4 Grunnloven og EMK
Viderebehandling av personopplysninger kan også utgjøre et inngrep i retten til privatliv etter EMK artikkel 8 og Grunnloven § 102. I slike tilfeller vil viderebehandlingen bare være tillatt dersom den har tilstrekkelig hjemmel, forfølger et legitimt formål og er forholdsmessig. For en generell omtale av disse kravene vises det til punkt 6.4 i Prop. 56 LS (2017–2018). Som det fremgår der, har Grunnloven § 102 klare likhetstrekk med EMK artikkel 8, og må tolkes i lys av denne, jf. Rt. 2015 side 93 avsnitt 57. Det er ikke holdepunkter for at Grunnloven § 102 stiller strengere krav enn EMK artikkel 8 om rettsgrunnlag for behandling av personopplysninger.
I Prop. 56 LS (2017–2018) punkt 6.4 side 34–35 er kravene til rettsgrunnlag for inngrep beskrevet slik:
«Hjemmelskravet («in accordance with the law») innebærer for det første at det er nødvendig med et rettsgrunnlag, noe som gjerne uttrykkes som at inngrepet må ha «sufficient legal basis in domestic law», jf. for eksempel Bernh Larsen Holding AS m.fl. mot Norge 14.3.2013 avsnitt 126. Det følger av EMDs praksis at bestemmelsen ikke oppstiller formelle krav til rettsgrunnlaget, noe som innebærer at både lov, forskrift og uskreven rett mv. kan oppfylle kravet. Det stilles imidlertid krav om at rettsgrunnlaget skal være tilgjengelig og forutberegnelig. Det er kravet om forutberegnelighet som er relevant i denne sammenhengen. I L.H. mot Latvia 29.4.2014 avsnitt 47 er kravet formulert slik:
«Of particular relevance in the present case is the requirement for the impugned measure to have some basis in domestic law, which should be compatible with the rule of law, which, in turn, means that the domestic law must be formulated with sufficient precision and must afford adequate legal protection against arbitrariness. Accordingly the domestic law must indicate with sufficient clarity the scope of discretion conferred on the competent authorities and the manner of its exercise.»
Kravet om tilstrekkelig presisjon og vern mot vilkårlighet kan også innebære et krav om garantier («safeguards»), jf. S. og Marper mot Storbritannia. Saken gjaldt lagring av fingeravtrykk, celleprøver og DNA-profiler, og domstolen uttalte i avsnitt 99:
«The Court agrees with the applicants that at least the first of these purposes is worded in rather general terms and may give rise to extensive interpretation. It reiterates that it is as essential, in this context, as in telephone tapping, secret surveillance and covert intelligence-gathering, to have clear, detailed rules governing the scope and application of measures, as well as minimum safeguards concerning, inter alia, duration, storage, usage, access of third parties, procedures for preserving the integrity and confidentiality of data and procedures for its destruction, thus providing sufficient guarantees against the risk of abuse and arbitrariness.»
Hvilke garantier som er nødvendig, må vurderes i lys av inngrepets art og omfang, se P.G. og J.H. mot Storbritannia 25.9.2001 avsnitt 46. Vurderingen av garantier henger for øvrig tett sammen med proporsjonalitetsvurderingen. I S. and Marper mot Storbritannia fant EMD at det i lys av proporsjonalitetsvurderingen ikke var nødvendig å ta stilling til om lovskravet var oppfylt, jf. avsnitt 99.
Hva som er tilstrekkelig rettsgrunnlag for inngrep, beror på en konkret vurdering, blant annet av hvor inngripende behandlingen er. Etter departementets syn er det imidlertid ikke holdepunkter i EMDs praksis for at det gjelder et unntaksfritt krav om uttrykkelig hjemmel i særlovgivning for behandling av personopplysninger. Departementet legger til grunn at forordningen artikkel 6 nr. 1 bokstav a, b, d og f i seg selv etter omstendighetene kan være tilstrekkelige lovhjemler. Også forordningen artikkel 6 nr. 1 bokstav c og e i kombinasjon med et supplerende rettslig grunnlag som oppfyller kravene etter ordlyden i nr. 3, kan være tilstrekkelig. Videre vil forordningens generelle regler, eksempelvis om personvernombud, forhåndsdrøftinger, den registrertes rettigheter mv., utgjøre garantier i EMKs forstand.»
Det vil ofte gjelde strengere krav til rettsgrunnlag ved viderebehandling av personopplysninger til nye og uforenelige formål enn ved behandling til formålene som opplysningene er samlet inn til, da viderebehandling generelt sett kan anses å være mer inngripende. Dette er også reflektert i de særskilte kravene etter forordningen artikkel 6 nr. 4. Kravene forordningen artikkel 6 nr. 4 stiller til bestemmelser som åpner for viderebehandling for nye, uforenlige formål, må tolkes og anvendes i tråd med EMK artikkel 8 og Grunnloven § 102. Dette gjelder også kravene om at behandlingen må forfølge et legitimt formål og være forholdsmessig, som også fremgår av forordningen artikkel 6 nr. 4.