3 Gjeldende rett
Det følger av personopplysningsloven § 1 at personvernforordningen gjelder som norsk lov. Etter personvernforordningen artikkel 4 nr. 1 er en personopplysning enhver opplysning om en identifisert eller identifiserbar fysisk person.
Prinsippet om formålsbegrensning følger av forordningen artikkel 5 nr. 1 bokstav b, som fastsetter at personopplysninger skal «samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene». Prinsippet om formålsbegrensning bidrar til å sikre at den enkelte har kontroll med hvordan egne personopplysninger blir behandlet, da prinsippet gir forutsigbarhet om hvilke formål opplysninger om en selv vil kunne bli brukt til.
Forordningen artikkel 6 nr. 4 inneholder nærmere bestemmelser om behandling av personopplysninger for andre formål enn det de var innhentet for. Det følger av denne bestemmelsen at viderebehandling for nye, uforenlige formål ikke er tillatt uten et særskilt grunnlag for viderebehandlingen. All form for bruk av personopplysninger til nye formål kan betegnes som viderebehandling, i denne sammenhengen siktes det til viderebehandling i form av utlevering til en annen behandlingsansvarlig.
Artikkel 6 nr. 4 gir anvisning på en ikke-uttømmende liste av momenter som den behandlingsansvarlige skal ta i betraktning i vurderingen av forenlighet. Det skal tas hensyn til enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen (bokstav a), i hvilken sammenheng personopplysningene er blitt samlet inn, særlig med hensyn til forholdet mellom de registrerte og den behandlingsansvarlige (bokstav b), personopplysningenes art, især om særlige kategorier av personopplysninger behandles i henhold til artikkel 9, eller om personopplysninger om straffedommer og lovovertredelser behandles i henhold til artikkel 10 (bokstav c), de mulige konsekvensene av den tiltenkte viderebehandlingen for de registrerte (bokstav d) og om det foreligger nødvendige garantier, som kan omfatte kryptering eller pseudonymisering (bokstav e).
Dersom det nye formålet ikke er forenlig med innsamlingsformålet, kan viderebehandling bare skje dersom den registrerte samtykker til viderebehandlingen, eller dersom det er bestemt i eller i medhold av lov at det er adgang til viderebehandlingen. Samtykket eller loven må tillate at personopplysningene viderebehandles for det nye formålet til tross for at dette er uforenlig med innsamlingsformålet. Det er altså ikke tilstrekkelig å vise til et alminnelig behandlingsgrunnlag for det nye formålet. For å kunne viderebehandle for et uforenlig formål kreves det i tillegg et grunnlag for selve viderebehandlingen. I fortalepunkt 50 i forordningen understrekes det imidlertid at det rettslige grunnlaget for behandling som er fastsatt i unionsretten eller medlemsstatenes nasjonale rett, også kan utgjøre et rettslig grunnlag for viderebehandling.
Dersom den behandlingsansvarlige kun kan vise til et alminnelig behandlingsgrunnlag for det nye formålet, men ikke et særskilt grunnlag for viderebehandling, blir konsekvensen at den behandlingsansvarlige må samle inn personopplysningene på nytt for det nye formålet.
Forordningen artikkel 6 nr. 4 setter skranker for muligheten til å åpne for viderebehandling for uforenlige formål i nasjonal rett. Slike lovbestemmelser må utgjøre «et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1».
Dersom viderebehandlingen skal omfatte særlige kategorier av personopplysninger, vil også artikkel 9 utgjøre en skranke. Artikkel 9 nr. 2 kan stille krav om rettsgrunnlag, forholdsmessighet og at det sikres egnede og særlige tiltak for å verne registrertes grunnleggende rettigheter og interesser, se nærmere i Prop. 56 LS (2017–2018) punkt 7.1.3 om disse kravene.
Det nasjonale grunnlaget for viderebehandling kan følge av de generelle reglene i personopplysningsloven eller regler i særlovgivningen. Det er ikke et vilkår etter forordningen at det må fremgå eksplisitt av bestemmelsen at den åpner for bruk til nye og uforenlige formål i henhold til artikkel 6 nr. 4.
Adgangen til informasjonsutveksling mellom offentlige organer vil i tillegg være begrenset av reglene om taushetsplikt, jf. forvaltningsloven §§ 13 flg. I motsetning til formålsbegrensningen etter forordningen gjelder taushetsplikten uavhengig av om opplysningene skal utveksles for forenlige eller uforenlige formål. Det følger av forvaltningsloven § 13 f annet ledd at bestemmelser i annen lov om rett eller plikt til å gi opplysninger ikke begrenser lovbestemt taushetsplikt med mindre det er fastsatt eller klart forutsatt at taushetsplikten ikke skal gjelde. Det finnes en rekke slike unntaksbestemmelser, for eksempel forvaltningsloven § 13 b første ledd, se i denne sammenheng særlig nr. 4 og 5. Regler om taushetsplikt og om unntak fra denne finnes også en rekke steder i sektorlovgivningen, se for eksempel skatteforvaltningsloven § 3-3, tolloven § 12-1 annet ledd, folketrygdloven § 21-4 og NAV-loven § 7. Slike regler om utveksling av taushetsbelagte opplysninger vil også gjelde taushetsbelagte opplysninger som regnes som personopplysninger. Imidlertid vil ikke alle opplysninger som regnes som personopplysninger, jf. personvernforordningen artikkel 4 nr. 1, nødvendigvis være taushetsbelagte. Personopplysninger omfattes ikke av reglene om taushetsplikt hvis de verken omfattes av kategorien opplysninger om «noens personlige forhold» (fvl. § 13 første ledd nr. 1) eller eventuelle taushetspliktsbestemmelser i særlovgivningen.
Innenfor forvaltningsretten er det taushetsplikten som tradisjonelt er blitt ansett å utgjøre hinderet for å utveksle opplysninger mellom forvaltningsorganene. Som nevnt over vil også personopplysningsregelverket kunne innebære at utveksling av personopplysninger mellom forvaltningsorganer trenger særskilt grunnlag i lov uavhengig av om opplysningene er taushetsbelagte, dersom utvekslingen av opplysninger innebærer viderebruk av personopplysninger til nye og uforenlige formål. Etter departementets syn kan det være nærliggende å forstå bestemmelser som gir grunnlag for utlevering av opplysninger uten hinder av taushetsplikt, for eksempel skatteforvaltningsloven § 3-3, slik at de også kan gi grunnlag for viderebruk av personopplysninger som ikke er taushetsbelagte til nye og uforenlige formål. Nøyaktig hvilke ikke-taushetsbelagte personopplysninger som kan utleveres med hjemmel i slike bestemmelser, vil imidlertid bero på en tolkning av de enkelte bestemmelsene. Også reglene i offentleglova kan gi grunnlag for utlevering av ikke-taushetsbelagte personopplysninger. Det nevnes for ordens skyld at all behandling av personopplysninger – også utlevering – må oppfylle kravet om behandlingsgrunnlag etter forordningen artikkel 6.