være grunnlaget for behandlingens lovlighet. Datatilsynet viser til artikkel 6 nr. 1 bokstav f og artikkel 9 nr. 2 bokstav g som aktuelle referanser, og skriver at «[b]egge disse bestemmelsene forutsetter konkrete interesseavveiinger og at det er iverksatt egnede tiltak for å verne de registrertes grunnleggende rettigheter og friheter. Det bør fremgå klart hvilke vurderinger som er gjort av nødvendighet og forholdsmessighet, hvilke momenter som er vektlagt i interesseavveiingen og hvilke tiltak som er iverksatt som vern av grunnleggende rettigheter for de registrerte».
Advokatforeningen mener at lovens § 6 også bør inneholde en spesifikk henvisning til at det også kan behandles personopplysninger som er omfattet av personvernforordningens artikkel 10 om lovovertredelser når det er nødvendig for å utføre pliktene som følger av loven. De peker på relevansen for en slik hjemmel «ettersom behandling av informasjon relatert til IKT og informasjonssikkerhet, herunder særlig sett i lys av varslingsplikt om hendelser, vil kunne innebære behandling av opplysninger om for eksempel hacking som er straffbart etter straffeloven § 201».
5.5 Departementets vurderinger
Etter høringen har departementet konkludert med at det ikke er grunn til å innta en egen bestemmelse om behandling av personopplysninger i loven, men foreslår at nærmere regler om behandling av personopplysninger kan reguleres i forskrift.
Et relevant behandlingsgrunnlag angitt i personvernforordningen er artikkel 6 nr. 1 bokstav c som gir behandlingsgrunnlag dersom og i den grad behandlingen er «nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige». Videre gir artikkel 6 nr. 1 bokstav e behandlingsgrunnlag for behandling av personopplysninger dersom og i den grad behandlingen er «nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Etter omstendighetene vil også behandlingsgrunnlaget som følger av artikkel 6 nr. 1 bokstav f kunne være relevant. Bokstav f gir behandlingsgrunnlag der behandlingen er «nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn». Etter personvernforordningens fortalepunkt 49 vil behandling av personopplysninger i det omfang som er strengt nødvendig og forholdsmessig for å sikre nettverks- og informasjonssikkerheten utgjøre en berettiget interesse for den berørte behandlingsansvarlige. Offentlige myndigheter kan derimot ikke benytte bokstav f som behandlingsgrunnlag i forbindelse med myndighetsutøvelse, jf. artikkel 6 nr. 1 siste ledd.
Departementet legger til grunn at lovens bestemmelser med tilhørende forskrifter langt på vei vil gi virksomhetene og myndighetene rettsgrunnlag for behandling av personopplysninger der dette er nødvendig etter personvernforordningen artikkel 6 nr. 1, jf. nr. 3 og nr. 4 og artikkel 9 og 10, for eksempel behandling av personopplysninger som er nødvendig i forbindelse med varsling. Etter departementets vurdering er det ikke hensiktsmessig å innta én generell lovbestemmelse om behandling av personopplysninger som skal gjelde både for virksomhetene som pålegges plikter, og for myndighetene etter loven. Det må vurderes konkret om det er nødvendig og forholdsmessig å behandle personopplysninger i det enkelte tilfelle, men det legges til grunn at pliktene etter loven utgjør forholdsmessige tiltak og at den registrertes rettigheter ivaretas blant annet ved at pliktene er avgrenset og ikke primært rettet mot rapportering om enkeltpersoner, jf. vilkårene i artikkel 9 nr. 2 bokstav g. Dersom det blir behov for nærmere regulering av behandling av personopplysninger, for eksempel knyttet til personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, bør dette etter departementets syn inntas i forskrift, ettersom det gjør det mulig å fastsette mer konkrete og spesifikke bestemmelser. Departementet foreslår derfor en hjemmel for forskrifter om behandling av personopplysninger, jf. § 18 bokstav g. Forslaget åpner for at Kongen kan gi forskrift med nærmere bestemmelser om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, adgangen til viderebehandling, utlevering, deling og sletting. Som ledd i et eventuelt forskriftsarbeid kan også behovet for regulering av myndighetens videre bruk av opplysninger som innrapporteres, og forholdet til annet relevant regelverk som regulerer dette, vurderes nærmere.