16 Behandlingsansvarlig og databehandler
16.1 Innledning
Etter personopplysningsloven § 2 nr. 4 er behandlingsansvarlig den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Den behandlingsansvarlige har ansvaret for at personopplysninger behandles i samsvar med personopplysningsloven og personopplysningsforskriften. Databehandler er den som behandler opplysninger på vegne av den behandlingsansvarlige, jf. § 2 nr. 5. Definisjonene av behandlingsansvarlig og databehandler videreføres i forordningen, jf. artikkel 4 nr. 7 og 8.
Forordningen kapittel IV har overskriften «Behandlingsansvarlig og databehandler» og inneholder en rekke til dels ulikeartede bestemmelser som særlig tar sikte på å sikre at behandlingen av personopplysninger foregår på en måte som sikrer et tilstrekkelig beskyttelsesnivå og at forordningens øvrige regler overholdes. Reglene har dels materiell og dels prosessuell karakter. Kapittelet har blant annet regler om internkontroll, innebygd personvern, bruk av databehandlere, representasjon for behandlingsansvarlige som ikke er etablert i EU/EØS, samarbeid med tilsynsmyndigheten, rapportering av brudd på personopplysningssikkerheten og protokollføring. Videre inneholder kapittelet bestemmelser om den behandlingsansvarliges plikt til å rådføre seg med tilsynsmyndigheten og treffe tiltak før det igangsettes behandlinger som kan innebære en høy risiko for personvernet, plikt for bestemte behandlingsansvarlige til å ha personvernombud og personvernombudets stilling og oppgaver, samt om atferdsnormer og sertifiseringsordninger på personvernområdet.
Reglene om personvernombud og forhåndsgodkjennelser (konsesjon) behandles særskilt i henholdsvis kapittel 17 og 12.
16.2 Internkontroll, innebygget personvern, personvern som standardinnstilling og felles behandlingsansvar
16.2.1 Gjeldende rett
Personopplysningsloven § 14 og personopplysningsforskriften kapittel 3 gir regler om internkontroll. Etter personopplysningsloven § 14 første ledd skal den behandlingsansvarlige «etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet». En rekke ulike tiltak kan være aktuelle i denne forbindelse, men en sentral del av internkontrollen vil ofte være å etablere rutiner for å oppfylle pliktene og rettighetene etter loven. Den behandlingsansvarlige skal dokumentere tiltakene, og dokumentasjonen skal være tilgjengelig for medarbeidere hos den behandlingsansvarlige og hos databehandleren, samt for Datatilsynet og Personvernnemnda, jf. § 14 annet ledd.
I henhold til forskriften § 3-1 første ledd skal tiltakene tilpasses virksomhetens art, aktiviteter og størrelse, og det skal legges særlig vekt på etterlevelsen av kravene til informasjonssikkerhet i personopplysningsloven § 13. Kravene om tiltak er konkretisert i forskriften § 3-1 annet ledd, som stiller krav om at den behandlingsansvarlige blant annet skal sørge for kjennskap til gjeldende regler og tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner. Tredje ledd bokstav a til f gir en ikke uttømmende oversikt over plikter og rettigheter den behandlingsansvarlige skal ha rutiner for, blant annet innhenting og kontroll av samtykke, vurdering av formål med behandling og oppfyllelse av begjæringen om innsyn og informasjon.
Personopplysningsloven og -forskriften har i dag ikke egne bestemmelser om delt behandlingsansvar. Det er likevel lagt til grunn at det er mulig å dele behandlingsansvaret mellom flere, noe som kan være praktisk når flere har ansvar for ulike deler av én og samme behandling.
16.2.2 Forordningen
Forordningen inneholder ingen bestemmelse som helt tilsvarer personopplysningsloven § 14 og de tilhørende forskriftsreglene. Artikkel 24 om den behandlingsansvarliges ansvar fastsetter imidlertid en nokså lik forpliktelse til å gjennomføre «egnede tekniske og organisatoriske tiltak», jf. artikkel 24 nr. 1. Tiltakene skal både «sikre» og «påvise» at behandlingen utføres i samsvar med forordningens regler. Det skal tas hensyn til «behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter». Etter artikkel 24 nr. 2 skal tiltakene omfatte «iverksetting av egnede retningslinjer for vern av personopplysninger» dersom dette står i et rimelig forhold til behandlingsaktivitetene. Overholdelse av godkjente atferdsnormer eller sertifiseringsmekanismer kan brukes som en faktor for å påvise at forpliktelsene overholdes, jf. artikkel 24 nr. 3.
Plikten etter artikkel 24 må sees i sammenheng med andre regler som pålegger den behandlingsansvarlige å treffe egnede tekniske og organisatoriske tiltak, blant annet reglene om innebygd personvern og personvern som standardinnstilling, jf. artikkel 25. Personopplysningsloven og -forskriften har i dag ingen regler som tilsvarer forordningens bestemmelser om innebygget personvern eller personvern som standardinnstilling. Plikten til å sørge for innebygd personvern følger av artikkel 25 nr. 1, som bestemmer at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak «både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen». Kravet om tiltak allerede fra tidspunktet for fastsettelse av midlene som skal benyttes, innebærer at det ved utvikling av løsninger for behandling av personopplysninger må bygges inn personverntiltak fra begynnelsen av. Det skal tas hensyn til «den tekniske utviklingen, gjennomføringskostnadene, behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter som behandlingen medfører». Pseudonymisering og dataminimering er nevnt som eksempler på tiltak. Pseudonymisering er i artikkel 4 nr. 5 definert som «behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person». Prinsippet om dataminimering følger av artikkel 5 nr. 1 bokstav c.
Personvern som standardinnstilling innebærer at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det «som standard» bare behandles personopplysninger som er nødvendige for hvert spesifikke formål. Forpliktelsen gjelder mengden personopplysninger, omfanget av behandling, lagringstid og tilgjengeligheten av personopplysningene. Det er særlig nevnt i artikkel 25 nr. 2 at tiltakene skal sikre at personopplysninger som standard ikke gjøres tilgjengelige for et ubegrenset antall personer uten den registrertes medvirkning.
Etter artikkel 25 nr. 3 kan en godkjent sertifiseringsmekanisme i henhold til artikkel 42 brukes som en faktor for å påvise at kravene til innebygget personvern og personvern som standardinnstilling er oppfylt.
Den behandlingsansvarlige eller den behandlingsansvarliges representant skal videre føre protokoll over behandlingsaktiviteter som utføres under deres ansvar, jf. forordningen artikkel 30 nr. 1. Dette er nye forpliktelser i forhold til gjeldende norsk rett. I artikkel 30 nr. 1 bokstav a til g er det listet opp hva den behandlingsansvarliges protokoll skal inneholde. Artikkel 30 nr. 2 fastsetter at også databehandleren eller dennes representant skal føre protokoll, og angir i bokstav a til d hva denne skal inneholde. Plikten til å føre protokoll gjelder som utgangspunkt ikke for foretak eller organisasjoner med færre enn 250 ansatte, jf. artikkel 30 nr. 5. Bestemmelsene kommer imidlertid til anvendelse også for slike foretak eller organisasjoner dersom behandlingen sannsynligvis vil medføre en risiko for «de registrertes rettigheter og friheter», behandlingen ikke bare skjer «leilighetsvis» eller dersom det behandles særlige kategorier av personopplysninger eller opplysninger om straffedommer og lovovertredelser nevnt i artikkel 10.
Etter forordningen artikkel 26 nr. 1 anses det å foreligge delt behandlingsansvar når to eller flere i fellesskap fastsetter formålene med og midlene for behandling av personopplysninger. De behandlingsansvarlige skal fastsette delingen av rettigheter og plikter etter forordningen ved hjelp av en ordning seg imellom. Dette gjelder likevel ikke dersom slik deling av ansvaret er fastsatt i unionsretten eller landenes nasjonale rett. Informasjon om det vesentlige innholdet i ordningen om deling av behandlingsansvaret skal gjøres tilgjengelig for de registrerte, jf. artikkel 26 nr. 2.
16.2.3 Forslaget i høringsnotatet
Departementet la i høringsnotatet til grunn at forordningen ikke åpner for å fastsette generelle nasjonale regler om internkontroll, innebygget personvern eller personvern som standardinnstilling.
Departementet la videre til grunn at det ikke synes hensiktsmessig med generelle nasjonale regler om ansvarsfordelingen mellom felles behandlingsansvarlige.
16.2.4 Høringsinstansenes syn
Politidirektoratet og Kripos uttaler at forordningens regler om internkontroll gir mindre forutberegnelighet enn etter gjeldende rett. Kripos uttaler:
«De generelle bestemmelsene som da vil regulere dette uttømmende, vil med stor sannsynlighet skape mindre forutberegnelighet for den behandlingsansvarlige – i alle fall i en overgangsfase til bransjenormer, standarder mv. er etablert. Dette kan videre være problematisk sett hen mot sanksjonsmidlene som foreslås gitt til Datatilsynet som kontrollmyndighet, med mindre disse brukes med varsomhet i denne perioden.»
IT-politisk råd i Den Norske Dataforening uttaler at det i mange tilfeller vil være positivt at den behandlingsansvarlige må dokumentere behandlingen av personopplysninger i større grad enn etter gjeldende rett, men at reglene om internkontroll er uklare:
«Det er vår vurdering at alle norske virksomheter, uavhengig av størrelse og antall ansatte, vil måtte føre protokoll over behandling av personopplysninger. Dette er siden unntakene i artikkel 30, som er ment å gi små og mellomstore virksomheter en mindre administrativ belastning, i realiteten er ubrukelige.
Generelt sett vil alle virksomheter etter forordningen måtte vurdere og dokumentere behandlingen av personopplysninger i større grad enn etter gjeldende rett. I mange tilfeller vil dette være positivt, da slike vurderinger vil kunne forhindre uforholdsmessig behandling av personopplysninger. Samtidig er det per nå svært uklart når det for eksempel må foretas en dokumentert risikovurdering, og hvilket omfang den da skal ha. Kravet i artikkel 5 (2) om at den behandlingsansvarlige må «påvise» at personvernprinsippene overholdes i virksomheten er etter vårt syn meget uklart, og skaper i praksis stor forvirring hos de virksomheter som ønsker å etterfølge forordningen på en god måte.»
Statens lånekasse for utdanning mener at det bør fremgå i personopplysningsloven at delt behandlingsansvar kan reguleres i nasjonale regler, og uttaler:
«Forordningen art 26 nr. 1 har regler om delt behandlingsansvar. I høringsutkastet er det lagt til grunn at det ikke er behov for regler om delt behandlingsansvar i ny personopplysningslov. Dersom behovet oppstår på konkrete områder kan dette reguleres i særlovgivningen. Lånekassen har delt behandlingsansvar med Statens innkrevingssentral i dag uten at dette er regulert direkte i utdanningsstøtteloven. Av pedagogiske grunner mener vi det bør fremkomme av ny personopplysningslov at det kan fastsettes nærmere i lov/forskrifter hvem som har delt behandlingsansvar.»
16.2.5 Departementets vurdering
Departementet har merket seg høringsinstansenes syn om at forordningens regler om internkontroll mv. kan skape uklarhet. Departementet legger imidlertid til grunn at forordningen ikke åpner for å presisere disse bestemmelsene i nasjonal rett. Reglene må i stedet avklares gjennom praksis.
Når det gjelder felles behandlingsansvar, er departementets oppfatning at det ikke synes å være hensiktsmessig med nærmere nasjonale bestemmelser om dette i den generelle personopplysningsloven. I den grad det er nødvendig på konkrete områder, kan slike spørsmål reguleres med mer spesifikke regler i særlovgivningen. Departementet anser det ikke som nødvendig å presisere i de nasjonale, supplerende bestemmelsene i ny personopplysningslov at det er adgang til å regulere spørsmålet i særlovgivningen, da dette følger direkte av forordningen artikkel 26 nr. 1.
16.3 Databehandler og databehandleravtaler
16.3.1 Gjeldende rett
Bruk av databehandlere er regulert i personopplysningsloven § 15. Av denne bestemmelsen følger at avtaler om bruk av databehandler skal gjøres skriftlig, og at databehandleren ikke kan behandle personopplysninger på annen måte enn det som fremgår av avtalen mellom databehandler og behandlingsansvarlig. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
Databehandleren har etter personopplysningsloven § 13 en selvstendig plikt til å oppfylle kravene til tilfredsstillende informasjonssikkerhet og dokumentasjon av dette. Det følger videre av § 15 annet ledd at det skal fremgå av avtalen mellom behandlingsansvarlig og databehandler at databehandleren plikter å iverksette de sikringstiltakene som fremgår av personopplysningsloven § 13.
16.3.2 Forordningen
Databehandler er i forordningen artikkel 4 nr. 8 definert som «en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige». Dette er en videreføring av gjeldende rett.
Forordningen fastsetter langt mer detaljerte regler om databehandlere enn gjeldende lov. Den mest sentrale bestemmelsen om databehandlere er artikkel 28. Artikkel 28 nr. 1 stiller krav om at den behandlingsansvarlige bare kan bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i forordningen og vern av den registrertes rettigheter. Etter artikkel 28 nr. 2 kan databehandleren ikke engasjere en annen databehandler uten tillatelse fra den behandlingsansvarlige.
Artikkel 28 nr. 3 stiller krav om at behandling som utføres av en databehandler, skal være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller nasjonal rett. Denne bestemmelsen er en videreføring av gjeldende lov § 15, men gir mer detaljerte regler. Avtalen skal fastsette gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter. I tillegg skal avtalen stille krav om det som fremgår av oppregningen i artikkel 28 nr. 3 bokstav a til h. Her er det blant annet slått fast at databehandleren bare skal behandle personopplysninger på dokumenterte instrukser fra den behandlingsansvarlige, med mindre nasjonal rett eller unionsretten pålegger behandling, jf. bokstav a. Av artikkel 28 nr. 3 bokstav g fremgår det at databehandleravtalen skal spesifisere at databehandleren, etter beslutning fra den behandlingsansvarlige, skal slette eller tilbakelevere personopplysninger når databehandleroppdraget er gjennomført. Også kopier av opplysninger skal slettes. Krav om sletting eller tilbakelevering gjelder likevel ikke dersom lagringsplikt er pålagt enten i unionsretten eller i nasjonal rett. Departementet er ikke kjent med regler om lagringsplikt som retter seg direkte mot databehandlere. Avtalen kan bygge helt eller delvis på en standardavtale i henhold til artikkel 28 nr. 6 til 8.
Artikkel 29 viderefører personopplysningsloven § 15 første ledd og slår fast at de som utfører oppdrag på vegne av den behandlingsansvarlige eller databehandleren, skal behandle personopplysninger bare etter instruks fra den behandlingsansvarlige. Bestemmelsen føyer til at dette gjelder for så vidt ikke noe annet følger av unionsretten eller nasjonal rett.
Ved siden av mer detaljerte regler om databehandleravtaler pålegger forordningen kapittel IV databehandleren flere selvstendige plikter enn etter gjeldende rett. Databehandleren har blant annet plikt til å protokollføre behandlingsaktiviteter, jf. artikkel 30 nr. 2, plikt til å samarbeide med tilsynsmyndigheten, jf. artikkel 31, og plikt til å underrette den behandlingsansvarlige om brudd på personopplysningssikkerheten, jf. artikkel 33 nr. 2. Videre har databehandlere på nærmere vilkår en selvstendig plikt til å utpeke personvernombud. På samme måte som etter gjeldende rett har databehandleren en selvstendig plikt til å overholde reglene om sikkerhet ved behandlingen, jf. artikkel 32.
16.3.3 Forslaget i høringsnotatet
Departementet la til grunn i høringsnotatet at forordningen artikkel 28 nr. 3 kan gi adgang til å fastsette nasjonale bestemmelser som nærmere regulerer forholdet mellom den behandlingsansvarlige og databehandleren samt databehandlerens plikter. Departementet la imidlertid til grunn at det ikke synes hensiktsmessig å gi generelle regler utover det som følger av forordningen artikkel 28.
16.3.4 Høringsinstansenes syn
Politidirektoratet og Kripos bemerker at det kan gjelde lagringsplikt som retter seg direkte mot databehandlere dersom en offentlig aktør underlagt arkivlovas regler er databehandler, og at det da vil kunne «stilles spørsmål om hvorvidt arkivlovens krav til arkivdannelse går foran sletteplikt etter en databehandleravtale.»
Helse Nord RHF er positiv til at forordningen innfører flere selvstendige plikter for databehandlere.
16.3.5 Departementets vurdering
Departementet foreslår ingen nasjonal særregulering av databehandlere og databehandleravtaler.
16.4 Sikkerhet ved behandlingen og underretning av tilsynsmyndigheten og den registrerte ved brudd på personopplysningssikkerheten
16.4.1 Gjeldende rett
Personopplysningsloven § 13 og -forskriften kapittel 2 regulerer sikring av personopplysninger. Etter personopplysningsloven § 13 første ledd skal den behandlingsansvarlige og databehandleren «gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger». Informasjonssystemet og informasjonssikkerhetstiltak skal dokumenteres, og dokumentasjonen skal være tilgjengelig for tilsynsmyndighetene, jf. § 13 annet ledd. Kravene til tilfredsstillende informasjonssikkerhet er utdypet i forskriften kapittel 2.
Etter personopplysningsforskriften § 2-6 tredje ledd skal Datatilsynet varsles ved sikkerhetsbrudd og bruk av informasjonssystem i strid med fastlagte rutiner dersom dette har ført til «uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig». Derimot oppstiller verken personopplysningsloven eller forskriften plikt til å varsle den registrerte om brudd på sikkerheten.
Tilbydere av adgang til elektronisk kommunikasjonsnett eller -tjenester som omfattes av ekomloven, har plikt til å varsle abonnenter eller brukere ved særlig risiko for brudd på sikkerheten, sikkerhetsbrudd som har skadet eller ødelagt lagrede data, eller sikkerhetsbrudd som har «krenket personvernet» til abonnent eller bruker, jf. ekomloven § 2-7 annet ledd. Varsling i sistnevnte tilfelle er ikke nødvendig dersom tilbyderen dokumenterer overfor tilsynsmyndigheten (Nasjonal kommunikasjonsmyndighet) at det er gjennomført tilfredsstillende tekniske beskyttelsestiltak for dataene som er omfattet, jf. tredje ledd. Varsling av abonnent eller bruker må skje uten opphold og senest innen 24 timer. Tilsynsmyndigheten skal varsles straks ved særlig risiko for brudd på sikkerheten og ved sikkerhetsbrudd som har krenket personvernet, jf. fjerde ledd.
16.4.2 Forordningen
Forordningens regler om informasjonssikkerhet følger av artikkel 32. Bestemmelsen fastslår at både den behandlingsansvarlige og databehandleren plikter å «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen», jf. artikkel 32 nr. 1. Eksempler på slike tiltak fremgår av bokstav a til d. En angivelse av sentrale elementer i risikovurderingen følger av artikkel 32 nr. 2. Overholdelse av godkjente atferdsnormer etter artikkel 40 eller en godkjent sertifiseringsmekanisme etter artikkel 42 kan brukes som en faktor for å påvise at kravene til informasjonssikkerhet er oppfylt, jf. artikkel 32 nr. 3. Etter artikkel 32 nr. 4 skal den behandlingsansvarlige og databehandleren sikre at enhver som handler på vegne av den behandlingsansvarlige eller databehandleren bare behandler opplysninger etter instruks fra den behandlingsansvarlige, med mindre unionsretten eller medlemsstatenes rett pålegger en plikt til behandling.
Forordningen artikkel 33 og 34 gir regler om varsling av henholdsvis tilsynsmyndigheten og den registrerte ved «brudd på personopplysningssikkerheten». Brudd på personopplysningssikkerheten er i artikkel 4 nr. 12 definert som «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».
Etter artikkel 33 nr. 1 skal den behandlingsansvarlige melde brudd på personopplysningssikkerheten til tilsynsmyndigheten uten ugrunnet opphold etter å ha fått kjennskap til det, eller innen 72 timer når dette er mulig. Plikten gjelder ikke dersom bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Bestemmelsen innebærer en viss utvidelse av plikten til å varsle om brudd på sikkerheten sammenlignet med personopplysningsforskriften § 2-6 tredje ledd, ettersom det etter forordningen ikke er nødvendig at sikkerhetsbruddet har ført til noen utlevering av opplysninger. Forordningen stiller også mer utfyllende krav til meldingens innhold, jf. artikkel 33 nr. 3 bokstav a til d.
Databehandlere plikter ved brudd på personopplysningssikkerheten å varsle behandlingsansvarlig uten opphold, jf. artikkel 33 nr. 2. Den behandlingsansvarlige skal dokumentere ethvert brudd på personopplysningssikkerheten, herunder de faktiske forhold rundt bruddet, virkningene av det og hvilke tiltak som er truffet for å utbedre det, jf. artikkel 33 nr. 5.
Artikkel 34 fastsetter en plikt til å varsle også den registrerte om brudd på personopplysningssikkerheten. En slik regel finnes som nevnt ikke i gjeldende personopplysningslov. Varslingsplikten inntrer når det er «sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter», jf. artikkel 34 nr. 1. Terskelen er dermed høyere enn for varsling av tilsynsmyndigheten. Kravene til innholdet i underretningen følger av artikkel 34 nr. 2.
Artikkel 34 nr. 3 fastsetter tre unntak fra plikten til å underrette den registrerte. Plikten gjelder for det første ikke dersom den behandlingsansvarlige har gjennomført sikkerhetstiltak og anvendt disse på personopplysningene som er rammet – særlig tiltak som gjør personopplysningene uleselige, slik som kryptering, jf. bokstav a. For det andre gjelder plikten ikke dersom den behandlingsansvarlige har truffet etterfølgende tiltak som «sikrer at det ikke lenger er sannsynlig at den høye risikoen for de registrertes rettigheter og friheter nevnt i nr. 1 vil oppstå», jf. bokstav b. Varsling er for det tredje ikke påkrevd dersom det krever «uforholdsmessig stor innsats», jf. bokstav c. I så fall skal allmennheten underrettes, eller det skal treffes et lignende tiltak som sikrer underretning av de registrerte på en like effektiv måte.
16.4.3 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet ingen nasjonale bestemmelser om sikkerhet ved behandlingen.
Departementet la videre til grunn at forordningen ikke åpner for at det fastsettes generelle nasjonale lovbestemmelser om varsling av tilsynsmyndigheten ved brudd på personopplysningssikkerheten utover forordningens regler. Det ble derfor ikke foreslått bestemmelser om dette.
Departementet la derimot til grunn at det er behov for å benytte adgangen etter forordningen artikkel 23 til å gjøre visse unntak fra plikten til å varsle den registrerte, med det formål å unngå at slikt varsel vil røpe opplysninger som det er av samfunnsmessig betydning å hemmeligholde og som etter lovutkastet § 13 er unntatt fra innsyns- og informasjonsretten. Det ble lagt til grunn at dette særlig gjelder i tilfeller der det er av vesentlig betydning at den registrerte ikke får kjennskap til at det behandles opplysninger om ham eller henne, for eksempel der dette er påkrevd å hemmeligholde av hensyn til etterforskningen av en straffbar handling. Videre pekte departementet på at også i tilfeller der den registrerte er kjent med at han eller hun er registrert, kan en nærmere beskrivelse av arten av bruddet på personopplysningssikkerheten, slik artikkel 34 nr. 2 krever, røpe opplysninger som bør hemmeligholdes av hensyn til rikets sikkerhet eller som må hemmeligholdes på grunnlag av en lovbestemt taushetsplikt.
Departementet foreslo på denne bakgrunn at plikten til underretning etter artikkel 34 ikke bør gjelde i den utstrekning slik underretning vil røpe opplysninger som er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser og som kan unntas offentlighet etter offentleglova §§ 20 og 21, opplysninger som det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger og opplysninger som det i lov eller medhold av lov gjelder taushetsplikt for. Det ble bedt om høringsinstansenes syn på om unntaksregelen bør være begrenset til de tilfeller der den registrerte ikke er kjent med at det behandles personopplysninger om ham eller henne.
16.4.4 Høringsinstansenes syn
Politidirektoratet uttaler at de gjeldende reglene gir en bedre tilnærming til informasjonssikkerhet enn forordningens mindre spesifikke regler:
«Etter Politidirektoratets vurdering gir gjeldende lov § 13 en bedre tilnærming til arbeidet med informasjonssikkerhet i og med at den blant annet tydeliggjør ledelsessystem for informasjonssikkerhet i større grad. Forordningens ikke-uttømmende opplisting av enkelte konkrete tiltak og ønskede tilstander fremstår som mindre dekkende enn dagens regler, noe som kan medføre risiko for at andre tiltak enn de opplistede blir lavere prioritert.»
Også Kripos peker på at forordningens skjønnsmessige regler kan føre til usikkerhet:
«Departementet konkluderer med at artikkel 32 ikke åpner for å fastsette generelle nasjonale bestemmelser om informasjonssikkerhet. Dette medfører at de mer detaljerte reglene i personopplysningsforskriften kapittel 2 må oppheves. På den ene siden vil dette kunne medføre at de til dels svært detaljerte kravene som stilles til informasjonssikkerhet kan skaleres til behandlingen av opplysninger. På den annen side vil det innebære en stor grad av usikkerhet knyttet til hvilke tiltak som er tilstrekkelig opp mot den generelle og svært skjønnsmessige bestemmelsen. Kripos bemerker at god veiledning som sikrer forutberegnelighet er viktig for å sikre en effektiv og god implementering av dette regelverket. Systemutvikling og nødvendige tilpasninger er som kjent svært ressurskrevende og riktige veivalg i prosessen er avgjørende. Dersom skjønnsmessige vurderinger er avhengig av hvilken saksbehandler som tar stilling til spørsmålet, vil dette kunne medføre høy risiko for den behandlingsansvarlige.»
Akademikerne og Den norske legeforening mener at informasjonssikkerhetsreglene kan være problematiske for fagforeningers behandling av opplysninger om fagforeningsmedlemskap, som omfattes av reglene for særlige kategorier av personopplysninger. Akademikerne uttaler:
«I lys av at fagforeningsmedlemskap anses som en sensitiv personopplysning både etter någjeldende og kommende personvernregler, er det nødvendig å behandle medlemsopplysninger og medlemskommunikasjon med høy grad av varsomhet. På den annen side kan ikke kategoriseringen være et absolutt hinder for å ivareta medlemmenes interesser. Fagforeninger må fungere i en arbeidshverdag hvor vurderinger knyttet til effektiv kommunikasjon, «interessekamp» og deling av adekvat og relevant informasjon må foretas i høyt tempo. Fortsatt balansering av hensynene til de registrerte og hensynet til virksomheten som registrerer, er dermed viktig også fremover.
[…]
Fallende organisasjonsgrad er allerede et problem for trepartssamarbeidet og den norske modellen. Et unødvendig komplisert regelverk risikerer å bidra til en ytterligere svekket organisasjonsgrad. Akademikerne forutsetter at forordningen gir grunnlag for at norske myndigheter avklarer spørsmålet på egnet måte slik at fagforeningene opplever at de følger en korrekt praksis.»
Den norske legeforening uttaler:
«Etter dagens regelverk har man lagt til grunn at sensitive personopplysninger, herunder fagforeningsmedlemskap, som sendes på e-post må krypteres. Dette innebærer i praksis at all kommunikasjon med medlemmet må krypteres, noe som må regnes å være uforholdsmessig tyngende og vanskeliggjøre arbeidet som fagforening. Vi forstår at det etter lovforslaget ikke legges opp til et absolutt krav om kryptering, da forskriftenes regler om dette ikke videreføres og det er dermed usikkert om de tilsvarende utfordringene vil gjøre seg gjeldende. Vi ber uansett departementet ta hensyn til det behovet fagforeninger har til en effektiv kommunikasjon og forvaltning av medlemsinteresser.»
Alle høringsinstansene som uttaler seg om spørsmålet, støtter de foreslåtte unntakene fra plikten til å varsle den registrerte. Disse er Utenriksdepartementet, Arbeids- og velferdsdirektoratet, Politidirektoratet, Tolldirektoratet, Brønnøysundregistrene, Kripos, Sør-Øst politidistrikt, Statens sivilrettsforvaltning, Norsk senter for forskningsdata og Finans Norge. Ingen av høringsinstansene mener at unntaket bør begrenses til de tilfellene der den registrerte ikke er kjent med at det behandles personopplysninger om ham eller henne. Utenriksdepartementet uttaler:
«Etter departementets syn er det et klart behov for å kunne unnta opplysninger som nevnt ovenfor. Med unntak av taushetsbelagte opplysninger, legger departementet til grunn at det skal foretas en vurdering både av forhold som taler for unntak og forhold som taler for å underrette den registrerte. Forslaget til unntaket i § 13 fjerde ledd støttes derfor.
Det antas at unntaket først og fremst vil få betydning i tilfeller der den registrerte ikke er kjent med at det behandles personopplysninger om ham eller henne. UD mener likevel at unntaket ikke bør begrenses til slike tilfeller.»
Arbeids- og velferdsdirektoratet og Norsk senter for forskningsdata mener at unntaket også bør omfatte de tilfellene der varsel kan røpe opplysninger som det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær. Arbeids- og velferdsdirektoratet mener videre at unntaket også bør omfatte opplysninger det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, og uttaler:
«Et varsel om avvik må som redegjort for ovenfor måtte inneholde noen av de opplysningene den registrerte ikke skal få informasjon eller innsyn i. For NAV sin del vil det være helseopplysninger det er utilrådelig at den registrerte får se. Et varsel om avvik, med de opplysningene den registrerte ikke bør se, vil kunne føre til at man kommer i situasjoner som man ønsker å unngå med unntaket i lovutkastet § 13 første ledd bokstav c.
Unntaket i forslagets § 13 første ledd bokstav e er en videreføring av nåværende personopplysningslov § 23 første ledd bokstav f. Unntaket er et generelt utformet og gir adgang til å gjøre unntak fra informasjonsplikten når åpenbare og grunnleggende private eller offentlige interesser tilsier det. Vilkårene for å gjøre unntak i medhold av denne bestemmelsen er strenge, jf. de kvalifiserte kravene som kommer til uttrykk i «åpenbare» og «grunnleggende». I forarbeidene til § 23 første ledd bokstav f, Ot.prp. nr. 92 (1998–99) side 52 til side 54, gis det eksempler på når bestemmelsen kan komme til anvendelse. Det er svært forskjellige alternativer uten noe indre sammenheng. Unntaket er ment for de tilfellene det er åpenbart riktig å unnta fra informasjonsplikt og innsyn, og hvor det det ikke var mulig å forutse dem på lovgivningstidspunktet. På grunn av bestemmelsenes strenge vilkår vil den unntaksvis komme til anvendelse. Der hvor det er aktuelt å bruke den vil det fremstå som nokså klart at den kan anvendes. Ved et slikt unntak bør det også være fritak fra å varsle den registrerte om avvik.»
16.4.5 Departementets vurdering
Artikkel 32 og 33 åpner ikke for å fastsette generelle nasjonale bestemmelser. Departementet foreslår derfor ingen nærmere bestemmelser om informasjonssikkerhet eller varsling av tilsynsmyndigheten ved brudd på personopplysningssikkerheten.
Når det gjelder varsling av den registrerte ved brudd på personopplysningssikkerheten, mener departementet at det er behov for å gjøre unntak i den utstrekning slik underretning vil røpe opplysninger som er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser og som kan unntas offentlighet etter offentleglova §§ 20 og 21, opplysninger som er det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger og opplysninger som i lov eller medhold av lov gjelder taushetsplikt for, se lovforslaget § 16 fjerde ledd. Etter departementets syn fremstår det ikke hensiktsmessig å begrense unntakene til tilfellene der den registrerte ikke er kjent med at det behandles personopplysninger om vedkommende.
Slik departementet vurderer det, er det på nåværende tidspunkt ikke tilstrekkelig holdepunkter for at det er praktisk behov for å gjøre unntak også i tilfellene omhandlet i § 16 første ledd bokstav c, altså der varsel vil røpe opplysninger som det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær. Videre mener departementet at det ikke er behov for at også sikkerhetsventilen i første ledd bokstav f skal gjelde tilsvarende. Det foreslås imidlertid at det kan fastsettes ytterligere unntak i forskrift dersom det viser seg å bli behov for det, se § 16 siste ledd.
16.5 Vurdering av personvernkonsekvenser og forhåndsdrøftinger med tilsynsmyndigheten
16.5.1 Gjeldende rett
Det gjeldende personvernregelverket inneholder ingen bestemmelser som pålegger behandlingsansvarlige en plikt til å gjøre en generell vurdering av personvernkonsekvenser før behandling iverksettes. Personopplysningsforskriften § 2-4 pålegger behandlingsansvarlige å foreta en risikovurdering for å kartlegge sannsynligheten for og konsekvensene av eventuelle sikkerhetsbrudd, men plikten er begrenset til informasjonssikkerhetsområdet. Vurdering av personvernkonsekvenser kan også være aktuelt i forbindelse med utredningen av statlige tiltak i tråd med utredningsinstruksen.
Gjeldende personopplysningslov oppstiller heller ingen plikt for den behandlingsansvarlige til å rådføre seg med Datatilsynet før behandling påbegynnes. Forhåndsdrøftinger vil imidlertid kunne skje ved søknad om konsesjon, som etter gjeldende rett i visse tilfeller er obligatorisk, eller med grunnlag i Datatilsynets veiledningsplikt etter forvaltningsloven § 11.
16.5.2 Forordningen
Forordningen artikkel 35 nr. 1 bestemmer at den behandlingsansvarlige på nærmere vilkår har plikt til å foreta en vurdering av personvernkonsekvenser før behandlingen begynner. Plikten inntrer når det er «sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter».
Artikkel 35 nr. 3 angir visse tilfeller der vurdering av personvernkonsekvenser «særlig» er nødvendig. Dette gjelder «systematiske og omfattende vurderinger av personlige aspekter ved fysiske personer» som er basert på automatisert behandling, herunder profilering, når vurderingene danner grunnlag for avgjørelser som har rettsvirkninger for den registrerte eller på lignende måte påvirker den registrerte i betydelig grad, jf. bokstav a, behandling i «stor skala» av særlige kategorier av personopplysninger eller opplysninger om straffedommer og lovovertredelser, jf. bokstav b, og «systematisk overvåking i stor skala» av et offentlig tilgjengelig område, jf. bokstav c. Etter artikkel 35 nr. 4 skal tilsynsmyndigheten utarbeide og offentliggjøre en liste over hvilke typer av behandling som krever vurdering av personvernkonsekvenser. Tilsynsmyndigheten kan også angi hvilke typer behandlinger som ikke krever slik vurdering, jf. artikkel 35 nr. 5.
Kravene til innholdet i vurderingen følger av artikkel 35 nr. 7 bokstav a til d. Vurderingen skal minst inneholde en systematisk beskrivelse av behandlingsaktivitetene og formålene med dem, en vurdering av om behandlingsaktivitetene er nødvendige og forholdsmessige, en vurdering av risikoen for de registrertes rettigheter og friheter og tiltakene for å håndtere risikoen. I vurderingen skal det tas hensyn til overholdelse av godkjente atferdsnormer, jf. artikkel 35 nr. 8. Etter artikkel 35 nr. 9 plikter den behandlingsansvarlige på nærmere vilkår å innhente synspunkter fra de registrerte eller deres representanter.
Artikkel 35 nr. 10 angir et unntak fra plikten til vurdering av personvernkonsekvenser for visse lovregulerte behandlinger. Etter denne bestemmelsen gjelder plikten ikke dersom behandlingen er lovregulert, jf. artikkel 6 nr. 1 bokstav c og e, det supplerende rettsgrunnlaget regulerer de spesifikke behandlingsaktivitetene og det allerede er gjort en generell konsekvensvurdering i forbindelse med vedtakelsen av det supplerende rettslige grunnlaget. Bestemmelsen åpner for at medlemsstatene kan fastsette i nasjonal rett at det likevel skal gjøres en konsekvensvurdering.
Dersom en vurdering av personvernkonsekvenser etter forordningen artikkel 35 tilsier at behandlingen «vil medføre en høy risiko dersom den behandlingsansvarlige ikke treffer tiltak for å redusere risikoen», plikter den behandlingsansvarlige å «rådføre seg» med tilsynsmyndigheten før behandling, jf. artikkel 36 nr. 1. Det følger av fortalepunkt 94 at plikten gjelder når «den behandlingsansvarlige mener at risikoen ikke kan reduseres ved hjelp av rimelige midler, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnader».
Hvilken informasjon den behandlingsansvarlige skal fremlegge for tilsynsmyndigheten, følger av artikkel 36 nr. 3 bokstav a til h, og inkluderer blant annet formålene og midlene for den planlagte behandlingen og vurderingen av personvernkonsekvenser. Dersom tilsynsmyndigheten mener at den planlagte behandlingen vil være i strid med forordningen, skal tilsynsmyndigheten gi skriftlige råd, jf. artikkel 36 nr. 2. Tilsynsmyndigheten kan også utøve myndighet i samsvar med artikkel 58, for eksempel ved å vedta et forbud mot behandlingen eller pålegge vilkår for behandlingen. Skriftlige råd skal som hovedregel gis innen åtte uker fra anmodningen om forhåndsdrøftinger er mottatt. Fristen kan forlenges med seks uker ved komplekse behandlinger.
Etter artikkel 36 nr. 4 plikter medlemsstatene å rådføre seg med tilsynsmyndigheten ved utarbeiding av lover og forskrifter som er knyttet til behandling av personopplysninger.
16.5.3 Forslaget i høringsnotatet
Departementet reiste i høringsnotatet spørsmål om det i nasjonal rett bør pålegges en plikt til vurdering av personvernkonsekvenser også i de tilfeller som omfattes av unntaksregelen i artikkel 35 nr. 10. På bakgrunn av at dette unntaket bare kommer til anvendelse når det supplerende rettsgrunnlaget for behandlingen inneholder en spesifikk regulering av de ulike behandlingsaktivitetene, foreslo departementet ingen generell regel om konsekvensutredning i disse tilfellene.
Departementet viste videre til at forordningen artikkel 36 nr. 5 gir medlemstatene adgang til å fastsette ytterligere plikt til forhåndsdrøftinger dersom opplysningene behandles til utførelse av en oppgave i allmennhetens interesse. Det ble foreslått en forskriftshjemmel for nærmere regulering, med den begrunnelse at det er vanskelig å overskue hvordan plikten til forhåndsdrøfting vil utvikle seg, og om det er nødvendig å utvide plikten til å gjelde andre områder. Departementet viste også til at det kan bli nødvendig eller hensiktsmessig å presisere nærmere hvilke type behandlinger som krever forhåndsdrøftinger.
16.5.4 Høringsinstansenes syn
Høringsinstansene er delt i synet på om det bør pålegges en plikt til vurdering av personvernkonsekvenser også i de tilfellene som omfattes av unntaksregelen i forordningen artikkel 35 nr. 10. Arbeids- og velferdsdirektoratet, Politidirektoratet, Oslo kommune, Kripos, Folkehelseinstituttet og Finans Norge mener at det ikke bør fastsettes en slik plikt. Politidirektoratet uttaler:
«Unntaksregelen fremstår som svært snever og kommer kun til anvendelse for de tilfeller hvor behandlingsaktivitetene er spesifikt regulert i det rettslige grunnlaget. Etter direktoratets vurdering er det derfor ikke behov for konsekvensutredning i disse tilfellene.»
Finans Norge uttaler:
«Etter Finans Norges vurdering bør ikke unntaket som følger av artikkel 35 nr. 10 fjernes. For finansforetak, som er pålagt en rekke behandlinger av personopplysninger gjennom lovgivning, er dette unntaket svært viktig. Et praktisk eksempel er der finansforetak må innhente en rekke personopplysninger fra kunder for å ivareta sine forpliktelser etter hvitvaskingsloven. Vurderingen av personvernkonsekvenser i slike tilfeller må etter Finans Norges syn være en oppgave for lovgiver. Rekkevidden av unntaksregelen kan etter vår vurdering avklares gjennom dialog og veiledninger fra tilsynsmyndighetene all den tid dette vil være relativt standardiserte behandlinger.»
Datatilsynet og Brønnøysundregistrene mener at det bør fastsettes i nasjonal rett at unntaksregelen ikke gjelder. Brønnøysundregistrene peker på at den behandlingsansvarliges vurdering kan fange opp mer enn lovgivers vurdering, og uttaler:
«Brønnøysundregistrene mener at en konsekvensutredning i forbindelse med vedtakelsen av en lov, ikke nødvendigvis vil omfatte alle de vurderingene som en konsekvensutredning bør/skal inneholde. Systemtekniske behov, behov knyttet til sikkerhet og sikkerhetstiltak osv., vil det kunne være vanskelige å vurdere på et overordnet nivå. Lovgiver vil ikke alltid ha full oversikt over detaljene i den løsningen som skal lages, og hvilke konsekvenser løsningen får for personvernet. Disse vil som oftest den behandlingsansvarlige være den nærmeste til å vurdere.
Personvernkonsekvensutredning foretatt av den behandlingsansvarlige vil videre være grunnlagsmaterialet for å bygge personvern inn i løsningen, jf. kravet om innebygd personvern.
Endelig vil en slik personvernkonsekvensutredning også kunne avdekke et eventuelt behov for forhåndsdrøfting med Datatilsynet. Den behandlingsansvarlige vil kunne avdekke konkrete risikomomenter som lovgiver ikke hadde mulighet for å avdekke i sin vurdering.»
Datatilsynet mener at unntaksregelen i artikkel 35 nr. 10 kan føre til uklare grensedragninger, og at unntaksregelen kan bli misforstått av de behandlingsansvarlige:
«Den viktigste grunnen at det er behov for en slik bestemmelse er at man da vil unngå uklare grensedragningsspørsmål og misforståelser omkring bestemmelsens rekkevidde. Datatilsynet har i møter med virksomheter og sektororganisasjoner om forordningens betydning gjentatte ganger blitt møtt med holdninger som «forordningen unntar behandlingsansvarlige som behandler personopplysninger med hjemmel i lov fra plikten til å gjennomføre en vurdering av personvernkonsekvensen». Datatilsynet frykter at i mangel på en generell presisering om at plikten også gjelder behandlinger hjemlet i artikkel 6 nr. 1. bokstav c eller e, vil en slik utvidende forståelse av bestemmelsen feste seg.
En korrekt anvendelse av det snevre unntaket i artikkel 35 nr. 10 vil dessuten kreve at de behandlingsansvarlige dette gjelder evner å ta stilling til om en lovhjemmelen inneholder regler som er tilstrekkelig spesifikke, samt vurdere om redegjørelsen av personvernkonsekvensene som ble gjort som en del av lovarbeidet er tilstrekkelig. Vi mener det er grunn til å tro at mange behandlingsansvarlige ikke har tilstrekkelig kompetanse til å foreta slike vurderinger.
Datatilsynet mener videre at den vurderingen av personvernkonsekvenser som gjøres som en del av lovarbeidet er av en vesentlig forskjellig karakter og detaljnivå enn det som behandlingsansavarlige er pålagt etter forordningens artikkel 35.»
Forbrukerrådet uttaler at det kan åpnes for å gjøre unntak fra unntaket i artikkel 35 nr. 10 i forskrift.
Ingen høringsinstanser gir uttrykk for at det i denne omgang bør fastsettes en utvidet plikt til forhåndsdrøfting. Datatilsynet,Direktoratet for e-helse og Den norske legeforening støtter forslaget om en forskriftshjemmel. Den norske legeforening uttaler:
«Vi mener at det vil være behov for en nærmere regulering av plikten til forhåndsdrøftelser nasjonalt, særlig av hensyn til klarhet og forutberegnelighet. Ettersom plikten til forhåndsdrøftelser er nytt med forordningen, vil det imidlertid være vanskelig på nåværende tidspunkt å klarlegge innholdet av slike regler. Vi støtter derfor departementet i at det gis en forskriftshjemmel for dette.»
Norges Røde Kors uttaler at de er «bekymret for om Datatilsynet vil ha tilstrekkelig kapasitet til å kunne foreta nødvendige forhåndsdrøftinger, hvilket vil være svært viktig når konsesjonsordningen forsvinner neste år».
16.5.5 Departementets vurdering
Etter departementets vurdering er unntaket fra plikten til vurdering av personvernkonsekvenser i forordningen artikkel 35 nr. 10 så snevert at det ikke synes nødvendig på nåværende tidspunkt å fastsette noen nasjonale unntak fra unntaket. Unntaket kommer bare til anvendelse når det supplerende rettsgrunnlaget for behandlingen inneholder en spesifikk regulering av de ulike behandlingsaktivitetene, noe som sjelden er tilfelle. Hvis behandlingsaktivitetene først er spesifikt regulert i lov eller forskrift, og personvernkonsekvensene allerede er vurdert i den forbindelse, kan departementet ikke se at en vurdering av personvernkonsekvenser vil ha en så stor tilleggsverdi at det er nødvendig å pålegge dette også i disse tilfellene. At unntaket fører til grensedragningsspørsmål, er etter departementets oppfatning ikke et tilstrekkelig tungtveiende hensyn til at det nødvendig å pålegge en plikt til vurdering av personvernkonsekvenser. Risikoen for misforståelser av rekkevidden av unntaket kan reduseres med informasjon og veiledning.
Departementet foreslår ingen utvidet plikt til forhåndsdrøfting med tilsynsmyndigheten etter artikkel 36 nr. 5. Det foreslås imidlertid en forskriftshjemmel som åpner for slike bestemmelser, se lovforslaget § 14.
16.6 Atferdsnormer og sertifisering
16.6.1 Gjeldende rett
Etter personopplysningsloven § 42 tredje ledd nr. 6 skal Datatilsynet «bistå i utarbeidelse av bransjevise adferdsnormer». Slike bransjenormer er utarbeidet på flere områder, også med bistand fra Datatilsynet. Brudd på normene vil ikke i seg selv kunne føre til offentligrettslige reaksjoner, men normene er et hjelpemiddel til etterlevelse av regelverket og godt personvern i en bransje.
Gjeldende norsk personvernregelverk inneholder ingen bestemmelser om sertifiseringsordninger på personvernområdet.
16.6.2 Forordningen
Etter forordningen artikkel 40 nr. 1 skal medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen oppmuntre til at det utarbeides atferdsnormer som skal bidra til riktig anvendelse av forordningen, jf. også artikkel 57 nr. 1 bokstav m om tilsynsmyndighetens oppgaver. Det skal tas hensyn til de særlige forholdene i de forskjellige behandlingssektorene og de særlige behovene til svært små, små og mellomstore bedrifter. I henhold til artikkel 40 nr. 2 kan «sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere», utarbeide atferdsnormer, eller endre eller utvide omfanget av slike regler for nærmere å angi anvendelsen av forordningen. I artikkel 40 nr. 2 bokstav a til k er det listet opp en rekke eksempler på hva slike normer kan dreie seg om. Normene kan være svært omfattende, eller regulere kun en smal behandlingsform eller bruk av en spesiell type teknologi. Det kan for eksempel utarbeides normer for pseudonymisering eller avvikshåndtering.
Etter artikkel 40 nr. 5 skal sammenslutninger og organer som har til hensikt å utarbeide atferdsnormer eller endre eller utvide eksisterende atferdsnormer, fremlegge utkast og utkast til endringer eller utvidelser for tilsynsmyndigheten. Tilsynsmyndigheten skal avgi uttalelse om hvorvidt utkastet oppfyller forordningens krav, og skal godkjenne utkastet dersom den finner at de inneholder tilstrekkelige og nødvendige garantier.
Kontroll med om godkjente atferdsnormer overholdes, kan etter artikkel 41 nr. 1 utføres av et organ med et «egnet nivå av dybdekunnskap om temaet for atferdsnormene og som er akkreditert for dette formål av vedkommende tilsynsmyndighet». Vilkårene for akkreditering av et slikt organ følger av artikkel 41 nr. 2, som blant annet stiller krav om uavhengighet og fremgangsmåter og rutiner for behandling av klager på overtredelser av atferdsnormene.
Organets kontrollvirksomhet vil være begrenset til de som frivillig har sluttet seg til normene og ordningen. Forordningen pålegger ingen behandlingsansvarlige eller databehandlere noen plikt til å slutte seg til atferdsnormer eller kontrollordninger. Atferdsnormene skal etter artikkel 40 nr. 4 inneholde mekanismer som gjør det mulig for organet å utføre obligatorisk tilsyn med at atferdsnormene overholdes av behandlingsansvarlige og databehandlere som har sluttet seg til dem. Organets kontroll med overholdelsen av atferdsnormene må altså fastsettes i atferdsnormene, og den behandlingsansvarlige eller databehandleren må dermed slutte seg til kontrollordningen som ledd i tilslutningen til atferdsnormene.
I henhold til artikkel 41 nr. 4 skal kontrollorganet «under forutsetning av nødvendige garantier, treffe egnede tiltak i tilfelle en behandlingsansvarlig eller databehandler ikke overholder atferdsnormene, herunder suspendere eller utelukke den berørte behandlingsansvarlige eller databehandleren fra atferdsnormene». Forordningen gir ikke kontrollorganene noen kompetanse til å ilegge sanksjoner, pålegge erstatningsplikt eller lignende. Tiltakene som organet kan treffe, må fastsettes i atferdsnormene.
Det er presisert i artikkel 41 nr. 1 at kontrollorganenes tilsyn med overholdelsen av atferdsnormene ikke berører tilsynsmyndighetens oppgaver og kompetanse til å føre tilsyn med overholdelsen av forordningens regler. Organene kan ikke føre kontroll med behandling utført av offentlige myndigheter og organer, jf. artikkel 41 nr. 6.
Tilsynsmyndighetens kompetanse til å vedta pålegg eller sanksjoner knytter seg bare til overtredelser av forordningens regler, jf. artikkel 58 nr. 2 og 83 nr. 1 og nr. 4 til 6. Datatilsynet kan derfor ikke vedta pålegg eller sanksjoner direkte for brudd på atferdsregler. Også erstatningsansvaret etter artikkel 82 knytter seg til overtredelser av forordningen, jf. artikkel 82 nr. 1. I flere bestemmelser er det imidlertid fastsatt at overholdelse av godkjente atferdsregler kan brukes som en faktor for å påvise at forpliktelsene etter forordningen overholdes, se artikkel 24 nr. 3 om den behandlingsansvarliges plikter, artikkel 28 nr. 5 jf. 1 og 4 om krav til databehandlere, artikkel 32 nr. 3 jf. 1 om sikkerhet ved behandlingen og artikkel 46 nr. 2 bokstav e om garantier ved overføring av personopplysninger til tredjestater eller internasjonale organisasjoner uten særlig godkjenning fra tilsynsmyndigheten. Videre følger det av artikkel 83 nr. 2 bokstav j at det skal tas hensyn til overholdelse av godkjente atferdsnormer ved avgjørelsen av om det skal ilegges overtredelsesgebyr og gebyrets størrelse.
Etter forordningen artikkel 42 skal landene oppmuntre til ordninger med personvernsertifisering. Sertifisering skal i samsvar med artikkel 42 nr. 5 foretas av et akkreditert sertifiseringsorgan eller av tilsynsmyndigheten. Kriteriene for sertifiseringen skal være godkjent av tilsynsmyndigheten eller Personvernrådet. Også behandlingsansvarlige eller databehandlere som ikke er omfattet av forordningen, kan sertifiseres, for å påvise at det foreligger nødvendige garantier i forbindelse med overføring til tredjestater eller internasjonale organisasjoner, jf. artikkel 42 nr. 2.
Etter artikkel 43 nr. 1 skal sertifiseringsorganer ha et egnet nivå av dybdekunnskap om personvern. De skal dessuten være akkreditert av enten den nasjonale tilsynsmyndigheten eller av det nasjonale akkrediteringsorganet utpekt i samsvar med forordning 765/2008 om akkrediterings- og markedstilsynskrav i forbindelse med markedsføring av produkter. Akkrediteringen skal gjøres i henhold til EN-ISO/IEC 17065/2012 og tilleggskrav fastsatt av det nasjonale tilsynsorganet med kompetanse etter personvernforordningen artikkel 55 og 56.
Det er presisert i artikkel 42 nr. 4 at en sertifisering ikke begrenser ansvaret for å oppfylle kravene i forordningen eller oppgavene og kompetansen til tilsynsmyndigheten. På samme måte som overholdelse av atferdsnormer, kan sertifisering brukes som en faktor for å påvise at forordningens regler etterleves, jf. artikkel 24 nr. 3, 25 nr. 3, 28 nr. 5 og 32 nr. 3.
16.6.3 Forslaget i høringsnotatet
Det ble ikke foreslått nærmere bestemmelser om atferdsnormer eller sertifisering i høringsnotatet.
16.6.4 Høringsinstansenes syn
Direktoratet for e-helse, Norges Ingeniør- og Teknologorganisasjon, Forskningsinstituttenes Fellesarena og Finans Norge er positive til at det kan utarbeides atferdsnormer.
Forbrukerrådet mener at forbrukernes interesser bør ivaretas ved utviklingen av atferdsnormer, og uttaler:
«For Forbrukerrådet er det viktig at det i utviklingen av slike atferdsnormer skjer i en åpen og inkluderende prosess, hvor også forbrukernes interesser ivaretas. Det vil også gi normene større legitimitet. Forbrukerrådet har tidligere deltatt i utformingen av bransjenormer, blant annet for nettnøytralitet. Her har bransjenorm og «selvjustis» fungert etter hensikten.»
Tekna – Teknisk-naturvitenskapelig forening og Akademikerne mener at det er positivt at myndighetene skal oppmuntre til utarbeidelse av atferdsnormer. Akademikerne uttaler:
«Rettsreglene på personvernets område er med sin kompleksitet og strenge myndighetskrav såpass utfordrende at det vil være naturlig at bransjer søker sammen av rasjonelle årsaker for å utarbeide bransjenormer. En ser det som konstruktivt om det offentlige legger til rette for at bransjer søker sammen i slikt arbeid og opptrer som en samarbeidspartner for bransjer med spesielle utfordringer på personvernets rettsområde. Akademikerne ser derfor særlig positivt på forordningens artikkel 40 om atferdsnormer som nettopp gir myndighetene en slik «oppmuntringsplikt» og involverer det offentlige i dannelsen av bransjerelaterte atferdsnormer. Organisasjonene i arbeidslivet er et eksempel på en bransje som bør kunne finne sammen på personvernets område for å utarbeide nevnte atferdsnormer.»
Norges Rederiforbund uttaler at «Datatilsynet må tilføres nødvendige ressurser til å kunne yte den bistand og veiledning som forutsatt».
Ingen høringsinstanser har uttalt seg om sertifiseringsordninger.
16.6.5 Departementets vurdering
Departementet legger til grunn til at Datatilsynets akkreditering av kontrollorganer kan skje direkte med grunnlag i forordningen artikkel 41 nr. 2, og at det derfor ikke er nødvendig med lovbestemmelser om dette. Det foreslås ingen nærmere bestemmelser om atferdsnormer.
Sertifiseringsorganer skal akkrediteres enten av tilsynsmyndigheten med kompetanse etter forordningen artikkel 55 eller 56, eller av et akkrediteringsorgan utpekt i samsvar med forordning 765/2008. Denne forordningen er gjennomført i Norge ved lov om det frie varebytte i EØS (EØS-vareloven) § 2. EØS-vareloven § 3 første ledd utpeker Norsk akkreditering som nasjonalt akkrediteringsorgan i Norge. Både Datatilsynet, Norsk akkreditering eller begge i fellesskap kan derfor akkreditere sertifiseringsorganer som skal sertifisere i samsvar med personvernforordningen. I tillegg gjelder akkreditering av sertifiseringsorganer foretatt av akkrediteringsorganer i andre EU-/EØS-land. Det følger av forordningen artikkel 43 nr. 1 at landene skal sikre at sertifiseringsorganer akkrediteres av enten tilsynsmyndigheten eller akkrediteringsorganet. Etter departementets vurdering er det ikke nødvendig med nærmere lovbestemmelser om dette.