12 Melde- og konsesjonsplikt
12.1 Gjeldende rett
Gjeldende bestemmelser om konsesjons- og meldeplikt finnes i personopplysningsloven kapittel VI. Det følger av § 31 at den behandlingsansvarlige skal gi melding til Datatilsynet før det behandles personopplysninger med elektroniske hjelpemidler eller opprettes manuelle personregistre som inneholder sensitive personopplysninger. Unntak fra meldeplikten kan fastsettes i forskrift. I personopplysningsforskriften kapittel 7 II er det gitt en rekke unntak fra meldeplikten for spesifikke typer behandling av personopplysninger. Det er også gitt hjemmel for Datatilsynet til å samtykke til unntak fra meldeplikt dersom den behandlingsansvarlige har utpekt et uavhengig personvernombud.
Etter personopplysningsloven § 33 første ledd kreves det i utgangspunktet konsesjon for å behandle sensitive personopplysninger. Konsesjonsplikten gjelder ikke dersom personopplysningene er avgitt uoppfordret. Den gjelder heller ikke for behandling av personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov, jf. § 33 femte ledd. Loven § 31 siste ledd fastsetter at Kongen kan gi forskrift om at visse behandlingsmåter eller behandlingsansvarlige skal være underlagt konsesjonsplikt, og § 33 siste ledd fastsetter at det kan gis forskrift om andre unntak fra konsesjonsplikten. I personopplysningsforskriften kapittel 7 I er det gitt bestemmelser om utvidet konsesjonsplikt for behandling av personopplysninger i telesektoren, forsikringsbransjen og i bank- og finansinstitusjoner. I kapittel 7 III er det gitt unntak fra både konsesjons- og meldeplikt for en rekke spesifikke behandlingsmåter. I kapittel 7 IV er det gitt ytterligere unntak fra konsesjonsplikten, men disse behandlingene er underlagt meldeplikt. Det følger videre av personopplysningsloven § 33 annet ledd og forskriften § 7-4 at Datatilsynet kan beslutte at enkelte behandlingsmåter som er unntatt fra konsesjonsplikt etter enkelte bestemmelser i forskriften, likevel skal underlegges konsesjons- eller meldeplikt.
Datatilsynets behandling av konsesjonssøknader er en forhåndskontroll av om søkerens planlagte databehandlinger oppfyller regelverkets krav, og utgjør i utgangspunktet ikke et selvstendig behandlingsgrunnlag. Behandling av sensitive personopplysninger må alltid ha et rettsgrunnlag i samsvar med personopplysningsloven §§ 8 og 9. Unntaket er personopplysningsloven § 9 tredje ledd, som fastsetter at Datatilsynet kan bestemme at sensitive opplysninger kan behandles i andre tilfeller enn det som er tillatt etter § 9 første og annet ledd når viktige samfunnsinteresser tilsier det.
I personopplysningsloven § 34 oppstilles det visse retningslinjer for Datatilsynets vurdering av om konsesjon skal gis. Tilsynet skal foreta en konkret vurdering av om behandlingen vil medføre eventuelle ulemper for den registrerte, og om problemene kan fjernes ved at det stilles vilkår for behandlingen i medhold av personopplysningsloven § 35.
Den behandlingsansvarlige har rett til på forhånd å få avklart av Datatilsynet om en behandling vil kreve konsesjon eller ikke, jf. personopplysningsloven § 33 fjerde ledd. Både forhåndsavgjørelser og konsesjonsvedtak er enkeltvedtak som kan påklages til Personvernnemnda.
På grunn av det store antallet konsesjonssøknader har Datatilsynet på en rekke områder utarbeidet standardkonsesjoner som setter visse generelle vilkår. Disse trer i stedet for individuelt utarbeidede konsesjoner. Eksempler på slike konsesjoner er kredittopplysningskonsesjonen, forsikringskonsesjonen og bankkonsesjonen. I saker der det benyttes standardkonsesjon, er den reelle saksbehandlingen i enkeltsakene begrenset.
Datatilsynet fører en offentlig tilgjengelig oversikt over gitte konsesjoner. I 2016 behandlet Datatilsynet til sammen 297 konsesjonssøknader. 203 av disse ble innvilget, mens 90 gjaldt endringsvedtak. Fire søknader ble avslått. De fleste nye konsesjonssøknader gjelder forskning eller opprettelse av registre innen helsesektoren.
12.2 Forordningen
Forordningen avskaffer ordningen med meldeplikt som følger av 95-direktivet artikkel 18 og som er gjennomført i norsk rett i personopplysningsloven §§ 31 og 32. Forordningen legger heller ikke opp til at behandlinger skal forhåndsgodkjennes av tilsynsmyndighetene. Tilsynsmyndighetenes kontroll skal som hovedregel foregå som etterkontroll. Tilsynsmyndighetene gis også en sterkere veiledningsrolle, blant annet gjennom plikten til å foreta forhåndsdrøftinger. Videre skal tilsynsmyndighetene godkjenne atferdsnormer. Samtidig skjerpes pliktene til den behandlingsansvarlige og databehandler for å sikre at behandlingen er i samsvar med forordningen. Eksempler på dette er skjerpet plikt til internkontroll, risikovurderinger og utredning av personvernkonsekvenser og plikt for visse virksomheter til å ha personvernombud. Den behandlingsansvarliges og databehandlerens plikter er nærmere beskrevet i kapittel 16.
Artikkel 36 nr. 5 åpner for at medlemsstatene kan fastsette nasjonale regler som pålegger forhåndsdrøftinger og forhåndsgodkjenning (konsesjon) fra tilsynsmyndighetene når behandlingen foretas som ledd i utførelsen av en oppgave i allmennhetens interesse. Sosial trygghet og folkehelse nevnes spesielt som områder av allmenn interesse.
Videre åpner forordningen artikkel 9 nr. 4 for at medlemsstatene kan «opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger». Departementet legger til grunn at denne bestemmelsen åpner for å pålegge konsesjonsplikt for behandling av denne type opplysninger. Artikkel 9 nr. 4 inneholder, i motsetning til artikkel 36 nr. 5, ikke et krav om at behandlingen av opplysningene må skje for et visst formål. Bestemmelsen synes således å hjemle en videre rett til å videreføre konsesjonsplikt for behandling av de tre angitte opplysningskategoriene enn det artikkel 36 nr. 5 gjør.
Forordningen fortalepunkt 171 fastslår at pågående behandling av personopplysninger må være i tråd med forordningen når denne trer i kraft. Siste punktum åpner imidlertid for at gjeldende tillatelser gitt av tilsynsmyndighetene fortsetter å gjelde inntil de endres, oppheves eller erstattes. Departementet tolker dette slik at det er adgang til å la gjeldende konsesjoner med vilkår fortsette å gjelde. Etter departementets syn er det imidlertid neppe anledning til å opprettholde strengere krav til behandlingsansvarlige enn det forordningen legger opp til og sanksjonere brudd på slike regler. Det er etter departementets syn trolig heller ikke adgang til å opprettholde vilkår som stiller lempeligere krav, men dette fremstår etter departementets syn som noe mer tvilsomt.
12.3 Forslaget i høringsnotatet
Forordningen åpner ikke for videreføring av meldeplikt, men gir en adgang til å gi nasjonale regler om forhåndsgodkjenning fra tilsynsmyndigheten. Det ble i høringsnotatet foreslått at plikten til å innhente forhåndsgodkjennelse (konsesjon) fra Datatilsynet ikke videreføres. Det ble presisert at forslaget også gjaldt behandling av genetiske opplysninger, biometriske opplysninger og helseopplysninger, jf. forordningen artikkel 9 nr. 4. Det ble videre foreslått å innføre en forskriftshjemmel som kan benyttes til å gjeninnføre konsesjonsplikt dersom det skulle vise seg at dette skulle være nødvendig for å sikre et tilstrekkelig personvern. Det ble også vist til at det vil være mulig å innføre konsesjonsplikt i særlovgivningen dersom dette anses nødvendig på et spesifikt område, for eksempel når det gjelder helseforskning.
Departementet foreslo videre at det for behandling av særlige kategorier av personopplysninger som baserer seg på unntaket i artikkel 9 nr. 2 bokstav g, i utgangspunktet verken bør være nødvendig eller tilstrekkelig med tillatelse fra Datatilsynet. Departementet fremholdt at behandling av særlige kategorier av personopplysninger som er nødvendig av hensyn til viktige allmenne interesser, som den klare hovedregelen bør skje i medhold av særlovgivning som fastsetter egnede og særlige tiltak for å verne den registrertes rettigheter og interesser. Det ble imidlertid foreslått at Datatilsynet som en sikkerhetsventil bør ha adgang til å gi tillatelse til behandling av særlige kategorier av personopplysninger når det er nødvendig av hensyn til viktige allmenne interesser.
Departementet viste til forordningen fortalepunkt 171, og fremholdt at bestemmelsen tolkes slik at det er adgang til å la gjeldende konsesjoner med vilkår fortsette å gjelde. Det ble vist til at det er noe uklart om behandlingen likevel må være fullt i samsvar med forordningen når denne trer i kraft. Departementet viste til at det kan være grunn til å la gjeldende konsesjoner og tillatelser gjelde i en overgangsperiode. Departementet fremholdt at en overgangsregel enten kan overlate til Datatilsynet å vurdere når gjeldende konsesjoner bør oppheves, eller at det kan reguleres ved lov at gjeldende konsesjoner skal oppheves etter for eksempel to år.
12.4 Høringsinstansenes syn
Det var bred støtte til å avskaffe konsesjonsordningen blant høringsinstansene. Blant høringsinstansene som uttalte seg om spørsmålet, var det kun to høringsinstanser som var negative til forslaget. Arbeids- og velferdsdirektoratet, Administrasjonen i De nasjonale forskningsetiske komiteene, Brønnøysundregistrene, Datatilsynet, Direktoratet for e-helse, Finans Norge, Finanstilsynet, Helsedirektoratet, Helse Nord-Trøndelag HF, Juristforbundet,Nasjonal kommunikasjonsmyndighet, Norsk senter for forskningsdata, Telia Norge AS og Telenor Norge AS støttet alle forslaget.
Nei til EU er svært bekymret over at det nå ser ut til at konsesjonsplikt/meldeplikt bortfaller. De uttaler følgende i sin høringsuttalelse:
«Det fremgår med all tydelighet at fjerningen av meldeplikt kun er til arbeidsgivers fordel og etter all sannsynlighet vil føre til en mer inngripende grad av overvåkning i arbeidslivet uten myndighetskontroll.»
Forbrukerrådet viser særlig til at forordningen artikkel 9 nr. 4 åpner for at det i nasjonal rett kan innføres konsesjonsordning for behandling av genetiske opplysninger, biometriske opplysninger og helseopplysninger. Forbrukerrådet er av den oppfatning at behandling av slike opplysninger må undergis konsesjonsplikt. Høringsinstansen uttaler blant annet følgende:
«Det er tale om spesielt sensitive opplysninger for de registrerte, og konsekvensene av at slike opplysninger misbrukes eller kommer på avveie kan bli store for de registrerte. Slik Forbrukerrådet ser det, vil det innebære en ikke ubetydelig risiko å overlate vurderingen av sikkerheten knyttet til behandlingen av slike opplysninger, og vurderingen av om vilkårene for behandling av opplysningene i art. 9 nr. 2 er oppfylt, til den behandlingsansvarlige. Denne vurderingen må derfor i stedet foretas av Datatilsynet, som også har/må få adgang til å fastsette nødvendige vilkår for å sikre at forordningens regler følges.»
Til støtte for forslaget om å avskaffe konsesjonsplikten peker Telia Norge AS på at personvernforordningens krav til forhåndskonsultasjon, og de mer generelle reglene om ansvarlighet, personvernkonsekvensutredning mv. i praksis vil kunne ivareta samme behov som konsesjonsordningen. Høringsinstansen mener også at slike regler vil åpne for en mer smidig og fremtidsrettet tilnærming til de konkrete personvernutfordringene som oppstår på ulike samfunnsområder. Telenor Norge AS uttrykker synspunkter i samme retning og uttaler blant annet følgende om spørsmålet:
«Forordningens plikt til å foreta vurdering av personvernkonsekvenser etter artikkel 35 og plikten til å foreta forhåndsdrøftinger med tilsynsmyndigheten etter artikkel 36, vil etter Telenors vurdering være et mye bedre virkemiddel enn dagens konsesjon for å sikre særskilte behandlinger i ulike bransjer. Slike drøftinger vil måtte skje hyppigere, og på et mer detaljert nivå, enn dagens svært statiske praksis i forhold til konsesjoner, gitt at konsesjonene ikke alltid nødvendigvis inneholder alle typer prosessering av personopplysninger, og kan inneholde feil, mangler eller upresis tekst, eller bli utdatert.
[… ]
En av de helt grunnleggende endringer fra 95-direktivet til GDPR, er prinsippet om et tydelig skifte mot en ansvarliggjøring av den behandlingsansvarlige. Eksempler på tydeliggjørelse av dette ansvaret er det økte kravet i forhold til styring og prosesser, bruk av personvernvurderinger (DPIA), innebygd personvern og introduksjon av kravet om tvungen utpekning av en personvernombud, der bedriften har omfattende prosessering av personopplysninger.»
Næringslivets Hovedorganisasjon er enig i at plikten til å innhente forhåndsgodkjennelse ikke videreføres. Høringsinstansen viser imidlertid til at det kan være en fordel for bedrifter å kunne få en forhåndsgodkjenning i enkeltsaker og mener departementet bør vurdere å videreføre dette.
Også forslaget om en mulighet til å gjeninnføre konsesjonsplikt i forskrift får støtte i høringen. Administrasjonen i De nasjonale forskningsetiske komiteene, Brønnøysundregistrene, Finans Norge, Finanstilsynet, Helsedirektoratet, Statens helsetilsyn, Landsorganisasjonen i Norge, Arbeids- og velferdsdirektoratet,Nasjonal kommunikasjonsmyndighet og Statens sivilrettsforvaltning støtter forslaget. Direktoratet for e-helse og Universitetet i Bergen går mot forslaget.
Direktoratet for e-helse er bekymret for at det vil gi dårlig forutberegnelighet for virksomhetene dersom det legges opp til en ordning med forhåndsgodkjenning/konsesjon kun på enkelte områder. Høringsinstansen mener derfor at det ikke bør innføres en forskriftshjemmel som kan benyttes til å gjeninnføre forhåndsgodkjenning fra Datatilsynet.
Universitetet i Bergen stiller spørsmål om det er tilstrekkelig hjemmel i forordningen til å videreføre eller gjeninnføre konsesjon gjennom en slik forskriftshjemmel, eller om det bør gjøres i egen lovbestemmelse i personopplysningsloven, med hjemmel i artikkel 36 nr. 5.
Helsedirektoratet støtter forslaget, men peker på at forslaget til en viss grad kan forringe virksomheters forutberegnelighet. Høringsinstansen viser videre til at det kan være situasjoner der vi i dag ikke overskuer konsekvensene av opphevelsen av konsesjonsinstituttet, og støtter på denne bakgrunn forslaget om en forskriftshjemmel.
Et flertall av høringsinstansene mener det er behov for overgangsregler som viderefører gjeldende konsesjoner i en overgangsperiode. Administrasjonen i De nasjonale forskningsetiske komiteene, Advokatforeningen, Arbeidsgiverforeningen Spekter, Brønnøysundregistrene, Datatilsynet, Folkehelseinstituttet, Helsedirektoratet, Helse- og omsorgsdepartementet, Helse Sør-Øst RHF, Helse Vest RHF, Helse Stavanger HF, Juristforbundet, KS, Oslo universitetssykehus HF,Rogaland fylkeskommune, Statens vegvesen, Statens sivilrettsforvaltning og Statistisk sentralbyrå mener alle det er behov for slike regler.
Advokatforeningen peker på at det er et behov for klare overgangsordninger, og viser til at dagens konsesjoner for eksempel kan videreføres, og at tilsynet kan gi nye konsesjoner inntil nye særregler er på plass. Arbeidsgiverforeningen Spekter mener det må tydeliggjøres hvordan overgangen fra dagens konsesjonsbaserte system skal håndteres.
Helse- og omsorgsdepartementet mener det må kunne legges til grunn at vilkårene i konsesjonene i all hovedsak er i samsvar med kravene etter forordningen. Departementet mener to år er en passende overgangsperiode og at det bør fastsettes en overgangsbestemmelse i personopplysningsloven som sier at konsesjoner som er gitt før 25. mai 2018, skal videreføres frem til 25. mai 2020.
Juristforbundet støtter overgangsordninger for dagens konsesjoner, men mener derimot at en periode på to år er for lenge, og foreslår at konsesjonene oppheves den 25. mai 2018, og at enhver behandling i henhold til en gitt konsesjon skal bringes i henhold til forordningen innen ett år. Høringsinstansen peker også på at det ikke er klart hva som skjer med vilkårene for behandlingene som Datatilsynet har satt som krav i konsesjonene.
Finans Norge kan ikke se at det er grunnlag for en tolkning som åpner for å videreføre vilkår i konsesjonene som medfører strengere begrensninger enn det som følger av forordningen. Høringsinstansen mener også at en slik tolkning vil være i strid med forordningens generelle mål om totalharmonisering, jf. fortalens avsnitt 13, for å sikre like forutsetninger for alle virksomheter innen EU og EØS. Dette må etter Finans Norges vurdering medføre at dersom den behandlingsansvarlige kan dokumentere at behandlingen er i samsvar med forordningen, vil eventuelle ytterligere begrensninger i konsesjonene være ugyldige.
Næringslivets Hovedorganisasjon tviler på om forordningen åpner for at konsesjoner og vilkår kan gjelde etter 25. mai 2018. Næringslivets Hovedorganisasjon peker på at dersom departementet mener at det er adgang til å opprettholde andre krav overfor bedriftene enn det som følger av forordningen, må det være en ordning som gjør at bedriftene selv har rett til å få konsesjoner eller vilkår opphevet, slik at de kan forholde seg til reglene i forordningen. Uten en slik ordning vil norske bedrifter, herunder med virksomhet i andre EØS-land, være underlagt andre betingelser enn utenlandske bedrifter.
Statens sivilrettsforvaltning mener at dersom departementet kommer til at instruks og rundskriv ikke tilfredsstiller kravene som supplerende rettsgrunnlag, bør det gis overgangsbestemmelser slik at dagens konsesjon fortsetter å gjelde frem til nytt hjemmelsgrunnlag foreligger. Hovedorganisasjonen Virke peker på at dersom det viser seg at dagens særlovgivning ikke på alle områder gir tilstrekkelig hjemmelsgrunnlag for behandling i henhold til forordningen artikkel 6 nr. 1 bokstav c eller e, vil det i en overgangsperiode kunne være behov for en videreføring av dagens konsesjoner også her.
Det er en rekke høringsinstanser som har uttalt seg særlig om konsesjoner som gir tillatelse til forskning.
Administrasjonen i De nasjonale forskningsetiske komiteene mener det er helt nødvendig med overgangsregler for gjeldende konsesjoner, i hvert fall for konsesjoner som er gitt til forskningsprosjekter. Høringsinstansen uttaler også følgende om spørsmålet:
«Etter vårt syn er det lite hensiktsmessig å slette konsesjoner til forskningsprosjekter etter et gitt tidsrom. En slik ordning vil særlig ramme prosjektene som har konsesjon som utløper rett før eller etter fristen. Det er ikke usannsynlig at prosjektene vil bruke tid og ressurser på å tilpasse seg til forordningen, ressurser som mye heller bør brukes til å gjennomføre prosjektet på en god måte. Et bedre alternativ dersom konsesjonene til forskningsprosjekter ikke skal vare ut konsesjonsperioden, er at behandlingsansvarlige sammen med personrådgiveren lager en plan for overgang til bestemmelsene i forordningen. Personvernrådgiveren vil ha ansvaret for å påse at forskerne gjennomfører overgangen i henhold til tidsplan. Det kan settes en relativt vid overgangsfase dersom det anses nødvendig; heller ti år enn to.»
Helse Sør-Øst RHF peker på at forsvarlig ivaretakelse av den institusjonelle plikt til vurdering av personvernskonsekvenser og forhåndsdrøftinger med tilsynsmyndigheten forutsetter oppbygging av kapasitet og infrastruktur i forskningstunge institusjoner. Dette vil ta noe tid å få på plass. Helse Sør-Øst RHF mener at av hensyn til forutberegnelighet for sektoren så er det behov for overgangsregler, slik at tildelte konsesjoner først oppheves etter en gitt periode. Helse Sør-Øst RHF antar at en tidsperiode på to år er tilstrekkelig
Norsk senter for forskningsdata mener det bør fastsettes at gjeldende konsesjoner er gyldige i fem til ti år etter forordningen trer i kraft, med mindre det foretas endringer i behandlingen som krever ny vurdering eller tillatelse. Videre mener høringsinstansen at det bør fastsettes at de aktuelle behandlingene som har gyldig konsesjon ikke behøver være fullt i samsvar med forordningen. Norsk senter for forskningsdata uttaler videre følgende:
«Grunnen til at vi forslår minst 5 års varighet for konsesjonene, er for å sikre at doktorgradsprosjekter kan ferdigstilles uten å måtte vurderes på nytt etter forordningen. Helst ser vi at konsesjonene får varighet i 10 år, slik at også større forskningsprosjekter og helseregistre kan fullføres uten nye vurderinger. Vi minner om at behandlinger som har konsesjon har vært gjenstand for en grundig vurdering av tilsynsmyndighetene etter dagens regelverk, det gjelder spesielt store og langvarige prosjekter og registre. Ettersom dagens lov har store likhetstrekk med forordningen, antar vi personvernkonsekvensvurderingene etter dagens og morgendagens lov ikke vil være så ulike. Det vil kreve forholdsvis store ressurser, både for forskerne, institusjonene og personvernombudene, å foreta konsekvensvurderinger. Vi mener det vil være en unødvendig belastning å måtte foreta ny vurdering når personvernet et godt ivaretatt gjennom gjeldende konsesjoner.
Tilsvarende mener vi at gjeldende tilrådninger fra personvernombud bør gjelde i 5-10 år etter forordningens ikrafttredelse. Personvernombudene har mange og store oppgaver foran seg når forordningen trer i kraft. Vi mener det vil være en dårlig bruk av ressurser dersom ombudet skal måtte foreta nye personvernkonsekvensvurderinger av alle pågående prosjekter, når de allerede er konsekvensvurdert etter dagens regelverk. Vi håper departementet ser at det må foretas en kostnad-nytte-vurdering her, og at personvernet ikke vil vinne så mye på ny vurdering i forhold til det det vil koste av ressurser. Vi mener personvernombudets ressurser utnyttes adskillig bedre ved å veilede institusjonene og forskerne som skal starte opp nye prosjekter om forordningens krav. Som alternativ, foreslår vi at forskningsinstitusjonene i samråd med personvernombudet lager en plan for å tilpasse pågående forskningsprosjekter og helseregistre, som har tilrådning fra ombudet, til forordningen.»
Folkehelseinstituttet mener at konsesjoner og godkjennelser som er gitt, bør fortsette å gjelde i en overgangsperiode. Høringsinstansen mener det er uheldig at departementet ikke i høringsnotatet tar stilling til om departementet mener at pågående behandling som er basert på konsesjon, må være i samsvar med forordningen dersom gjeldende konsesjon fortsetter å gjelde i en overgangsperiode.
Statistisk sentralbyrå mener at igangværende prosjekter fortsatt bør reguleres av gjeldende konsesjon i en overgangsperiode på minst to år, med mindre Datatilsynet bestemmer annet eller angjeldende behandling kommer inn under annet regelverk, eksempelvis ny forskrift om befolkningsbaserte helseundersøkelser. Høringsinstansen mener at dersom den behandlingsansvarlige mener gjeldende konsesjon ikke er i tråd med forordningen, bør Datatilsynet konsulteres for å avklare om konsesjonen skal oppheves helt eller delvis og erstattes med nytt behandlingsgrunnlag fra et angitt tidspunkt. Det samme bør etter høringsinstansens syn gjelde for gjeldende tilrådninger fra personvernombud.
Noen høringsinstanser har også kommentert behovet for regler om kredittopplysningsvirksomhet. Hovedorganisasjonen Virke viser til høringssvar inngitt av Virke inkasso, hvor det sterkt anmodes om en videreføring av gjeldende konsesjoner i en overgangsperiode inntil nødvendig lov- eller forskriftsregulering er kommet på plass. Bisnode Norge AS ber om at departementet så snart som mulig igangsetter arbeidet med å utarbeide særskilte og nye regler for kredittopplysningsbransjen.
Datatilsynet mener det vil være behov for overgangsregler, men det vil være stor variasjon mellom ulike typer konsesjoner med hensyn til hvor lenge dette behovet for overgangsordning vil vare. Datatilsynet uttaler blant annet følgende:
«Der særlovgivning ikke i tilstrekkelig grad ivaretar kravet til supplerende rettsgrunnlag for behandlingen slik forordningen krever, mener Datatilsynet at videreføring av eksisterende konsesjoner kan utgjøre en nødvendig garanti for ivaretakelse av personvernet inntil lovgivning er på plass. Dette vil gjelde for eksempel for etablering av helseregistre i helsesektoren, der de fleste konsesjonene som Datatilsynet gir inneholder vurdering av konkrete tiltak og tilleggskrav til hvordan behandlingen av personopplysninger skal skje, hvordan samtykke skal innhentes eller informasjon skal gis.
Datatilsynet foreslår at det settes en absolutt grense for gjeldende konsesjonenes gyldighet på to år, men med en mulighet for Datatilsynet å oppheve slike tillatelser tidligere, etter en konkret vurdering.
Datatilsynet vil da kunne vurdere de ulike gruppene av konsesjoner særskilt. Innen bank- og finanssektoren mv. kan det være konkurransemessige hensyn som tilsier at overgangsperioden bør begrenses til det som er helt nødvendig. Datatilsynet kan da, i samarbeid med de aktuelle bransjene, komme frem til hva som må være på plass før gjeldende konsesjoner oppheves.
En slik tilnærming vil, slik vi ser det, ivareta hensynet til likebehandling og forutsigbarhet for de behandlingsansvarlige, samtidig som det gir nødvendig insentiv for å få på plass tiltak som gjør at forordningen etterleves.
Det vil også gi de ansvarlig fagdepartementer et incentiv til å få på plass lovhjemler for behandlingen av personopplysninger som ikke har tilstrekkelig behandlingsgrunnlag etter bortfallet av konsesjon.»
12.5 Departementets vurdering
12.5.1 Generelt om konsesjonsplikt
Dagens konsesjonsordning innebærer at tilsynsmyndigheten i noen tilfeller gis anledning til å kontrollere behandlingen av personopplysninger før behandlingen settes i verk. Avgjørelsen av om konsesjon skal gis, er regulert i personopplysningsloven § 34. Avgjørelsen skal baseres på en bred interesseavveining. I vurderingen av om konsesjon skal gis, skal tilsynsmyndigheten klarlegge ulempene for den registrerte ved den aktuelle behandlingen, samt om ulempene kan avhjelpes i tilstrekkelig grad gjennom lovens alminnelige regler og eventuelle vilkår som kan stilles til behandlingen som en del av konsesjonen. Det skal tas hensyn til om ulempene veies opp av hensyn som taler for behandlingen. Det skal videre vurderes om ulempene for den registrerte etter en totalvurdering er funnet å være forholdsmessige sett i sammenheng med behandlingens formål.
Alle øvrige regler i loven gjelder også for behandling som er underlagt konsesjonsplikt. Konsesjonen gir ikke i seg selv noe behandlingsgrunnlag. Konsesjonsplikt er altså et tilleggskrav for å kontrollere behandling av personopplysninger som potensielt innebærer særlig risiko for enkeltpersoners rettigheter før behandlingen settes i verk.
Ordningen med tillatelser etter gjeldende personopplysningslov § 9 tredje ledd omtales nærmere under punkt 7.4.
12.5.2 Bør konsesjonsplikten videreføres?
Departementet foreslår å avskaffe konsesjonsplikt ved behandling av særlige kategorier opplysninger. Høringen viste bred støtte til forslaget. Personvernforordningen innebærer en overgang fra et system med forhåndskontroll til en ordning med vekt på den behandlingsansvarliges ansvar og tilsynsmyndighetens mulighet til etterfølgende kontroll, noe som også ble påpekt i høringen. Det er etter departementets syn mest hensiktsmessig dersom nasjonale regler bygger opp under denne løsningen.
Forordningen inneholder en rekke alternative virkemidler for å sikre at reglene om behandling av personopplysninger overholdes. I denne sammenheng kan det særlig pekes på plikten til å foreta vurdering av personvernkonsekvenser etter artikkel 35 og plikten til å foreta forhåndsdrøftinger med tilsynsmyndigheten etter artikkel 36. Disse mekanismene gjør at de behandlingsansvarlige selv må vurdere hvilke personvernkonsekvenser en behandling vil ha og hvilke tiltak som må settes i verk for å avhjelpe risikoen for brudd på regelverket. Plikten til forhåndsdrøftinger med Datatilsynet etter artikkel 36 innebærer videre at behandlinger av personopplysninger som kan innebære en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen, vil bli forelagt Datatilsynet, som vil kunne veilede behandlingsansvarlige om hvordan behandlingen kan gjøres på en betryggende måte.
Det stilles etter gjeldende rett krav om at behandling av personopplysninger må ha et rettsgrunnlag etter personopplysningsloven §§ 8 og 9 i tillegg til konsesjon etter personopplysningsloven § 33. Det er altså ingen behandlingsgrunnlag som vil bortfalle som følge av en avskaffelse av konsesjonsplikten. Tilsynsmyndighetens adgang til å stille nærmere vilkår ved innvilgelse av konsesjoner vil imidlertid bortfalle. I en rekke bransjer er for eksempel bestemmelsene som Datatilsynet har fastsatt i standardkonsesjoner blitt praktisk viktige regler for behandling av personopplysninger som både sikrer et riktig beskyttelsesnivå samt forutberegnelighet og ensartet praktisering av reglene på det aktuelle livsområdet. Departementet viser i denne sammenheng til bestemmelsene i forordningen artikkel 40, som fastsetter at det kan utarbeides atferdsnormer. I slike normer vil det kunne fastsettes nærmere regler om behandling av personopplysninger i en bransje. Slike regler kan fylle samme funksjon som mange av vilkårene i dagens standardkonsesjoner. Departementet viser også til adgangen til å fastsette særskilte regler i lov eller forskrift etter artikkel 6 nr. 2 og 3 og artikkel 9 nr. 2 og 4. Slik regulering vil på noen områder kunne erstatte vilkårene som er gitt i standardkonsesjoner i dag, og dermed gi samme personopplysningsvern og samme forutberegnelighet for aktørene.
I tråd med forslaget i høringsnotatet foreslår departementet å innføre en forskriftshjemmel som kan benyttes til å innføre konsesjonsplikt dersom det skulle vise seg at dette skulle være nødvendig for å sikre et tilstrekkelig personvern. Etter departementets syn bør en eventuell konsesjonsplikt kun innføres på nærmere bestemte livsområder der det viser seg å være behov for dette, ikke generelt ved behandling av særlige kategorier av personopplysninger. Departementet har merket seg innvendingene om at en slik adgang vil gi liten forutberegnelighet, og viser i den sammenheng til at utkast til nye forskrifter normalt skal sendes på alminnelig høring, noe som vil sikre at berørte aktører får mulighet til å gi innspill til eventuelle nye konsesjonsregler.
12.6 Overgangsregler ved bortfall av konsesjoner etter § 33 og tillatelser etter § 9 tredje ledd
12.6.1 Innledning
Bortfall av ordningen med konsesjoner etter § 33 og tillatelser etter § 9 tredje ledd reiser spørsmål om hvordan overgangen mellom gammel og ny ordning nærmere skal reguleres. Konsesjonsordningen innebærer en forhåndskontroll av om søkerens planlagte databehandlinger oppfyller regelverkets krav, og utgjør i utgangspunktet ikke et selvstendig behandlingsgrunnlag. Tillatelser etter § 9 tredje ledd innebærer derimot at det foreligger et behandlingsgrunnlag. Når det gjelder konsesjoner, innebærer derfor bortfall av konsesjonene ikke at pågående behandling blir ulovlig, men det kan oppstå spørsmål om hvilke vilkår som skal gjelde for behandlingen. Der konsesjonsordningen erstattes med særskilte regler for at behandlingen skal være lovlig, som i forslaget til ny personopplysningslov § 9 om behandling for arkiv-, forsknings- og statistikkformål, blir det spørsmål om hvilke behandlinger som skal omfattes av de nye kravene. Når det gjelder bortfall av tillatelser etter någjeldende § 9 tredje ledd, blir det derimot spørsmål om det er behov for å videreføre gjeldende tillatelser i en overgangsperiode for å sikre at behandlingen er tillatt.
12.6.2 Overgangsregler ved bortfall av konsesjoner
Det er et stort flertall blant høringsinstansene for å videreføre konsesjonene i en overgangsperiode. Det er imidlertid klart ut i fra høringen at det vil være ulike behov for overgangsregler i ulike tilfeller. Det gjelder trolig et generelt behov for klare og forutsigbare løsninger for overgangen mellom gammelt og nytt system.
Det følger av forordningen fortalepunkt 171 at «Beslutninger truffet av Kommisjonen og godkjenninger gitt av tilsynsmyndigheter på grunnlag av direktiv 95/46/EF skal fortsette å gjelde fram til de endres, erstattes eller oppheves». Dersom det ikke fastsettes særskilte bestemmelser i nasjonal rett som går ut på noe annet, vil dermed bestående konsesjoner og tillatelser videreføres ved ikraftsetting av ny lov. Etter departementets syn er det imidlertid neppe anledning til å opprettholde strengere krav til behandlingsansvarlige enn det forordningen legger opp til, eller legge opp til sanksjonsadgang for brudd på slike krav. Det er etter departementets syn trolig heller ikke adgang til å opprettholde konsesjonsvilkår som stiller lempeligere krav enn forordningen, men dette fremstår etter departementets syn som noe mer tvilsomt. Dette måtte man tatt høyde for ved en eventuell videreføring av gjeldende konsesjoner.
Etter departementets syn bør som et utgangspunkt gjeldende konsesjoner ikke videreføres ved ikrafttredelse av ny personopplysningslov. Dette vil ikke innebære at behandlingene som konsesjonene gjelder, blir ulovlige. Konsesjonens vilkår vil imidlertid bortfalle, og det vil ikke lenger være en plikt til å søke konsesjon for tilsvarende behandling av personopplysninger. Det er etter departementets syn flere problematiske sider ved å opprettholde gjeldende konsesjoner i en overgangsperiode. For det første oppstår det spørsmål om konsesjonenes vilkår er i overensstemmelse med forordningen og hvilke regler som skal gjelde ved overtredelser av konsesjonsvilkårene. Det kan videre oppstå spørsmål om hvilke regler som skal gjelde for tildeling av nye konsesjoner og hvilke regler som skal gjelde ved behov for endring av konsesjonenes vilkår. Departementet åpner likevel for at det kan bli behov for å gi overgangsregler om å videreføre konsesjonene på noen nærmere bestemte livsområder, der det er et særskilt behov for dette. En videreføring av enkelte konsesjoner vil også i større grad muliggjøre en gjennomgåelse av vilkårene sammenlignet med forordningens krav.
Når en konsesjon ikke videreføres, vil eventuelle vilkår i konsesjonen som knytter spesifikke krav til hvordan en behandling skal utføres, ikke lenger være bindende for den behandlingsansvarlige. I stedet må den behandlingsansvarlige sørge for at behandlingen skjer i tråd med forordningens generelle bestemmelser og eventuelle supplerende lover og forskrifter. Dette innebærer at behandlingen ikke er ulovlig bare fordi den ikke lenger utføres i samsvar med vilkårene i den opphevede konsesjonen. Det er i stedet tolkningen og anvendelsen av de generelle reglene som er avgjørende for lovligheten. Hvis konsesjonsvilkårene for eksempel fastsetter en spesifikk maksimal lagringstid for personopplysningene, vil det ikke være denne fristen som er avgjørende for hvor lenge opplysningene kan lagres – i stedet må det foretas en konkret vurdering av forordningens bestemmelser om lagringsbegrensning.
Motsatt blir behandlingen ikke nødvendigvis lovlig bare fordi den utføres i tråd med vilkårene i den opphevede konsesjonen, hvis forordningen stiller strengere krav enn de opphevede konsesjonsvilkårene. Departementet understreker imidlertid at forordningen i det vesentlige viderefører dagens grunnleggende prinsipper og regler som konsesjonsvilkårene i stor grad er et utslag av. Bortfalte konsesjoner vil derfor kunne gi betydelig veiledning i hvordan forordningens regler bør tolkes og anvendes på det aktuelle livsområdet.
Når det gjelder behandling til arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i tråd med forslaget til ny personopplysningslov § 9, vil det imidlertid etter departementets syn trolig være behov for en særskilt regulering av overgangen mellom gammelt og nytt system. Det kan for eksempel fastsettes overgangsregler om at det i tilfeller der det er gitt konsesjon etter gjeldene regler før ikrafttredelse av ny lov, ikke er nødvendig å følge de særlige krav til fremgangsmåte som ny § 9 annet ledd stiller før behandling settes i gang. Det samme vil gjelde der prosjektet er tilrådd av personvernombud etter personopplysningsforskriften § 7-27 og dermed unntatt fra konsesjonsplikt.
12.6.3 Overgangsregler ved bortfall av tillatelser etter § 9 tredje ledd
Departementet foreslår å snevre inn adgangen til behandling av særlige kategorier av personopplysninger i medhold av tillatelse fra Datatilsynet, jf. punkt 7.4.5. Tillatelser som er gitt på grunnlag av § 9 tredje ledd i gjeldende personopplysningslov, bør etter departementets syn som hovedregel ikke videreføres ved ikrafttredelse av ny lov. Departementet mener imidlertid at det trolig bør gis overgangsregler som viderefører slike tillatelser i en begrenset periode i tilfeller der det ikke foreligger lov- eller forskriftsbestemmelser som tillater behandlingen ved ikrafttredelsen av ny lov. En slik regel om videreføring av tillatelser vil kunne utgjøre både supplerende rettsgrunnlag etter artikkel 6 nr. 3, unntak fra forbudet etter artikkel 9 nr. 1, jf. nr. 2, og åpne for behandling av personopplysninger om straffbare forhold mv. utenfor en offentlig myndighets kontroll i samsvar med artikkel 10. Etter departementets syn vil slike nasjonale regler være tillatt etter forordningen så lenge regelen er innenfor rammene av artikkel 6, artikkel 9 og eventuelt artikkel 10. Dersom adgangen til å videreføre en slik tillatelse benyttes, bør det åpnes for at Datatilsynet kan tildele likelydende konsesjon til nye behandlingsansvarlige.