4 Rettslege utgangspunkt for personvernet og personopplysningsvernet
4.1 Innleiing: Retten til sjølv å bestemme over eigne personopplysningar
Personvern og respekten for fred i privatlivet har lange tradisjonar i Noreg og i dei internasjonale menneskerettskonvensjonane. Personvernet omfattar vern av personleg integritet, autonomi og fred i privatlivet.
Ei praktisk viktig side av personvernet er personopplysningsvernet. Personopplysningsvern handlar om retten til å råde over eigne personopplysningar, altså opplysningar og vurderingar som er knytte til ein enkeltperson. Personopplysningsvernet gjev den enkelte høve til sjølv å kontrollere når og korleis informasjon om eigen person blir spreidd til andre, og kor mykje som blir spreidd. Generelle reglar om handsaming av personopplysningar er å finne i personopplysningslova.
4.2 Grunnlova, Den europeiske menneskerettskonvensjonen (EMK) og personvernforordninga
Grunnlova § 102 første ledd første punktum slår fast at «[a]lle har rett til respekt for privatlivet og familielivet sitt, for heimen sin og kommunikasjonen sin». Føresegna synest å føre med seg ein individuell og materiell rett til privatliv (psykisk integritet). Andre ledd slår fast at «[d]ei statlege styresmaktene skal sikre eit vern om den personlege integriteten», og omfattar, i motsetning til første ledd, også den fysiske integriteten. Føresegna var ny ved grunnlovsreforma i 2014. Når ein skal avgjere om ei lov som grip inn i privat- og familielivet, heimen, personleg kommunikasjon eller den personlege integriteten, er i samsvar med § 102, må ein vurdere om lova tek opp eit legitimt føremål og er rimeleg.
Den europeiske menneskerettskonvensjonen (EMK) artikkel 8 vernar også om den retten borgarane har til respekt for privatlivet. EMK set grenser for kva lovgjevaren kan vedta. Sjølv om eit kontrolltiltak skulle representere eit inngrep i privatlivet, er det likevel ikkje i strid med konvensjonen dersom inngrepet har heimel i lov, har eit relevant føremål og er nødvendig i eit demokratisk samfunn.
Lovforslaga her gjev forholdsvis vide heimlar for å hente inn, bruke og kontrollere personopplysningar, men departementet meiner likevel at forslaga ligg godt innanfor rammene av Grunnlova § 102 og EMK artikkel 8. Begge føresegnene krev samsvar mellom kontrolltiltaka og føremålet. Departementet viser til dei kontinuerlege vurderingane av dei konkrete forslaga. Departementet meiner at dei føreslåtte heimlane ikkje går lenger enn det som er nødvendig, slik at det med andre ord er eit rimeleg samsvar mellom mål og middel.
Personvernforordninga i EU blei vedteken i april 2016 og gjeld i medlemsstatane i EU frå 25. mai 2018. Forordninga skal gjennomførast i norsk rett. Forordninga vil ikkje føre til endringar i dei grunnleggjande prinsippa i personvernretten, og ein reknar ikkje med at ho vil få vesentlege konsekvensar for lovforslaget.
4.3 Nokre sentrale personopplysningsomgrep
Opplysningar og vurderingar som gjeld ein enkeltperson, er personopplysningar. Dette følgjer av personopplysningslova § 2 nr. 1. Opplysningar om bustaden, inntekta, formuen, buutgiftene og husstandsmedlemmene til ein person er døme på personopplysningar. Opplysningar om helseforhold er definert som sensitivepersonopplysningar, jf. personopplysningslova § 2 nr. 8 bokstav c. Uttrykket «helseforhold» omfattar opplysningar om den tidlegare, noverande og framtidige fysiske eller psykiske tilstanden til ein person, inkludert opplysningar om medisin- og narkotikamisbruk. Også opplysningar om sosiale forhold kan kome inn under «helseforhold» dersom dei sosiale forholda påverkar helsa. Spørsmålet om tilknytinga mellom sosiale forhold og helse er så sterk at opplysninga skal definerast som ei opplysning om helseforhold, må vurderast konkret, jf. Ot.prp. nr. 92 (1998–99) Om lov om behandling av personopplysninger (personopplysningsloven).
Handsaming av personopplysningar omfattar all bruk av personopplysningar, til dømes «innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter», jf. personopplysningslova § 2 nr. 2. Føresegna er nokså breitt utforma og omfattar eit spekter av ulike måtar å nytte personopplysningar på. § 3 i lova, som handlar om sakleg verkeområde, set likevel opp nokre avgrensingar. For å vurdere om det er snakk om handsaming, skal ein ta utgangspunkt i føremålet med handsaminga, inkludert kvifor handsaminga skjer, og kva ein søkjer å oppnå med handsaminga. Manuell handsaming av personopplysningar som ikkje skal inngå i eit personregister, fell utanfor verkeområdet.
Den handsamingsansvarlege er «den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes», jf. personopplysningsloven § 2 nr. 4. Dette kan til dømes vere den øvste leiaren i ei verksemd eller i ein organisasjon. Den handsamingsansvarlege er pliktsubjektet, i den tydinga at det er denne personen som skal sørgje for å halde krava i lova, og som kan bli straffa for brot på lova, jf. § 48.
Personopplysningslova § 2 nr. 5 definerer datahandsamaren som «den som behandler personopplysninger på vegne av den behandlingsansvarlige». Både juridiske og fysiske personar kan ha rolla som datahandsamar, og det kan vere ein intern eller ekstern aktør. Forholdet mellom den handsamingsansvarlege og datahandsamaren skal vere regulert i ein datahandsamaravtale. Den handsamingsansvarlege skal halde oppsyn med datahandsamaren og kontrollere at handsaminga av personopplysningane er i tråd med lovreglane og avtalen mellom partane.
Personopplysningar kan berre «handsamast» dersom det finst eit handsamingsgrunnlag, jf. personopplysningslova § 8. Handsamingsgrunnlag kan ifølgje føresegna vere lovheimel, samtykke frå den registrerte eller at handsaminga er «nødvendig» for visse føremål som er lista opp i § 8, til dømes for å utøve offentleg styresmakt. Dei ulike handsamingsgrunnlaga er likeverdige. Det gjeld strengare vilkår for når ein kan handsame sensitive personopplysningar, jf. personopplysningslova § 9.
4.4 Forholdet mellom husbanklova og personopplysningslova
Personopplysningslova § 5 regulerer forholdet til andre lover. Det går fram av føresegna at reglane i lova ikkje gjeld for handsaming av personopplysningar dersom anna følgjer av ei særskild lov som regulerer handsamingsmåten. Det er altså høve til å gje avvikande reglar, men føresegnene i personopplysningslova gjeld så sant ikkje anna følgjer av den særskilde lova. Det vil mellom anna seie at ein framleis skal leggje til grunn krava til informasjonstryggleik m.m. i personopplysningslova.
Personopplysningslova § 11 stiller opp fem vilkår, som alle må vere oppfylte for at handsaminga kan seiast å vere i samsvar med lova. Bokstav a pålegg den handsamingsansvarlege å sørgje for at personopplysningar berre blir handsama når det finst handsamingsgrunnlag etter §§ 8 og 9. Bokstav b understrekar at personopplysningar berre kan brukast til uttrykkjeleg nemnde føremål. Vidare avgrensar bokstav c moglegheita til å bruke allereie innsamla personopplysningar til føremål som ikkje er i samsvar med det opphavlege innsamlingsføremålet. Bokstav d pålegg den handsamingsansvarlege å sørgje for at personopplysningar som blir handsama, er tilstrekkelege og relevante for føremålet med handsaminga. I bokstav e har den handsamingsansvarlege plikt til å sørgje for at opplysningane er korrekte og oppdaterte, og at dei ikkje blir lagra lenger enn det som er nødvendig ut frå handsamingsføremålet. Departementet meiner at forslaga her er i samsvar med desse grunnprinsippa.