4 Lovens saklige virkeområde
4.1 Gjeldende rett
Personopplysningsloven § 3 første ledd bestemmer at loven gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler (bokstav a), annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister (bokstav b), og alle former for kameraovervåking, slik dette er definert i loven § 36 første ledd (bokstav c).
I § 3 annet ledd er det bestemt at loven ikke gjelder behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private formål.
I § 3 tredje ledd er det bestemt at Kongen kan gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte institusjoner og saksområder. I personopplysningsforskriften § 1-1 er det bestemt at når Riksrevisjonen behandler personopplysninger som ledd i sin kontrollvirksomhet, gjelder ikke personopplysningsloven §§ 18 (innsyn), 27 (retting), 31 (meldeplikt) og 33 (konsesjonsplikt). Det samme er bestemt i lov om riksrevisjonen § 17, med den følge at forskriftsbestemmelsen i prinsippet er overflødig. For Riksrevisjonens øvrige behandling gjelder personopplysningsloven i sin helhet. I forskriften § 1-2 fremgår det at behandling av personopplysninger som er nødvendig av hensynet til rikets sikkerhet eller de alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser, er unntatt fra personopplysningsloven § 44 første til tredje ledd (tilsynsmyndighetens tilgang til opplysninger), samt fra loven §§ 31 (meldeplikt) og 33 (konsesjonsplikt). Samme sted er det bestemt at uenighet mellom behandlingsansvarlig og Datatilsynet om utstrekningen av unntaket avgjøres av Personvernnemnda. Det følger av forskriften § 1-3 at personopplysningsloven ikke gjelder for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.).
I § 3 fjerde ledd er det bestemt at Kongen kan gi forskrift om særskilte former for behandling av personopplysninger og om behandling av personopplysninger i særskilte virksomheter eller bransjer. For behandling av personopplysninger som ledd i kredittopplysningsvirksomhet kan det i forskrift gis bestemmelser blant annet om hvilke typer opplysninger som kan behandles, hvilke kilder personopplysninger kan hentes fra, hvem kredittopplysninger kan utleveres til og hvordan utleveringen kan skje, sletting av kredittanmerkninger og taushetsplikt for de ansatte i kredittopplysningsbyrået. Det kan også gis regler om at loven eller enkelte bestemmelser gitt i eller i medhold av den skal gjelde for behandling av kredittopplysninger om andre enn enkeltpersoner. Forskriftshjemmelen er benyttet til å gi bestemmelser om kredittopplysningsvirksomhet, se forskriften kapittel 4.
Det er også en omfattende særlovgivning som regulerer behandling av personopplysninger.
4.2 Forordningen
Artikkel 2 nr. 1 bestemmer at forordningen får anvendelse på behandling av personopplysninger som helt eller delvis utføres på en automatisert måte, og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Dette tilsvarer personopplysningsloven § 3 første ledd bokstav a og b.
Artikkel 2 nr. 2 fastsetter at forordningen ikke får anvendelse på behandling av personopplysninger som utføres i forbindelse med utøvelse av en aktivitet som ikke omfattes av unionsretten (bokstav a), av medlemsstatene når de utøver aktiviteter som omfattes av avdeling V kapittel 2 i TEU (bokstav b), av en fysisk person som ledd i rent personlige eller familiære aktiviteter (bokstav c) eller av kompetente myndigheter med henblikk på å forebygge, etterforske, avsløre eller forfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet (bokstav d).
Unntaket i bokstav a innebærer at forordningens regler ikke får anvendelse på behandling som faller utenfor EU-retten. Unntaket i bokstav b gjelder EUs felles sikkerhets- og forsvarspolitikk. Unntaket i bokstav c tilsvarer unntaket i personopplysningsloven § 3 annet ledd. Unntaket i bokstav d presiserer at forordningens regler ikke gjelder på det området som dekkes av direktiv (EU) 2016/680.
Artikkel 2 nr. 3 fastsetter at forordning (EF) nr. 45/2001 kommer til anvendelse på behandling av personopplysninger som Unionens institusjoner, organer, kontorer og byrå foretar.
Artikkel 2 nr. 4 bestemmer at forordningen ikke berører anvendelsen av direktiv 2000/31/EF (ehandelsdirektivet), særlig reglene om formidleransvar for tjenesteytere som er fastsatt i artikkel 12 til 15 i dette direktivet.
4.3 Forslaget i høringsnotatet
4.3.1 Anvendelse av loven utenfor EØS-retten
Departementet foreslo i høringsnotatet å videreføre gjeldende rettstilstand om at personopplysningsloven gis anvendelse både innenfor og utenfor EØS-avtalens saklige virkeområde. Departementet la vekt på at det fremdeles, slik som etter gjeldende rett, bør være én personopplysningslov i norsk rett med generell anvendelse.
4.3.2 Myndighetenes behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold mv.
Departementet foreslo i høringsnotatet å avgrense personopplysningslovens virkeområde mot saker som behandles etter politiregisterloven eller reglene i lov om behandling av personopplysninger i kriminalomsorgen. Bakgrunnen for forslaget er at forordningen artikkel 2 nr. 2 bokstav d bestemmer at forordningen ikke får anvendelse for vedkommende myndigheters behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller forfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet. Formuleringen tilsvarer angivelsen av virkeområdet for direktiv (EU) 2016/680, jf. dette direktivets artikkel 2 nr. 1.
4.3.3 Døde personer
Departementet foreslo i høringsnotatet å videreføre gjeldende norsk rett slik at personopplysningsloven ikke gis anvendelse for personopplysninger om avdøde personer.
4.3.4 Juridiske personer
Departementet viste i høringsnotatet til at opplysninger om juridiske personer faller utenfor forordningens anvendelsesområde, og at dette er i samsvar med gjeldende norsk rett. Departementet gikk i høringsnotatet ikke inn for noen endring på dette punkt.
4.3.5 Riksrevisjonens behandling av personopplysninger
Departementet foreslo i høringsnotatet ikke å videreføre personopplysningsforskriften § 1-1, som gjør unntak fra flere av lovens bestemmelser ved Riksrevisjonens behandling av personopplysninger som ledd i dens kontrollvirksomhet. Departementet viste til at det samme allerede følger av lov om Riksrevisjonen § 17 annet ledd, og at bestemmelsen i personopplysningsforskriften § 1-1 dermed er overflødig.
4.3.6 Behandling av personopplysninger som er nødvendig av hensyn til rikets sikkerhet
Departementet gikk i høringsnotatet inn for å videreføre gjeldende rett hvor det gjøres unntak fra tilsynsmyndighetens tilgang til opplysninger for så vidt gjelder behandling av personopplysninger som er nødvendig av hensynet til rikets eller alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser. Departementet forslo å plassere bestemmelsen i kapittelet om tilsynsmyndigheten, ettersom bestemmelsen kun gjør unntak fra tilsynsmyndighetens tilgang til opplysninger, og ikke innebærer et unntak fra lovens virkeområde. Departementet la i høringsnotatet til grunn at det ikke er behov for å videreføre reglene i personopplysningsforskriften § 1-2 om unntak fra personopplysningsloven §§ 31 (meldeplikt) og 33 (konsesjonsplikt), da det gjeldende systemet med melde- og konsesjonsplikt ikke videreføres i den nye personopplysningsloven og forordningen.
Departementet foreslo i høringsnotatet å unnta Etterretningstjenestens virksomhet fra personopplysningslovens virkeområde. Departementet viste til at Forsvarsdepartementet er i ferd med å revidere etterretningstjenesteloven, og at departementet på denne bakgrunn foreslår å la den gjeldende personopplysningsloven gjelde for Etterretningstjenesten inntil den reviderte etterretningstjenesteloven er vedtatt og satt i kraft. Ved en inkurie ble dette ikke inntatt i selve lovforslaget.
4.3.7 Rettspleielovene
Departementet foreslo i høringsnotatet å videreføre gjeldende rett etter personopplysningsforskriften § 1-3 om at personopplysningsloven ikke skal gjelde for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.).
4.3.8 Forholdet mellom særlovgivning og personopplysningsloven
Departementet foreslo i høringsnotatet å videreføre bestemmelsen i personopplysningsloven § 5 om at personopplysningsloven gjelder dersom ikke annet følger av en særskilt lov som regulerer behandlingsmåten. Departementet foreslo for ordens skyld å presisere i bestemmelsen at spesiallovgivningen likevel må vike hvis den er i strid med forordningen, med unntak av tilfeller som faller utenfor EØS-avtalens virkeområde.
4.4 Høringsinstansenes syn
4.4.1 Anvendelse av loven utenfor EØS-retten
Høringsinstansene har generelt støttet forslaget om å gi den nye personopplysningsloven og forordningen anvendelse også utenfor EØS-avtalens virkeområde. Politidirektoratet, Akademikerne, Oslo kommune, Den norske legeforening, Datatilsynet, Statens lånekasse for utdanning og Norges Røde Kors er positive til forslaget. Næringslivets Hovedorganisasjon viser på sin side til at de juridiske og praktiske sidene ved at forordningen også skal gjelde utenfor EØS-avtalens virkeområde ikke er beskrevet, og at det uten en slik beskrivelse er vanskelig å vurdere forslaget. Ingen av høringsinstansene har vært imot forslaget.
Datatilsynet uttaler at det kan være viktig å vite hvor grensen går mellom tilfeller der man er EØS-rettslig forpliktet til å følge forordningen og der man ikke har en slik forpliktelse. Datatilsynet viser til at grensedragningen vil ha betydning på et område hvor forordningen krever eller gir adgang til nærmere nasjonal regulering. I disse tilfellene må de nasjonale bestemmelsene være i henhold til forordningens regler og rammeverk, mens i tilfeller hvor man er utenfor rekkevidden av EØS-avtalen vil man stå friere i den forstand at man ikke står overfor en EØS-rettslig forpliktelse. På denne bakgrunn mener Datatilsynet det bør utarbeides en veiledning om grensedragningen, enten i utredningsinstruksen eller på annet vis.
4.4.2 Myndighetenes behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold mv.
Politidirektoratet viser til at politiregisterloven synes å ha et videre virkeområde enn unntaket i forordningen artikkel 2 nr. 2 bokstav d. Politidirektoratet ber på denne bakgrunn om at departementet avklarer grensedragningen mellom henholdsvis personopplysningsloven og forordningen, og politiregisterloven. Politidirektoratet viser til at politiets behandling av personopplysninger knyttet til søk etter en person som har gått seg bort eller antatt begått selvmord vil anses som behandling for politimessige formål og dermed omfattes av politiregisterloven, men at et slikt tilfelle derimot vanskelig vil kunne omfattes av avgrensningen i ny personopplysningslov slik den er formulert i artikkel 2 nr. 2 bokstav d. Politidirektoratet viser til at det samme antakelig vil gjelde for politiets bistand til andre offentlige aktører i å få effektuert sine vedtak, eksempelvis transport av psykisk syke og bistand til tilbakeføring av personer som har rømt fra barnevernsinstitusjoner. Disse oppgavene har i utgangspunktet ikke kriminalitetsbekjempende formål eller til formål å forebygge trusler mot offentlig sikkerhet, men handler om at politiet bistår andre offentlige aktører i å utføre sine oppgaver.
Politidirektoratet viser også til at forslaget til ordlyd i lovutkastet § 2 annet ledd avgrenser lovens virkeområde til «saker» behandlet etter nærmere angitte lover. Politidirektoratet anbefaler å bruke begrepet «opplysninger» i stedet for «saker» da det er opplysningen, og ikke hvorvidt opplysningene behandles som del av en sak eller ikke, som er avgjørende for lovens virkeområde. Politidirektoratet viser til at flere av dets underliggende organer også påpeker dette.
Tolldirektoratet uttaler at det må tas stilling til om forordningen artikkel 2 nr. 2 bokstav d medfører at hele eller deler av etatens virksomhet er unntatt fra personopplysningslovens virkeområde. Tolldirektoratet viser til at det ikke fremgår av ordlyden i forordningen at unntaket i artikkel 2 nr. 2 bokstav d kun skal få anvendelse for politi- og påtalemyndighetens arbeid med å etterforske og avdekke lovovertredelser, og at kontrollvirksomheten tollmyndighetene bedriver rent faktisk og etter tolloven er å avverge og avdekke straffbare forhold som faller utenfor forordningens virkeområde og den tiltenkte avgrensningen i ny personopplysningslov.
Statens sivilrettsforvaltning legger i sin høringsuttalelse til grunn at Den rettsmedisinske kommisjons behandling av personopplysninger vil omfattes av unntaket i forordningen artikkel 2 nr. 2 bokstav d, og dermed falle innenfor direktivets – og utenfor forordningens, saklige virkeområde.
4.4.3 Døde personer
Ingen av høringsinstansene har hatt innsigelser mot å videreføre gjeldende rett om at personopplysningsloven ikke gjelder for opplysninger om døde personer. Statens lånekasse for utdanning mener likevel at gjeldende rett på dette punkt bør tydeliggjøres i lov eller forskrift og uttaler:
«For offentlig forvaltning (stat og kommune) vil det kunne oppstå tilfeller der spørsmålet om saklig virkeområde for døde personer vil komme på spissen i forhold til arvingers rett til innsyn i taushetsbelagt personinformasjon om avdøde. Opplysningene om avdøde kan være av betydning for arvingenes rettstilstand noe som medfører at avdødes personopplysninger knyttes til en enkeltperson. Et alternativ er å regulere dette forholdet i et eget ledd i ny lov § 2. En slik regulering vil avklare og tydeliggjøre rettstilstanden noe som vil være konfliktdempende og forenklende.»
Den norske historiske forening støtter realiteten i departementets forslag, men uttaler at unntaket for avdøde personer er av stor betydning for historieforskningen, og at en manglende presisering av dette vil medføre uoversiktlige administrative konsekvenser.
4.4.4 Juridiske personer
Ingen av høringsinstansene har hatt innsigelser mot departementets forslag om å videreføre gjeldende rett om at personopplysningsloven ikke gjelder opplysninger om juridiske personer.
4.4.5 Riksrevisjonens behandling av personopplysninger
Datatilsynet uttaler at det bør foretas en fornyet vurdering av om det er adgang etter forordningen artikkel 23 til å opprettholde unntakene fra innsyn og retting etter forordningen artikkel 15 og 16 i riksrevisjonsloven § 17 annet ledd. Datatilsynet viser til at ved å gjøre kategorisk unntak fra innsynsretten, har man i realiteten undergravet gjennomsiktighetsprinsippet i forholdet mellom den registrerte og Riksrevisjonen, og at man i praksis samtidig fratar den registrerte mulighet til å utøve andre rettigheter, for eksempel rett til å fremme innsigelser etter artikkel 21 eller gjøre krav på sletting av personopplysninger. På denne bakgrunn mener Datatilsynet det bør spilles inn overfor Stortinget på egnet måte at riksrevisjonsloven § 17 bør revideres, da det er Stortinget selv som er ansvarlig for denne loven.
4.4.6 Behandling av personopplysninger som er nødvendig av hensyn til rikets sikkerhet
Nasjonal sikkerhetsmyndighet mener at behandling av personopplysninger etter sikkerhetsloven bør unntas fra personopplysningslovens virkeområde, og uttaler at all behandling av personopplysninger av hensyn til nasjonal sikkerhet er egnet for regulering utenfor personopplysningsloven og bør gis en tilpasset regulering i egne bestemmelser gitt i og i medhold av sikkerhetsloven. For det tilfelle at behandlingen ikke unntas fra personopplysningslovens virkeområde, mener Nasjonal sikkerhetsmyndighet at det må sikres at alle nødvendige behandlinger har tilstrekkelig rettsgrunnlag, og at det i loven må inntas tilstrekkelige bestemmelser som tilrettelegger for de unntak som er nødvendig for utøvelse av effektiv forebyggende sikkerhetstjeneste.
Videre mener Nasjonal sikkerhetsmyndighet at tilsynsmyndighetens innsyns-, undersøkelses- og påleggsrett etter forordningen må avgrenses mot de behandlinger som skjer innenfor rammen av den forebyggende sikkerhetstjeneste. Samlet mener Nasjonal sikkerhetsmyndighet at det som et minimum må gjøres unntak for behandling av personopplysninger innenfor rammen av sikkerhetsloven fra forordningen artikkel 12–22, 33, 34, 36, 41, 57 og 58. Videre mener Nasjonal sikkerhetsmyndighet at det på tilsvarende måte også vil måtte gjøres avgrensninger i personvernombudets plikter knyttet til personopplysningsbehandling innenfor sikkerhetslovens rammer.
Politiets sikkerhetstjeneste viser til at de samarbeider med en rekke behandlingsansvarlige som er underlagt Datatilsynets tilsynsmyndighet, eksempelvis politiet, teleoperatører, NAV, UDI og andre offentlige aktører. Som ledd i dette samarbeidet vil det også utveksles informasjon til PST, eller PST vil ha direkte tilgang til opplysningene hos den enkelte behandlingsansvarlige. I slike tilfeller vil det nødvendigvis finnes spor hos behandlingsansvarlige som viser PSTs interesse og fokus, for eksempel i logger eller dokumentasjon på oversendelse, og dette vil utgjøre opplysninger som behandles av hensyn til rikets sikkerhet. PST viser til at opplysningene av den grunn også kan være gradert etter sikkerhetslovens regime, slik at tilgang krever at kontrollmyndigheten oppfyller kravene for håndtering av sikkerhetsgraderte opplysninger. PST uttaler at de legger til grunn at unntaket i utkastets § 19 tredje ledd innskrenker Datatilsynets myndighet til å kontrollere behandling av disse opplysningene.
Datatilsynet uttaler at forslaget til ny personopplysningslov § 19 tredje ledd er uheldig fordi det skaper uklarhet, og at gjeldende regulering i personopplysningsforskriften § 1-2 har skapt tilsvarende uklarhet. Datatilsynet stiller for det første spørsmål om unntaket skal forstås slik at det gjelder uavhengig av hvem som er behandlingsansvarlig og viser i den forbindelse til at det kan være en rekke behandlingsansvarlige involvert. Datatilsynet stiller spørsmål om Datatilsynet for eksempel skal kunne undersøke de som gir informasjon til PST, eller om også denne behandlingen er omfattet av unntaket. Hvis også denne behandlingen er omfattet av unntaket, mener Datatilsynet det er en mulighet for at behandlingen verken kan kontrolleres av EOS-utvalget eller Datatilsynet.
Datatilsynet mener utkastet til § 19 tredje ledd er problematisk også av andre grunner og viser til at etter ordlyden begrenses bare Datatilsynets undersøkelseskompetanse etter artikkel 58 nr. 1, mens kompetansen etter artikkel 58 nr. 2 til å treffe såkalte korrigerende tiltak er i behold. Datatilsynet mener det ikke gir god mening at tilsynet har vidtgående beføyelser til å treffe tiltak mot lovstridig behandling, samtidig som det ikke har noen myndighet til undersøke saken for å bringe faktum på det rene. Datatilsynet viser også til flere andre eksempler som illustrerer en manglende sammenheng i unntakene for nasjonal sikkerhet, og uttaler at det er viktig at departementet vurderer problemstillingene knyttet til behandling av personopplysninger som er begrunnet i hensynet til rikets sikkerhet nærmere.
Utlendingsdirektoratet uttaler at utlendingsmyndighetene behandler sikkerhetssaker i henhold til utlendingsloven kapittel 14 om særskilte regler for saker som berører grunnleggende nasjonale interesser eller utenrikspolitiske hensyn. Utlendingsdirektoratet ber derfor departementet vurdere om saker som behandles etter utlendingsloven kapittel 14 også bør unntas fra forordningens virkeområde og reguleres særskilt i utlendingsloven.
Forsvarsdepartementet uttaler at særlige hensyn gjør seg gjeldende for virksomheten til Etterretningstjenesten, og at den derfor bør unntas fra forordningens virkeområde. Forsvarsdepartementet viser til at det er i ferd med å revidere etterretningstjenesteloven og vil i den forbindelse foreslå særlige regler om behandling av personopplysninger.
4.4.7 Rettspleielovene
Statens sivilrettsforvaltning uttaler at de legger til grunn at behandling av krav om erstatning etter strafforfølgning som behandles i medhold av straffeprosessloven kapittel 31, vil omfattes av unntaket i lovutkastet § 2 annet ledd og dermed falle utenfor personopplysningslovens virkeområde. Statens sivilrettsforvaltning viser i denne forbindelse også til at slik behandling heller ikke vil omfattes av virkeområdet for direktiv (EU) 2016/680, slik at behandlingen verken vil reguleres av direktivet eller loven og forordningen. Videre viser Statens sivilrettsforvaltning til at behandlingen av personopplysninger i Kontrollutvalget for kommunikasjonskontroll, som følge av reguleringen i straffeprosessloven kapittel 16a, vil falle utenfor personopplysningslovens virkeområde, jf. lovutkastet § 2 annet ledd. Behandlingen vil heller ikke etter Statens sivilrettsforvaltnings syn omfattes av virkeområdet for direktiv (EU) 2016/680, slik at behandlingen verken vil reguleres av direktivet eller loven og forordningen.
Juristforbundet uttaler at dagens rettstilstand etter personopplysningsforskriften § 1-3 er uklar og ber på denne bakgrunn om at departementet redegjør nærmere for dagens rettstilstand på dette området. Juristforbundet uttaler at det særlig er behov for en avklaring av unntakets rekkevidde for så vidt gjelder saker som behandles etter tvisteloven.
Oslo byfogdembete uttaler at de samme hensyn som taler for at behandlingen av saker etter rettspleielovene er unntatt fra personopplysningslovens virkeområde, tilsier at også saker som behandles etter konkursloven, skifteloven og gjeldsordningsloven unntas. Oslo byfogdembete uttaler at en særlig utfordring er knyttet til dødsfallsbehandling, som etter sitt innhold er av mer forvaltningsrettslig enn dømmende karakter – og at det eventuelt bør klargjøres hvordan man skal forholde seg til dette.
Datatilsynet viser til at det gjeldende unntaket i personopplysningsforskriften § 1-3 i praksis har medført uklarhet. Datatilsynet viser for det første til at ordlyden ikke gir anvisning på hvilke aktører som omfattes av unntaket, noe som er problematisk ettersom det i tilknytning til saker som behandles eller avgjøres av rettspleielovene, kan være en rekke forskjellige behandlingsansvarlige, slik som sakens parter, prosessfullmektiger, rettsoppnevnte sakkyndige, politi og påtalemyndighet mv. For det andre uttaler Datatilsynet at det er tvilsomt om behandling av saker i medhold av rettspleielovene ligger utenfor EØS-avtalens saklige virkeområde og at Norge derfor ikke er bundet av forordningen på dette punkt, slik departementet har lagt til grunn i høringsnotatet. Datatilsynet viser til at konsekvensen av den foreslåtte bestemmelsen er at Norge på dette punktet ikke blir en del av det harmoniserte vernet av personopplysninger som er forordningens intensjon. Oppsummeringsvis uttaler Datatilsynet at departementet bør foreta en grundigere vurdering enn det som er gjort i høringsnotatet.
4.4.8 Forholdet mellom særlovgivning og personopplysningsloven
Departementenes sikkerhets- og serviceorganisasjon uttaler at forholdet til eksisterende eller forslag til ny sikkerhetslov ikke er vurdert spesielt og viser til at formuleringen i lovutkastet § 5 annet punktum kan være egnet til usikkerhet om hensynet til rikets sikkerhet skal gå foran dersom det er motstrid mellom sikkerhets- og personopplysningsloven. Departementenes sikkerhets- og serviceorganisasjon uttaler at de antar at sikkerhetsloven alltid skal rangeres høyest.
Oslo kommune støtter forslaget om å videreføre bestemmelsen om personopplysningslovens forhold til annen lovgivning, med de foreslåtte presiseringer om at bestemmelsene i personvernforordningen ved konflikt skal gå foran andre bestemmelser som regulerer samme forhold. Oslo kommune viser til at det vil være en viktig påminnelse for de aktører som skal anvende bestemmelsene at dette gjøres uttrykkelig i loven, og mener at dette, der det er aktuelt, også bør presiseres i andre lover for å sikre at det blir klart hva som overstyres og ikke overstyres av forordningen.
Statens lånekasse for utdanning støtter departementets forslag om å tydeliggjøre i loven § 5 hva som gjelder ved motstrid mellom særlovgivning og personopplysningsloven, og mellom norsk lovgivning og personvernforordningen. Lånekassen viser til at dette klargjør et spørsmål som ellers kan føre til stor tolkningstvil ved anvendelsen av regelverkene.
Nei til EU uttaler at problemene med direktiver og forordninger gjennom EØS er at de gir svært liten mulighet for nasjonale hensyn, og at denne forrangen for EØS-regelverk er problematisk
KS støtter forslaget om å videreføre nåværende personopplysningslov § 5 med de foreslåtte presiseringer og viser til at dette vil være en viktig påminnelse for de aktører som skal anvende bestemmelsene. KS mener også at dette bør harmoneres med andre lover, slik at det blir klart hva som overstyres av forordningen.
4.5 Departementets vurdering
4.5.1 Virkeområde og anvendelse av loven utenfor EØS-retten
Departementet foreslår at personopplysningsloven og forordningen skal gjelde for all helt eller delvis automatisert behandling av personopplysninger og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register, med mindre annet er bestemt i eller i medhold av lov, se lovforslaget § 2 første ledd.
Bestemmelsen i § 2 første ledd er ment å gå foran forordningen artikkel 2 nr. 2, hvor det oppstilles unntak fra forordningens saklige virkeområde. Disse unntakene får dermed ingen selvstendig betydning. Departementet foreslår at unntaket i forordningen artikkel 2 nr. 2 bokstav c likevel skal gjelde, se lovforslaget § 2 annet ledd bokstav a.
Forslaget innebærer at loven og forordningen får anvendelse både innenfor og utenfor EØS-avtalens virkeområde. Departementet viser til at høringsinstansene generelt har støttet forslaget om å gi den nye personopplysningsloven anvendelse også utenfor EØS-avtalens virkeområde. At loven gjelder både innenfor og utenfor EØS-avtalens virkeområde, innebærer en videreføring av gjeldende rett etter någjeldende personopplysningslov.
Departementet foreslår at personvernforordningen kapittel VII bare skal gjelde innenfor EØS-avtalens virkeområde, se lovforslaget § 2 tredje ledd. Forordningen kapittel VII inneholder regler om samarbeid og ensartet anvendelse på tvers av landegrensene, herunder bestemmelser om nasjonale tilsynsmyndigheters rett og plikt til å samarbeide med hverandre og Personvernrådets rett og plikt til å opptre som konfliktløser ved uenighet mellom nasjonale tilsynsmyndigheter. Det er ikke naturlig å gi disse bestemmelsene anvendelse utenfor EØS-avtalens virkeområde, og Norge ville uansett ikke kunne pålegge EU/EØS-landene å anvende reglene i forordningen kapittel VII på områder som ikke er omfattet av EØS-avtalen.
4.5.2 Myndighetenes behandling av personopplysninger med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold mv.
Departementet foreslår som nevnt over i punkt 4.5.1 at personopplysningsloven og forordningen gis et generelt virkeområde, slik at unntakene i forordningen artikkel 2 nr. 2 ikke har noen selvstendig betydning. Dette innebærer at loven og forordningen som utgangspunkt også gjelder for behandling av personopplysninger som ellers ville vært omfattet av unntaket i artikkel 2 nr. 2 bokstav d som gjelder behandling av personopplysninger av vedkommende myndigheter med henblikk på å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, det vil si på området for direktiv (EU) 2016/680.
Departementet mener det ville innebære et klart brudd med gjeldende norsk rett, og skape betydelig uklarhet om hvilke regler som skulle gjelde for behandlingen, dersom behandling av personopplysninger for de formål som nevnes i forordningen artikkel 2 nr. 2 bokstav d uten videre var unntatt fra personopplysningslovens virkeområde. Blant annet har Tolldirektoratet vist at forordningen artikkel 2 nr. 2 bokstav d ville kunne medføre at hele eller deler av etatens virksomhet er unntatt fra personopplysningslovens virkeområde, da kontrollvirksomheten tollmyndighetene bedriver rent faktisk og etter tolloven er å avverge og avdekke straffbare forhold.
Departementet bemerker for ordens skyld at § 2 første ledd ikke er ment å avskjære muligheten til å gi nasjonale regler som gjennomfører direktiv (EU) 2016/680, slik det for eksempel er gjort gjennom politiregisterloven. Det følger av forslaget til § 2 første ledd annet punktum at loven og forordningen ikke gjelder der annet er bestemt i eller i medhold av lov. Nasjonale regler som gjennomfører direktiv (EU) 2016/680, vil være et eksempel på slike regler, og reglene vil dermed gå foran bestemmelsene i personopplysningsloven og forordningen. Hvorvidt reglene i personopplysningsloven og forordningen kommer til supplerende anvendelse i disse tilfellene, eller om de er fraveket i sin helhet, må avgjøres på bakgrunn av en tolkning av de aktuelle reglene.
4.5.3 Døde personer
Forordningen gjelder ikke for behandling av personopplysninger om avdøde personer, men det kan i nasjonal rett gis egne regler om dette, jf. fortalepunkt 27. Departementet foreslår å videreføre gjeldende rettstilstand om at personopplysningsloven ikke gis anvendelse for personopplysninger om avdøde personer. Dette tilsvarer forslaget i høringsnotatet og høringsinstansene har støttet forslaget. En personopplysning om en avdød person vil dermed bare omfattes av lovens og forordningens regler hvis opplysningen samtidig er en personopplysning om en levende person.
4.5.4 Juridiske personer
Departementet foreslår å videreføre gjeldende rettstilstand om at loven og forordningen ikke gis anvendelse for opplysninger om juridiske personer. Definisjonen av personopplysninger i forordningen artikkel 4 nr. 1 gjør det klart at begrepet kun omfatter opplysninger om fysiske personer slik at opplysninger om juridiske personer faller utenfor forordningens anvendelsesområde. Dette er i samsvar med gjeldende norsk rett. Departementet gikk i høringsnotatet ikke inn for noen endring på dette punkt, og ingen høringsinstanser har vært imot forslaget. Departementet presiserer for ordens skyld at en opplysning om en juridisk person vil utgjøre en personopplysning dersom opplysningen samtidig er en opplysning om en fysisk person, slik at vilkårene i forordningen artikkel 4 nr. 1 er oppfylt. Det samme er tilfellet etter gjeldende rett.
4.5.5 Riksrevisjonens behandling av personopplysninger
Departementet foreslår ikke å videreføre personopplysningsforskriften § 1-1 som gjør unntak fra flere av lovens bestemmelser ved Riksrevisjonens behandling av personopplysninger som ledd i kontrollvirksomheten. Departementet viste i høringsnotatet til at det samme allerede følger av lov om riksrevisjonen § 17 annet ledd, og at forskriftsbestemmelsen i § 1-1 dermed er overflødig også etter gjeldende rett.
4.5.6 Behandling av personopplysninger som er nødvendig av hensyn til rikets sikkerhet
Departementet foreslår at det fastsettes at behandling av personopplysninger som er nødvendig av hensynet til rikets eller alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser, er unntatt fra tilsynsmyndighetens tilgang til opplysninger etter personvernforordningen artikkel 58 nr. 1, se lovforslaget § 23 tredje ledd. Bestemmelsen er en videreføring av personopplysningsforskriften § 1-2 første ledd. Forskriften § 1-2 fastsetter også unntak fra melde- og konsesjonsplikt, men departementet foreslår å ikke videreføre dette, da disse pliktene ikke videreføres i den nye personopplysningsloven og forordningen.
Forskriften § 1-2 annet ledd fastsetter at uenighet mellom behandlingsansvarlig og Datatilsynet om utstrekningen av unntaket avgjøres av Personvernnemnda. Departementet foreslo ikke å videreføre denne bestemmelsen i høringsnotatet, men har kommet til at bestemmelsen bør videreføres for å gjøre det klart at Personvernnemnda har myndighet i disse tilfellene, se lovforslaget § 23 tredje ledd annet punktum.
Departementet har merket seg at enkelte høringsinstanser viser til at den foreslåtte bestemmelsen, også slik den lyder etter gjeldende rett, reiser visse tolkningsspørsmål. Politiets sikkerhetstjeneste legger til grunn at bestemmelsen innskrenker Datatilsynets myndighet til å kontrollere opplysninger som finnes hos samarbeidende aktører, for eksempel NAV og UDI. Datatilsynet uttaler at det er en mulighet for at behandlingen verken vil kunne kontrolleres av EOS-utvalget eller Datatilsynet. Datatilsynet viser videre til at unntaket etter ordlyden bare begrenser Datatilsynets kompetanse etter artikkel 58 nr. 1, mens kompetansen etter artikkel 58 nr. 2 til å treffe såkalte korrigerende tiltak er i behold.
Til dette vil departementet bemerke at forslaget i proposisjonen her er en videreføring av gjeldende rett, og departementet kan ikke se at forslaget skaper nye tolkningsspørsmål. Etter departementets syn kan det være grunn til å se nærmere på de spørsmål som reises av PST og Datatilsynet, men departementet mener det i så fall bør være gjenstand for en nærmere utredning, se over i punkt 2.3.
Enkelte høringsinstanser har uttalt seg på mer generelt grunnlag om forholdet mellom personopplysningsloven og behandling av personopplysninger av hensyn til nasjonal sikkerhet. Nasjonal sikkerhetsmyndighet uttaler at all behandling av personopplysninger av hensyn til nasjonal sikkerhet er egnet for regulering utenfor personopplysningsloven, og at behandling av personopplysninger etter sikkerhetsloven bør unntas fra personopplysningslovens virkeområde. Utlendingsdirektoratet uttaler at utlendingsmyndighetene behandler sikkerhetssaker i henhold til utlendingsloven kapittel 14 om særskilte regler for saker som berører grunnleggende nasjonale interesser eller utenrikspolitiske hensyn, og ber departementet vurdere om saker som behandles etter utlendingsloven kapittel 14, bør unntas fra forordningens virkeområde og reguleres særskilt i utlendingsloven. Til dette vil departementet bemerke at det i proposisjonen her gås inn for å videreføre gjeldende rett om at personopplysningsloven har et generelt virkeområde, og departementet foreslår ikke å oppstille nye, generelle unntak fra lovens virkeområde utover det som allerede følger av gjeldende rett. Departementet bemerker også at både etter gjeldende rett og forslaget i proposisjonen her gjelder personopplysningsloven bare så langt ikke annet er bestemt i eller i medhold av lov, slik at det i særlovgivningen vil kunne oppstilles unntak fra personopplysningslovens og forordningens regler der det er behov for dette av hensyn til nasjonal sikkerhet. For behandling av personopplysninger som ledd i det forebyggende sikkerhetsarbeidet vil Forsvarsdepartementet komme tilbake med forslag til konkrete unntak fra personvernforordningen i en endringsproposisjon til lov om nasjonal sikkerhet (endringer i andre lover mm).
4.5.7 Rettspleielovene
Departementet foreslår at loven ikke skal gjelde for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.), se lovforslaget § 2 annet ledd bokstav b. Dette er en videreføring av någjeldende personopplysningsforskrift § 1-3, som har identisk ordlyd.
Departementet viste i høringsnotatet til at behandling av saker i medhold av rettspleielovene ligger utenfor EØS-avtalens saklige virkeområde og at Norge derfor ikke er bundet av forordningens regler på dette punkt, slik at forslaget ikke støter an mot Norges EØS-rettslige forpliktelser. Kun et fåtall høringsinstanser har uttalt seg om forslaget. Datatilsynet og Juristforbundet uttaler at dagens rettstilstand etter personopplysningsforskriften § 1-3 er uklar. Juristforbundet uttaler at det særlig er behov for å avklare unntakets rekkevidde for saker som behandles etter tvisteloven. Datatilsynet viser til at bestemmelsen ikke gir anvisning på hvilke aktører som omfattes av unntaket, noe som er problematisk ettersom det i tilknytning til saker som behandles eller avgjøres av rettspleielovene kan være en rekke forskjellige behandlingsansvarlige. Datatilsynet mener videre det er tvilsomt om behandling av saker i medhold av rettspleielovene ligger utenfor EØS-avtalens virkeområde.
Departementet vil til dette bemerke at bestemmelsen viderefører gjeldende rett, slik at det ikke er nye tolkningsspørsmål som reises. Samtidig har departementet notert seg uttalelsene fra høringsinstansene, og mener det kan være aktuelt å ta bestemmelsen opp til nærmere vurdering. Departementet foreslår likevel ingen endring av bestemmelsen i proposisjonen her, se punkt 2.3.
4.5.8 Forholdet mellom særlovgivning og personopplysningsloven
Departementet foreslår å presisere at loven og forordningen gjelder så fremt ikke annet er bestemt i eller med hjemmel i lov, se lovforslaget § 2 første ledd annet punktum. Videre foreslår departementet av pedagogiske grunner å presisere at forordningen i tilfelle konflikt likevel går foran andre regler som regulerer samme forhold, jf. EØS-loven § 2, se lovforslaget § 2 fjerde ledd. Forslaget svarer innholdsmessig til forslaget i høringsnotatet, men det er gjort enkelte redaksjonelle endringer. Flere av høringsinstansene har vist til at det ligger en pedagogisk fordel i å tydeliggjøre hva som gjelder ved motstrid mellom særlovgivning og personopplysningsloven, og mellom norsk lovgivning og personvernforordningen.
Departementet bemerker for ordens skyld at forordningen i en lang rekke bestemmelser åpner for at det kan, og i andre bestemmelser for at det skal, gis nasjonal lovgivning. I enkelte tilfeller åpner forordningen også for at det kan gis mer spesifikke bestemmelser, se for eksempel artikkel 6 nr. 2 og 3. Lov eller forskrift gitt i tråd med artikkel 6 vil ikke være i konflikt med forordningen så lenge den nasjonale lovgivningen holder seg innenfor rammene gitt i artikkel 6 nr. 2 og 3. Det vil da ikke oppstå spørsmål om motstrid. Andre bestemmelser i forordningen, for eksempel artikkel 23, åpner for at nasjonal lovgivning kan begrense rettighetene som følger av forordningen dersom visse vilkår er til stede. Heller ikke i disse tilfellene vil det oppstå spørsmål om motstrid så lenge den nasjonale lovgivningen holder seg innenfor de rammene artikkel 23 trekker opp.
Det vises i denne forbindelse til at det er Datatilsynet som vil ha tilsynskompetanse når det gjelder behandling av personopplysninger som er omfattet av personopplysningslovens og forordningens virkeområde, også der det foreligger særregulering i spesiallovgivningen som supplerer forordningens bestemmelser.
Utenfor forordningens og EØS-avtalens virkeområde står Norge fritt til å gi regler som fraviker forordningen. Selv om forordningen gis anvendelse også utenfor EØS-avtalens virkeområde, vil forordningen ikke ha noen forrang i disse tilfellene – verken etter § 2 fjerde ledd eller EØS-loven § 2.