2 Bakgrunnen for lovforslaget
2.1 EUs personvernforordning
EUs personvernforordning ble vedtatt i april 2016 og erstatter EUs personverndirektiv fra 1995, som er gjennomført i den gjeldende personopplysningsloven. Forordningens overordnede formål er å sikre vern av personopplysninger, ensartede regler i EU/EØS og fri utveksling av personopplysninger mellom EU/EØS-landene. Forordningen oppstiller et omfattende regelverk, blant annet om de grunnleggende prinsippene og vilkårene for å behandle personopplysninger, rettigheter for enkeltpersoner, overføring av personopplysninger over landegrensene og om tilsyn og sanksjoner. Reglene gjelder for både private og offentlige aktører.
Forordningens formål, systematikk, terminologi og grunnprinsipper er i betydelig grad en videreføring av 95-direktivet og personopplysningsloven av 2000. De materielle reglene i forordningen er i stor grad en videreføring og videreutvikling av gjeldende rett. Samtidig innebærer reglene en rekke endringer, både på detaljnivå og av mer grunnleggende karakter. De registrertes rettigheter er på flere punkter styrket. Videre gir forordningen enkelte nye rettigheter, blant annet en rett til å overføre personopplysninger fra en tjenestetilbyder til en annen, såkalt dataportabilitet. For behandlingsansvarlige bortfaller melde- og konsesjonsplikten og erstattes med nye plikter til dokumentasjon og konsekvensvurderinger samt forhåndsdrøftinger med tilsynsmyndigheten. Det innføres videre en plikt til å ha personvernombud for offentlige myndigheter og for visse private behandlingsansvarlige. Videre kan Datatilsynet ilegge vesentlig høyere overtredelsesgebyrer. Det innføres også en mer effektiv tilsynsordning på europeisk nivå, ved at behandlingsansvarlige i utgangspunktet kun skal behøve å forholde seg til én tilsynsmyndighet i EU/EØS, den såkalte ettstedsmekanismen.
EUs personvernforordning ble foreslått av Kommisjonen 25. januar 2012. Det ble i den forbindelse vist til at det europeiske personopplysningsregelverket må oppdateres for å kunne ivareta den enkeltes personvern i møte med den nye teknologiske virkeligheten. Det ligger også økonomiske fordeler i et nytt og oppdatert personvernregelverk, ved at forbrukernes tillit og villighet til å kjøpe varer og tjenester over internett vil styrkes. Videre vil en ny forordning kunne avbøte de utfordringer som ligger i at det gjeldende personverndirektivet ikke er gjennomført på en harmonisert måte i EU. Ytterligere en målsetting med personvernforordningen var å fjerne unødvendige administrative byrder for bedrifter som ligger i dagens regelverk, blant annet meldeplikten.
Departementet sendte Kommisjonens forslag til ny personvernforordning på høring 19. april 2012 med høringsfrist 1. august 2012. En rekke høringsinstanser ga innspill til forslaget. Generelt var høringsinstansene positive til et nytt europeisk personopplysningsregelverk, men høringsinstansene var delte i synet på om regelverket burde gis i form av en forordning eller et direktiv. Videre hadde høringsinstansene en rekke innspill til utformingen av forordningens enkelte artikler. Departementet har sett hen til innspillene ved utarbeidelse av norske posisjoner i forbindelse med Rådets behandling av forordningen.
Norge har normalt ikke adgang til å delta i Rådets behandling av EØS-rettsakter, men som følge av at forordningen fra Kommisjonens side ble ansett Schengen-relevant da forslaget ble fremmet, har Norge kunnet delta i Rådets forhandlinger på arbeidsgruppenivå. Norges generelle posisjon under forhandlingene i Rådet har vært å gå imot forslag som bidrar til å svekke den enkeltes personvern i forhold til beskyttelsesnivået i personopplysningsloven. Samtidig har det vært viktig for Norge at regelverket ikke skal legge unødvendige byrder på næringslivet, særlig på små og mellomstore bedrifter. Norge har derfor gått inn for en balansert tilnærming, der det avgjørende er å sikre individets rettigheter samtidig som næringslivets behov for et praktisk anvendbart og kostnadseffektivt regelverk ivaretas.
I desember 2015 ble det oppnådd enighet i forhandlingene om den nye forordningen, og den ble formelt vedtatt av EU i april 2016 og publisert i EU-tidende 4. mai 2016. Forordningen får anvendelse direkte i EU 25. mai 2018.
2.2 Høring
Justis- og beredskapsdepartementet sendte høringsnotat med forslag til ny personopplysningslov på høring 6. juli 2017. Høringsfristen var 16. oktober 2017.
Høringsnotatet ble sendt til følgende høringsinstanser:
Departementene
Barneombudet
Bioteknologirådet
Brønnøysundregistrene
Datatilsynet
Departementenes sikkerhets- og serviceorganisasjon
De nasjonale forskningsetiske komiteene
Direktoratet for forvaltning og IKT
Direktoratet for arbeidstilsynet
Direktoratet for samfunnssikkerhet og beredskap
Domstoladministrasjonen
Finanstilsynet
Folkehelseinstituttet
Forbrukerombudet
Forbrukerrådet
Forskningsrådet
Fylkesmennene
Helsedirektoratet
Konkurransetilsynet
Kulturrådet
Kunnskapssenteret for helsetjenesten
Medietilsynet
Nasjonal kommunikasjonsmyndighet
Nasjonal sikkerhetsmyndighet
Norges Bank
Nasjonalbiblioteket
Personvernnemnda
Petroleumstilsynet
Politidirektoratet
Politiets sikkerhetstjeneste
Regjeringsadvokaten
Regelrådet
Riksadvokaten
Riksarkivet
Sekretariatet for konfliktrådene
Sivilombudsmannen
Skattedirektoratet
Statens arbeidsmiljøinstitutt
Statens helsetilsyn
Statens institutt for rusmiddelforskning
Statens sivilrettsforvaltning
Statistisk sentralbyrå
Statens innkrevingssentral
Sysselmannen på Svalbard
Teknologirådet
Tolldirektoratet
Utdanningsdirektoratet
Utlendingsdirektoratet
Økokrim
De regionale helseforetakene
Senter for rettsinformatikk
Universitetene
Advokatforeningen
ALT
Amnesty International Norge
Arbeidsmiljøsenteret
Bedriftsforbundet
Bilimportørenes Landsforening
Bluegarden AS
Civita
Den Norske Dataforening
Den norske Dommerforening
Den norske legeforening
EVRY ASA
Experian Norge
Finans Norge
Forskerforbundet
Forskningsstiftelsen Fafo
Frivillighet Norge
Hovedorganisasjonen Virke
Human Rights Alert Norway
ICJ-Norge
IKT-Norge
Institutt for samfunnsforskning
Juridisk rådgivning for kvinner
Juristforbundet
Jushjelpa i Midt-Norge
Jussbuss
Jussformidlingen
Jusshjelpa i Nord-Norge
KS
Landkreditt Bank AS
Landsorganisasjonen i Norge
Landsrådet for Norges barne- og ungdomsorganisasjoner
Lederne
Nordia Law Advokatfirma AS
NORDMA
Norges Ingeniør- og Teknologorganisasjon
Norges Rederiforbund
Norges Taxiforbund
Norsk Journalistlag
Norsk Kennel Klub
Norsk Presseforbund
Norsk Redaktørforening
Norsk senter for forskningsdata
Norsk senter for informasjonssikring
Næringslivets Hovedorganisasjon
Næringslivets sikkerhetsorganisasjon
Næringslivets Sikkerhetsråd
Privatsykehusenes fellesorganisasjon
SAMFO – Arbeidsgiverforening for samvirkeforetak
Sopra Steria AS
Sparebankforeningen
Telenor Norge AS
Transportbrukernes Fellesorganisasjon
Transportøkonomisk institutt
Unio
Yrkesorganisasjonenes Sentralforbund
Departementet mottok realitetsuttalelser fra:
Arbeids- og sosialdepartementet
Finansdepartementet
Forsvarsdepartementet
Helse- og omsorgsdepartementet
Kulturdepartementet
Kunnskapsdepartementet
Nærings- og fiskeridepartementet
Utenriksdepartementet
Administrasjonen i De nasjonale forskningsetiske komiteene
Arbeids- og velferdsdirektoratet
Arkivverket
Barneombudet
Bioteknologirådet
Brønnøysundregistrene
Datatilsynet
Den nasjonale forskningsetiske komité for naturvitenskap og teknologi
Den nasjonale forskningsetiske komité for samfunnsvitenskap og humaniora
Departementenes sikkerhets- og serviceorganisasjon
Direktoratet for e-helse
Direktoratet for forvaltning og IKT
Direktoratet for samfunnssikkerhet og beredskap
Finanstilsynet
Folkehelseinstituttet
Forbrukerombudet
Forbrukerrådet
Helsedirektoratet
Innovasjon Norge
Kripos
Kulturrådet
Medietilsynet
Nasjonal kommunikasjonsmyndighet
Nasjonal sikkerhetsmyndighet
Nasjonalbiblioteket
Nordland politidistrikt
Norges Bank
Oslo byfogdembete
Oslo politidistrikt
Politidirektoratet
Politiets sikkerhetstjeneste
Politiets utlendingsenhet
Regelrådet
Skattedirektoratet
Statens arbeidsmiljøinstitutt
Statens helsetilsyn
Statens lånekasse for utdanning
Statens pensjonskasse
Statens sivilrettsforvaltning
Statens vegvesen
Statistisk sentralbyrå
Sør-Øst politidistrikt
Tolldirektoratet
Universitets- og høgskolerådet
Utdanningsdirektoratet
Utlendingsdirektoratet
Larvik kommune
Oslo kommune
Rogaland fylkeskommune
Vestfold fylkeskommune
Bane NOR SF
Gassco AS
Helse Bergen HF
Helse Nord RHF
Helse Nord-Trøndelag HF
Helse Stavanger HF
Helse Sør-Øst RHF
Helse Vest RHF
Norsk rikskringkasting AS
Oslo universitetssykehus HF
Sporveien Oslo AS
Statnett SF
Universitetssykehuset Nord-Norge HF
Høgskulen i Volda
Norges idrettshøgskole
Norges teknisk-naturvitenskapelige universitet
Politihøgskolen
Universitetet i Bergen
Universitetet i Oslo
Universitetet i Tromsø – Norges arktiske universitet
Advokatforeningen
Akademikerne
Anne Karen Seip
Arbeidsgiverforeningen Spekter
ASIS Norge
Attac Norge
BDO AS
Bisnode Norge AS
Brækhus Advokatfirma DA
Coop Norge SA
Den norske historiske forening
Den norske legeforening
Den norske Revisorforening
DHL Express (Norway) AS
Drivkraft Norge
Fagforbundet
Finans Norge
Foreningen Kommunal Informasjonssikkerhet
Forskerforbundet
Forskningsinstituttenes Fellesarena
Frivillighet Norge
Get TDC
Graveteamet på rusfeltet
Herbjørn Andresen
Hovedorganisasjonen Virke
IT-politisk råd i Den Norske Dataforening
J.K. Baltzersen
Juristforbundet
Kantar TNS AS
Kirkerådet
Kollektivtrafikkforeningen
KS
Landsorganisasjonen i Norge
Nei til EU
NHO Service
Norges Ingeniør- og Teknologorganisasjon
Norges Rederiforbund
Norges Røde Kors
NorgesGruppen ASA
Norsk Arkivråd
Norsk Presseforbund, Norsk Journalistlag og Norsk Redaktørforening
Norsk senter for forskningsdata
Norwegian Eksterngransking Organization
Næringslivets Hovedorganisasjon
Næringslivets Sikkerhetsråd
Personvernombud innen og i tilknytning til helse og forskning
Redd Barna
Regnskap Norge
SAMFO – Arbeidsgiverforening for samvirkeforetak
Sopra Steria AS
Tekna – Teknisk-naturvitenskapelig forening
Telenor Norge AS
Telia Norge AS
TV 2 AS
Unio
Virke inkasso
Virke markedsanalyse
Yrkesorganisasjonenes Sentralforbund
Følgende instanser uttrykte at de ikke hadde merknader eller ikke ønsket å uttale seg:
Klima- og miljødepartementet
Landbruks- og matdepartementet
Samferdselsdepartementet
Domstoladministrasjonen
Riksadvokaten
Finansieringsselskapenes Forening
KS Bedrift
2.3 Rammene for arbeidet med ny personopplysningslov og omtalen av forordningen i proposisjonen her
2.3.1 Rammene for arbeidet med ny personopplysningslov – videre utredning og etterkontroll
I arbeidet med proposisjonen og den forutgående høringen har et styrende hensyn for departementet vært å kunne fremme et forslag om ny personopplysningslov som gjennomfører EUs personvernforordning i tide til at loven kan tre i kraft samtidig som eller så snart som mulig etter at forordningen får anvendelse i EU 25. mai 2018. Innenfor rammen av dette arbeidet har departementet konsentrert seg om endringer som er klart knyttet til gjennomføringen, og har i mindre grad kunnet prioritere å utrede behovet for mer inngående systematiske eller innholdsmessige endringer av gjeldende rett. Ved utformingen av de supplerende lovbestemmelsene som foreslås i proposisjonen her, har departementet derfor tatt sikte på å videreføre gjeldende rett så langt forordningen åpner for dette, med unntak av tilfeller hvor forordningens regler eller system tilsier at gjeldende rett bør endres, eller der det er holdepunkter for at gjeldende rett av andre grunner bør endres, og det er nokså klart hva endringene i så fall kan og bør gå ut på.
Høringsinstansene har generelt stilt seg positive til at det gis en ny norsk personopplysningslov som gjennomfører personvernforordningen. Enkelte høringsinstanser har likevel tatt til orde for at det bør foretas ytterligere utredninger av diverse temaer. Dette gjelder ikke bare spørsmål som forordningen reiser, men også spørsmål som oppstår etter gjeldende norsk rett. Spørsmål som ikke er blitt utredet i forbindelse med proposisjonsarbeidet, vil følges opp videre av Justis- og beredskapsdepartementet etter at proposisjonen er fremlagt. Høringen har blant annet vist at det kan være grunn til å se nærmere på hvordan ytrings- og informasjonsfriheten bør være regulert i personopplysningsloven, om unntakene i personopplysningsloven av hensyn til rikets sikkerhet har en dekkende og hensiktsmessig utforming, og om bestemmelsen som gjør unntak fra personopplysningslovens saklige virkeområde for saker som behandles eller avgjøres i medhold av rettspleielovene, bør endres.
Forholdet mellom offentleglova og personopplysningsloven vil bli nærmere vurdert i sammenheng med arbeidet med evaluering av offentleglova. I denne sammenheng vil også høringsuttalelsene om dette temaet bli vurdert.
Departementet legger også opp til en etterkontroll etter at loven har virket noen år. En etterkontroll vil i første rekke fokusere på de nasjonale supplerende reglene i personopplysningsloven, og i mindre grad på reglene som følger direkte av forordningen og som det primært tilligger EU å kontrollere. Det må imidlertid ved en etterkontroll av de nasjonale supplerende reglene sees hen til utviklingen i tolkningen og praktiseringen av forordningens regler. For så vidt gjelder etterkontroll av reglene i forordningen, følger det av artikkel 97 at Kommisjonen senest 25. mai 2020 og deretter hvert fjerde år skal fremlegge en rapport med en vurdering og gjennomgåelse av forordningen, samt ved behov foreslå nødvendige endringer. Ved en etterkontroll kan det etter departementets syn være særlig aktuelt å se nærmere på ordningen med personvernombud, reglene som gjør unntak fra de registrertes rettigheter, reglene om behandling for forsknings-, arkiv- og statistikkformål, reglene om administrative sanksjoner, avviklingen av konsesjonsordningen og aldersgrensen på 13 år for samtykke etter forordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i artikkel 8 nr. 1. Det kan vurderes om reglene har en hensiktsmessig utforming og om de fungerer tilfredsstillende. Virkninger av at straffansvaret for overtredelse av personopplysningsloven ikke videreføres, kan også vurderes.
2.3.2 Omtalen av forordningen i proposisjonen her
En rekke høringsinstanser har etterlyst veiledning om det nærmere innholdet i forordningens enkelte bestemmelser og forholdet til gjeldende rett. For så vidt gjelder de nasjonale supplerende bestemmelsene som foreslås i proposisjonen her med hjemmel i forordningen, inneholder proposisjonen på vanlig måte både alminnelige motiver og spesialmerknader. For så vidt gjelder forordningens enkeltbestemmelser, er det etter departementets syn mindre naturlig å utforme generelle motiver og spesialmerknader, da forordningen allerede er vedtatt i EU. Slike uttalelser fra departementets side ville heller ikke ha samme rettskildemessige betydning som ved utarbeidelse av nasjonale lovbestemmelser.
Departementet har forståelse for at det kan være behov for ytterligere veiledning om innholdet i forordningen enn det som gis i proposisjonen her, samt høringsnotatet. Etter forordningen artikkel 57 påligger det Datatilsynet å gi veiledning om forordningen. Departementet viser i denne forbindelse til at Datatilsynet har publisert en betydelig mengde veiledningsmateriale på sine hjemmesider, blant annet om behandlingsansvarliges og databehandleres plikter. Videre er det publisert en betydelig mengde juridisk litteratur om forordningen, både på norsk, andre skandinaviske språk og engelsk, og departementet legger til grunn at ytterligere litteratur vil bli publisert i tiden fremover. Med tiden vil det også genereres rettspraksis som vil bidra til å avklare tolkningsspørsmål.
2.4 Bestemmelse om informasjonsdeling i forbindelse med bekjempelse av arbeidslivskriminalitet
I høringsnotatet foreslo departementet en egen lovbestemmelse som understreket at formålsbegrensningen i personvernforordningen ikke er til hinder for at offentlige myndigheter som har til oppgave å håndheve lovgivningen om arbeidsmiljø, trygd, skatter og avgifter, utveksler informasjon så langt dette er nødvendig for å utføre tilsynsoppgavene, se lovutkastet i høringsnotatet § 12. Høringen viste at flere høringsinstanser mente bestemmelsen på flere punkter var uklar, og departementet fremmer i proposisjonen her ingen bestemmelse som tilsvarer bestemmelsen som ble foreslått i høringsnotatet. Departementet vil i stedet følge opp forslaget i et eget høringsnotat snarest mulig.
2.5 Stortingets anmodningsvedtak nr. 98, 2. desember 2016
Stortinget vedtok 2. desember 2016 følgende anmodningsvedtak til regjeringen: «Stortinget ber regjeringen vurdere om dagens personopplysningslov er tilstrekkelig til å ivareta personvern på en best mulig måte, inkludert barn og unges personvern.»
Anmodningsvedtaket følges opp i proposisjonen her ved at det foreslås en ny norsk personopplysningslov som erstatter og opphever gjeldende personopplysningslov. Den nye loven, som gjennomfører EUs personvernforordning, gir et godt og sterkt personvern. Samtidig bidrar forordningen til et mer enhetlig personvernregelverk i hele EØS, noe som kommer både norske individer og norsk næringsliv til gode.
2.6 Innlemmelse av forordningen i EØS-avtalen
For at forordningen skal bli folkerettslig bindende for Norge, må den innlemmes i EØS-avtalen ved beslutning i EØS-komiteen. I EØS-komiteens beslutning vil det samtidig bli inntatt enkelte tilpasninger til rettsakten slik at den passer for EØS/EFTA-statene.
Det er svært begrensede muligheter for tilpasninger av de materielle bestemmelsene i forordningen, og departementet har heller ikke foreslått slike i forhandlingene med EU. Derimot er det nødvendig med enkelte tekniske tilpasninger. Videre er det nødvendig med en tilpasningstekst som sikrer det norske Datatilsynet deltakelse i Personvernrådet på best mulig måte. Det legges også opp til å videreføre muligheten for EØS/EFTA-statene til å anvende Kommisjonens beslutninger om beskyttelsesnivået for personopplysninger i tredjestater og internasjonale organisasjoner før slike beslutninger innlemmes i EØS-avtalen, slik dette er regulert i tilpasningsteksten til 95-direktivet. Det vises til kapittel 36 om det nærmere innholdet i utkastet til EØS-komiteens beslutning og om de konstitusjonelle vurderingene knyttet til disse tilpasningene.
2.7 Nordisk og andre lands rett
De øvrige nordiske landene og EU-landene for øvrig arbeider for tiden med å forberede nasjonal gjennomføring av forordningen. En prinsipiell forskjell mellom henholdsvis Norge og de andre EØS/EFTA-landene og EU-landene er at forordningen gjelder som nasjonal rett i EU-landene uten ytterligere vedtakelse. Det er likevel behov for nasjonale supplerende regler også i EU-landene.
I Sverige fremmet den svenske regjeringen 15. februar 2018 en proposisjon om ny dataskyddslag som erstatter den gjeldende personuppgiftslagen, se Proposition 2017/18:105. Forslaget inneholder bestemmelser som utfyller forordningens regler. Blant annet foreslås det at forordningens regler skal gjelde også utenfor EU-rettens saklige virkeområde, at tilsynsmyndigheten skal kunne ilegge gebyr mot offentlige myndigheter, og at den nasjonale aldersgrensen for barns samtykke ved informasjonssamfunnstjenester settes til 13 år. Det foreslås at straffebestemmelsen oppheves slik at overtredelser av loven kun vil sanksjoneres av overtredelsesgebyr. Videre inneholder forslaget generelle regler som åpner for behandling av særlige kategorier av personopplysninger, samt generelle regler om unntak fra den registrertes rettigheter.
Det danske justisdepartementet fremmet 25. oktober 2017 forslag til Folketinget om ny dansk databeskyttelseslov som inneholder supplerende nasjonale bestemmelser til forordningen, se Lovforslag L 68 2017–18. Det foreslås der at forordningen skal gjelde også utenfor EU-rettens virkeområde. Videre inneholder forslaget blant annet regler som åpner for behandling av særlige kategorier av personopplysninger, samt generelle regler om unntak fra den registrertes rettigheter. Det foreslås at den nasjonale aldersgrensen for barns samtykke ved informasjonssamfunnstjenester settes til 13 år. Videre inneholder forslaget regler om tilsyn og sanksjoner, herunder bestemmelser om straff.