4 Behovet for et supplerende rettsgrunnlag for behandling av personopplysninger – generelt
4.1 Høringsnotatet
Personvernforordningens artikkel 6 nr. 1 bokstav e gir adgang til behandling av personopplysninger når det er nødvendig for å «utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Dette vilkåret må anses oppfylt da oppgavene til de myndighetene som omfattes av forslaget her, i all hovedsak er pålagt gjennom lov eller forskrift. Departementet antok i høringsnotatet at også vedtak fattet i medhold av lov eller forskrift vil være tilstrekkelig rettsgrunnlag, ettersom det også i disse tilfellene foreligger lov eller forskriftsgrunnlag.
I høringsnotatet ble det vist til at det for behandling hjemlet i forordningens artikkel 6 nr. 1 bokstav e stilles krav om at det må foreligge et supplerende rettsgrunnlag, jf. artikkel 6 nr. 3. Det må følge av det supplerende rettsgrunnlaget at den behandlingsansvarlige er pålagt den offentlige myndigheten som fordrer behandling av personopplysninger. Det følger av fortalepunkt 41 at «når det i denne forordning vises til et rettslig grunnlag eller et lovgivningsmessig tiltak, krever dette ikke nødvendigvis en regelverksakt vedtatt av et parlament». Departementet la til grunn at lov- og forskriftsbestemmelser kan utgjøre supplerende rettsgrunnlag.
I høringsnotatet ble det videre uttalt:
«Justis- og beredskapsdepartementet har, for utøvelse av offentlig myndighet etter utlendingsloven, lagt til grunn at kravet om supplerende rettsgrunnlag etter forordningens artikkel 6 nr. 3 synes oppfylt dersom behandlingen forutsetningsvis fremgår av lov, og at det ikke er nødvendig at det supplerende rettsgrunnlaget uttrykkelig regulerer behandling av personopplysninger, se Prop. 59 L (2017–2018) om endringer i utlendingsloven punkt 4.1.3.1. Arbeids- og sosialdepartementet legger den samme vurderingen til grunn for utøvelse av offentlig myndighet etter lov om pensjonstrygden for sjømenn, lov om statens pensjonskasse, lov om pensjonstrygden for fiskere, lov om arbeids- og velferdsforvaltningen og lov om sosiale tjenester i arbeids- og velferdsforvaltningen.
Justis- og beredskapsdepartementet påpeker imidlertid at forordningen på dette punktet må tolkes og anvendes i lys av Grunnloven § 102 og EMK artikkel 8, noe som kan innebære strengere krav til spesifikt rettsgrunnlag enn det ordlyden i forordningen kan tilsi. Etter Grunnloven § 102 og EMK artikkel 8 beror kravene til rettsgrunnlag på en nærmere vurdering av blant annet hvor inngripende behandlingen er.
Justis- og beredskapsdepartementet uttaler:
«Behandling av saker etter utlendingsregelverket omfatter personopplysninger av et stort omfang, og opplysningene vil ofte være av sensitiv art. Myndighetene vil som regel også ha behov for at opplysningene lagres over lang tid. Departementet mener derfor at behandlingens omfang og varighet, og opplysningens karakter, innebærer at inngrepet er betydelig, noe som tilsier at behandlingen bør hjemles i lov. Dette gjelder særlig for behandling av særlige kategorier av personopplysninger. En uttrykkelig bestemmelse som foreslås her vil etter departementets syn være bedre i tråd med forordningens henstilling om tydelighet og forutsigbarhet, jf. fortalepunkt 41.»
Justis- og beredskapsdepartementet foreslo på denne bakgrunn en overordnet hjemmel for behandling av personopplysninger i utlendingsloven. Forslaget ble vedtatt ved lov 15. juni 2018 nr. 36.
Arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn og Garantikassen for fiskere behandler personopplysninger av et stort omfang, herunder særlige kategorier av personopplysninger. Arbeids- og sosialdepartementet mener derfor at behandlingen bør lovreguleres.
Hjemmel for behandling av personopplysninger i arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn og pensjonstrygden for fiskere følger i dag av de oppgavene som myndighetene i dag er tildelt ved lov eller med hjemmel i lov. Lovgivningen gir rammer og detaljer for hvilke personopplysninger som det vil være nødvendig å behandle for den enkelte sakstype. Når det gjelder Statens pensjonskasse, benyttes i tillegg samtykke eller avtale som grunnlag for behandling av personopplysninger, for eksempel for boliglån og enkelte erstatningsordninger.»
Departementet foreslo etter dette at de nevnte myndighetene gis en uttrykkelig hjemmel for behandling av personopplysninger i de respektive lovene. Formålet er å tydeliggjøre behandlingsgrunnlaget og å gi større forutberegnelighet for allmenheten. Det ble understreket at personvernforordningens grunnprinsipper gjelder. Dette gjelder blant annet kravet til at opplysningene skal innhentes til et bestemt formål, at opplysningene skal være nødvendige for at forvaltningsorganet skal utøve oppgaver det er pålagt, at opplysningene skal være riktige mv. Prinsippene vil ivaretas gjennom de rammene som er nedfelt i den loven som er grunnlag for behandlingen av personopplysningene i den enkelte saken.
4.2 Høringsinstansenes syn
Justis- og beredskapsdepartementet uttaler
«Rettsgrunnlag for behandling av «innhentede» personopplysninger
Flere av bestemmelsene i forslaget skal gi supplerende rettsgrunnlag for å behandle «innhentede» personopplysninger, jf. § 21 a første ledd i sjømannspensjonsloven, § 45 b første ledd i lov om Statens pensjonskasse, § 29 a første ledd i fiskerpensjonsloven og § 4 a første ledd i arbeids- og velferdsforvaltningsloven. Bestemmelsene er ikke ment å gi grunnlag for å innhente personopplysninger, og forutsetter at andre lovbestemmelser vil gi tilstrekkelig supplerende rettsgrunnlag for selve innhentingen. Vi forstår bestemmelsene slik at de skal åpne for behandling av personopplysningene for de formålene de er innhentet for, og ikke nye formål. Etter Justis- og beredskapsdepartementets vurdering er disse bestemmelsene unødvendige, og de vil kunne skape misforståelser.
Når det forutsettes at en offentlig myndighet har tilstrekkelig rettsgrunnlag for å innhente personopplysninger for et bestemt formål, må det som et klart utgangspunkt antas at organet også har grunnlag for videre behandlingsaktiviteter for samme formål, for eksempel lagring, saksbehandling osv. Bestemmelser som åpner for å «innhente» personopplysninger, må i mangel av holdepunkter for det motsatte forstås slik at opplysningene også skal kunne brukes. Ellers vil bestemmelsene bli nokså meningsløse. Ved vurderingen av om det foreligger supplerende rettsgrunnlag etter personvernforordningen, må slike bestemmelser for øvrig sees i sammenheng med øvrige bestemmelser om organets oppgaver, myndighet mv., som også bidrar til å gi supplerende rettsgrunnlag.
Å fastsette særskilte bestemmelser om hvilke formål «innhentede» personopplysninger kan behandles for, vil på denne bakgrunn normalt bare være nødvendig dersom det er tale om andre formål enn det som lå til grunn for innsamlingen, med andre ord ved viderebehandling. Av denne grunn vil det også være nærliggende å lese bestemmelser om «innhentede personopplysninger» slik at de dreier seg om nettopp viderebehandling. Skatteforvaltningsloven § 5-11 første ledd er et eksempel på en slik bestemmelse. Her brukes ordlyden «innhentede personopplysninger» for å signalisere at bestemmelsen gir grunnlag for viderebehandling.
Bestemmelsene om «innhentede» opplysninger som ikke er ment å gi grunnlag for viderebehandling, vil altså lett kunne misforstås og leses slik at de åpner for viderebehandling i svært vid utstrekning. Dette gjelder ikke minst dersom ordlyden «innhentede personopplysninger» brukes i øvrige ledd i de samme bestemmelsene for å regulere viderebehandling, se for eksempel fjerde og femte ledd i forslaget til § 21 a i sjømannspensjonsloven. På denne bakgrunn bør bestemmelsene om behandling av «innhentede personopplysninger» for samme formål som de er innhentet for, utgå.»
KLP uttaler
«KLP vil bemerke at departementet ved endringer av de øvrige pensjonslovene normalt også gjør tilsvarende endringer i Lov om pensjonsordning for sykepleiere. Departementet peker i høringsnotatets punkt 2.4 på SPKs behov for hjemmel for behandling av personopplysninger og behov for å kunne fatte automatiserte avgjørelser. KLP kan vanskelig se at ikke de samme behov og hensyn tilsvarende gjør seg gjeldende for behandling av personopplysninger og automatiserte avgjørelser i forbindelse med administrasjon av Pensjonsordningen for sykepleiere. Tilsvarende gjelder også for senere gjenbruk av personopplysninger for statistiske formål.
KLP ber derfor Arbeids- og sosialdepartementet å foreslå tilsvarende endringer i Lov om pensjonsordning for sykepleiere som de som er foreslått i Lov om Statens pensjonskasse.»
Utenriksdepartementet uttaler
«Blant de pensjonsordningene som Statens pensjonskasse administrerer, er en nettoordning med hjemmel i lov om pensjonsordning for ledsagere i utenrikstjenesten. Det er Utenriksdepartementet som rapporterer inn ledsagertiden til Statens pensjonskasse. Ledsagerne er i begrenset grad selv ansatte i departementet. Loven har ingen bestemmelser om behandling av personopplysninger. Med henvisning til personvernforordningen artikkel 6 nr. 3, jf. nr. 1 bokstav e, bør det vurderes om det er behov for en bestemmelse i loven for Utenriksdepartementet og Statens pensjonskasse til å behandle personopplysninger som er nødvendige for å behandle saker som gjelder pensjon etter nevnte lov.»
Pensjonskasseforeningen uttaler
«Etter GDPR-forordningen, 2016/679, er helautomatisert saksbehandling og avgjørelse tillatt dersom slik behandling er hjemlet i nasjonal rett, og det er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Pensjonsinnretninger foretar en økende andel automatiserte avgjørelser. Automatisering av beslutningsprosesser kan gi store effektivitets-gevinster, særlig der saksmengden er stor. Dette kan også bidra til økt likebehandling, da alle som etter systemets kriterier er i samme situasjon, automatisk behandles likt. Departementet foreslår på denne bakgrunn en lovbestemmelse for nevnte enheter om at det skal kunne treffes avgjørelser som utelukkende er basert på automatisert behandling av personopplysninger. I lovforslaget presiseres det at behandlingen må sikre partens krav til forsvarlig saksbehandling og være forenlig med retten til vern av personopplysninger. I tillegg foreslås det at den helautomatiserte avgjørelsen ikke kan bygge på skjønnsmessige vilkår, med mindre avgjørelsen er utvilsom.
En tilsvarende hjemmel er ikke foreslått for øvrige tjenestepensjonsleverandører, herunder offentlige og private pensjonskasser. En slik forskjellsbehandling fremstår ikke som rasjonelt begrunnet, da pensjonsproduktene, arbeidsoppgavene, utfordringene og behovene i meget stor utstrekning er identiske relatert til personvern.
Departementet uttaler i høringsnotatet;
Ved å etablere tydelige lovhjemler avskjæres eventuelle tvils- og tolkningsspørsmål som følger av dagens rettslige utgangspunkt, og slik sett vil forslaget bidra til effektivisering.
Det er vanskelig å se at de samme hensyn ikke vil gjøre seg gjeldende for øvrige pensjonsinnretninger.
Pensjonskasseforeningen anmoder departementet om å påse at også pensjonskassene får et tilsvarende hjemmelsgrunnlag som særlovsorganene, all den tid behovet og argumentasjonen for regelverksendringer er identiske. En eventuell begrunnelse for ulik behandling av tjenestepensjonsleverandørene er ikke lett tilgjengelig. Videre vil en fragmentarisk regulering av disse aspektene, kunne bidra til mer forvirring enn rettsavklaring.
Det legges til grunn at hjemmel kan etableres gjennom forsikringsvirksomhetsloven.»
4.3 Departementets vurdering og forslag
Hjemmel for behandling av personopplysninger i arbeids- og velferdsforvaltningen, Statens pensjonskasse, Pensjonstrygden for sjømenn og pensjonstrygden for fiskere følger i dag forutsetningsvis av de oppgavene som disse myndighetene er tildelt i de respektive lovene. Ettersom de nevnte myndighetene behandler personopplysninger om et stort antall borgere, og opplysningene ofte er sensitiv art, er det viktig at behandlingen skjer på grunnlag av en uttrykkelig hjemmel i tråd med forordningens anbefaling om tydelighet og forutsigbarhet.
Departementet foreslår på denne bakgrunn at det gis en overordnet hjemmel for behandling av personopplysninger i ny § 4 a andre ledd i arbeids- og velferdsforvaltningsloven, ny § 45 b andre ledd i lov om Statens pensjonskasse, ny § 21 a andre ledd lov om Pensjonstrygden for sjømenn, ny § 29 a andre ledd i lov om pensjonstrygd for fiskere. Se nærmere om forslagene i punkt 6.2.3, 7.4, 8.4.3, 9.4 og 10.4. Det skal understrekes at dette ikke utvider adgangen til å behandle opplysninger, men kun er en tydeliggjøring av gjeldende rett.
Departementet foreslo i høringsnotatet å innta bestemmelser om at aktuell myndighet «kan behandle innhentede personopplysninger (…)». Dette for å klargjøre at bestemmelsene i seg selv ikke gir hjemmel til å innhente opplysninger. Det ble vist til at hjemler for innhenting av opplysninger følger av særlovgivningen. Justis- og beredskapsdepartementet bemerket i sin høringsuttalelse at bestemmelser som åpner for å innhente personopplysninger, i mangel av holdepunkter for det motsatte, må forstås slik at opplysningene også skal kunne brukes. Justis- og beredskapsdepartementet uttalte videre at det normalt bare er nødvendig å fastsette særskilte bestemmelser om hvilke formål «innhentede» personopplysninger kan behandles for dersom det er tale om andre formål enn de som lå til grunn for innsamlingen. Av den grunn vil det være nærliggende å misforstå de foreslåtte bestemmelsene, og tro at de åpner for viderebehandling i svært vid utstrekning. Justis- og beredskapsdepartementet ga på denne bakgrunn uttrykk for at de foreslåtte bestemmelsene burde utgå. Departementet følger opp merknadene for Justis- og beredskapsdepartementet, og foreslår at ordet «innhentede» tas ut av bestemmelsen.
Ved lov 22. juni 1962 nr. 12 ble det opprettet en egen pensjonsordning for sykepleiere. Sykepleierne var tidligere innlemmet i Statens pensjonskasse og kommunale pensjonskasser. Loven sorterer under Arbeids- og sosialdepartementet og ordningen administreres av KLP. Som nevnt kan KLP vanskelig se at ikke de samme behov og hensyn tilsvarende gjør seg gjeldende for behandling av personopplysninger og automatiserte avgjørelser i forbindelse med administrasjonen av pensjonsordningen for sykepleiere. Departementet slutter seg til synspunktene fra KLP og følger opp dette i proposisjonen her. Det foreslås etter dette at lov om pensjonsordning for sykepleiere suppleres med en bestemmelse om at § 45 b i lov om Statens pensjonskasse gis tilsvarende anvendelse.
KLP peker i tillegg peke på at selskapets virksomhet når det gjelder offentlig tjenestepensjon har store likhetstrekk med SPK. Det vises til at det er de samme produkter som tilbys med et regelverk som i stor grad er sammenfallende. Etter Overføringsavtalens regelverk er det den pensjonsinnretning pensjonisten sist var tilknyttet som skal utbetale samlet pensjon. KLP mener derfor det er nødvendig at pensjonsinnretninger som tilbyr samme pensjonsprodukt som SPK, får en tilsvarende hjemmel for behandling av personopplysninger og automatiserte avgjørelser. KLP ber derfor om at departementet tar initiativ til at et slikt lovarbeid blir iverksatt.
Departementet bemerker at spørsmålet om generell hjemmel for KLP til å behandle personopplysninger ikke var tema i høringsnotatet som behandles i proposisjonen her. Departementet vil videre nevne at KLP er underlagt finansforetaksloven som sorterer under Finansdepartementet. Departementet vil følge opp dette spørsmålet i samråd med Finansdepartementet.
Pensjonskasseforeningen viser til at en tilsvarende hjemmel for å behandle personopplysninger ikke er foreslått for de øvrige tjenestepensjonsleverandørene. Departementet bemerker at spørsmålet om generell hjemmel for private tjenestepensjonsleverandører til å behandle personopplysninger ikke var tema i høringsnotatet som behandles i proposisjonen her. Departementet vil videre nevne at leverandører av private tjenestepensjoner er underlagt finansforetaksloven som sorterer under Finansdepartementet. Departementet vil følge opp dette spørsmålet i samråd med Finansdepartementet.
Utenriksdepartementet mener det bør vurderes om det er behov for en bestemmelse i lov om pensjonsordning for ledsagere i utenrikstjenesten for Utenriksdepartementet og Statens pensjonskasse til å behandle personopplysninger som er nødvendige for å behandle saker som gjelder pensjon etter nevnte lov.
Departementet slutter seg til dette, og foreslår at lov om pensjonsordning for ledsagere i utenrikstjenesten suppleres med en bestemmelse om at § 45 b i lov om Statens pensjonskasse gis tilsvarende anvendelse. Departementet skal bemerke at etter forslaget til ny § 45 b i lov om Statens pensjonskasse kan Statens pensjonskasse behandle personopplysninger, herunder personopplysninger som nevnt i personvernforordningen artikkel 9 og 10, når dette er nødvendig for å forvalte de ordningene som Pensjonskassen administrerer. Dette vil da også gjelde ledsagerordningen. Den nye hjemmelen for å behandle personopplysninger vil derfor i realiteten kun gjelde for Utenriksdepartementet.
4.4 Behandling av personopplysninger om straffedommer og lovovertredelser
Etter forordningen omfattes ikke personopplysninger om straffbare forhold mv. av reglene om særlige kategorier av personopplysninger. I stedet er slike opplysninger særlig regulert i artikkel 10 (behandling av personopplysninger om straffedommer og lovovertredelser). Bestemmelsen gjelder i tillegg til reglene om behandlingsgrunnlag i artikkel 6 og fastsetter visse nærmere vilkår for behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak.
Hovedregelen er at behandling bare kan skje «under en offentlig myndighets kontroll». Forordningens artikkel 10 krever ikke at det fastsettes nasjonale lovbestemmelser for behandling av personopplysninger om straffbare forhold under en offentlig myndighets kontroll. I disse tilfellene stiller ikke artikkel 10 særlige krav utover det som følger av de alminnelige reglene om behandlingsgrunnlag, jf. artikkel 6 nr. 1.
Behandling av opplysninger om straffedommer og lovovertredelser trenger altså ingen nærmere regulering i loven etter forordningen. Det stilles heller ikke tilsvarende strenge krav til behandlingen som for behandling av særlige kategorier av personopplysninger. Departementet finner det imidlertid hensiktsmessig at bestemmelsene om behandling av personopplysninger suppleres med en henvisning til artikkel 10 for å unngå tvil om også slike opplysninger omfattes. Det gir også større forutberegnelighet for den registrerte. Det vises i den forbindelse til utlendingsloven § 83 a hvor dette er gjort.