8 Behandling av personopplysninger
8.1 Forslaget i høringsnotatet
Høringsforslaget § 4 første ledd inneholdt en bestemmelse om utvalgets grunnlag for å behandle personopplysninger. I høringsnotatet ble det gitt følgende redegjørelse for forslaget:
«Departementet viser til at lovforslaget vil innebære at utvalget vil innhente personopplysninger og i noen tilfeller særlige kategorier av personopplysninger og personopplysninger om straffbare forhold. Verken samtykke eller anonymisering anses som tilstrekkelig for utvalgets innhenting av personopplysninger, jf. punkt 5.1, og departementet legger til grunn at et særskilt grunnlag for behandling av personopplysninger er nødvendig.
Departementet viser til at formålet med utvalgets arbeid er å evaluere myndighetenes håndtering av covid-19-utbruddet og fremme forslag til tiltak som kan bidra til å få en bedre fremtidig beredskap og krisehåndtering. Departementet finner derfor at selv om utvalgets behandling av personopplysninger kan være inngripende, er samfunnsnytten av behandlingen så stor at den begrunner dette.
Departementet går derfor inn for å fastsette en lovbestemmelse som eksplisitt gir utvalget rett til å behandle personopplysninger som er nødvendige for formålet med utvalgets arbeid. Dette skal kunne gjøres uten samtykke fra dem opplysningene gjelder, og også omfatte personopplysninger som nevnt i personvernforordningen artikkel 9 og 10.»
Høringsforslaget § 4 andre ledd inneholdt en bestemmelse som gjør unntak fra innsynsretten i personvernforordningen artikkel 15. I høringsnotatet ble det gitt følgende redegjørelse for forslaget:
«Departementet legger til grunn at det følger av personvernforordningen artikkel 23 nr. 1 bokstav e at nasjonal rett kan begrense rettighetene til den registrerte når en slik begrensning overholder det vesentligste innholdet i de grunnleggende rettighetene og frihetene, og er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre «viktige mål av generell allmenn interesse».
Det foreslås derfor, med grunnlag i personvernforordningen artikkel 23 nr. 1 bokstav e, et unntak fra den registrertes rett til innsyn i personopplysningene om vedkommende etter personvernforordningen artikkel 15. På bakgrunn av at utvalgets arbeid skal foregå innenfor en tidsavgrenset periode, er departementets vurdering at det ikke er hensiktsmessig dersom en for stor del av utvalgets arbeidstid går med til å behandle innsynskrav. Departementet foreslår derfor at denne innsynsretten ikke skal gjelde dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn. Det vises til at tilsvarende unntak gjelder ved behandling av personopplysninger for vitenskapelige forskningsformål.
Bestemmelsen, som foreslås tatt inn i § 4 andre ledd, innebærer at den registrertes rett til innsyn ikke gjelder «så langt det vil kreve en uforholdsmessig stor innsats å gi innsyn». Formuleringen «så langt» er vesentlig for at begrensningen i innsynsretten skal være i tråd med forholdsmessighetskravet i personvernforordningen artikkel 23. Uforholdsmessighetsvurderingen skal være i samsvar med det som gjelder for vitenskapelige forskningsformål etter personopplysningsloven § 17, jf. Prop. 56 LS (2017–2018) side 217–218:
«Det kan bare gjøres unntak i den utstrekning innsyn er uforholdsmessig. Det må derfor foretas en konkret vurdering av de ulike typene informasjon som omfattes av artikkel 15. Det kan for eksempel kreve en uforholdsmessig innsats å gi en kopi av personopplysningene som behandles, jf. artikkel 15 nr. 3, men ikke å gi slik generell informasjon som er nevnt i artikkel 15 nr. 1 og 2. Da vil det foreligge innsynsrett etter artikkel 15 nr. 1 og 2, men ikke etter nr. 3. I forholdsmessighetsvurderingen inngår ikke bare den enkelte innsynsbegjæringen; også den samlede mengden av innsynsbegjæringer og potensielle innsynsbegjæringer kan tas i betraktning.»
Når det gjelder muligheten for å få overprøvd et eventuelt avslag på slike innsynskrav, viser departementet til at det er mulig å klage til Datatilsynet. Unntaket fra innsynsretten er ikke ment å begrense den registrertes rett til å klage og å bruke rettsmidler etter personvernforordningen kapittel 8.»
I høringsnotatet ble det uttrykkelig presisert at departementet ikke foreslo noen ytterligere begrensinger i den registrertes rettigheter etter personvernforordningen.
Når det gjelder øvrige spørsmål knyttet til utvalgets behandling av personopplysninger, ble det gitt følgende redegjørelse i høringsnotatet:
«Utvalget skal løpende vurdere om de personopplysningene som til enhver tid behandles, er nødvendige for å gjennomføre oppgavene i utvalgets mandat. Departementet viser her til personvernforordningen artikkel 5 nr. 1 bokstav c og e. Etter bokstav c om dataminimering skal behandling av personopplysninger være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Etter bokstav e skal opplysningene ikke lagres lenger enn det som er nødvendig for formålet.
Departementet legger til grunn at Koronautvalget selv vil være behandlingsansvarlig etter personvernforordningen artikkel 4 nr. 7, siden utvalget vil gjennomføre sitt arbeid uavhengig av Statsministerens kontor, Justis- og beredskapsdepartementet og andre organer. Som behandlingsansvarlig skal utvalget etter personvernforordningen artikkel 24 nr. 1 gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med forordningen. Den skal også foreta en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35 i den grad denne bestemmelsen kommer til anvendelse.»
8.2 Høringsinstansenes syn
Datatilsynet støtter avgrensingen i § 4 om at hjemmelen skal dekke behandling av personopplysninger som er nødvendige for formålet. Videre påpeker tilsynet i sitt høringssvar at utvalget som behandlingsansvarlig selv har ansvar for å tilse at kravet om nødvendighet er oppfylt, samtidig som avgiverorganene også vil ha et selvstendig ansvar for å påse at det ikke utleverer personopplysninger i større utstrekning enn loven tillater. I den forbindelse må avgiverorganet ta stilling til hvilke personopplysninger som er nødvendige for utvalget, og om det er mulig å anonymisere eller avidentifisere personopplysningene før de utleveres til utvalget, jf. dataminimeringsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav c. Datatilsynet foreslår derfor at det uttrykkelig fastsettes i loven at anonyme eller pseudonyme opplysninger skal brukes der slike opplysninger er tilstrekkelige til å dekke utvalgets informasjonsbehov, og opplysningene er tilgjengelige eller kan fremskaffes med enkle midler.
Datatilsynet uttaler ellers at det er hensiktsmessig at utvalget selv er behandlingsansvarlig etter personvernregelverket, og stiller seg positiv til at det i lovforslaget også er tatt stilling til hvem som skal være behandlingsansvarlig etter at utvalget opphører å eksistere. Utlendingsdirektoratet (UDI) stiller derimot spørsmål om dette bør gå fram eksplisitt av loven.
Videre påpeker Datatilsynet at utvalget som behandlingsansvarlig har et stort ansvar for å sikre at personopplysningssikkerheten ivaretas til enhver tid. Det heter her:
«I den forbindelse må utvalget gjennomføre risikovurderinger, og vi understreker at det vil være utvalgets ansvar å påse at personopplysningene i utvalgsarbeidet sikres med tekniske og organisatoriske tiltak på en måte som er egnet i henhold til artikkel 32.
Vi legger til grunn at utvalget vil behandle store mengder personopplysninger, herunder taushetsbelagt informasjon og opplysninger som regnes som særskilte kategorier, jf. personvernforordningen artikkel 9. Dermed vil personopplysningssikkerhet være svært viktig, både i forbindelse med utlevering av informasjon til utvalget og under utvalgets arbeid. Innsamlingen av opplysninger må skje gjennom tilfredsstillende kanaler for informasjonsoverføring, og dataene må være sikret når de er kommet utvalget i hende.
Datatilsynet er kritisk til at valg av virkemidler og ansvaret for ivaretakelse av personopplysningssikkerhet blir overlatt til et utvalg med tidsbegrenset arbeidsperiode. En grunnleggende forutsetning for overholdelse av pliktene som behandlingsansvarlig, vil være at utvalget er gitt tilstrekkelige midler og kompetanse til å kunne gjøre adekvate personvernvurderinger.»
Datatilsynet, Norsk forbund for utviklingshemmede, UDI, Politidirektoratet (POD) og TV 2 AS har uttalt seg om høringsforslagets § 4 andre ledd om unntak fra den registrertes rett til innsyn i opplysninger om vedkommende etter personvernforordningen artikkel 15.
Datatilsynet mener ordlyden er uklar og må klargjøres, og tilsynet viser til forholdsmessighetsvurderingen og nye retningslinjer fra EDPB Guidelines 01/2022 on data subject rights – Right of access, som klargjør rekkevidden av adgangen til å gjøre unntak fra retten til innsyn etter personvernforordningen artikkel 15. Det uttales følgende:
«I merknadene til lovforslaget vises det til at utvalgets forholdsmessighetsvurdering skal være i samsvar med det som gjelder for vitenskapelige forskningsformål, jf. Prop. 56 LS (2017–2018) punkt 38.1 under merknadene til § 17. Her er det blant annet uttalt at «i forholdsmessighetsvurderingen inngår ikke bare den enkelte innsynsbegjæringen; også den samlede mengden av innsynsbegjæringer og potensielle innsynsbegjæringer kan tas i betraktning».
Datatilsynet viser til nye retningslinjer fra EDPB Guidelines 01/2022 on data subject rights – Right of access, som klargjør rekkevidden av adgangen til å gjøre unntak fra retten til innsyn etter personvernforordningen artikkel 15. Vi presiserer at unntaksadgangen er snever, og at rettstilstanden man tok utgangspunkt i ved utformingen av unntaket i 2020, kan ha blitt endret. Vi overlater til departementet å vurdere om unntaket som foreslås, er i samsvar med personvernforordningens krav og rammer.»
Videre påpeker Datatilsynet at retten etter personvernforordningen artikkel 77 til å klage til Datatilsynet på avslag på innsyn etter forordningen artikkel 15 ikke tilsvarer retten etter forvaltningsloven til å klage på forvaltningsvedtak til overordnet forvaltningsorgan, og at det ikke må gis et inntrykk av at Datatilsynet er overordnet forvaltningsorgan for beslutninger om å gjøre unntak fra innsynsretten.
Norsk Forbund for Utviklingshemmede foreslår følgende omformulering av unntaket for å understreke at dette er et unntak, og ikke hovedregelen:
«Retten til innsyn etter personvernforordningen artikkel 15 gjelder, med mindre det vil kreve en uforholdsmessig stor innsats å gi innsyn.»
UDI viser til at dersom utvalgets oppgaver anses som vitenskapelig forskning, vil et unntak fra innsynsretten allerede følge av personopplysningsloven § 17 første ledd. Dersom oppgaven faller helt eller delvis utenfor definisjonen av vitenskapelig forskning, mener UDI at lovens § 4 andre ledd bør ha samme innhold som personopplysingsloven § 17, ved å også inkludere retten til retting og begrensing av behandlingen.
TV 2 AS er kritiske til unntaket og savner en klargjøring av situasjonen etter at utvalget har avsluttet sitt arbeid, både når det gjelder unntaket fra retten til innsyn og ansvaret for å påse at arkivering og kassering skjer på rett måte.
POD uttaler at opplysninger som er taushetsbelagte etter politiregisterloven § 23 andre ledd, vil være unntatt fra retten til innsyn etter personvernforordningen, jf. personopplysningsloven § 16 første ledd bokstav d, og mener at politiet må kontaktes ved behandling av begjæringer om innsyn i eventuelle opplysninger som er utlevert fra politiet, for en vurdering av om opplysningene er omfattet av unntaket.
Videre understreker POD at dersom utvalget behandler begjæringer om innsyn i opplysninger utlevert fra politiets registre, må den behandlingsansvarlige for registeret få anledning til å gi føringer for hvilke opplysninger den registrerte kan få innsyn i. De viser til at Kripos er behandlingsansvarlig for 18 av de sentrale politiregistrene. POD mener på bakgrunn av dette at det bør framgå av lovproposisjonen at utvalget har lik taushetsplikt som politiet, og at utvalget skal konsulerte politiet ved forespørsler og vurdering av innsyn.
8.3 Departementets vurdering
Departementet foreslår at forslaget i høringsnotatet videreføres, med en tilføyelse i tredje ledd i lovforslagets § 4 om hvem som er behandlingsansvarlig.
Departementet legger til grunn at § 4 første ledd i lovforslaget gir grunnlag for behandling av personopplysninger, og at denne hjemmelen også omfatter særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 og personopplysninger om straffedommer og lovovertredelser etter samme forordning artikkel 10. Departementet vurderer at behandling av særlige kategorier av personopplysninger er forholdsmessig sett opp mot samfunnsnytten av utvalgets arbeid. De tiltakene som er foreslått fastsatt i loven – begrensning av tilgang til opplysninger hva gjelder innhold, personkrets og tid, arkivavgrensing og kassering av dokumenter som ikke er arkivverdige, og forbud mot bruk av informasjonen i senere rettssaker – er tilstrekkelige for å verne den registrertes grunnleggende rettigheter og interesser. Departementet er videre enig med Datatilsynet i at det er viktig at utvalget som behandlingsansvarlig selv tar ansvar for at de personopplysningene utvalget behandler, er nødvendige og relevante, og for at utvalget ikke går utover rammene i lovhjemmelen. En viktig forutsetning for dette vil være at utvalget er gitt tilstrekkelige midler og kompetanse til å gjennomføre adekvate personvernvurderinger. Det påhviler også, slik Datatilsynet påpeker, et ansvar på avgiverorganet til å foreta en vurdering av hvilke personopplysninger som er nødvendige for utvalget, og om det er mulig å anonymisere eller avidentifisere personopplysningene før de utleveres til utvalget. Departementet går ikke inn for at det skal uttrykkelig fastsettes i loven at anonyme eller pseudonyme opplysninger skal brukes dersom det er tilstrekkelig for å dekke utvalgets informasjonsbehov, da dette følger av dataminimeringsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav c.
Videre viser departementet til at andre lignende utvalg er vurdert å ha grunnlag for å behandle særlige kategorier av personopplysninger etter artikkel 9 nr. 2 bokstav g. Ut fra dette opprettholdes forslaget fra høringsnotatet.
Departementet opprettholder også forslaget til § 4 andre ledd, som innebærer et unntak fra den registrertes rett til innsyn i personopplysningene om vedkommende etter personvernforordningen artikkel 15 dersom det kreves en uforholdsmessig stor innsats å gi innsyn. Det vises her til vurderingen i høringsnotatet inntatt i punkt 8.1 ovenfor, samt at uforholdsmessighetsvurderingen etter lovforslaget § 4 andre ledd skal være i samsvar med det som gjelder for vitenskapelige forskningsformål etter personopplysningsloven § 17, jf. Prop. 56 LS (2017–2018) side 217–218. Departementet har merket seg Datatilsynet sitt høringsinnspill om nye retningslinjer fra EDPB Guidelines 01/2022 on data subject rights – Right of access vedrørende rekkevidden for å gjøre unntak fra innsynsretten etter personvernforordningen artikkel 15. Slik Datatilsynet påpeker, er unntaksadgangen snever, og nevnte retningslinje presiserer i punkt 195 viktigheten av at unntak fra innsynsretten i nasjonal rett basert på artikkel 23 i personvernforordningen må oppfylle de kravene som er satt i artikkelen for øvrig. Det vises også til Guidelines 10/2020on restrictions under Article 23 GDPR. Som nevnt i høringsnotatet legger departementet til grunn at det følger av personvernforordningen artikkel 23 nr. 1 bokstav e at nasjonal rett kan begrense rettighetene til den registrerte når en slik begrensning overholder det «vesentligste innholdet i de grunnleggende rettighetene og frihetene», og er et «nødvendig og forholdsmessig tiltak» i et demokratisk samfunn for å sikre «viktige mål av generell allmenn interesse».
Om kravet til overholdelse av innholdet i de grunnleggende rettighetene og frihetene framkommer følgende av EDPB retningslinje 10/2020:
«One of the main objectives of data protection law is to enhance data subjects’ control over personal data concerning them. Any restriction shall respect the essence of the right that is being restricted. This means that restrictions that are extensive and intrusive to the extent that they void a fundamental right of its basic content, cannot be justified. In any case, a general exclusion of all data subjects’ rights with regard to all data processing operations as well as a general limitation of the rights mentioned in Article 23 GDPR of all data subjects for specific data processing operations or with regard to specific controllers would not respect the essence of the fundamental right to the protection of personal data, as enshrined in the Charter.»
Departementet er av den oppfatning at unntaket i lovforslagets § 4 andre ledd overholder innholdet i retten til innsyn ved at unntaket kun gjelder «dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn». Dette innebærer at den registrerte fortsatt har rett til innsyn i opplysninger om vedkommende selv etter personvernforordningen artikkel 15 dersom det ikke krever en uforholdsmessig stor innsatts å gi vedkommende innsyn. Departementet mener videre at det går tydelig fram av ordlyden at utgangspunktet er at innsynsretten etter personvernforordningen artikkel 15 gjelder, og ser derfor ikke behov for en slik omformulering som Norsk Forbund for Utviklingshemmede foreslår. Det er for øvrig ikke foreslått noen ytterligere begrensninger i den registrertes grunnleggende rettigheter og friheter etter personvernforordningen. Departementet finner det ikke hensiktsmessig å unnta retten til retting og begrensing av behandling for å harmonisere med ordlyden i personopplysningsloven § 17 slik UDI har foreslått.
Om kravet til at begrensningen er et «nødvendig og forholdsmessig tiltak» sies følgende i nevnte retningslinje fra EDPB:
«Restrictions are only lawful when they are a necessary and proportionate measure in a democratic society, as stated in Article 23(1) GDPR. This means that restrictions need to pass a necessity and proportionality test in order to be compliant with the GDPR».
Det følger som nevnt av ordlyden i § 4 andre ledd at unntaket kun gjelder «dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn». Departementet legger til grunn at utvalget skal foreta en konkret vurdering av om det er forholdsmessig å gi innsyn eller ikke. I dette inngår også en vurdering av nødvendighet, herunder en konkret vurdering av de ulike typene informasjon som omfattes av innsynskravet etter artikkel 15, og hvor stor del av utvalgets arbeidstid som vil gå til å behandle innsynskrav. Det er kun dersom det etter denne vurderingen framstår uforholdsmessig å behandle innsynskravet at unntaket kan sies å være nødvendig.
Det vises for øvrig til utvalgets mandat når det gjelder kravet om å sikre «viktige mål av generell allmenn interesse».
Endelig er det et vesentlig moment at når utvalget har avsluttet sitt arbeid, skal dens arkivmateriale avleveres til arkivdepot, jf. lovforslaget § 6 første ledd, og den registrerte kan da be om innsyn overfor Arkivverket, som blir ny behandlingsansvarlig og som ikke er omfattet av unntaket i § 4 andre ledd. Dette er i tråd med anbefalingen til EDPB i guideline 01/2022:
«In terms of the right of access, the EDPB recalls that controllers should lift the restrictions as soon as the circumstances that justify them no longer apply.»
Når det gjelder muligheten for den registrerte til å få overprøvd et eventuelt avslag på innsynskrav, viser departementet til at slike avslag kan påklages til Datatilsynet, som er den alminnelige klageinstansen for klager over avslag på slike innsynskrav. Departementet finner derfor ikke grunn til å fastsette dette uttrykkelig i loven her, men understreker at det er riktig at Datatilsynet ikke er noe overordnet forvaltningsorgan på området.
Ved klager på utvalgets avgjørelser etter offentleglova, er derimot departementet klageinstans. Det samme gjelder for klager på avgjørelser etter offentleglova som gjelder utvalgets arkiv etter at arkivet er avlevert til arkivdepot.
Departementet er også enig med Datatilsynet i at utvalget opphører å være behandlingsansvarlig når dets arbeid er avsluttet, og at det etter dette fortsatt må foreligge en behandlingsansvarlig som henvendelser om håndtering av personopplysninger kan rettes til. Departementet viser til at når utvalget avslutter sitt arbeid, skal den avlevere sitt arkivmateriale til arkivdepot, jf. lovforslaget § 6 første ledd omtalt i punkt 4.5 nedenfor. Departementet legger dermed til grunn at Arkivverket vil være behandlingsansvarlig for arkivmateriale som avleveres dit.
Når det gjelder uttalelsen fra POD, vil departementet presisere at politiregisterloven § 23 andre ledd gjelder taushetsplikten til de som er ansatt i eller utfører tjeneste eller arbeid for politiet eller påtalemyndigheten, og den gir strengere regler om taushetsplikt enn det som følger av forvaltningsloven. Dersom politiet gir utvalget opplysninger som er undergitt strengere regler om taushetsplikt enn det som følger av forvaltningsloven, skal disse strengere reglene etter lovforslaget gjelde for utvalget, jf. forslaget til § 4 andre ledd. Spørsmålet om å nekte den registrerte innsyn med hjemmel i personopplysningsloven § 16 første ledd bokstav d må da vurderes ut fra denne strengere taushetsplikten.
Dersom politiet har pålagt utvalget taushetsplikt om utleverte opplysninger, jf. politiregisterloven § 35, kan den registrerte nektes innsyn med hjemmel i personopplysningsloven § 16 første ledd bokstav d. De andre unntakene i § 16 første ledd kan også etter en konkret vurdering kunne komme til anvendelse.
Utvalget bør i utgangspunktet innhente politiet eller påtalemyndighetens syn før utvalget beslutter om den registrerte skal gis innsyn i opplysninger innhentet fra politiet eller påtalemyndigheten. Det er imidlertid utvalget som tar den endelige beslutningen, og departementet vil ikke foreslå en plikt for utvalget til å konsultere politiet eller påtalemyndigheten i lovforslaget. Et slikt pålegg kan bli forstått som en avgrensing av innsynsretten etter personvernforordningen artikkel 15, og det kreves da hjemmelsgrunnlag i forordningen artikkel 23. Det sentrale vil i alle tilfelle være om opplysningene er av en slik karakter at det er grunn til å vurdere nærmere om det er behov og grunnlag for unntak fra innsynsretten etter personopplysningsloven §§ 16 eller 17. Det bør vurderes ut fra de konkrete opplysningene og omstendighetene ellers om en skal kontakte politiet eller påtalemyndigheten for å få innspill til dette.