3 Gjeldende rett
3.1 Behandling av personopplysninger
Generelt
Personopplysningsloven gjennomfører EUs personvernforordning i norsk rett. Forordningen gjelder som lov, jf. personopplysningsloven § 1. I overgangsregler til ny personopplysninglov er fastsatt at personopplysningsloven fra 2000 fortsetter å gjelde for blant annet Svalbard (jf. FOR-2018-06-15-877 § 1).
Forordningen skal verne fysiske personers grunnleggende rettigheter og friheter ved behandlingen av personopplysninger, samtidig som den skal sikre fri flyt av personopplysninger mellom medlemsstatene. Forordningen gjelder som norsk lov, og personopplysningsloven utfyller bestemmelsene i forordningen.
Personopplysninger defineres i forordningen som enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. forordningen artikkel 4.
Grunnprinsipper for behandling av personopplysninger
Forordningen fastsetter nærmere angitte grunnprinsipper for behandlingen av personopplysninger, se artikkel 5 nr. 1 bokstav a til f. Hvert prinsipp har en egen betegnelse.
Artikkel 5 nr. 1 bokstav a bestemmer at personopplysningene skal behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte – prinsippet om «lovlighet, rettferdighet og åpenhet».
Artikkel 5 nr. 1 bokstav b bestemmer at personopplysningene skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke behandles videre på en måte som er uforenlig med disse formålene. Det er videre fastsatt at viderebehandling av opplysningene for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, ikke skal anses som uforenlig med de opprinnelige formålene. Dette utgjør prinsippet om «formålsbegrensning». Nærmere regler om når ny behandling av personopplysninger skal anses uforenlig med det opprinnelige formålet de ble innhentet for, er gitt i artikkel 6 nr. 4.
Artikkel 5 nr. 1 bokstav c bestemmer at personopplysningene skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette utgjør prinsippet om «dataminimering».
Artikkel 5 nr. 1 bokstav d bestemmer at personopplysningene skal være korrekte og, dersom det er nødvendig, oppdaterte. Videre er det bestemt at det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres. Dette utgjør prinsippet om «riktighet».
Artikkel 5 nr. 1 bokstav e bestemmer at personopplysningene skal lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for. Det er fastsatt at opplysningene kan lagres i lengre perioder dersom de utelukkende vil bli behandlet for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, forutsatt at det gjennomføres egnede tekniske og organisatoriske tiltak for å sikre de registrertes rettigheter og friheter. Dette er prinsippet om «lagringsbegrensning».
Artikkel 5 nr. 1 bokstav f bestemmer at personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak – prinsippet om «integritet og konfidensialitet».
Artikkel 5 nr. 2 fastslår at det er den behandlingsansvarlige som er ansvarlig for og skal kunne dokumentere at prinsippene overholdes.
De spesifikke rettighetene som tilkommer den registrerte etter forordningen kapittel III, slik som retten til informasjon, innsyn, retting, begrensning og sletting mv., kan anses som en konkretisering av de mer overordnede prinsippene i artikkel 5. Som en konsekvens av dette kan det i medhold av artikkel 23 fastsettes unntak også fra prinsippene i artikkel 5 når det fastsettes unntak fra den registreres spesifikke rettigheter, i den grad prinsippene i artikkel 5 svarer til disse rettighetene.
For å kunne behandle personopplysninger kreves det et behandlingsgrunnlag. Reglene om behandlingsgrunnlag følger av forordningen artikkel 6, som sier at behandlingen bare er lovlig dersom ett av vilkårene i nr. 1 bokstav a til f er oppfylt.
Med «behandle» menes enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger – automatisert eller ikke – som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. også forordningens artikkel 4 nr. 2.
Behandling av personopplysninger i statsborgersaker er nødvendig for at statsborgermyndighetene skal kunne oppfylle sine rettslige forpliktelser, utføre pålagte oppgaver i allmennhetens interesse og utøve offentlig myndighet. Statsborgermyndighetenes behandling kan derfor hjemles i artikkel 6 nr. 1 bokstav c og e, samt artikkel 9 nr. 2 bokstav g og artikkel 10.
Et annet behandlingsgrunnlag er samtykke fra den registrerte, jf. artikkel 6 nr. 1 bokstav a og artikkel 9 nr. 2 bokstav a. Samtykke er imidlertid ikke egnet som et rettslig grunnlag for behandling av personopplysninger ved utøvelse av offentlig myndighet. Årsaken til dette er at det kan stilles spørsmål ved om samtykke gis frivillig til myndighetene når personer ønsker tjenester, tillatelse mv. fra det offentlige. I slike tilfeller vil det foreligge en klar skjevhet i styrkeforholdet mellom den registrerte og den behandlingsansvarlige (den offentlige myndigheten). Manglende samtykke vil også resultere i at personen ikke kan få den ønskede tjenesten, tillatelsen mv., og den registrerte har dermed ikke noe annet reelt valg enn å gi fra seg opplysningene til myndighetene. Det fremgår derfor av fortalepunkt 43 at samtykke bør unngås som rettslig grunnlag der det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig dersom den behandlingsansvarlige er en offentlig myndighet.
Krav til supplerende grunnlag for behandlingen
Forordningen artikkel 6 nr. 1 bokstav c svarer til tidligere personopplysningslov fra 2000 § 8 første ledd bokstav b, og gir grunnlag for behandling som er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige. Artikkel 6 nr. 1 bokstav e viderefører tidligere personopplysningslov fra 2000 § 8 første ledd bokstav d og e, og gir adgang til behandling når dette er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
Det følger imidlertid av artikkel 6 nr. 3 at «grunnlaget for behandlingen» nevnt i nr. 1 bokstav c og e «skal fastsettes» i unionsretten eller i medlemsstatenes nasjonale rett. Dette innebærer at artikkel 6 nr. 1 bokstav c eller e ikke alene kan utgjøre behandlingsgrunnlaget, men at den behandlingsansvarlige i tillegg må kunne vise til et supplerende grunnlag for behandlingen i unionsretten eller nasjonal rett som den behandlingsansvarlige er underlagt. Forordningen skiller seg på dette punktet fra kravene i tidligere personopplysningslov fra 2000 § 8 bokstav b, d og e, som ikke stilte krav om et slikt supplerende rettsgrunnlag.
Det rettslige grunnlaget må i tillegg oppfylle kravet til klarhet, nødvendighet og forholdsmessighet i artikkel 5 nr. 1 bokstav a og b, samt fortalepunkt 39. Det fremgår også av forordningens fortalepunkt 41 at det rettslige grunnlaget bør være tydelig og presist, og at anvendelsen bør være forutsigbar for personer som omfattes av det.
Særlige kategorier av personopplysninger
Reglene om behandling av særlige kategorier av personopplysninger følger av forordningen artikkel 9. Særlige kategorier av personopplysninger er opplysninger om
rasemessig eller etnisk opprinnelse,
politisk oppfatning,
religion,
filosofisk overbevisning,
fagforeningsmedlemskap
genetiske og biometriske kjennetegn som entydig identifiserer en fysisk person,
helseopplysninger, og
en fysisk persons seksuelle forhold eller seksuelle orientering
Disse personopplysningskategoriene er av natur særlig sensitive og fortjener et særskilt vern, ettersom sammenhengen de behandles i, kan skape betydelige risikoer for den enkeltes grunnleggende rettigheter og friheter. I henhold til artikkel 9 nr. 1 er behandling av slike personopplysninger i utgangspunktet forbudt, med mindre én av unntaksbestemmelsene i artikkel 9 nr. 2 kommer til anvendelse. I tillegg til de særlige kravene i artikkel 9 nr. 2 må det også foreligge et behandlingsgrunnlag etter artikkel 6, jf. fortalepunkt 51.
Artikkel 9 nr. 2 bokstav g åpner for behandling av særlige kategorier av personopplysninger når dette er nødvendig av hensyn til «viktige allmenne interesser». Det er en forutsetning at behandlingen står i et rimelig forhold til det mål som søkes oppnådd, at unntaket er fastsatt i unionsretten eller nasjonal rett og at det sikres egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
Opplysninger om straffedommer og lovovertredelser
Behandling av opplysninger om straffedommer og lovovertredelser må ha et behandlingsgrunnlag etter forordningen artikkel 6 nr. 1, og er i utgangspunktet kun tillatt når det skjer under kontroll av offentlig myndighet, jf. artikkel 10. Opplysninger om lovovertredelser omfatter opplysninger om mistanke, siktelse, dom eller en annen form for konstatering av at det er skjedd en lovovertredelse.
Behandling av personopplysninger om barn
Utgangspunktet i forordningen er at barn og voksne har samme rettigheter i forbindelse med behandling av personopplysninger. Forordningen inneholder enkelte spredte artikler og fortalepunkter om behandling av barns personopplysninger, men gir ingen samlet enhetlig regulering av temaet. Forordningen inneholder heller ingen definisjon av hvem som skal regnes som barn i forordningens forstand. Departementet antar at en person ikke lenger er et barn i forordningens forstand når vedkommende har fylt 18 år. Dette er i overensstemmelse med utgangspunktet i FNs konvensjon 20. november 1989 om barnets rettigheter artikkel 1 som gjelder som norsk rett, jf. menneskerettsloven § 2 nr. 4.
Det følger av fortalepunkt 38 at barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandling av personopplysninger. Dette gjelder især ved bruk av barns personopplysninger for markedsføringsformål eller for å opprette personlighets- eller brukerprofiler, samt ved innsamling av personopplysninger om barn når de bruker tjenester som tilbys direkte til barn.
Departementet mener at disse hensynene ikke i like stor grad gjør seg gjeldende for barn i statsborgersaker, da det ofte vil være den som har foreldreansvaret eller vergen som opptrer på vegne av barnet overfor myndighetene.
Bruk av automatiserte avgjørelser
Forordningen artikkel 22 regulerer adgangen til å bruke automatiserte individuelle avgjørelser, herunder profilering.
For at artikkel 22 skal komme til anvendelse, må det for det første skje en behandling av personopplysninger. For det andre må avgjørelsen «utelukkende være basert» på automatisert behandling. Det betyr at delvis automatiserte avgjørelser ikke er omfattet av artikkel 22. For det tredje må avgjørelsen ha «rettsvirkning» eller «på tilsvarende måte i betydelig grad påvirk[e]». Enkeltvedtak og andre avgjørelser i statsborgersaker vil ha slik virkning for den enkelte.
Artikkel 22 gir særskilte regler for noen former for automatisert behandling av personopplysninger. Den enkelte har i utgangspunktet rett til å ikke være gjenstand for avgjørelser som utelukkende baserer seg på automatisert behandling, herunder profilering, med mindre en av unntaksbestemmelsene kommer til anvendelse, jf. artikkel 22 nr. 1 og 2.
Retten til å ikke være gjenstand for automatiserte avgjørelser, herunder profilering, får ikke anvendelse hvis automatiserte avgjørelser er tillatt i henhold til unionsretten eller nasjonal rett og det er fastsatt egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser, jf. artikkel 22 nr. 2 bokstav b. I henhold til artikkel 22 nr. 4 skal en avgjørelse som nevnt i nr. 2 ikke bygge på særlige kategorier av personopplysninger «med mindre artikkel 9 nr. 2 bokstav a eller g får anvendelse og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser».
Bestemmelsen fastsetter at adgangen til å ta i bruk automatiserte individuelle avgjørelser uttrykkelig skal forankres i et rettsgrunnlag, og at det skal gis nødvendige garantier for å verne den registrerte. I henhold til fortalepunkt 71 bør slike garantier omfatte spesifikk informasjon til den registrerte og rett til menneskelig inngripen, til å uttrykke synspunkter, til å få en forklaring på avgjørelser truffet etter automatisert behandling og til å klage over avgjørelsen.
Viderebehandling av personopplysninger
Personopplysninger skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål, jf. forordningen artikkel 5 nr. 1 bokstav b. Det følger videre av bestemmelsen at opplysningene ikke må viderebehandles på en måte som er uforenlig med disse formålene. Behandling av opplysninger til et formål som ikke er forenlig med det opprinnelige formålet er dermed i utgangspunktet forbudt.
Nærmere regler om behandling av personopplysninger for andre formål enn det de er innhentet for fremgår av artikkel 6 nr. 4. Bestemmelsen angir en ikke-uttømmende liste over momenter som skal inngå i vurderingen av om et formål er forenlig. Det følger videre av artikkel 6 nr. 4 og fortalepunkt 50 at behandling for uforenlige formål er tillatt hvis det er hjemlet i nasjonal rett og behandlingen er nødvendig og forholdsmessig for å verne viktige samfunnsmessige mål som fremgår av artikkel 23 nr. 1 (herunder viktige mål av generell allmenn interesse, jf. bokstav e).
3.2 Grunnloven og internasjonale forpliktelser
Grunnloven
Grunnloven § 102 verner om privatlivet og familielivet og setter derigjennom en ramme for lovlig behandling av personopplysninger. Bestemmelsen kom inn i Grunnloven som ledd i Grunnlovsreformen i 2014, og bakgrunnen for denne fremgår av Rapport fra Menneskerettighetsutvalget om menneskerettigheter i Grunnloven (særlig punkt 30) og Innst. 186 S (2013–2014).
Stortinget har blant annet understreket at forslaget til Grunnloven § 102 skal leses som at systematisk innhenting, oppbevaring og bruk av opplysninger om andres personlige forhold bare kan finne sted i henhold til lov, benyttes i henhold til lov eller informert samtykke, og slettes når formålet ikke lenger er til stede. Bestemmelsen bygger bl.a. på tilsvarende bestemmelser i Den europeiske menneskerettskonvensjonen (EMK) artikkel 8 og FNs konvensjon om sivile og politiske rettigheter artikkel 17, som er inkorporert i norsk rett gjennom menneskerettsloven.
Bestemmelsens første ledd første punktum gir et generelt vern for privatlivets fred. Vernet etter første punktum er likevel ikke absolutt. Høyesterett har i flere nyere avgjørelser lagt til grunn at vernet etter første punktum vil bero på en vurdering av om inngrep i de vernede interesser ivaretar et legitimt formål, er forholdsmessig og har tilstrekkelig hjemmel, se blant annet Rt. 2014 side 1105 og Rt. 2015 side 93.
Internasjonale forpliktelser
EMK artikkel 8 gir den enkelte rett til respekt for privatliv og familieliv. Retten til privatliv omfatter beskyttelse av den enkeltes personopplysninger. Selve vernet fremgår av artikkel 8 første ledd, mens annet ledd gir regler om hvilke vilkår som må være oppfylt for at inngrep i retten til privatliv er berettiget. At det foreligger et inngrep i den enkeltes privatliv, betyr likevel ikke at retten til privatliv er krenket. Inngrepet vil være lovlig om det er i samsvar med loven og nødvendig i et demokratisk samfunn for å ivareta legitime formål, slik som offentlig trygghet og landets økonomiske velferd.
Den europeiske menneskerettsdomstol (EMD) har i sin praksis lagt til grunn at offentlige myndigheters lagring av personopplysninger som knytter seg til privatlivet i bestemmelsens forstand, utgjør et inngrep i retten etter EMK artikkel 8 nr. 1, se Amann mot Sveits 16.2.2000 avsnitt 65 og S. og Marper mot Storbritannia 4.12.2008 avsnitt 67. Behandling av personopplysninger må følgelig være hjemlet i lov og være proporsjonalt i forhold til det formålet behandlingen skal ivareta.
En tilsvarende rettighet følger også av FNs konvensjon om sivile og politiske rettigheter (SP) artikkel 17. Både EMK og SP gjelder som norsk lov, jf. lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven) § 2. Det fremgår av SP artikkel 17 at ingen må utsettes for vilkårlige eller ulovlige inngrep i privatliv, familieliv, hjem eller korrespondanse. Retten til privatliv innebærer at myndighetene bare kan kreve opplysninger om private forhold som er strengt nødvendige for samfunnslivet. Ethvert lovhjemlet inngrep må være i overensstemmelse med konvensjonens bestemmelser og formål, og inngrepet må fremstå som rimelig under de konkrete omstendigheter. SP artikkel 17 er ikke ansett å gi en videre rett til privatliv enn EMK artikkel 8. FNs barnekonvensjon artikkel 16 om vern mot vilkårlige eller ulovlige inngrep i privatliv, familieliv, hjem eller korrespondanse dekker samme rett som EMK artikkel 8 og SP artikkel 17.
Krav om rettsgrunnlag etter Grunnloven og EMK
Særlig relevant i denne sammenheng er hvilke krav Grunnloven og EMK stiller til hjemmelsgrunnlaget. I Prop. 56 LS (2017–2018) Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen punkt 6.4 omtaler Justis- og beredskapsdepartementet kravet om rettsgrunnlag etter Grunnloven og EMK:
«[…] Inngrep i retten etter EMK artikkel 8 nr. 1 må kunne rettferdiggjøres etter artikkel 8 nr. 2, som krever at inngrepet må ha tilstrekkelig hjemmel, ha et legitimt formål og være forholdsmessig. Det er kravet om tilstrekkelig hjemmel som er særlig interessant i denne sammenhengen.
Hjemmelskravet («in accordance with the law») innebærer for det første at det er nødvendig med et rettsgrunnlag, noe som gjerne uttrykkes som at inngrepet må ha «sufficient legal basis in domestic law», jf. for eksempel Bernh Larsen Holding AS m.fl. mot Norge 14.3.2013 avsnitt 126. Det følger av EMDs praksis at bestemmelsen ikke oppstiller formelle krav til rettsgrunnlaget, noe som innebærer at både lov, forskrift og uskreven rett mv. kan oppfylle kravet. Det stilles imidlertid krav om at rettsgrunnlaget skal være tilgjengelig og forutberegnelig. Det er kravet om forutberegnelighet som er relevant i denne sammenhengen. I L.H. mot Latvia 29.4.2014 avsnitt 47 er kravet formulert slik:
‘Of particular relevance in the present case is the requirement for the impugned measure to have some basis in domestic law, which should be compatible with the rule of law, which, in turn, means that the domestic law must be formulated with sufficient precision and must afford adequate legal protection against arbitrariness. Accordingly the domestic law must indicate with sufficient clarity the scope of discretion conferred on the competent authorities and the manner of its exercise.’
Kravet om tilstrekkelig presisjon og vern mot vilkårlighet kan også innebære et krav om garantier («safeguards»), jf. S. og Marper mot Storbritannia. Saken gjaldt lagring av fingeravtrykk, celleprøver og DNA-profiler, og domstolen uttalte i avsnitt 99:
‘The Court agrees with the applicants that at least the first of these purposes is worded in rather general terms and may give rise to extensive interpretation. It reiterates that it is as essential, in this context, as in telephone tapping, secret surveillance and covert intelligence- gathering, to have clear, detailed rules governing the scope and application of measures, as well as minimum safeguards concerning, inter alia, duration, storage, usage, access of third parties, procedures for preserving the integrity and confidentiality of data and procedures for its destruction, thus providing sufficient guarantees against the risk of abuse and arbitrariness.’
Hvilke garantier som er nødvendig, må vurderes i lys av inngrepets art og omfang, se P.G. og J.H. mot Storbritannia 25.9.2001 avsnitt 46. Vurderingen av garantier henger for øvrig tett sammen med proporsjonalitetsvurderingen. I S. and Marper mot Storbritannia fant EMD at det i lys av proporsjonalitetsvurderingen ikke var nødvendig å ta stilling til om lovkravet var oppfylt, jf. avsnitt 99.
Hva som er tilstrekkelig rettsgrunnlag for inngrep, beror på en konkret vurdering, blant annet av hvor inngripende behandlingen er. Etter departementets syn er det imidlertid ikke holdepunkter i EMDs praksis for at det gjelder et unntaksfritt krav om uttrykkelig hjemmel i særlovgivning for behandling av personopplysninger.
Departementet legger til grunn at forordningen artikkel 6 nr. 1 bokstav a, b, d og f i seg selv etter omstendighetene kan være tilstrekkelige lovhjemler. Også forordningen artikkel 6 nr. 1 bokstav c og e i kombinasjon med et supplerende rettslig grunnlag som oppfyller kravene etter ordlyden i nr. 3, kan være tilstrekkelig. Videre vil forordningens generelle regler, eksempelvis om personvernombud, forhåndsdrøftinger, den registrertes rettigheter mv., utgjøre garantier i EMKs forstand.
Samtidig er det ikke tvilsomt at forordningens generelle regler, eventuelt i kombinasjon med et supplerende rettsgrunnlag som bare oppfyller minimumskravene etter ordlyden i artikkel 6 nr. 3, ikke alltid vil gi tilstrekkelig spesifikt rettsgrunnlag eller nødvendige garantier i tråd med Grunnloven og EMK. Det blir da nødvendig å utforme mer spesifikke rettsgrunnlag og ytterligere garantier i nasjonal rett, og det vil i mange tilfeller være nødvendig med uttrykkelig hjemmel i særlovgivning. Forordningen må med andre ord tolkes og anvendes i lys av Grunnloven og EMK. […]»
Statsborgermyndighetenes behandling, herunder innhenting, bruk, sammenstilling og lagring, av personopplysninger vil innebære et inngrep i den registrertes privatliv, som krever tilstrekkelig rettsgrunnlag etter Grunnloven § 102 og EMK artikkel 8. I statsborgersaker vil myndighetene behandle personopplysninger av et stort omfang og disse kan være av sensitiv karakter. Opplysningene vil også lagres over lang tid i henhold til reglene i arkivlova. Dette får betydning for hvilke krav som stilles til det rettslige grunnlaget for behandling av personopplysninger på statsborgerfeltet.
3.3 Statsborgerloven
Statsborgerloven har ingen generell regulering av behandling av personopplysninger i dag, men inneholder enkelte bestemmelser som regulerer særskilte forhold knyttet til behandling av personopplysninger. For eksempel har den saken gjelder plikt til å fremlegge alle opplysninger som kan ha betydning for saken, jf. statsborgerloven § 29 første ledd og annet ledd. Statsborgermyndighetene kan også pålegge andre offentlige organer å utlevere opplysninger, uten hinder av taushetsplikt, når dette er nødvendig for opplysning av saken, jf. statsborgerloven § 29 tredje ledd. Myndighetene som kan pålegges en slik plikt er politiet, skattemyndighetene, arbeids- og velferdsforvaltningen, Lånekassen, kommunene og folkeregistermyndigheten, jf. § 29 tredje ledd bokstav a-f. Disse organenes opplysningsplikt er nærmere regulert i statsborgerforskriften kapittel 14.
Før ikrafttredelsen av forordningen og ny personopplysningslov var statsborgermyndighetenes behandling av alminnelige personopplysninger hjemlet i nødvendighetskriteriene i tidligere personopplysningslov fra 2000 § 8 første ledd bokstav b (nødvendig for å oppfylle en rettslig forpliktelse), bokstav d (nødvendig for å utføre en oppgave av allmenn interesse) og bokstav e (nødvendig for å utøve offentlig myndighet). I tillegg hadde UDI konsesjon fra Datatilsynet for å behandle sensitive personopplysninger i medhold av tidligere personopplysningslov fra 2000 § 9 tredje ledd. Bestemmelsen åpnet for at sensitive personopplysninger kunne behandles på grunnlag av tillatelse fra Datatilsynet i tilfeller der samtykke ikke var tilstrekkelig, og det ikke fantes andre lovbestemmelser som kunne gi grunnlag for behandlingen.
Datatilsynets adgang til å gi slike tillatelser (konsesjon) for behandling av personopplysninger etter § 9 tredje ledd har ikke blitt videreført i den nye personopplysningsloven. Denne innsnevringen fører til at de behandlinger som tidligere har basert seg på § 9 tredje ledd-konsesjoner fordi det mangler lovhjemmel, må reguleres i lov eller forskrift for å ha et tilstrekkelig rettslig grunnlag.
Statsborgermyndighetene behandler personopplysninger når det er nødvendig for å oppfylle rettslige forpliktelser, utføre pålagte oppgaver i allmennhetens interesse og utøve offentlig myndighet. Slik behandling er omfattet av forordningen artikkel 6 nr. 1 bokstav c og e, og krever et supplerende rettsgrunnlag i unionsretten eller nasjonal rett, jf. artikkel 6 nr. 3. Behandling av særlige kategorier av personopplysninger i statsborgersaker krever også et særskilt rettsgrunnlag i unionsretten eller nasjonal rett, jf. artikkel 9 nr. 2 bokstav g og fortalepunkt 52.
Egne bestemmelser om behandling av personopplysninger i statsborgerloven og statsborgerforskriften vil kunne utgjøre et slikt supplerende rettsgrunnlag som tilfredsstiller kravene i lovlighetsprinsippet og prinsippet formålsbegrensning.
Når og hvordan opplysninger behandles
Behandlingen av personopplysninger må knytte seg til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Det sentrale formålet med statsborgermyndighetenes arbeid følger av statsborgerloven § 1, som sier at loven «regulerer erverv og tap av norsk statsborgerskap». I forbindelse med ivaretakelsen av dette hovedformålet utfører statsborgermyndighetene oppgaver som knytter seg til behandling av melding om norsk statsborgerskap etter lovens kapittel 4 og § 37, søknad om norsk statsborgerskap etter kapittel 3, søknad om å beholde norsk statsborgerskap etter § 6 annet ledd og § 24 annet ledd og tap av norsk statsborgerskap etter kapittel 5, herunder tilbakekall av norsk statsborgerskap etter § 26.
Statsborgermyndighetenes oppgaver etter statsborgerloven og statsborgerforskriften forutsetter behandling av personopplysninger om et stort antall utenlandske og norske borgere.
Statsborgermyndighetene utfører også oppgaver som ikke er direkte regulert i lov, men som har nær sammenheng med deres rolle og ansvar. For eksempel behandler statsborgermyndighetene personopplysninger for statistikk- og forskningsformål, samt ved rapportering til overordnet myndighet.
Utlendingsdatabasen (UDB) er utlendings- og statsborgermyndighetenes sentrale personregister. Når myndighetene behandler utlendings- og statsborgersaker benyttes ulike applikasjoner som er knyttet til registeret. I statsborgersaker benyttes Datasystem for utlendings- og flyktningesaker (DUF) og datasystem for visumsaker (NORVIS). DUF og NORVIS henter relevante opplysninger om søkeren som er lagret i registeret og gjør dem tilgjengelige for saksbehandleren. Det er også gjennom DUF og NORVIS at saksbehandleren registrerer og lagrer oppdaterte og nye opplysninger i registeret.
Personene det behandles opplysninger om
Statsborgermyndighetene behandler personopplysninger om ulike personer for å utføre sine pålagte oppgaver. Personopplysninger behandles om både
utenlandske borgere som erverver norsk statsborgerskap (lovens kapittel 2–4 og § 37), og
norske borgere ved søknad om å beholde norsk statsborgerskap (§§ 6 annet ledd og 24 annet ledd) og ved saker om tap av norsk statsborgerskap (kapittel 5), herunder tilbakekall.
Under saksbehandlingen kan det også være nødvendig å behandle personopplysninger om andre personer enn de saken direkte gjelder.
Det er et vilkår for norsk statsborgerskap etter søknad at søkeren fyller vilkårene for permanent oppholdstillatelse i utlendingsloven § 62, jf. statsborgerloven § 7 første ledd bokstav d. Statsborgermyndighetenes behandling av søknader om statsborgerskap er følgelig todelt, ettersom det må vurderes om personen både
har eller fyller vilkårene for permanent oppholdstillatelse, og
fyller de øvrige vilkårene for norsk statsborgerskap.
I saker der søkeren ikke har permanent oppholdstillatelse forut for søknaden om norsk statsborgerskap, må statsborgermyndighetene også vurdere om vedkommende de siste tre årene har oppholdt seg i riket med midlertidig oppholdstillatelse som danner grunnlag for permanent oppholdstillatelse, jf. utlendingsloven § 62 første ledd. I den forbindelse vil statsborgermyndighetene ha behov for å behandle opplysninger om personer som er omfattet av søkerens forutgående utlendingssaker, slik som referanseperson (jf. utlendingsloven § 39) eller arbeidsgiver og oppdragsgiver (jf. utlendingsloven §§ 23 og 24).
Opplysningstyper i statsborgersaker
Statsborgermyndighetene behandler ulike typer personopplysninger for å utføre sine pålagte oppgaver. Enkelte av opplysningene statsborgermyndighetene behandler er såkalte særlige kategorier av personopplysninger nevnt i forordningen artikkel 9 nr. 1, slik som opplysninger om etnisitet, helse, religion, politisk oppfatning og seksuelle forhold. I tillegg behandler statsborgermyndighetene opplysninger om straffedommer og lovovertredelser. For behandling av slike personopplysninger stilles det særlig strenge krav til behandlingsgrunnlag.
Det er vanskelig å gi en uttømmende liste over alle relevante opplysningstyper i statsborgersaker. Enkelte opplysningstyper er relevante for alle statsborgerskapssaker, f.eks. opplysninger om identitet og kontaktinformasjon. Andre opplysningstyper vil kun være relevante i utvalgte saksporteføljer. Nedenfor gjøres det rede for de mest sentrale opplysningstypene i statsborgersaker.
Identitetsopplysninger er opplysninger statsborgermyndighetene behandler i enhver sak etter loven. Det er et vilkår for norsk statsborgerskap at søkeren har klarlagt sin identitet, jf. statsborgerloven § 7. Identitetsopplysninger omfatter blant annet navn, fødselsdato, etnisitet, kjønn, fødested, statsborgerskap, passnummer, familierelasjoner mv.
Kontaktopplysninger er nødvendige for at statsborgermyndighetene skal kunne utføre sine oppgaver. For eksempel må myndighetene kunne kontakte utlendingen for å gi veiledning, forhåndsvarsle, underrette om vedtak mv. Kontaktopplysninger omfatter blant annet opplysninger om adresse (både post-, oppholds- og bostedsadresse) og digital kontaktinformasjon (både e-postadresse og telefonnummer). Det er også et vilkår for norsk statsborgerskap at søkeren er og forblir bosatt i Norge. Statsborgermyndighetene har derfor behov for å innhente opplysninger om bostedsadresse fra folkeregistermyndigheten. Innhentingen av folkeregisteropplysninger er hjemlet i statsborgerforskriften § 14-6, jf. statsborgerloven § 29 tredje ledd.
Opplysninger om kompetanse, utdannings- og arbeidsforhold er opplysninger statsborgermyndighetene behandler for å kunne vurdere om utlendingen fyller kravene til norskopplæring og kunnskaper i norsk muntlig og samfunnskunnskap etter statsborgerloven § 8. Det kan også være nødvendig å behandle opplysninger om kompetanse, utdannings- eller arbeidsforhold ved søknader om norsk statsborgerskap fra personer som ikke har permanent oppholdstillatelse forut for søknaden og som tidligere har hatt oppholdstillatelse på grunnlag av arbeid eller studier. I tillegg vil statsborgermyndighetene måtte behandle opplysninger om kompetanse, utdannings- og arbeidsforhold til referansepersonen for å kunne vurdere om søkeren med familieinnvandringstillatelse fyller vilkårene for permanent oppholdstillatelse.
Opplysninger om økonomiske forhold er opplysninger statsborgermyndighetene behandler for å kunne avgjøre om utlendingen fyller vilkårene for permanent oppholdstillatelse etter utlendingsloven § 62, jf. statsborgerloven § 7 første ledd bokstav b. For permanent oppholdstillatelse gjelder som hovedregel et krav om at utlendingen har vært selvforsørget de siste tolv månedene. Opplysninger om økonomiske forhold omfatter blant annet opplysninger om inntekt, formue, økonomiske ytelser fra det offentlige mv.
Opplysninger om straffbare forhold omfatter blant annet opplysninger om vandel, herunder opplysninger om straffereaksjoner (forelegg, dom eller tvungent psykisk helsevern), lovovertredelser, fengselsopphold mv., og opplysninger om hvorvidt en person er mistenkt eller siktet for å ha begått straffbare handlinger. Det følger av statsborgerloven § 9 at den som er ilagt straff eller strafferettslig særreaksjon ikke har rett til norsk statsborgerskap før denne er gjennomført og all prøvetid er utholdt, samt at det er gått en viss tid (karenstid). Innhenting av vandelsopplysninger i statsborgersaker er hjemlet i statsborgerforskriften § 14-1, jf. statsborgerloven § 29 tredje ledd.
Det vil også være nødvendig å behandle historiske opplysninger, herunder sakshistorikk (for eksempel tidligere utlendingssaker og utfallet av disse mv.) og personopplysningshistorikk (for eksempel navneendringer, endringer av fødselsdato, endringer i sivilstand mv.). Ett av vilkårene for norsk statsborgerskap er at søkeren har til sammen syv års opphold i Norge i løpet av de siste ti årene med oppholdstillatelser av minst ett års varighet.
Opplysninger om relasjoner til andre personer kan være av betydning for å behandle en sak etter loven. For eksempel vil statsborgermyndighetene i vurderingen av om søkeren fyller vilkårene for norsk statsborgerskap, herunder om vedkommende fyller vilkårene for permanent oppholdstillatelse, behandle opplysninger om referanseperson, arbeidsgiver, oppdragsgiver mv. Statsborgermyndighetene vil også behandle opplysninger om familie- og omsorgsforhold, herunder opplysninger om sivilstand, relasjonens statsborgerskap, foreldreansvar og slektskap (foreldre, ektefelle, partner, samboerskap, adopsjon, barn mv.).
Viderebehandling av personopplysninger
Kontroll med erverv og tap av norsk statsborgerskap er av viktig allmenn interesse. Statsborgermyndighetene viderebehandler personopplysninger fra forutgående utlendingssaker og statsborgersaker når de behandler saker om erverv og tap av norsk statsborgerskap (herunder tilbakekall av norsk statsborgerskap). Slik viderebehandling er nødvendig for å kunne vurdere om vilkårene for erverv og tap (herunder tilbakekall) av norsk statsborgerskap er oppfylt. For eksempel er det et vilkår for norsk statsborgerskap at utlendingen har til sammen syv års oppholdstid i Norge i løpet av de siste ti årene, jf. statsborgerloven § 7 første ledd bokstav e.
3.4 Forholdet til utlendingsloven
Justis- og beredskapsdepartementet har gitt nærmere regler for behandlingen av personopplysninger på utlendingsfeltet, se utlendingsloven § 83 a og utlendingsforskriften §§ 17-7 a og 17-7 b. Videre er det presisert i utlendingsloven § 80 at personopplysningsloven gjelder når ikke annet følger av utlendingsloven.
Det følger av utlendingsloven § 83 a at utlendingsmyndighetene kan behandle personopplysninger, herunder personopplysninger som nevnt i forordningen artikkel 9 og 10, når dette er nødvendig for å utøve myndighet eller utføre andre oppgaver etter utlendingsloven. Behandlingen begrenses til opplysninger som er nødvendige for å oppnå formålet. I tillegg må behandlingen knytte seg til myndighetsutøvelse eller andre oppgaver som følger av utlendingsloven. Kongen er gitt hjemmel til å gi forskrift om behandlingen, blant annet formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, hvem det kan behandles personopplysninger om, bruk av automatiserte avgjørelser, adgangen til viderebehandling, utlevering, registerføring og tilgang til registre.
Hvilke formål personopplysninger kan samles inn for er uttrykkelig angitt i utlendingsforskriften § 17-7 a bokstav a-o. Behandlingsansvaret er nærmere regulert i § 17-7 b. UDI, UNE, politiet og utenrikstjenesten er hver for seg behandlingsansvarlig for behandling av personopplysninger til egne formål, herunder opplysninger registrert i Utlendingsdatabasen (UDB). I tillegg er UDI behandlingsansvarlig for UDB.
En nærmere redegjørelse for bestemmelsene på utlendingsfeltet fremgår av lovproposisjonen Prop. 59 L (2017–2018) og høringsbrevet av 27. november 2017 om endringer i utlendingsloven som følge av personvernforordningen.
3.5 Introduksjonsloven
Introduksjonsloven § 25 til § 25 b regulerer behandling av personopplysninger. Etter introduksjonsloven § 25 kan offentlige organer behandle personopplysninger, herunder sensitive personopplysninger, når det er nødvendig for å utføre oppgaver i forbindelse med
tiltak for å gi asylsøkere kjennskap til norsk språk, kultur og samfunnsliv
tiltak for å gi innvandrere kunnskap og ferdigheter for å kunne delta i det norske samfunnslivet
gjennomføring av prøver for dokumentasjon av norskkunnskaper og samfunnskunnskap
bosetting av innvandrere
utbetaling av tilskudd for tiltak som nevnt i bokstav a, b og d
I § 25 annet ledd reguleres innhenting av personopplysninger fra utlendingsmyndighetene, folkeregistermyndigheten, barnevernet og krisesentre. Tredje ledd regulerer adgangen til å utveksle personopplysninger. Siste ledd gir departementet myndighet til å gi forskrift om behandlingen av personopplysninger etter introduksjonsloven.
Introduksjonsloven § 25 a regulerer personregistre og plikt til å registrere opplysninger i slike registre. Pålegg om å utlevere personopplysninger reguleres i § 25 b.
Ingen av bestemmelsene gir eksplisitt hjemmel for bruk av automatiserte avgjørelser i saker etter introduksjonsloven.