3 Ny personopplysningslov
3.1 Inkorporasjon av personvernforordningen – en ny regelstruktur
Departementet foreslår at forordningen gjennomføres i norsk rett ved inkorporasjon, se lovforslaget § 1. Etter EØS-avtalen artikkel 7 bokstav a skal Norge gjennomføre EU-forordninger «som sådan» i nasjonal rett. Dette innebærer etter departementets vurdering at forordningen må gjennomføres i norsk rett ved inkorporasjon. Inkorporasjon innebærer at forordningen med de tilpasninger som avtales ved innlemmelse i EØS-avtalen, gjøres gjeldende som norsk lov uten omskrivninger.
En rekke høringsinstanser har påpekt at inkorporasjonsmetoden medfører at bestemmelsene i den nye personopplysningsloven får en utforming som skiller seg fra tradisjonell norsk lovgivningsteknikk, og at dette byr på pedagogiske utfordringer. Departementet er enig i at loven, ved at forordningen inkorporeres, får en lovteknisk oppbygning som er uvanlig, men likevel ikke ukjent i norsk rett. Departementet legger til grunn at inkorporasjon uansett er den eneste gjennomføringsmetoden som vil være egnet til å oppfylle Norges forpliktelser etter EØS-avtalen.
På områdene der forordningen gjelder, vil størsteparten av reglene om behandling av personopplysninger følge av bestemmelsene i forordningen. Dette omfatter mange av de mest sentrale reglene om behandling av personopplysninger, for eksempel om grunnprinsippene for behandlingen, reglene om når det er tillatt å behandle personopplysninger, hvem som er ansvarlig for at reglene overholdes, den registrertes rettigheter osv. Samtidig åpner forordningen for nasjonale regler som spesifiserer, utfyller eller gjør unntak fra forordningen. Bestemmelsene i forordningen må leses i sammenheng med slike nasjonale regler. En rekke sentrale nasjonale lovbestemmelser som forordningen må sees i sammenheng med, er foreslått i §§ 2 til 31 i ny personopplysningslov. For eksempel utvides forordningens virkeområde i forslaget til § 2, mens §§ 16 og 17 gjør unntak fra flere av rettighetene i forordningen.
Nasjonale bestemmelser som spesifiserer, utfyller eller gjør unntak fra forordningen, vil ikke bare følge av personopplysningsloven, men også spesiallovgivningen. Forordningen må derfor også leses i sammenheng med spesiallovgivningen. Dette kan for eksempel være bestemmelser som gir nærmere regler om når det er adgang til å behandle personopplysninger, hva slags opplysninger som kan behandles, eller hvem opplysningene kan deles med. Men det kan også være bestemmelser som gjør unntak fra forordningens regler, eller som fastsetter at strengere regler skal gjelde på et nærmere bestemt område. Spesiallovgivningen kan dessuten også gjøre unntak fra de nasjonale supplerende bestemmelsene i forslaget til ny personopplysningslov. Også de utfyllende reglene i forslaget til ny lov må altså leses i lys av spesiallovgivningen.
I sum vil det ofte være nødvendig å forholde seg både til forordningens tekst, til de generelle supplerende bestemmelsene i personopplysningsloven og til eventuelle særreguleringer i spesiallovgivningen, og å se disse bestemmelsene i sammenheng.
Vedlagt proposisjonen er en norsk oversettelse av forordningen. Det er foretatt enkelte mindre endringer i oversettelsen etter høringen. Oversettelsen er en uoffisiell oversettelse. Den norske oversettelsen blir først offisiell, det vil si at den får samme gyldighet som oversettelsene på EU-språkene, når den er kunngjort i EØS-tillegget til EU-tidende, jf. EØS-avtalen artikkel 129 nr. 1. Kunngjøring av oversettelsen i EØS-tillegget vil skje når forordningen formelt er innlemmet i EØS-avtalen.
Det bemerkes at forordningen må leses i lys av de tilpasningene som avtales ved innlemmelsen av forordningen i EØS-avtalen. Visse tilpasninger følger også direkte av EØS-avtalen protokoll 1 – for eksempel skal henvisninger til EUs medlemsstater leses som henvisninger til EØS-statene. Tilpasningene vil ikke bli innarbeidet i den offisielle norske språkversjonen.
3.2 Oversikt over proposisjonen
Departementet gir i det følgende en kortfattet oversikt over proposisjonen og forslagene om supplerende nasjonale bestemmelser i ny personopplysningslov og endringer i andre lover.
I kapittel 4 behandles lovens og forordningens saklige virkeområde. Det foreslås at forordningens bestemmelser gis generell anvendelse, slik at den får anvendelse også utenfor EØS-avtalens saklige virkeområde. Dette er en videreføring av gjeldende rett. Det foreslås at forordningen gjelder med mindre annet er fastsatt i eller i medhold av lov, slik at unntakene fra forordningens virkeområde i forordningen artikkel 2 nr. 2 bare vil gjelde i den utstrekning dette er fastsatt i lov eller forskrift. Det foreslås unntaksregler for behandling for private formål og for saker som omfattes av rettspleielovene. Dette er videreføringer av gjeldende rett.
Kapittel 5 omhandler lovens og forordningens geografiske virkeområde. Det foreslås at forordningens bestemmelser om geografisk virkeområde inntas i loven.
I kapittel 6 behandles forordningens krav om rettsgrunnlag for behandling av personopplysninger, herunder om behovet for nasjonale lovbestemmelser om dette. Videre redegjøres det for kravene til rettsgrunnlag etter EMK artikkel 8 og Grunnloven § 102. Det redegjøres også for adgangen til å fastsette spesifiserende regler om behandlingen av personopplysninger i nasjonal rett.
I kapittel 7 behandles forordningens regler om særlige kategorier av personopplysninger, som er en videreføring og videreutvikling av reglene om sensitive personopplysninger i den någjeldende personopplysningsloven. Det foreslås en bestemmelse som åpner for behandling av særlige kategorier av personopplysninger i arbeidsforhold, som viderefører gjeldende rett. Videre foreslås det en snever adgang for Datatilsynet til å tillate behandling av særlige kategorier av personopplysninger i enkelttilfeller dersom det er nødvendig av hensyn til viktige allmenne interesser, og en hjemmel for å fastsette forskrifter som åpner for behandling. Det foreslås ikke å innta generelle bestemmelser om behandling i forbindelse med helsetjenester eller for folkehelseformål.
I kapittel 8 behandles reglene om personopplysninger om straffbare forhold mv. Slike opplysninger kan etter forordningen artikkel 10 som utgangspunkt bare behandles under en offentlig myndighets kontroll. Det foreslås en bestemmelse som åpner for at behandling av slike opplysninger utenfor en offentlig myndighets kontroll på samme vilkår som behandling av særlige kategorier av personopplysninger. Bestemmelsen innebærer at de generelle reglene som tillater behandling av særlige kategorier av personopplysninger, som utgangspunkt gis tilsvarende anvendelse i disse tilfellene.
Kapittel 9 omhandler behandling av fødselsnummer og andre entydige identifikasjonsmidler, herunder biometriske opplysninger. Departementet foreslår å videreføre de gjeldende tilleggsvilkårene for behandling av fødselsnummer og andre entydige identifikasjonsmidler, som innebærer at det må foreligge en saklig grunn for sikker identifisering og at bruken må være nødvendig for å oppnå sikker identifisering. Det foreslås ikke å videreføre noen særbestemmelse om Datatilsynets adgang til å påby bruk av entydige identifikasjonsmidler. Heller ikke særreglene om forsendelser som inneholder fødselsnummer, foreslås videreført, fordi disse etter departementets oppfatning er overflødige ved siden av forordningens regler.
Kapittel 10 omhandler den registrertes rettigheter. Departementet foreslår å videreføre de gjeldende unntakene fra den registrertes informasjons- og innsynsrett, men med visse endringer. Unntaket for interne dokumenter foreslås videreført med et tilleggsvilkår om at unntak må være nødvendig for å sikre forsvarlige interne avgjørelsesprosesser. Det foreslås ingen generelle unntak fra de øvrige rettighetene.
Kapittel 11 omhandler behandling av personopplysninger for arkiv-, forsknings- og statistikkformål. Det foreslås en bestemmelse som gir supplerende rettsgrunnlag for behandling av alminnelige opplysninger for disse formålene uten samtykke. Videre foreslås det en bestemmelse som åpner for behandling av særlige kategorier av personopplysninger uten samtykke, med et vilkår om at den behandlingsansvarlige før behandlingen må rådføre seg med et personvernombud eller en annen rådgiver med tilsvarende kvalifikasjoner og uavhengighet. Det foreslås at plikten til slik rådføring også skal gjelde for samtykkebasert behandling for forskningsformål. Endelig foreslås det visse særlige unntak fra innsyns- og informasjonsretten samt retten til retting og begrensning av behandlingen ved behandling for arkiv-, forsknings- og statistikkformål.
I kapittel 12 behandles melde- og konsesjonsplikten. Departementet foreslår at den generelle konsesjonsplikten ikke videreføres. Det foreslås samtidig en forskriftshjemmel som kan benyttes til å gjeninnføre konsesjonsplikt på nærmere bestemte områder dersom det viser seg å bli nødvendig. Departementet foreslår videre at gjeldende konsesjoner som utgangspunkt ikke videreføres ved ikrafttredelse av ny personopplysningslov. Det åpnes likevel for at det kan bli behov for å gi overgangsregler om å videreføre konsesjonene på noen nærmere bestemte livsområder der det er et særskilt behov for dette. Som følge av forslaget om å snevre inn adgangen til å behandle særlige kategorier av personopplysninger etter tillatelse fra Datatilsynet foreslås det at tillatelser som er gitt på grunnlag av § 9 tredje ledd i gjeldende personopplysningslov, som hovedregel ikke videreføres ved ikrafttredelse av ny lov. Departementet foreslår samtidig at slike tillatelser bør videreføres i en begrenset periode i tilfeller der det ikke foreligger lov- eller forskriftsbestemmelser om behandlingen ved ikrafttredelsen av ny lov.
Kapittel 13 omhandler personopplysninger om barn. Fordi forordningen etter departementets vurdering ikke åpner for ytterligere generelle regler om barns personopplysninger, foreslås det ingen slike regler. Det foreslås at aldersgrensen for barns samtykke til informasjonssamfunnstjenester, jf. forordningen artikkel 8, skal være 13 år.
Kapittel 14 omhandler forholdet mellom forordningens regler og ytrings- og informasjonsfriheten. Departementet foreslår at den gjeldende bestemmelsen om dette videreføres inntil videre, slik at det gjøres unntak for størsteparten av forordningens regler ved behandling utelukkende for journalistiske, kunstneriske og litterære formål. I tråd med forordningen artikkel 85 foreslår departementet at det gjøres tilsvarende unntak for akademiske ytringer.
I kapittel 15 behandles forholdet mellom forordningen og reglene om offentlighet og innsyn. Fordi forordningen artikkel 86 åpner for å gi innsyn etter blant annet offentleglova, foreslås det ingen særlige bestemmelser om dette. Det foreslås heller ingen bestemmelser om annen lovfestet innsynsrett, fordi forordningen etter departementets vurdering ikke er til hinder for slikt innsyn.
I kapittel 16 behandles reglene om behandlingsansvarlig og databehandler. Departementet foreslår en hjemmel for å gi forskrifter om plikten til forhåndsdrøftinger med tilsynsmyndigheten.
I kapittel 17 behandles reglene om personvernombud. Det foreslås ingen utvidelse av plikten til å utpeke personvernombud utover det som allerede følger av forordningen, men departementet foreslår en hjemmel for å fastsette forskrifter med nærmere bestemmelser om plikt til å utpeke personvernombud. Videre foreslås det en bestemmelse om taushetsplikt for personvernombud.
Kapittel 18 omhandler kameraovervåking. Forordningen åpner etter departementets syn ikke for generelle nasjonale særreguleringer av behandling av personopplysninger ved kameraovervåking, og det foreslås derfor ikke slike bestemmelser. Departementet drøfter videre om det er behov for regler som åpner for behandling av særlige kategorier av personopplysninger ved kameraovervåking. Det er etter departementets vurdering ikke nødvendig med slike regler, fordi kameraovervåking bare kan regnes som behandling av særlige kategorier av personopplysninger når formålet med kameraovervåkingen vil være å fange opp slike opplysninger. Etter departementets syn er det heller ikke behov for regler om behandling av personopplysninger om straffbare forhold mv. ved kameraovervåking. Det foreslås at bruk av uekte kameraovervåkingsutstyr bør være underlagt tilsvarende begrensninger som ekte kameraovervåkingsutstyr, på samme måte som etter gjeldende rett, og at dette også skal gjelde skilting, oppslag og lignende som gir inntrykk av at kameraovervåking finner sted.
Kapittel 19 omhandler overføring av personopplysninger til tredjestater og internasjonale organisasjoner. Det foreslås en hjemmel for å fastsette forskrift om anvendelsen av Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå og standard personvernbestemmelser, samt bestemmelser om forbud mot overføring av spesifikke typer opplysninger til stater eller internasjonale organisasjoner når det ikke foreligger beslutning om tilstrekkelig beskyttelsesnivå.
I kapittel 20 behandles overtredelsesgebyr. Departementet foreslår at offentlige myndigheter skal kunne ilegges overtredelsesgebyr. Det foreslås også at Datatilsynet skal kunne ilegge overtredelsesgebyr for brudd på forordningen artikkel 10 og 24. Videre foreslås det visse regler om oppfyllelsesfrist og domstolsprøving i saker om overtredelsesgebyr, og en regel om at adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelser er opphørt.
Kapittel 21 omhandler spørsmålet om Datatilsynet bør ha adgang til å beslutte administrativ inndragning. Departementet foreslår ikke at Datatilsynet skal gis slik adgang.
Kapittel 22 omhandler erstatning. Det foreslås at det inntas en bestemmelse i personopplysningsloven som gjør det klart at den som er erstatningsansvarlig etter reglene i personvernforordningen artikkel 82, også kan pålegges å betale oppreisning. Bestemmelsen viderefører gjeldende rett.
I kapittel 23 behandles spørsmålet om hvorvidt overtredelser av forordningen skal kunne medføre straff. Departementet foreslår at overtredelser av den nye personopplysningsloven ikke skal være straffesanksjonert, blant annet som følge av at forordningen åpner for vesentlig høyere overtredelsesgebyrer, og at dette vil ha den nødvendige preventive effekt.
I kapittel 24 behandles reglene om tvangsmulkt. Departementet foreslår å videreføre Datatilsynets adgang til å ilegge tvangsmulkt.
Kapittel 25 omhandler tilsynsmyndighetens organisering. Departementet foreslår å videreføre de gjeldende reglene om Datatilsynets organisering og reglene om utnevnelse av Datatilsynets direktør.
I kapittel 26 behandles tilsynsmyndighetens oppgaver. Fordi forordningen gir en detaljert angivelse av tilsynsmyndighetens oppgaver, foreslås det ingen bestemmelser om dette. Datatilsynet vil ha tilsynskompetanse i tråd med forordningens utvidede virkeområde. Departementet foreslår en videreføring av gjeldende ordning som går ut på at Datatilsynet leverer årsrapport til Kongen, og at Kongen hvert år legger rapporten frem for Stortinget i en stortingsmelding.
Kapittel 27 omhandler klage over Datatilsynets vedtak. Departementet foreslår å videreføre ordningen med Personvernnemnda som et administrativt klageorgan for Datatilsynets avgjørelser. Det foreslås ikke endringer i Personvernnemndas organisering, og det foreslås at nemnda fortsatt skal ha syv medlemmer. For å sikre en helhetlig vurdering av nemndas sammensetning foreslår departementet at alle Personvernnemndas medlemmer med vararepresentanter, inkludert leder og nestleder, utnevnes av Kongen. Dette er en endring av den gjeldende ordningen der leder og nestleder utnevnes av Stortinget.
I kapittel 28 behandles Datatilsynets og Personvernnemndas taushetsplikt og tilgang til opplysninger. Det foreslås regler om taushetsplikt for ansatte i Datatilsynet og medlemmer av Personvernnemnda og om tilgang til opplysninger uten hinder av taushetsplikt.
I kapittel 29 behandles domstolsprøving av Datatilsynets og Personvernnemndas vedtak. Det foreslås en bestemmelse om at Datatilsynet opptrer som part på vegne av staten i søksmål som er knyttet til tilsynsvirksomheten. Videre foreslås det å videreføre gjeldende rett om at søksmål om gyldigheten av Personvernnemndas vedtak rettes mot staten ved Personvernnemnda.
I kapittel 30 gis det en beskrivelse av forordningens regler om det nye europeiske tilsynssystemet – samarbeids- og konsistensmekanismen. Det redegjøres for Personvernrådets kompetanse, herunder kompetansen til å treffe vedtak som er bindende for de nasjonale tilsynsmyndighetene. For å sikre at Datatilsynet kan samarbeide med andre staters tilsynsmyndigheter, foreslås det å videreføre bestemmelsen i någjeldende personopplysningslov om at Datatilsynet og Personvernnemnda kan gi opplysninger til utenlandske tilsynsmyndigheter uten hinder av taushetsplikten når dette er nødvendig for å kunne treffe vedtak som ledd i tilsynsvirksomheten. Derimot foreslås det ikke å benytte adgangen etter forordningen artikkel 62 nr. 3 til å gi nasjonale regler om andre staters tilsynsmyndigheters rett til å utøve myndighet på norsk territorium.
Kapittel 31 omhandler kameraovervåking i arbeidsforhold og arbeidsgivers innsyn i ansattes e-postkasse mv. Det foreslås endringer i arbeidsmiljøloven for å gi hjemmel for forskrifter om kameraovervåking i arbeidsforhold og arbeidsgivers innsyn i ansattes e-postkasse mv.
I kapittel 32 behandles nødvendige tilpasninger i helselovgivningen. Det foreslås at den gjeldende lovgivningen videreføres så langt det er adgang til dette etter forordningen. Dette innebærer at gjeldende rett videreføres i stor grad. Samtidig foreslås det en rekke tekniske tilpasninger som en følge av forordningens regler og systemet i ny personopplysningslov.
I kapittel 33 foreslås det nye bestemmelser i veglova om behandling av personopplysninger.
I kapittel 34 foreslås det å innta en bestemmelse i politiloven som viderefører adgangen politiet har etter den någjeldende personopplysningsloven til å benytte kameraovervåking for kriminalitetsbekjempelse og til å opprettholde ro og orden mv.
Kapittel 35 omhandler overgangsregler. Departementet legger til grunn at saker om ileggelse av overtredelsesgebyr for behandling av personopplysninger vurderes etter de materielle reglene som gjaldt på behandlingstidspunktet, for å hindre at de nye reglene gis tilbakevirkende kraft. Det foreslås samtidig et unntak for tilfeller der de nye reglene vil føre til et gunstigere resultat for den ansvarlige.
I kapittel 36 redegjøres det nærmere for innlemmelsen av forordningen i EØS-avtalen. For å forhindre at Norge forsinker innlemmelsen, bes det om at Stortinget gir forhåndssamtykke til innlemmelse. Det gis en beskrivelse og vurdering av hovedpunktene i den foreslåtte tilpasningsteksten, herunder de særskilte reglene for anvendelse av Kommisjonens beslutninger knyttet til overføring av personopplysninger til tredjestater. Det foretas en vurdering av om forordningen med tilpasningstekst medfører overføring av myndighet. Det konkluderes med at overføringen av myndighet må anses som lite inngripende, slik at Stortinget kan samtykke til innlemmelse av forordningen i EØS-avtalen etter Grunnloven § 26 annet ledd.
Kapittel 37 omhandler økonomiske og administrative konsekvenser av forslagene i proposisjonen, både for private aktører, offentlige aktører og tilsynsmyndigheten. Det er usikkert hvor store kostnadene for de ulike virksomhetene i offentlig sektor vil bli. Eventuelle implementeringskostnader vil dekkes innenfor berørte departementers gjeldende budsjettrammer.
Merknader til de enkelte bestemmelsene i lovforslaget er inntatt i kapittel 38.