15 Behandling av personopplysninger
15.1 Personvernforordningen
15.1.1 Innledning
Personvernforordningen er innlemmet i EØS-avtalen og gjort til norsk rett gjennom lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven). Personvernforordningen skal verne fysiske personers grunnleggende rettigheter og friheter ved behandlingen av personopplysninger, samtidig som den skal sikre fri flyt av personopplysninger mellom medlemsstatene.
Personopplysninger defineres i forordningen som enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. personvernforordningen artikkel 4 nr. 1. Alle former for behandling av personopplysninger er omfattet av forordningen. Med «behandling» menes enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten den er automatisert eller ikke, jf. forordningens artikkel 4 nr. 2. Typiske eksempler på behandling er innsamling, registrering, lagring, tilpasning, endring, gjenfinning, bruk, utlevering, sammenstilling eller samkjøring og sletting.
Personvernforordningen oppstiller blant annet grunnleggende prinsipper og vilkår for behandling av personopplysninger. Den behandlingsansvarlige har ansvaret for at de grunnleggende prinsippene og vilkårene til enhver tid er oppfylt.
15.1.2 Personvernforordningens grunnprinsipper
Grunnprinsippene for behandling av personopplysninger er fastsatt i personvernforordningen artikkel 5. Prinsippene angir rammer og krav som må følges ved enhver behandling av personopplysninger. Den behandlingsansvarlige skal kunne dokumentere at disse prinsippene overholdes (ansvarlighetsprinsippet), jf. personvernforordningen artikkel 5 nr. 2.
All behandling av personopplysninger må være lovlig, rettferdig og åpen. Det betyr blant annet at det må foreligge et gyldig rettslig grunnlag før behandling av personopplysninger kan skje, et såkalt behandlingsgrunnlag etter personvernforordningen artikkel 6.
Personopplysninger kan kun samles inn til spesifikke, uttrykkelig angitte og berettigede formål. Konkrete formålsangivelser er særlig viktig, da det i utgangspunktet er forbudt å behandle opplysninger videre for formål som anses som uforenlige med det opprinnelige formålet (formålsbegrensning). Etter artikkel 5 nr. 1 bokstav b vil imidlertid viderebehandling for arkivformål i allmennhetens interesse og for formål knyttet til vitenskapelig eller historisk forskning og statistiske formål aldri anses som uforenlig med et opprinnelig formål.
Personvernforordningen oppstiller unntak fra forbudet mot å behandle personopplysninger til uforenlige formål i artikkel 6 nr. 4. Dersom viderebehandlingen bygger på «samtykke eller på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1», vil uforenlig viderebehandling være tillatt. Det må i så fall foreligge et særskilt rettsgrunnlag knyttet til selve viderebehandlingen. Slik hjemmel finnes i personopplysningsloven §§ 8 og 9, som beskriver når personopplysninger og særlige kategorier av personopplysninger kan behandles til statistiske formål. Det kan også tenkes andre grunnlag. Ved behandling av særlige kategorier av personopplysninger til statistiske formål er det oppstilt et ytterligere vilkår i § 9 første ledd om at samfunnets interesse i at behandlingen finner sted klart må overstige ulempene for den enkelte.
Ved viderebehandling av personopplysninger til statistiske formål stiller personvernforordningen artikkel 89 blant annet krav om nødvendige garantier for å sikre den registrertes rettigheter og friheter. Slike nødvendige garantier skal sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes.
Med et uttrykkelig angitt og konkret formål vil det være enklere å angi hvilke personopplysninger som er adekvate, nødvendige og relevante for å oppfylle formålet (prinsippet om dataminimering). Prinsippet om dataminimering innebærer at mengden innsamlede personopplysninger skal begrenses til det som er nødvendig for å oppnå innsamlingsformålet.
Personopplysninger som behandles skal være korrekte. Opplysningene skal også oppdateres hvis det er nødvendig, jf. personvernforordningen artikkel 5 nr. 1 bokstav d (prinsippet om riktighet). Prinsippet om lagringsbegrensning innebærer at personopplysninger ikke skal lagres lenger enn det som er nødvendig for formålet de ble samlet inn for, jf. personvernforordningen artikkel 5 nr. 1 bokstav e. Personopplysninger skal videre behandles slik at opplysningenes integritet og konfidensialitet beskyttes, jf. personvernforordningen artikkel 5 nr. 1 bokstav f (prinsippet om integritet og konfidensialitet).
15.1.3 Krav om behandlingsgrunnlag
For å kunne behandle personopplysninger kreves det et behandlingsgrunnlag. Dette må identifiseres før en behandling av personopplysninger starter. Personvernforordningen artikkel 6 regulerer behandlingsgrunnlag og oppstiller en uttømmende liste over alternative grunnlag i nr. 1 bokstavene a til f.
Kommunenes behandling av personopplysninger på det boligsosiale feltet har grunnlag i artikkel 6 nr. 1 bokstav e. Etter bokstav e er behandling av personopplysninger lovlig når behandlingen er «nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Ved behandling med grunnlag i bokstav e stilles også krav om supplerende rettsgrunnlag. Departementet viser til punkt 15.1.4 for en nærmere beskrivelse av dette kravet.
Personvernforordningen artikkel 9 oppstiller tilleggsvilkår for behandling av såkalte særlige kategorier av personopplysninger. Dette inkluderer opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap og genetiske og biometriske kjennetegn som entydig identifiserer en fysisk person, helseopplysninger og en fysisk persons seksuelle forhold eller seksuelle orientering. Særlige kategorier av personopplysninger er gitt et særskilt vern, ved at en av unntaksbestemmelsene i artikkel 9 nr. 2 bokstav a – j må være oppfylt for at behandlingen skal være lovlig.
Det følger av personvernforordningen artikkel 10 at behandling av opplysninger om straffedommer og lovovertredelser bare skal utføres under en offentlig myndighets kontroll, eller dersom behandlingen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter.
Etter personvernforordningen artikkel 6 nr. 4 kan opplysninger viderebehandles til et formål som er forenelig med formålet som personopplysningene opprinnelig ble samlet inn for. Bruk av personopplysninger til statistikk og til forskning anses som et forenlig formål hos den behandlingsansvarlige, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Personvernforordningen artikkel 89 stiller blant annet krav om nødvendige garantier for å sikre den registrertes rettigheter og friheter.
15.1.4 Krav om supplerende rettsgrunnlag
Etter personvernforordningen artikkel 6 nr. 3 krever behandling av personopplysninger med grunnlag i artikkel 6 nr. 1 bokstav e et supplerende rettsgrunnlag i EU-retten eller nasjonal rett. Et supplerende rettsgrunnlag kan være lov eller forskrift, jf. Prop. 56 LS (2017–2018) side 32–33:
«Etter departementets syn må det legges til grunn at i alle fall lov- og forskriftsbestemmelser kan utgjøre supplerende rettsgrunnlag. Departementet antar at også vedtak fattet i medhold av lov eller forskrift omfattes, ettersom det også i disse tilfellene foreligger et lov- eller forskriftsgrunnlag.»
Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandlingen som nevnt i artikkel 6 nr. 1 bokstav e, være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
Artikkel 6 nr. 3 nevner eksempler på hva det supplerende rettsgrunnlaget kan inneholde:
«særlige bestemmelser for å tilpasse anvendelsen av reglene i denne forordning, blant annet de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og framgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling.»
Det følger av Grunnloven § 102 første ledd at alle har rett til respekt for sitt privatliv, sitt familieliv, sitt hjem og sin kommunikasjon, og av annet ledd at «statens myndigheter skal sikre et vern om den personlige integritet». Etter Den europiske menneskerettskonvensjonen (EMK) artikkel 8 nr. 2 skal det som hovedregel ikke skje noe «inngrep av offentlig myndighet» i utøvelsen av retten til respekt for privatliv og familieliv (etter artikkel 8 nr. 1). I forarbeidene (Prop. 56 LS (2017–2018) punkt 6.4) er det lagt til grunn at Grunnloven § 102 har klare likhetstrekk med EMK artikkel 8, og må tolkes i lys av denne, jf. også Rt. 2015 s. 93 avsnitt 57. Grunnloven knesetter i § 113 legalitetsprinsippet, som går ut på at myndighetenes inngrep overfor den enkelte må ha hjemmel i lov. En inngripende behandling tilsier strengere krav til utformingen av det supplerende rettsgrunnlaget.
Grunnprinsippene for behandling av personopplysninger i personvernforordningen artikkel 5 (se punkt 15.1.2), må ikke nødvendigvis oppfylles gjennom det supplerende rettsgrunnlaget. Prinsippene kan oppfylles gjennom oppfyllelse av informasjonsplikten og gode vurderinger ved fastsettelsen av et slikt rettsgrunnlag. Det følger også av personvernforordningens fortalepunkt 41 at det rettslige grunnlaget bør være tydelig og presist, og at anvendelsen bør være forutsigbar for personer som omfattes av det. Kravet om forutberegnelighet skal verne mot vilkårlighet og sikre tilstrekkelig presisjon. Krav om forholdsmessighet fremgår av artikkel 6 nr. 3, der det heter at det supplerende rettsgrunnlaget må stå i «et rimelig forhold til det berettigede målet som søkes oppnådd». Tilsvarende følger av artikkel 6 nr. 4 for viderebehandling til forenlige formål.
Også behandling av særlige kategorier av personopplysninger som er «nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett» krever et supplerende rettsgrunnlag i EØS-rett eller nasjonal rett, jf. personvernforordningen artikkel 9 nr. 2 bokstav b. Bestemmelsen krever videre at de nasjonale reglene gir «nødvendige garantier for den registrertes grunnleggende rettigheter og interesser». Garantiene skal ha som sitt primære formål å sørge for at behandlingen skjer i tråd med de grunnleggende prinsippene for behandling av personopplysninger, tatt i betraktning opplysningenes sensitivitet, behandlingens formål og risikoen ved behandlingen, jf. Prop. 56 LS (2017–2018) punkt 7.1.3.
Hvorvidt det foreligger et tilstrekkelig supplerende rettsgrunnlag beror følgelig på en konkret vurdering, herunder av hvor inngripende behandlingen av personopplysninger er.
15.2 Departementets høringsforslag
For å sikre at kravene i personvernforordordningen er oppfylt, foreslo departementet en uttrykkelig hjemmel for kommunenes behandling av personopplysninger. Departementet la til grunn at en slik generell bestemmelse om behandling av personopplysninger ikke medførte at kommunens tilgang til eller behandling av personopplysninger ble utvidet. Forslaget var ment å tydeliggjøre den behandlingen som skjer, og som også vil være nødvendig når kommunene skal utføre sine oppgaver etter ny lov.
Departementet foreslo at kommunene kan behandle personopplysninger, når dette er nødvendig for å utføre oppgaver etter loven. Departementet presiserte at bestemmelsen også ville gi grunnlag for behandling av særlige kategorier av personopplysninger, jf. personvernforordningen artikkel 9 nr. 2 bokstav b. Forslaget skulle sikre at kommunenes, statsforvalterens og Statens helsetilsyns behandling av personopplysninger til boligsosiale formål er tilstrekkelig forankret i lov.
Videre foreslo departementet et særskilt rettsgrunnlag som presiserer at de personopplysningene kommunene behandler for å oppfylle sin forpliktelse til å gi bistand til vanskeligstilte på boligmarkedet, kan brukes til statistiske og analytiske formål. Bestemmelsen presiserte at personopplysninger kun skal brukes til utarbeidelse av statistikk og analyse dersom formålet ikke kan oppnås ved bruk av anonymiserte opplysninger.
Departementet foreslo også en forskriftshjemmel for ytterligere regulering, herunder å fastsette nødvendige garantier der det er relevant.
15.3 Høringsinstansenes syn
Tolv høringsinstanser har uttalt seg om forslagene. Disse er Arbeids- og velferdsdirektoratet, Asker kommune, Bergen kommune, Datatilsynet, Justis- og beredskapsdepartementet, KS, Oslo kommune, Skatteetaten, Statens helsetilsyn, Statsforvalteren i Agder, Statsforvalteren i Oslo og Viken og Stavanger kommune. I tillegg har Forsvarsdepartementet, Helse- og omsorgsdepartementet, Klima- og miljødepartementet og Skien kommune positivt uttrykt at de ikke har merknader.
Arbeids- og velferdsdirektoratet støtter forslaget. Direktoratet mener det er viktig at forskriftshjemmelen faktisk benyttes.
Asker kommune støtter forslaget, og mener at det er nødvendig med en egen hjemmel for å behandle personopplysninger i tilknytning til boligsosiale formål. Kommunen etterlyser en tydeliggjøring av hva «nødvendige garantier» er, og hva dette vil bestå i på det boligsosiale området. Asker kommune mener det er behov for mer konkrete retningslinjer for hvilke garantier det her vil være tale om. Slike konkretiseringer vil etter kommunens syn ha stor betydning for kommunenes anskaffelse og bruk av informasjonssystemer og hvilke krav de kan stille til leverandørene. Asker kommune mener også at departementet bør gjennomføre en Data Protection Impact Assessment («DPIA») i forbindelse med lovgivningsprosessen.
Bergen kommune støtter forslaget, og påpeker at hjemmelen er nødvendig for å kunne fortsette å drive et godt boligsosialt arbeid.
Datatilsynet mener det er positivt at behandlingen reguleres. Tilsynet er opptatt av at hjemmelen til å behandle personopplysninger detaljeres og at dette bør gjøres i lovs form. Hvis departementet kommer til at den nærmere reguleringen skal gjøres i forskrift, mener Datatilsynet at forskriften må presisere vilkårene for behandling av personopplysninger nærmere, og ikke være for generelt formulert. Legalitetsprinsippet tilsier etter Datatilsynets oppfatning at forskriften må være tydelig og klar, slik at de registrerte sikres forutsigbarhet. Videre peker Datatilsynet på at det ikke bør gjøres unntak fra plikten til å gi informasjon til den registrerte:
«Datatilsynet mener at den registrerte burde beholde retten til informasjon om behandlingen, slik at kommunene skal informere den som søker boligsosial bistand om hvor opplysningene er hentet fra. Dette sikrer gjennomsiktighet og forutberegnelighet for den registrerte, og vil kunne bidra til at opplysningenes riktighet etterprøves av den registrerte selv. Dersom det skal gjøres unntak fra denne retten etter artikkel 14 nr. 5 bokstav c, må departementet vurdere om reguleringen av behandlingen inneholder egnede tiltak for å verne den registrertes berettigede interesser. Dette er en forutsetning for at unntaket kan anvendes.»
Datatilsynet mener at behandlingen av personopplysninger er såpass omfattende at det stiller særskilte krav til den behandlingsansvarlige kommune. Lovforslaget bør derfor følges opp med ressurser til utvikling av personvernvennlige løsninger.
Statens helsetilsyn støtter forslaget.
Oslo kommune mener at det er viktig med mer detaljerte regler om behandlingen, og at en forskrift bør være klar samtidig med at loven trer i kraft. Oslo kommune påpeker at en forskrift kan bidra til en mer lik praksis og «mindre tolkningsproblematikk». Oslo kommune skriver følgende om forslag til hjemmel for behandling av personopplysninger til statistikk og analyse:
«Statistikk og analyse er et viktig redskap for kommunen for å oversikt og synliggjør sammenhenger innad i en tjeneste og mellom tjenester. Dette gir et bedre kunnskapsgrunnlag i arbeidet med å bedre levekårene for vanskeligstilte og setter kommunen i bedre stand til å målrette sitt arbeid med velferdstjenestene, innrette tjenestene hensiktsmessig og sikre et helhetlig og samordnet tjenestetilbud. Statistikk og analyse bidrar også til åpenhet og tillit til forvaltningen. Oslo kommune er derfor positive til forslaget om en egen hjemmel for behandling av personopplysninger til statistikk og analyse. Oslo kommune vil få bemerke at flere vanskeligstilte mottar forskjellige velferdstjenester, hjemlet i ulike særlover, etter hverandre eller parallelt. For å gi kommunen et forsvarlig kunnskapsgrunnlag om hvordan tjenestene virker, ikke bare individuelt men også hvordan de påvirker hverandre, ser kommunen behov for å koble opplysninger på individnivå for videre bearbeidelse i statistikk og analyser. Oslo kommune mener derfor at det er behov for at hjemler for behandling av personopplysninger i ulike særlover for velferdstjenestene samordnes, slik at det tydeliggjøres at statistikk og analyser kan utarbeides på tvers av lovene.»
Justis- og beredskapsdepartementet presiserer at bruk av personopplysninger til statistikk ikke er et uforenlig formål. Justis- og beredskapsdepartementet ber også om at proposisjonen omtaler personvernforordningen artikkel 6 nr. 4 og vilkårene i bestemmelsen.
KS peker på at det vil kunne være utfordrende for kommunene at prinsippene om lagringsbegrensning, integritet og konfidensialitet ikke reguleres i loven. KS viser til at mange kommuner har begrenset kompetanse til å kunne fastsette hvilke krav som må ivaretas for å oppfylle kravene. Videre hevder KS at kommunene i mange tilfeller opplever liten vilje eller evne hos leverandørene til å videreutvikle sine systemer på en måte som gjøre at kravene til enhver tid ivaretas. Dersom slike krav fremgår av en forskrift, vil det bli enklere for kommunene å henvise til kravene i forbindelse med anskaffelser og endringer i IT-systemer.
KS mener videre at det er behov for at departementene i større grad samhandler. Hvis det er ønskelig å muliggjøre effektiv digitalisering, mener KS at departementene må samhandle for å sikre at regulering av tiltak som vil være felles for alle typer saksbehandling, samles på et sted. KS mener at avvikende regler fra område til område vanskeliggjør digitalisering på en hensiktsmessig måte.
KS etterspør hva som ligger i «nødvendige garantier» for å sikre den registrertes rettigheter og friheter etter kravene i personvernforordningen artikkel 89. Mange krav om «nødvendige garantier» vil, slik KS ser det, relatere seg mer til kategori opplysninger og mengde opplysninger som behandles, enn til aktuelt fagområde hvor behandlingen skjer. For kommunene vil det være en fordel om slike krav kunne fremkomme av en generell forskrift under for eksempel forvaltningsloven.
Skatteetaten mener departementet bør gi noen eksempler på hvilke opplysninger som reguleres i personvernforordningen artikkel 10 som kan være relevant her.
Statsforvalteren i Agder peker på at Kobo (digitalt system for kommunale utleieboliger) foreløpig er under pilotering, og at programmet utvikler funksjonalitet fortløpende og åpner for stor grad av deling og tilgjengelighet. Derfor mener denne statsforvalteren at det er viktig med en viss aktsomhet med tanke på hvem som skal ha tilgang og omfanget av tilgangen sett i forhold til personvernforordningen.
Stavanger kommune imøteser en forskrift som avklarer hvordan kommunen kan arbeide effektivt internt og i samarbeid med andre offentlige instanser for å ivareta innbyggere som trenger bistand for å skaffe og/eller beholde bolig. Kommunen skriver at:
«kommunene har ulik intern organisering, og aktuelle opplysninger vil kunne være tilgjengelige i ulike avdelinger. Det er viktig at en forskrift ivaretar dette og tydeliggjør hvordan den dokumentasjonen som anses som nødvendig kan deles når det arbeides internt med et felles formål til innbyggernes beste.»
Kommunen ønsker også at en «forskrift definerer tydelige krav som kommunene kan legge inn i sine kvalitetsrutiner og følge opp med leverandørene av ulike systemløsninger som benyttes i det boligsosiale arbeidet».
Advokatforeningen viser til at det foreligger et «skjerpet krav» til personvern i sosialtjenesteloven, sammenlignet med forvaltningsloven. Foreningen mener at slike krav også bør «sikres» hvis det blir egen lov om kommunenes ansvar på det boligsosiale feltet.
15.4 Departementets vurderinger
15.4.1 Innledning
For å utføre de oppgavene som er beskrevet i lovforslaget, vil det være nødvendig for kommunene å behandle en rekke personopplysninger. Kommunenes behov vil av og til også omfatte særlige kategorier av personopplysninger.
Bistanden kommunene er ansvarlig for å gi, krever primært behandling av personopplysninger om den som mottar hjelpen, men i enkelte tilfeller også om dennes husstandsmedlemmer. Når kommunen skal vurdere om noen er vanskeligstilt på boligmarkedet, vil det som regel være relevant å se hen til husstandens samlede situasjon.
Noen av høringsinnspillene gjelder samordning av velferdstjenester på tvers av kommuner og utforming av generelle regelverk, herunder forvaltningsloven. Departementet er av den oppfatning at dette er en større problemstilling som faller utenfor rammene av dette lovforslaget.
15.4.2 Supplerende rettsgrunnlag
Departementet registrerer at forslaget om å presisere vilkårene for flere sider av kommunenes behandling av personopplysninger i et supplerende rettsgrunnlag har fått stor støtte i høringen. Departementet opprettholder forslaget om at kommunene kan behandle personopplysninger, når dette er nødvendig for å utføre oppgaver etter loven. Dette vil ivareta hensynet til forutsigbarhet for de registrerte og kan også bidra til felles praksis og mindre tolkningstvil for kommunene. Det siste er Oslo kommune inne på i sin høringsuttalelse. Bestemmelsen vil også gi grunnlag for behandling av særlige kategorier av personopplysninger, jf. personvernforordningen artikkel 9 nr. 2 bokstav b. Artikkel 9 nr. 2 bokstav b forutsetter at de nasjonale reglene som åpner for behandling av særlige kategorier av personopplysninger inneholder nødvendige garantier for å ivareta den registrertes grunnleggende rettigheter og friheter. Departementet mener lovforslaget oppfyller kravet om nødvendige garantier, gjennom at de oppgavene kommunen skal utføre er tydelig avgrenset og ved at det stilles krav om at det i forbindelse med oppgaveløsningen er nødvendig å behandle personopplysninger. Departementet viser også til at ansatte i kommunen har taushetsplikt etter de alminnelige reglene i forvaltningsloven, slik at opplysningene ikke fritt kan deles videre.
Departementet presiserer at forslaget må ses i sammenheng med de oppgavene kommunene pålegges og som forutsetter at de må behandle personopplysninger. Opplysninger kommunen trenger for å vurdere om en person er vanskeligstilt på boligmarkedet, vil være nødvendige i bestemmelsens forstand. Det samme gjelder opplysninger som trengs for å kunne innrette bistanden på en god måte. Også opplysninger kommunen trenger for å ha oversikt over boligbehovet og for å oppfylle sine oppgaver knyttet til planlegging etter lovforslagets § 5, vil være nødvendige. Eksempler kan være opplysninger om inntekt, formue, gjeld, offentlige ytelser, oppholdsrett, bosted, ektefelle, barn, forsørgeransvar, helse- og omsorgsmessige forhold, arbeidsforhold, utdanning og eventuell verge. Departementet mener forslaget oppfyller kravene i EMK artikkel 8 og personvernforordningens krav til supplerende rettsgrunnlag. I den forbindelse presiserer departementet at den bistanden kommunen er ansvarlig for å gi, i noen tilfeller også forutsetter at kommunen behandler opplysninger om husstandsmedlemmer. I praksis betyr dette at når en husstand består av flere personer, så er det helt avgjørende for kommunene å ha opplysninger om alle husstandsmedlemmene, jf. også drøftelsen i punkt 16.4.
Skatteetaten etterlyser eksempler på hvilke av de opplysningene som reguleres i personvernforordningen artikkel 10 (det vil si opplysninger om straffedommer og lovovertredelser) som kan være relevante for kommunene å behandle. Straffedommen vil kunne inneholde relevante opplysninger som kommunen trenger å behandle når den skal gi individuelt tilpasset bistand. For eksempel vil det kunne være tale om personer som på grunn av lovovertredelsens karakter ikke bør bo på enkelte steder eller i visse miljøer. Departementet mener følgelig at kommunene vil kunne ha behov for å behandle opplysninger om straffedommer når de skal gi individuelt tilpasset bistand til personer som skal løslates fra fengsel.
Departementet er ikke enig med Datatilsynet i at nærmere detaljer om behandlingen «primært bør søkes gjennomført i lovs form», men mener at ytterligere regulering i forskrift vil være tilstrekkelig. Departementet viser til at lovteksten gir de viktige ytre rammene for behandlingen, både ved å begrense formålet til gjennomføring av oppgaver etter loven og ved å stadfeste nødvendighetskravet. Forslaget følger ellers samme mal som øvrige hjemler på feltet, eksempelvis sosialtjenesteloven § 43 a og NAV-loven § 4 a. Departementet bemerker også at lovforslaget er en kodifisering av gjeldende praksis, selv om den teknologiske utviklingen kan medføre høyere intensitet ved behandling av personopplysninger – her som på andre samfunnsområder. Departementet vil gi nærmere detaljer om behandlingen i forskrift. Formålet vil være å sikre detaljerte rammer for behandlingen, noe som vil være viktig i et forutberegnelighetsperspektiv. Departementet presiserer samtidig at forskrift ikke er en forutsetning for at kommunene lovlig kan behandle personopplysninger, idet departementet er av den oppfatning at lovforslaget beskriver kommunens oppgaver på en måte som klart forutsetter at personopplysninger vil bli behandlet. Sammen med en uttrykkelig hjemmel for behandling av personopplysninger foreligger det etter departementets syn et rettslig grunnlag som oppfyller kravene i personvernforordningen artikkel 6 nr. 3.
Departementet bemerker at kommunene er forpliktet til å ha tilfredsstillende informasjonssikkerhet for all sin behandling av personopplysninger. Den forrige personopplysningsloven, som trådte i kraft i 2001, hadde tilsvarende krav, så dette er ikke nytt for kommunene. Personopplysningene som behandles på dette området trenger ikke et annet beskyttelsesnivå enn det kommunene ellers har, for eksempel for opplysninger de behandler etter sosialtjenesteloven. Departementet er derfor ikke enig med KS i at krav til informasjonssikkerhet må nedfelles i forskrift for å gi kommunene tilstrekkelig hjelp og veiledning.
Teknologien endrer seg raskt, og regelverket skal derfor være teknologinøytralt for ikke å bli utdatert. Regelverk som er for detaljert går raskere ut på dato og kan medføre at kommunene må holde på arbeidsmetoder og verktøy som er mindre effektive enn de kunne vært. Departementet ønsker på denne bakgrunn ikke å regulere særskilt hva som skal til for å etablere god nok informasjonssikkerhet. Departementet vil likevel i det senere forskriftsarbeidet se nærmere på om det kan være hensiktsmessig å forskriftsfeste enkelte grunnleggende informasjonssikkerhetsprinsipper, for eksempel etter modell av politiregisterforskriften.
Når det gjelder innspillet fra KS om at loven nærmere bør regulere personvernforordningens prinsipper om lagringsbegrensing, bemerker departementet at det er den behandlingsansvarlige som må gjøre de konkrete vurderingene for den enkelte behandling. Det er naturlig at kommunene praktiserer prinsippet om lagringsbegrensning tilnærmet likt, og alle kommuner er uansett underlagt kravene i arkivlovgivningen. Lik praksis kan oppnås gjennom samarbeid kommunene imellom. Prinsippene om lagringstid reguleres for øvrig blant annet av bevarings- og kassasjonsreglene i forskrift 19. desember 2017 nr. 2286 om utfyllende tekniske og arkivfaglige bestemmelser om behandling av offentlige arkiver (Riksarkivarens forskrift).
Når det gjelder problemet KS beskriver med at kommunene opplever liten vilje og/eller evne hos leverandørene til å videreutvikle sine systemer på en måte som gjøre at forordningens krav til enhver tid ivaretas, vil departementet oppfordre kommunene til å vurdere å gå sammen om å stille funksjonelle krav.
Noen høringsinstanser, blant annet KS, ønsker at departementet konkretiserer hva kravet til nødvendige garantier i personvernforordningen vil bestå i på det boligsosiale området.
Departementet har forståelse for at det ønskes ytterligere forutberegnelighet og veiledning for den enkelte kommune, noe den tiltenkte forskriften skal bidra til. En slik forskrift vil også sikre ivaretakelse av de nødvendige garantiene knyttet til behandlingen. Som det fremgår av forslaget til forskriftshjemmel, kan en forskrift inneholde nærmere informasjon om behandlingen av personopplysninger, blant annet om formålet med behandlingen, behandlingsansvar, hvem det kan behandles personopplysninger om, hvilke personopplysninger som kan behandles, adgangen til viderebehandling, utlevering og tiltak for å sikre lovlig og rettferdig behandling. Forskriften kan også inneholde nærmere regulering av nødvendige garantier knyttet til behandlingens art og omfang. Når det gjelder implementering av de nødvendige garantiene knyttet til en løsning, er departementet av den oppfatning at dette ikke er naturlig å behandle gjennom regulering i lov eller forskrift.
Fundamentet for behandling av personopplysninger etter loven her er tett oppfølging av, og dialog med, den eller de registrerte. Departementet stiller seg bak Datatilsynets beskrivelse av viktigheten av informasjon til de registrerte. Klar og tydelig informasjon skal gis i tråd med personvernforordningen artikkel 13 og 14, med mindre det foreligger relevante unntak, for eksempel i personopplysningsloven § 16 første ledd bokstav d.
15.4.3 Bruk av opplysninger til statistikk og analyse
Kommunene har behov for å bruke innsamlede personopplysninger til utarbeidelse av statistikk og analyser for å støtte opp under deres boligsosiale arbeid. Departementet er enig med Justis- og beredskapsdepartementet i at kommunenes bruk av personopplysninger til statistikk og til analyse anses som et forenlig formål hos den behandlingsansvarlige, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Departementet foreslår at adgangen til denne viderebehandlingen reguleres særskilt, i lovforslagets § 8 annet ledd.
Departementet viser til at personopplysningsloven § 8 åpner for at personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for blant annet arkivformål og statistiske formål. Videre åpner personopplysningsloven § 9 for det samme når det gjelder særlige kategorier av personopplysninger. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.
For å sikre at nødvendige garantier oppfylles, følger det av ordlyden i lovforslagets § 8 at anonymiserte opplysninger skal benyttes dersom formålet kan oppnås ved bruk av slike opplysninger. Ved behandlingen skal det videre innføres tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes. Departementet legger til grunn at kommunene ved viderebruk av opplysninger til statistiske formål tar hensyn til personvernforordningens grunnprinsipper, og dermed kun behandler personopplysninger som er nødvendig for å utarbeide statistikk og analyse i samsvar med prinsippet om dataminimering. Departementet legger videre til grunn at kommunene som hovedregel aggregerer data og jobber med analyser der data presenteres på gruppenivå. Departementet vil vurdere behov for videre regulering av behandling av personopplysninger til statistiske formål i forskriftsarbeidet.
15.4.4 Tilgangsstyring og informasjonsdeling i kommunenes fagsystemer
Asker kommune ønsker at departementet gjennomfører en Data Protection Impact Assessment («DPIA»). En DPIA er en personvernkonsekvensvurdering, som etter personvernforordningen kan gjøres som en del av den generelle konsekvensvurderingen av et lovforslag. Dette følger implisitt av personvernforordningen artikkel 35 nr. 10. Slik departementet ser det, er slike utredninger mest praktisk i de tilfellene en lov skal regulere konkrete behandlingsaktiviteter. Dette lovforslaget legger til rette for et felles rettslig rammeverk for behandling i alle kommunene. Det vil kunne være store variasjoner hva gjelder blant annet valg av tekniske og organisatoriske løsninger som kan påvirke gjennomføringen av, og utfallet av, en DPIA. Departementet vurderer derfor at det er riktigere at kommunene gjør en DPIA selv og iverksetter de tiltakene de mener er nødvendige. Kommuner som bruker samme eller en lignende løsning bør kunne gjennomføre en felles DPIA. Departementet vil imidlertid gjennom forskriftsarbeidet ta stilling til hvilke kilder personopplysninger kan innhentes fra og hvilke personopplysninger som er nødvendige for dette formålet. Slik vil også dette arbeidet bidra til å minimere konsekvensene for de registrertes personvern og gjøre gjennomføringen av eventuelle lokale DPIAer enklere.
Departementet er enig med Statsforvalteren i Agder i at man i utviklingen av Kobo eller andre relevante systemer må være bevisst både tilgangsstyring og hvordan det legges til rette for informasjonsdeling. Departementet understreker at alle systemløsninger som benyttes i denne sammenheng må ivareta personvernforordningens krav. Valg av systemløsninger vil også kunne være et viktig moment ved gjennomføringen av en DPIA. Samhandling mellom kommunene kan være fordelaktig både i arbeidet med DPIA og andre vurderinger av tiltak knyttet til personvern og informasjonssikkerhet som tilgangsstyring og informasjonsdeling.
15.4.5 Behandling av personopplysninger i kommunale ordninger
Som det fremgår i kapittel 7, er formålet med loven blant annet at vanskeligstilte på boligmarkedet skal få bistand til å skaffe seg og beholde en egnet bolig. Den enkelte kommune har ansvaret for å gi individuelt tilpasset bistand til vanskeligstilte på boligmarkedet, og vurderer selv hvilken bistand den skal gi. Noen ganger kan bistanden lede til at kommunen finner det hensiktsmessig å benytte virkemidler som ikke er regulert i denne loven, men i egne kommunale forskrifter, retningslinjer eller lignende. Dette kan typisk være kommunal bolig og kommunal bostøtte. Departementet presiserer at den nødvendige behandlingen av personopplysninger kommunen gjør i disse tilfellene, er å anse som en del av oppfølgingen av, og bistanden til, den vanskeligstilte. På denne bakgrunnen legger departementet til grunn at forslaget til hjemmel for behandling av personopplysninger også dekker den behandlingen kommunen gjør i forbindelse med egne ordninger på feltet.