8 Behandling av personopplysninger
8.1 Forslaget i høringsnotatet
Høringsforslaget § 4 første ledd inneholdt en bestemmelse om kommisjonens grunnlag for å behandle personopplysninger. I høringsnotatet ble det gitt følgende redegjørelse for forslaget:
«Departementet viser til at lovforslaget vil innebære at kommisjonen vil innhente personopplysninger og i noen tilfeller særlige kategorier av personopplysninger og personopplysninger om straffbare forhold. Verken samtykke eller anonymisering anses som tilstrekkelig for kommisjonens innhenting av personopplysninger, jf. punkt 5.1, og departementet legger til grunn at et særskilt grunnlag for behandling av personopplysninger er nødvendig.
Departementet viser til at formålet med kommisjonens arbeid er å evaluere myndighetenes håndtering av Covid-19-utbruddet og fremme forslag til tiltak som kan bidra til å få en bedre fremtidig beredskap og krisehåndtering. Departementet finner derfor at selv om kommisjonens behandling av personopplysninger kan være inngripende, er samfunnsnytten av behandlingen så stor at den begrunner dette.
Departementet går derfor inn for å fastsette en lovbestemmelse som eksplisitt gir kommisjonen rett til å behandle personopplysninger som er nødvendige for formålet med kommisjonens arbeid. Dette skal kunne gjøres uten samtykke fra dem opplysningene gjelder, og også omfatte personopplysninger som nevnt i personvernforordningen artikkel 9 og 10.»
Høringsforslaget § 4 andre ledd inneholdt en bestemmelse som gjør unntak fra innsynsretten i personvernforordningen artikkel 15. I høringsnotatet ble det gitt følgende redegjørelse for forslaget:
«Departementet legger til grunn at det følger av personvernforordningen artikkel 23 nr. 1 bokstav e at nasjonal rett kan begrense rettighetene til den registrerte når en slik begrensning overholder det vesentligste innholdet i de grunnleggende rettighetene og frihetene, og er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre «viktige mål av generell allmenn interesse».
Det foreslås derfor, med grunnlag i personvernforordningen artikkel 23 nr. 1 bokstav e, et unntak fra den registrertes rett til innsyn i personopplysningene om vedkommende etter personvernforordningen artikkel 15. På bakgrunn av at kommisjonens arbeid skal foregå innenfor en tidsavgrenset periode, er departementets vurdering at det ikke er hensiktsmessig dersom en for stor del av kommisjonens arbeidstid går med til å behandle innsynskrav. Departementet foreslår derfor at denne innsynsretten ikke skal gjelde dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn. Det vises til at tilsvarende unntak gjelder ved behandling av personopplysninger for vitenskapelige forskningsformål.
Bestemmelsen, som foreslås tatt inn i § 4 andre ledd, innebærer at den registrertes rett til innsyn ikke gjelder «så langt det vil kreve en uforholdsmessig stor innsats å gi innsyn». Formuleringen «så langt» er vesentlig for at begrensningen i innsynsretten skal være i tråd med forholdsmessighetskravet i personvernforordningen artikkel 23. Forholdsmessighetsvurderingen skal være i samsvar med det som gjelder for vitenskapelige forskningsformål etter personopplysningsloven § 17, jf. Prop. 56 LS (2017–2018) side 217–218:
«Det kan bare gjøres unntak i den utstrekning innsyn er uforholdsmessig. Det må derfor foretas en konkret vurdering av de ulike typene informasjon som omfattes av artikkel 15. Det kan for eksempel kreve en uforholdsmessig innsats å gi en kopi av personopplysningene som behandles, jf. artikkel 15 nr. 3, men ikke å gi slik generell informasjon som er nevnt i artikkel 15 nr. 1 og 2. Da vil det foreligge innsynsrett etter artikkel 15 nr. 1 og 2, men ikke etter nr. 3. I forholdsmessighetsvurderingen inngår ikke bare den enkelte innsynsbegjæringen; også den samlede mengden av innsynsbegjæringer og potensielle innsynsbegjæringer kan tas i betraktning.»
Når det gjelder muligheten for å få overprøvd et eventuelt avslag på innsynskrav, viser departementet til at det er mulig å klage til Datatilsynet. Unntaket fra innsynsretten er ikke ment å begrense den registrertes rett til å klage og å bruke rettsmidler etter personvernforordningen kapittel 8.»
I høringsnotatet ble det uttrykkelig presisert at departementet ikke foreslo noen ytterligere begrensinger i den registrertes rettigheter etter personvernforordningen.
Når det gjelder øvrige spørsmål knyttet til kommisjonens behandling av personopplysninger, ble det gitt følgende redegjørelse i høringsnotatet:
«Kommisjonen skal løpende vurdere om de personopplysningene som til enhver tid behandles, er nødvendige for å gjennomføre oppgavene i kommisjonens mandat. Departementet viser her til personvernforordningen artikkel 5 nr. 1 bokstav c og e. Etter bokstav c om dataminimering skal behandling av personopplysninger være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Etter bokstav e skal opplysningene ikke lagres lenger enn det som er nødvendig for formålet.
Departementet legger til grunn at Koronakommisjonen selv vil være behandlingsansvarlig etter personvernforordningen artikkel 4 nr. 7, siden kommisjonen vil gjennomføre sitt arbeid uavhengig av Statsministerens kontor, Justis- og beredskapsdepartementet og andre organer. Som behandlingsansvarlig skal kommisjonen etter personvernforordningen artikkel 24 nr. 1 gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med forordningen. Den skal også foreta en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35 i den grad denne bestemmelsen kommer til anvendelse.»
8.2 Høringsinstansenes syn
Datatilsynet uttaler at det er hensiktsmessig at kommisjonen selv er behandlingsansvarlig etter personvernregelverket og påpeker at kommisjonen som behandlingsansvarlig har ansvar for at behandlingen av personopplysninger er nødvendig, jf. artikkel 5 nr. 1 bokstav c. Også Legeforeningen påpeker dette. Datatilsynet ber ellers om at departementet tar stilling til hvem som skal ivareta behandlingsansvaret etter koronakommisjonens opphør, og Helse Nord RHF etterlyser det samme.
Skatteetaten har vist til personvernforordningen artikkel 14 og foreslår at det fastsettes i loven at kommisjonen har en informasjonsplikt overfor den registrerte.
Helsedirektoratet, KS og Oslo universitetssykehus HF har uttalt seg om høringsforslaget § 4 andre ledd om unntak fra den registrertes rett til innsyn i opplysninger om vedkommende etter personvernforordningen artikkel 15. Helsedirektoratet ser behovet for et unntak fra retten til innsyn etter personvernforordningen artikkel 15, men mener begrunnelsen bør presiseres, slik at det framgår at vurderingen av innsynskrav må skje med utgangspunkt i vurderingstemaene som er framhevet i Prop. 56 LS (2017–2018) side 217–218.
KS ønsker også en fyldigere begrunnelse for å gjøre unntak fra personvernforordningen artikkel 15. Organisasjonen uttaler blant annet at «dette gjelder særlig siden innsyn framstår som et naturlig motstykke både til at taushetsplikt er foreslått satt til side, og at behandlingen av personopplysninger foreslås å kunne skje uten samtykke fra dem opplysningene gjelder».
Oslo universitetssykehus HF uttaler at det kan være «praktisk og pedagogisk» om klageinstansen ved klage over avslag på krav om innsyn nevnes i selve loven.
8.3 Departementets vurdering
Departementet legger til grunn at § 4 første ledd i lovforslaget gir grunnlag for behandling av personopplysninger, og at denne hjemmelen også omfatter særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 og personopplysninger om straffedommer og lovovertredelser etter samme forordning artikkel 10. Departementet vurderer at behandling av særlige kategorier av personopplysninger er forholdsmessig sett opp mot samfunnsnytten av kommisjonens arbeid. De tiltakene som er foreslått fastsatt i loven – begrensning av tilgang til opplysninger hva gjelder innhold, personkrets og tid, kassering av dokumenter som ikke er arkivverdig og forbud mot bruk av informasjonen i senere rettssaker – er tilstrekkelige for å verne den registrertes grunnleggende rettigheter og interesser. Videre viser departementet til at andre lignende granskningsutvalg har vurdert å ha grunnlag for å behandlet særlige kategorier av personopplysninger etter artikkel 9 nr. 2 bokstav g, alternativt den langt på vei tilsvarende bestemmelsen i personopplysningsloven 2000 § 9 tredje ledd. For eksempel fikk 22. juli-kommisjonen konsesjon fra Datatilsynet til å behandle særlige kategorier av personopplysninger etter personopplysningsloven 2000 § 9 tredje ledd, jf. NOU 2012: 14 side 40. Ut fra dette opprettholdes forslaget fra høringsnotatet.
Departementet opprettholder også forslaget til § 4 andre ledd, som innebærer et unntak fra den registrertes rett til innsyn i personopplysningene om vedkommende etter personvernforordningen artikkel 15 dersom det kreves uforholdsmessig stor innsats å gi innsyn, men med enkelte språklige justeringer. Det vises her til vurderingen i høringsnotatet inntatt i punkt 8.1 ovenfor, samt at uforholdsmessighetsvurderingen i lovforslaget § 4 andre ledd skal være i samsvar med det som gjelder for vitenskapelige forskningsformål etter personopplysningsloven § 17, jf. Prop. 56 LS (2017–2018) side 217–218. Departementet vil i tillegg framheve at unntaket fra innsynsretten kun gjelder «dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn». Dette innebærer at den registrerte fortsatt har rett til innsyn i opplysninger om vedkommende selv etter personvernforordningen artikkel 15 dersom det ikke krever en uforholdsmessig stor innsatts å gi vedkommende innsyn. Videre er det et vesentlig moment at når kommisjonen har avsluttet sitt arbeid, skal dens arkivmateriale avleveres til Arkivverket, jf. lovforslaget § 6 første ledd, og den registrerte kan da be om innsyn overfor Arkivverket som er ny behandlingsansvarlig.
Det foreslås ikke å ta inn en bestemmelse i loven om informasjonsplikt etter personvernforordningen. Departementet legger til grunn at unntakene fra denne plikten etter forordningen artikkel 14 nr. 5 bokstav b og c i stor grad vil gjelde for kommisjonens virksomhet, og i den grad det vil gjenstå noen informasjonsplikt, følger denne av forordningen, som etter personopplysningsloven § 1 er norsk lov. Om og i hvilken grad det vil foreligge noen informasjonsplikt, vil måtte avgjøres ut fra hvilke opplysninger kommisjonen faktisk får tilgang til, og departementet har ikke forutsetninger for å si noe nærmere om dette.
Når det gjelder muligheten for å få overprøvd et eventuelt avslag på innsynskrav, viser departementet til at det er mulig å klage til Datatilsynet. Siden Datatilsynet er den alminnelige klageinstansen for klager over avslag på slike innsynskrav, finner departementet ikke grunn til å fastsette dette uttrykkelig i loven her.
Departementet legger til grunn at Koronakommisjonen selv vil være behandlingsansvarlig etter personvernforordningen artikkel 4 nr. 7. Departementet er enig med Datatilsynet og Legeforeningen i at kommisjonen som behandlingsansvarlig selv har ansvar for å sørge for at de personopplysningene som den behandler, er adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for, jf. personvernforordningen artikkel 5 nr. 1 bokstav c. Det vises til omtalen i høringsnotatet sitert i punkt 8.1 ovenfor.
Departementet er også enig med Datatilsynet i at kommisjonen opphører å være behandlingsansvarlig når kommisjonens arbeid er avsluttet, og at det etter dette fortsatt er behov for å foreligge en behandlingsansvarlig som henvendelser om håndtering av personopplysninger kan rettes til. Departementet viser til at når kommisjonen avslutter sitt arbeid, skal den avlevere sitt arkivmateriale til Arkivverket, jf. lovforslaget § 6 første ledd omtalt i punkt 4.5 nedenfor. Departementet legger dermed til grunn at Arkivverket vil være behandlingsansvarlig for arkivmateriale som avleveres til dem.