5 Behandling av personopplysninger og Mattilsynets ansvar og oppgaver etter kosmetikklova
5.1 Innledning
Personopplysningsloven og personvernforordningen, stiller krav til tilstrekkelig behandlingsgrunnlag for behandling av personopplysninger. Personvernregelverket oppstiller et generelt rettsgrunnlag for offentlige myndigheters behandling av personopplysninger, forutsatt at myndigheten har tilstrekkelig grunnlag for den konkrete behandlingen i særlov. Det innebærer at det kreves et eget rettsgrunnlag for å utføre en oppgave der behandling av personopplysninger er nødvendig for å utføre oppgaven. Grunnloven og Den europeiske menneskerettskonvensjon (EMK) har tilsvarende krav knyttet til hjemmelsgrunnlag for det offentliges inngrep i privatlivet. Mattilsynet er utpekt til å være tilsynsmyndighet på kosmetikklovas område, jf. § 16 sjette ledd. I forbindelse med Mattilsynets arbeid og tilsynsaktivitet er det i enkelte tilfeller nødvendig å behandle personopplysninger.
Departementet har identifisert et behov for å tydeliggjøre det overordnede ansvaret og oppgavene Mattilsynet har i dag, der det er mistanke om at kosmetikk, kroppspleieprodukt og andre produkt som er omfattet av loven ikke er helsemessig sikre for mennesker eller dyr. Det er hensiktsmessig å sikre et klart rettslig grunnlag for dagens praksis. I tillegg til å sørge for at Mattilsynet har tilstrekkelig klart rettslig grunnlag for å utføre oppgaver som medfører behov for behandling av personopplysninger. Videre er det behov for en tydelig lovhjemmel for behandling av personopplysninger.
5.2 Gjeldende rett
5.2.1 Overordnet om gjeldende rett
I punkt 5.2.2 gis det en kort samlet oversikt over ulike lover og forskrifter. En mer utførlig omtale av de aktuelle lovene og forskriftene er beskrevet i omtalen av gjeldende rett knyttet til forhold på matlovens område, og det henvises til de aktuelle omtalene der det er aktuelt. I punkt 5.2.3 omtales kosmetikklova og forskrift 27. februar 2008 nr. 219 om meldeplikt for helsepersonell ved mistanke om bivirkninger av kosmetikk og kroppspleieprodukter.
5.2.2 Samlet omtale av ulike lover og forskrifter
Behandling av personopplysninger regnes som inngrep i de registrertes privatliv. Det følger av Grunnloven § 102 og EMK artikkel 8 at inngrep i privatliv må ha tilstrekkelig rettslig grunnlag. Den nærmere omtalen av disse bestemmelsene er som for Mattilsynets myndighetsutøvelse og behandling av personopplysninger på matlovens område også relevant for kosmetikkområdet. Det vises til omtalen om Grunnloven og EMK i punkt 4.2.2.
Personopplysningsloven og personvernforordningen stiller krav til behandling av personopplysninger, som er opplysninger om en identifisert eller identifiserbar fysisk person, jf. definisjonen i personvernforordningen artikkel 4 nr. 1. Med behandling av slike opplysninger menes enhver operasjon som gjøres med personopplysninger, inkludert innsamling, registering og deling av opplysninger, jf. definisjonen i personvernforordningen artikkel 4 nr. 2. Dette innebærer at personopplysningsloven blant annet gjelder for det arbeidet Mattilsynet gjør med behandling, innhenting og videreformidling av opplysninger om enkeltpersoner etter kosmetikklova. Blant annet kan Mattilsynet kun behandle personopplysninger som er nødvendige for formålet med behandlingen, og det skal være korrekte opplysninger som registreres. Opplysningene skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet og det stilles krav til hvordan opplysningene oppbevares. Det vises til omtale av personopplysingsloven og personvernforordningen i punkt 4.2.3.
Helseregisterloven kan komme til anvendelse når det gjelder Mattilsynets behandling av helseopplysninger i visse tilfeller. Det gjelder dersom helseopplysninger samles i registre og dersom Mattilsynet behandler opplysningene som ledd i å utføre en oppgave som en del av helseforvaltningen. Se nærmere beskrivelse av helseregisterloven i punkt 4.2.4.
Smittevernloven har etter § 1-1 til formål å verne befolkningen mot smittsomme sykdommer ved å forebygge dem og motvirke at de overføres i befolkningen, samt motvirke at slike sykdommer føres inn i Norge eller føres ut av Norge til andre land. Med smittsom sykdom menes en sykdom eller smittebærertilstand som er forårsaket av mikroorganismer eller andre smittestoff som kan overføres fra, til eller mellom mennesker jf. § 1-3. Smittevernloven har i § 4-10 generelle bestemmelser om plikt for blant annet Mattilsynet til å ha særlig oppmerksomhet rettet mot smittsomme sykdommer, og å bistå med gjennomføring og overholdelse av bestemmelser i smittevernloven. Hva som ligger i dette er noe nærmere beskrevet i merknadene til § 4-10 i Ot.prp. nr. 91 (1992–93) del IV. Der framgår det blant annet at Mattilsynet skal ta hensyn til og tilrettelegge egen virksomhet og myndighetsutøvelse for å forebygge opptreden eller motvirke overføring av en smittsom sykdom. Om bistandsplikten står det at den omfatter bistand på utstyr- og personellsiden og at den aktuelle situasjonen vil være avgjørende for omfanget av bistanden. Omfanget og innholdet av denne bistandsplikten er imidlertid ikke omtalt nærmere hverken i smittevernloven, matloven eller kosmetikklova. En del av den generelle bistandsplikten omfatter smittesporing når produkter omfattet av kosmetikklova er mistenkt som smittekilde ved sykdom hos mennesker. Oppgavedelingen mellom Mattilsynet og Folkehelseinstituttet ved nasjonale utbrudd som skyldes smitte fra næringsmidler, dyr eller andre kilder under Mattilsynets forvaltning, som kosmetikk og produkter omfattet av kosmetikklova, er beskrevet i utbruddsveilederen kapittel 14.4.
Regelverket i smittevernloven og systemet i utbruddsveilederen vil være aktuelt dersom produkter omfattet av kosmetikklova bidrar til smitteutbrudd. Et eksempel er det store utbruddet av pseudomonas-bakterier der engangsvaskekluter var smittekilde på flere sykehus vinteren 2021/2022.
5.2.3 Kosmetikklova og forskrift om meldeplikt
Formålet i kosmetikklova § 1 er å bidra til at kosmetikk, kroppspleieprodukter og øvrige produkter som omfattes av loven er helsemessig sikre for mennesker og dyr. Mattilsynet er tilsynsmyndighet etter kosmetikklova og skal føre tilsyn med at loven og bestemmelser gitt i forskrift i medhold av loven følges, og fatte nødvendige vedtak etter § 16. Mattilsynet skal ikke behandle eller følge opp personer som har blitt syke av kosmetikk eller andre produkter omfattet av loven. Det er helsevesenets ansvar. Mattilsynet har imidlertid en rolle i arbeidet med sporing og tilbaketrekning fra markedet av produkter omfattet av kosmetikklova, dersom produktene ikke er helsemessig sikre for mennesker eller dyr.
Kosmetikklova har et bredt virkeområde og omfatter etter § 2 alle forhold i sammenheng med utvikling, produksjon, import, bearbeiding, distribusjon, eksport og omsetning av en rekke nærmere definerte produkter. Dette omfatter blant annet kosmetikk og kroppspleieprodukter for mennesker og dyr, legemiddelnære kroppspleieprodukter, tatoveringsprodukter og injeksjonsprodukter. Loven omfatter også alle forhold i sammenheng med produksjon av materialer og gjenstander som er bestemte til å komme i kontakt med eller ha innvirkning på disse produktene. Loven retter seg mot virksomheter, som etter § 4 er definert vidt. Virksomheter omfatter private eller offentlige foretak eller privatpersoner som utfører en aktivitet omfattet av loven, unntatt aktivitet med privat eller ikke-kommersielt formål.
Etter § 5 er det forbudt å utvikle, produsere, importere, bearbeide, distribuere, eksportere, og omsette produkter som ikke er helsemessig sikre for mennesker eller dyr. Virksomheter har en plikt etter § 12 til å følge kravene og øvrige bestemmelser i loven eller forskrift gitt i medhold av loven.
Virksomheter plikter etter § 13 å gi Mattilsynet uhindret tilgang til steder og lokaler der det foregår aktivitet omfattet av loven, slik at Mattilsynet kan foreta nødvendige undersøkelser. I tillegg skal virksomheter etter § 14 straks varsle Mattilsynet ved mistanke om produkter som ikke er helsemessig sikre for mennesker eller dyr. I § 14 fjerde ledd er departementet gitt hjemmel til å fastsette forskrifter om opplysnings- og rapporteringsplikt for helsepersonell og andre. Det er gitt en forskrift om meldeplikt for helsepersonell med hjemmel i kosmetikklova § 14 tredje ledd, forskrift 27. februar 2008 nr. 219 om meldeplikt for helsepersonell ved mistanke om bivirkninger av kosmetikk og kroppspleieprodukter. Etter forskriften skal helsepersonell som i pasientrettet virksomhet fatter mistanke om at et produkt har ført til bivirkning, spørre pasienten om vedkommende samtykker til at helsepersonellet informerer ansvarlig myndighet, Mattilsynet, om mistanken. Dersom pasienten samtykker, skal helsepersonellet gi Mattilsynet melding om mistanken.
Kosmetikklova § 16 fastsetter Mattilsynets personelle kompetanse til å føre tilsyn og fatte nødvendige vedtak om å forby utvikling, produksjon, import, bearbeiding, distribusjon, eksport og omsetning av produkter, og om beslaglegning, destruksjon og stenging av virksomheter. Videre inneholder § 16 femte ledd en plikt for offentlige myndigheter til å avgi nødvendige opplysninger til Mattilsynet dersom tilsynet ber om det, og politi, Tolletaten, kystvakt og kommuner har en lovfestet plikt til å yte bistand dersom tilsynet ber om det.
Etter kosmetikklova § 17 kan Mattilsynet opprette «personregistre», registre der opplysninger om privatpersoner registreres, dersom de anses som virksomheter etter § 4 bokstav b, men også øvrige opplysninger om virksomhetene. Bestemmelsen omfatter ikke registrering av særlige kategorier av personopplysninger, for eksempel helseopplysninger om privatpersoner som anses som virksomheter. Bestemmelsen gjelder heller ikke behandling av opplysninger om andre privatpersoner enn dem som regnes som virksomheter etter loven. Dette innebærer at Mattilsynet må basere seg på behandlingsgrunnlagene som oppstilles i personvernforordningen artikkel 9 for å behandle særskilte kategorier av personopplysninger, når helseopplysninger registreres. For eksempel opplysninger om at en privatperson har fått helseskader etter bruk av kosmetikk.
5.3 Høringsforslaget
I høringsnotatet foreslo departementet endringer i kosmetikklova i ny § 16 a, endret § 17 og ny § 17 a. Departementet foreslo en ny hjemmel i § 16 a som tydeliggjorde tilsynsmyndighetens, Mattilsynets, ansvar og oppgaver ved fare for helseskade fra produkter som er omfattet av loven. Formålet var å tydeliggjøre i loven det ansvaret og de oppgavene Mattilsynet har i dag.
Videre foreslo departementet en omformulering av § 17 for behandling av personopplysninger knyttet til virksomheter. Forslaget til endret § 17 innebar en presisering og tilpasning av bestemmelsen til gjeldende regler i personopplysningsloven og personvernforordningen. Det ble også foreslått to forskriftshjemler i annet og tredje ledd, om behandling av personopplysninger og plikt til å gi opplysninger til tilsynsorganet.
Forslaget til ny § 17 a innebar en ny hjemmel for behandling av personopplysninger som knytter seg til privatpersoner som ikke regnes som virksomheter etter kosmetikklova § 4 bokstav b. Formålet med bestemmelsen var å foreslå en tydelig hjemmel for tilsynsorganets behandling av slike opplysninger, og tilpasse bestemmelsen til gjeldende regler i personopplysningsloven og personvernforordningen. Det ble foreslått en forskriftshjemmel i annet ledd, for å kunne gi nærmere bestemmelser i forskrift dersom det skulle bli behov for det.
5.4 Høringsinstansenes syn
Ingen av høringsinstansene hadde merknader til forslaget til ny § 16 a.
Den Norske Advokatforening mener at det bør gjøres lovtekniske endringer i forslagene om endringer i kosmetikklova §§ 17 og 17 a. De mener at tilsynsorganets behandling av personopplysninger bør reguleres samlet og fortrinnsvis i én bestemmelse, tilsvarende som i forslaget til matloven § 29 a. De mener at det ikke bør skilles mellom behandling av personopplysninger om henholdsvis virksomheter og privatpersoner. De viser også til at et skille mellom bestemmelser om personopplysninger som er knyttet til en person i egenskap av privatperson eller i tilknytning til en virksomhet, vil kunne bli vanskelig å praktisere. De mener videre at bestemmelsen om tilsynsorganets adgang til å behandle opplysninger bør omfatte særlige kategorier (artikkel 9) og opplysninger om straffedommer mv. (artikkel 10).
Datatilsynet har gitt merknader til bestemmelsene om behandling av personopplysninger,både i matloven og kosmetikklova §§ 17 og 17 a, jf. omtalen av høringssvaret i punkt 4.5.2.
Kripos uttaler at: «Hva gjelder forslaget om at behandlingen av personopplysninger nå skal skje med lovhjemmel som rettslig grunnlag vurderer vi denne endringen som nyttig. En slik tydelig lovhjemmel gir forutberegnelighet for søkeren.» Politidirektoratet slutter seg til høringsinnspillet fra Kripos.
5.5 Departementets vurderinger
5.5.1 Mattilsynets ansvar og rolle i å bidra til helsemessig sikre produkter
Etter departementets vurdering er det behov for og hensiktsmessig å tydeliggjøre ansvaret og oppgavene Mattilsynet har, når det er mistanke om at kosmetikk og produkter omfattet av loven ikke er helsemessig sikre for mennesker eller dyr. Departementet opprettholder derfor forslaget til ny § 16 a, med noen justeringer.
Mattilsynet har et tilsynsansvar etter § 16. Mattilsynets ansvar går imidlertid lenger enn å føre tilsyn med at virksomheter følger lovens bestemmelser. Mattilsynet har også en rolle i å forebygge at produkter ikke medfører helseskade, og ved sporing og koordinering ved mistanke om fare for menneskers eller dyrs helse. Det framgår ikke eksplisitt i lovhjemlene, men følger forutsetningsvis av tilsynshjemmelen i § 16 og lovens formål i § 1. Departementet mener forslaget vil klargjøre Mattilsynets rolle og overordnede ansvar om å bidra til å sikre helsemessig sikre produkter. Departementet mener forslaget kodifiserer gjeldende praksis, og tydeliggjør de rettslige rammene for praksisen. Forslaget vil også bidra til å sikre den enkeltes rettsvern. Forslaget endrer eller påvirker ikke bestemmelsene i loven om at det er virksomhetene som har ansvar for at produkter som omfattes av kosmetikklova er helsemessig sikre, jf. §§ 5 og 12. Forslaget innebærer ikke at Mattilsynet skal håndtere sykdom hos mennesker, det er helsevesenets oppgave.
I § 16 a første ledd foreslår departementet en plikt for Mattilsynet til å «medverke til å førebyggje eller avgrense omfanget av helseskade», når det er «mistanke om at kosmetikk, kroppspleieprodukt og andre produkt omfatta av lova ikkje er helsemessig sikre for menneske eller dyr». Departementet foreslår at bidragsplikten skal inntre når det er mistanke om at produkt «ikkje er helsemessig sikre for mennesker eller dyr». Departementet mener det er hensiktsmessig og mer riktig ut fra oppgavene Mattilsynet har i dag, at plikten knyttes nærmere opp til lovens formål. Lovens formål etter § 1 er å bidra til at kosmetikk og produkter omfattet av loven er helsemessig sikre for mennesker og dyr. Hva som skal til for at produkt «ikkje er helsemessig sikre for mennesker eller dyr», må vurderes konkret. Departementet ser det ikke som hensiktsmessig med en nærmere utdyping av dette i loven. Det vil måtte gjøres en konkret vurdering av hvorvidt det i det enkelte tilfellet dreier seg om et produkt som ikke er helsemessig sikkert og som krever særskilt forebygging eller oppfølging. Departementet går bort fra forslaget som ble hørt, om at kosmetikk og produkt omfattet av loven «kan medføre fare for alvorlige helsemessige konsekvensar for menneske eller dyr». Departementet ser at «alvorlige helsemessige konsekvensar» kan medføre en uhensiktsmessig terskel og innstramming i de oppgavene Mattilsynet har i dag. Dette var ikke hensikten, da formålet med bestemmelsen er å tydeliggjøre dagens praksis.
I § 16 a andre ledd gis Mattilsynet en informasjonsplikt, som er utformet basert på matloven § 27 første ledd. Departementet opprettholder forslaget som ble sendt på høring om at «ved mistanke om at det kan oppstå fare for helsa til menneske eller dyr som følgje av produkt omfatta av lova, skal tilsynsorganet på eige initiativ gi relevant informasjon til allmenta.» Formålet med varslingsplikten er å informere allmennheten og begrense et mulig skadeomfang. Forslaget er ikke ment å endre Mattilsynets praksis, men synliggjøre praksisen Mattilsynet alt har i dag. Mattilsynet må, slik de alt gjør i dag, foreta en konkret vurdering av når det kan være grunnlag for å gi informasjon til allmennheten.
Utover informasjonsplikten som foreslås i andre ledd, vil Mattilsynet uansett kunne informere om saker de mener allmennheten bør være oppmerksom på, dersom de mener det er behov for dette i tråd med god forvaltningsskikk og ut fra sitt tilsyns- og forvaltningsansvar. For eksempel kan tilsynet gi informasjon ut fra andre hensyn, som forbrukerhensyn, miljøhensyn osv.
Departementet mener at ny § 16 a også vil kunne utgjøre et godt supplerende rettsgrunnlag for Mattilsynets behandling av personopplysninger. Synliggjøringen av disse oppgavene i kosmetikklova vil etter departementets vurdering bidra til bedre samsvar med krav til supplerende rettsgrunnlag i personvernforordningen og forslaget til ny § 17 a i kosmetikklova, omtalt i punkt 5.5.2.
5.5.2 Mattilsynets behandling av personopplysninger
Departementet foreslår en ny bestemmelse om behandling av personopplysninger i § 17 a, tilsvarende som for matloven § 29 a. Departementet har vurdert høringsforslagene og kommentarene i høringen og foreslår likelydende bestemmelser om behandling av personopplysninger i kosmetikklova som i matloven. Departementet går derfor bort fra de foreslåtte endringene i § 17 og den foreslåtte § 17 a som ble sendt på høring. Forslagene i de to bestemmelsene skulle regulere behandling av personopplysninger om henholdsvis virksomheter og privatpersoner. Dagens § 17 om personregister gjøres det ingen endringer i.
Mattilsynet behandler i dag personopplysninger som ledd i utøvelse av offentlig myndighet. Dette vil ofte være nødvendig av hensyn til utførelsen av en oppgave i samfunnets interesse. Behandlingen kan derfor i stor grad hjemles i personvernforordningen artikkel 6 nr. 1 bokstav e. Selv om oppgavene i dag i hovedsak er lovpålagte, og behandlingen derfor forutsetningsvis allerede må antas å følge av nasjonal rett, jf. artikkel 6 nr. 3 om supplerende rettsgrunnlag, mener departementet at det er hensiktsmessig at kosmetikklova, tilsvarende som for matloven, se punkt 4.5.3, gir en uttrykkelig hjemmel for behandling av personopplysninger. Dette er i tråd med personvernforordningens krav til tydelighet og forutsigbarhet. En slik hjemmel vil også kunne bidra til å skape større bevissthet rundt behandlingen i de enkelte tilfellene.
Ny § 17 a foreslås formulert tilsvarende som ny § 29 a i matloven og gjeldende § 36 a i dyrevelferdsloven, om at tilsynsmyndigheten kan behandle personopplysninger når det er nødvendig for å utføre lovpålagte oppgaver. Departementet anser det som hensiktsmessig at kosmetikklova, dyrevelferdsloven og matloven har like hjemler for behandling av personopplysninger, ettersom Mattilsynet er tilsynsmyndighet etter alle lovene. Det kan sikre lik praksis og fortolkning. Videre foreslås en likelydende forskriftshjemmel som i de øvrige regelverkene. Denne vil blant annet åpne for å gi nærmere forskrifter dersom det skulle bli behov for dette, eksempelvis om behandling av personopplysninger, formålet med behandlingen, behandlingsansvar osv.
Det understrekes at bestemmelsen i ny § 17 a ikke skal anvendes alene, men at den i de enkelte tilfellene må holdes opp mot øvrige bestemmelser i lov eller forskrift som tillegger Mattilsynet myndighet eller pålegger tilsynet oppgaver. I lys av kravet om nødvendighet vil disse bestemmelsene være vesentlige for å fastlegge nærmere i hvilken utstrekning det kan behandles personopplysninger. Eksempelvis bestemmelser om planlegging og gjennomføring av tilsyn etter kosmetikklova § 16 og relevante forskrifter hjemlet i loven.
Når det gjelder Mattilsynets behandling av særlige kategorier personopplysninger på kosmetikkområdet, vil det være aktuelt å begrunne behandlingen i artikkel 9 nr. 2 bokstavene g og i, om at behandlingen må være nødvendig av hensyn til viktige allmenne interesser eller allmenne folkehelsehensyn. Det kan for eksempel være nødvendig for Mattilsynet å behandle opplysningene så de kan iverksette nødvendige tiltak for å hindre omsetning av kosmetiske produkter som ikke er helsemessig sikre for mennesker eller dyr. Vilkårene i bokstav g og i krever, som nevnt i punkt 4.2.3, at det stilles ytterligere krav til rettsgrunnlaget for Mattilsynets behandling av særlige kategorier personopplysninger. Videre må det også tas hensyn til krav til hjemmelsgrunnlaget for det offentliges inngrep i den enkeltes privatliv i henhold til Grunnloven § 102 og EMK artikkel 8. På denne bakgrunn mener departementet at det er hensiktsmessig å presisere i ny § 17 a at Mattilsynet også kan behandle slike særlige kategorier personopplysninger.
Forslaget omfatter også behandling av personopplysninger om straffbare forhold som er særlig regulert i personvernforordningen artikkel 10 (behandling av personopplysninger om straffedommer og lovovertredelser). Artikkel 10 krever ikke at det fastsettes nasjonale eller særskilte lovbestemmelser for behandling av slike personopplysninger. Det er derfor ikke krav om at det lovfestes eksplisitt for Mattilsynets behandling av slike opplysninger. Departementet anser imidlertid at det er hensiktsmessig å vise uttrykkelig til artikkel 10 i ny § 17 a, for å tydeliggjøre at Mattilsynet kan behandle slike personopplysninger og sikre den registrerte større forutberegnelighet. Behandling av slike opplysninger kan være aktuelt for Mattilsynet der de behandler lovovertredelser og anmelder saker til politiet eller vurderer opptrappende virkemiddelbruk.
Departementet foreslår at det overordnede formålet med behandlingen av opplysningene, «utføre oppgåver etter denne lova», framgår av § 17 a, som for matloven § 29 a. Videre foreslår departementet også for kosmetikklova en presisering av at opplysninger bare kan behandles når dette er «nødvendig». Denne begrensningen innebærer at det ikke skal innhentes eller på annen måte behandles flere eller andre opplysninger enn det som er nødvendig ut fra formålene for behandlingen. For departementets vurderinger knyttet til nødvendighetskravet vises det til punkt 4.5.3 for endringer i matloven som vil gjelde tilsvarende for kosmetikklova med tilhørende forskrifter.
Departementet anser det ikke som hensiktsmessig å presisere ytterligere i § 17 a hvilke personopplysninger som kan behandles, hvem det behandles personopplysninger om, hvor lenge personopplysningene kan lagres eller hvilke andre ulempereduserende tiltak som skal gjelde, slik Datatilsynet foreslo i høringen. Det vises ellers til punkt 4.5.3 for endringer i matloven med vurderingene på bakgrunn av Datatilsynets høringssvar. Hvilke personopplysninger som kan behandles og hvem det behandles personopplysninger om med videre, vil bero på en konkret vurdering av hva som er nødvendig for at Mattilsynet kan gjennomføre sine oppgaver. Det er departementets vurdering at lovligheten av behandlingen avgrenses tilstrekkelig gjennom vilkåret om at behandlingen må være nødvendig for å utføre oppgaver etter kosmetikklova. Videre viser departementet til at personopplysningsloven og personvernforordningen stiller nærmere krav til hvordan personopplysninger skal behandles. Det vises til omtalen for matloven § 29 a i punkt 4.5.3.
En eventuell forskriftsbestemmelse, hjemlet i ny § 17 a andre ledd, kan utgjøre et behandlingsgrunnlag etter forordningen og den kan bidra til å sikre den registrertes personvern ytterligere. Det understrekes at den foreslåtte forskriftshjemmelen bare gir en mulighet til å fastsette slike regler i forskrift. Forskriftshjemmelen kan dermed brukes til å gi mer spesifikke bestemmelser dersom det skulle vise seg å være nødvendig.
Selv om departementet her foreslår tydeliggjøring av det supplerende rettsgrunnlaget for Mattilsynets behandling av personopplysninger, er det avgjørende at oppgaven som medfører slik behandling følger av kosmetikklova eller forskrift med hjemmel i loven. Bestemmelsen må dermed tolkes i lys av hvilke oppgaver Mattilsynet har etter kosmetikklova. Videre må forslaget til ny § 17 a leses i sammenheng med øvrige forslag i denne lovproposisjonen, om tydeliggjøring av enkelte av Mattilsynets oppgaver innenfor kosmetikklovas område.
I tillegg må Mattilsynet når de er behandlingsansvarlige på selvstendig grunnlag vurdere behandlingen av personopplysninger opp mot retten til privatliv. Det innebærer blant annet en vurdering av om behandlingens formål oppfyller kravet om legitimitet og om inngrepet som behandlingen innebærer anses forholdsmessig. Det må foretas en avveining mellom hensynet som taler for inngrepet og hensynet til borgeren som blir utsatt for en belastning som følge av inngrepet. Dette følger av kravene som stilles for inngrep i retten til privatliv, se nærmere omtale for matloven i punkt 4.2.2 og 4.5.3.
Ulempereduserende tiltak kan bidra til å begrense hvor inngripende behandlingen av personopplysninger er. Departementet mener at det er viktig å vurdere særlige tiltak som kan bidra til å gjøre behandlingen mindre inngripende og tiltak som kan bidra til ytterligere å sikre personvernet til den registrerte, for eksempel regler om hvordan opplysningene behandles (lagringstid, delingsadgang osv.). Dette følger også av krav om å sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser eller friheter, nedfelt i personvernforordningen artikkel 9 nr. 2 bokstavene g og i. Mattilsynet har i dag på plass flere sikkerhetstiltak som sikrer vern av personopplysninger. Tiltakene for å beskytte personopplysninger er sammensatt av fysiske, systematiske og organisatoriske- og administrative tiltak. Departementet vil videre understreke at opplysningene må innhentes, behandles og lagres i henhold til gjeldende regler om behandling av personopplysninger. Videre gjelder forvaltningslovens og helseregisterlovens regler om taushetsplikt for Mattilsynet og de opplysningene som tilsynet behandler. Nærmere krav til tiltak vil ved behov kunne fastsettes i forskrift med hjemmel i kosmetikklova § 17 a andre ledd.