7 Særlige kategorier av personopplysninger
7.1 Generelt om særlige kategorier av personopplysninger
7.1.1 Gjeldende rett
Sensitive personopplysninger er i personopplysningsloven § 2 nr. 8 definert som opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning (bokstav a), at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling (bokstav b), helseforhold (bokstav c), seksuelle forhold (bokstav d) og medlemskap i fagforeninger (bokstav e). Personopplysningsloven § 9 stiller ytterligere krav til behandling av slike opplysninger. Sensitive personopplysninger kan bare behandles dersom behandlingen oppfyller både et av vilkårene i § 8 og et av vilkårene i § 9 første ledd bokstav a til h.
Sensitive personopplysninger kan behandles ved samtykke fra den registrerte eller ved lovbestemt adgang til slik behandling, jf. bokstav a og b. Dersom den registrerte ikke er i stand til å samtykke, kan opplysningene behandles for å beskytte en persons vitale interesser, jf. bokstav c. Etter bokstav d kan sensitive personopplysninger behandles dersom det utelukkende er tale om opplysninger som den registrerte selv har gjort alminnelig kjent. Bokstav e gir grunnlag for behandling som er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav. Etter bokstav f kan den behandlingsansvarlige behandle sensitive personopplysninger når det er nødvendig for å gjennomføre arbeidsrettslige plikter og rettigheter. Bokstav g gir grunnlag for behandling i forbindelse med helsetjenester, mens bokstav h gir adgang til å behandle sensitive opplysninger for historiske, statistiske eller vitenskapelige formål etter en interesseavveining.
Personopplysningsloven § 9 annet ledd gir ideelle sammenslutninger og stiftelser en begrenset adgang til å behandle sensitive personopplysninger selv om ingen av vilkårene i første ledd er oppfylt. Behandlingen kan bare omfatte opplysninger om medlemmer eller personer som frivillig er i regelmessig kontakt med sammenslutningen eller stiftelsen på grunn av dens formål, og bare opplysninger som samles inn gjennom kontakten.
I personopplysningsloven § 9 tredje ledd er Datatilsynet gitt myndighet til å bestemme at sensitive personopplysninger kan behandles selv om verken vilkårene i første eller annet ledd er oppfylt, dersom viktige samfunnsinteresser tilsier det og det settes i verk tiltak for å sikre den registrertes interesser.
Behandling av sensitive opplysninger krever også som hovedregel konsesjon fra Datatilsynet, jf. personopplysningsloven § 33 første ledd.
7.1.2 Oversikt over forordningens regler
Forordningen artikkel 9 oppstiller tilleggskrav for behandling av «særlige kategorier av personopplysninger», og er en parallell til § 9 i gjeldende lov om sensitive personopplysninger. Opplysningene som omfattes av artikkel 9, omtales som «sensitive opplysninger» i en parentes i fortalepunkt 10. I fortalen for øvrig og i forordningens artikler brukes imidlertid termen «særlige kategorier av personopplysninger». Departementet har i proposisjonen her valgt å betegne opplysningene nevnt i forordningen artikkel 9 nr. 1 som «særlige kategorier av personopplysninger», i tråd med forordningens terminologi.
Artikkel 9 nr. 1 omfatter behandling av personopplysninger om «rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering». Forordningen skiller seg fra gjeldende lov på to punkter. For det første omfattes ikke opplysninger om at en person har vært mistenkt, tiltalt eller dømt for en straffbar handling. Slike opplysninger er i stedet særregulert i artikkel 10. For det andre er det kommet til to kategorier av opplysninger som ikke regnes som sensitive etter dagens lov, nemlig genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person.
Nummer 1 oppstiller en hovedregel om at behandling av slike personopplysninger er forbudt. For at behandling av personopplysninger som omfattes av forbudet i artikkel 9 nr. 1, skal være lovlig, må vilkårene i et av unntakene i artikkel 9 nr. 2 være oppfylt. I tillegg må det foreligge behandlingsgrunnlag etter artikkel 6, jf. fortalepunkt 51, hvor det fremgår at også de allmenne prinsippene og de andre reglene i forordningen får anvendelse, «særlig når det gjelder vilkårene for lovlig behandling».
Unntaksregelen i artikkel 9 nr. 2 bokstav a gir adgang til å behandle særlige kategorier av personopplysninger når den registrerte gir uttrykkelig samtykke, og viderefører § 9 første ledd bokstav a i dagens lov. Bestemmelsen åpner for at medlemsstatene kan fastsette i nasjonal rett at samtykke ikke er tilstrekkelig.
Artikkel 9 nr. 2 bokstav b gir adgang til å behandle særlige kategorier av personopplysninger når behandlingen er «nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett i den grad dette er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett, eller en tariffavtale i henhold til medlemsstatenes nasjonale rett som gir nødvendige garantier for den registrertes grunnleggende rettigheter og interesser». Behandlingen må være «tillatt» i nasjonal rett eller tariffavtale. Bestemmelsen viderefører dels § 9 første ledd bokstav f i gjeldende lov om arbeidsrettslige plikter. Trygderett og sosialrett er derimot ikke nevnt i dagens lov.
Artikkel 9 nr. 2 bokstav c åpner for å behandle særlige kategorier av personopplysninger når dette er nødvendig for å verne den registrertes eller annen fysisk persons vitale interesser, dersom den registrerte fysisk eller juridisk er ute av stand til å samtykke. Bestemmelsen viderefører § 9 første ledd bokstav c i gjeldende lov, med en viss utvidelse idet forordningen også omfatter andre fysiske personers vitale interesser. Artikkel 9 nr. 2 bokstav d viderefører i det vesentlige dagens § 9 annet ledd, og gir adgang for ideelle sammenslutninger og stiftelser til å behandle særlige kategorier av personopplysninger om medlemmer og andre som sammenslutningen eller stiftelsen kommer i regelmessig kontakt med på grunn av sitt formål. Opplysningene kan ikke utleveres til andre uten samtykke. Artikkel 9 nr. 2 bokstav e svarer i det vesentlige til § 9 første ledd bokstav d i dagens lov. Etter denne bestemmelsen er det tillatt å behandle særlige kategorier av personopplysninger som det er «åpenbart at den registrerte har offentliggjort». Artikkel 9 nr. 2 bokstav f gjør unntak for behandling av særlige kategorier av personopplysninger som er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav eller når domstolene handler innenfor rammen av sin domsmyndighet. Bestemmelsen viderefører § 9 første ledd bokstav e i gjeldende lov.
Forordningen artikkel 9 nr. 2 bokstav g åpner for behandling av særlige kategorier av personopplysninger når dette er nødvendig av hensyn til «viktige allmenne interesser», på grunnlag av unionsretten eller nasjonal rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det vesentligste innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
Artikkel 9 nr. 2 bokstav h, jf. nr. 3, gir adgang til å behandle særlige kategorier av personopplysninger i forbindelse med helsehjelp, sosialtjenester mv. og forvaltning av slike tjenester, på grunnlag av unionsretten, nasjonal rett eller en avtale med helsepersonell. Opplysningene kan bare behandles under taushetsplikt. Bestemmelsen viderefører i det vesentlige dagens § 9 første ledd bokstav g.
Unntaket i artikkel 9 nr. 2 bokstav i svarer derimot ikke til noen regel i gjeldende lov. Bestemmelsen åpner for å behandle særlige kategorier av personopplysninger når det er nødvendig av allmenne folkehelsehensyn, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett.
Endelig følger det av artikkel 9 nr. 2 bokstav j at særlige kategorier av personopplysninger kan behandles når det er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1, på grunnlag av unionsretten eller nasjonal rett. Bestemmelsen svarer dels til gjeldende lov § 9 første ledd bokstav h.
Forordningen har ingen bestemmelse som svarer til gjeldende lov § 9 første ledd bokstav b, som åpner for behandling av sensitive personopplysninger når det er «fastsatt i lov at det er adgang til slik behandling». Bestemmelser i særlovgivningen som gjør unntak fra forbudet i artikkel 9 nr. 1, må oppfylle kravene i en av unntaksbestemmelsene i artikkel 9 nr. 2.
Forordningen har videre ingen bestemmelse som tilsvarer § 9 tredje ledd i gjeldende lov, som gir Datatilsynet adgang til å bestemme at sensitive personopplysninger kan behandles dersom viktige samfunnsinteresser tilsier det jf. § 9 tredje ledd i gjeldende lov.
Artikkel 9 nr. 4 åpner for at medlemsstatene kan opprettholde eller innføre ytterligere vilkår, herunder begrensninger, med hensyn til behandling av genetiske opplysninger, biometriske opplysninger eller helseopplysninger.
7.1.3 Generelt om adgangen til og behovet for å fastsette nasjonale bestemmelser
Artikkel 9 nr. 2 bokstav a til j oppstiller nærmere avgrensede unntak fra forbudet mot å behandle særlige kategorier av personopplysninger. Etter noen av unntakene i artikkel 9 nr. 2 kreves det i tillegg at det må foreligge ytterligere bestemmelser i unionsretten eller nasjonal rett som åpner for behandlingen. Unntakene må med andre ord «aktiveres» i unionsretten eller nasjonal rett for at den behandlingsansvarlige skal kunne benytte dem. Den behandlingsansvarlige må i disse tilfellene kunne vise både til det relevante unntaket i artikkel 9 nr. 2 og en eller flere ytterligere nasjonale bestemmelser som åpner for behandling etter det relevante unntaket i artikkel 9 nr. 2.
Departementet legger til grunn at forordningen ikke stiller krav om ytterligere bestemmelser i nasjonal rett for behandling i tråd med bokstav a om samtykke, bokstav c om vitale interesser, bokstav d om stiftelser og sammenslutninger, bokstav e om offentliggjorte opplysninger og bokstav f om rettskrav. Ingen av disse unntakene forutsetter etter sin ordlyd ytterligere regulering i nasjonal rett.
Fire av de øvrige unntakene krever derimot at det er åpnet for behandlingen i unionsretten eller nasjonal rett. Dette gjelder bokstav g om viktige allmenne interesser, bokstav h om helsetjenester mv., bokstav i om folkehelse og bokstav j om arkiv, forskning og statistikk. Endelig krever bokstav b om arbeidsrettslige, trygderettslige og sosialrettslige rettigheter og forpliktelser at behandlingen er tillatt enten i unionsretten, nasjonal rett eller i tariffavtale.
Departementet legger til grunn at det innenfor disse bestemmelsenes anvendelsesområde er opp til unionsretten og nasjonal rett å fastsette om og i så fall i hvilken utstrekning det skal fastsettes unntak fra forbudet i artikkel 9 nr. 1. Når det er opp til nasjonal rett å gjøre unntak fra forbudet i artikkel 9 nr. 1 i de tilfellene som omfattes av 9 nr. 2 bokstav b, g, h, i og j, legger departementet til grunn at det som utgangspunkt må foreligge en lov eller forskrift som åpner for behandling av særlige kategorier av personopplysninger. Departementet legger til grunn at bestemmelsene også kan utformes slik at de gir hjemmel for å tillate behandling av særlige kategorier av personopplysninger ved vedtak i enkelttilfeller.
Forordningen gir ikke noe klart svar på hvor klart eller spesifikt nasjonale bestemmelser som åpner for behandling av særlige kategorier av personopplysninger, må være. Når de nevnte bestemmelsene i artikkel 9 nr. 2 krever et «grunnlag» for behandlingen, eller at behandlingen er «tillatt», kan de etter sin ordlyd neppe sies å stille et ubetinget krav om at det alltid må foreligge en helt uttrykkelig og spesifikk lovhjemmel. På samme måte som når det gjelder kravet om supplerende rettsgrunnlag etter artikkel 6 nr. 3, må det vurderes konkret om en bestemmelse er tilstrekkelig for en gitt behandling, jf. punkt 6.3.2 samt punkt 6.4 om kravene om rettsgrunnlag etter Grunnloven og EMK. Det bør tas i betraktning i en slik vurdering at formålet med artikkel 9 nr. 1 er å sikre særlige kategorier av personopplysninger et særlig vern, noe som kan tilsi at det må gjelde strengere krav enn etter artikkel 6 nr. 3. Departementet bemerker at det etter Grunnloven § 102 og EMK artikkel 8 ikke trekkes noe systematisk skille mellom alminnelige personopplysninger og særlige kategorier. Personopplysningenes sensitivitet vil i denne sammenhengen være et moment i vurderingen av inngrepets art og omfang, som igjen har betydning for hvilke krav som stilles til inngrepshjemmelen.
Videre stiller tre av bestemmelsene i artikkel 9 nr. 2 krav om at det i unionsretten eller i nasjonal rett sikres egnede og særlige tiltak for å verne den registrertes rettigheter og friheter/interesser, jf. artikkel 9 nr. 2 bokstav g, i og j om henholdsvis viktige allmenne interesser, folkehelse og arkiv, forskning og statistikk. Artikkel 9 nr. 2 bokstav b om arbeidsrettslige, trygderettslige og sosialrettslige rettigheter og forpliktelser krever at det gis «nødvendige garantier for den registrertes grunnleggende rettigheter og interesser».
Forordningen gir etter departementets oppfatning ikke noe helt klart svar på hva som nærmere ligger i disse kravene, eller hvordan slike tiltak eller garantier skal forholde seg til forordningens alminnelige regler. Kravene er ikke utdypet i fortalen. Noen spredte bestemmelser i forordningen gir imidlertid en viss veiledning. Artikkel 9 nr. 3 nevner taushetsplikt som en garanti, jf. nr. 2 bokstav h. Etter artikkel 89 nr. 1 om arkiv-, forsknings- og statistikkformål skal behandlingen være omfattet av nødvendige garantier som «skal sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes». Videre følger det at tiltakene kan være pseudonymisering og anonymisering. Forordningen artikkel 6 nr. 4 bokstav e nevner kryptering som en garanti, mens artikkel 23 nr. 2 bokstav d nevner garantier «for å unngå misbruk eller ulovlig tilgang eller overføring».
Etter departementets syn er det mest nærliggende å ta utgangspunkt i at tiltakene eller garantiene skal ha som sitt primære formål å sørge for at behandlingen skjer i tråd med de grunnleggende prinsippene for behandling av personopplysninger, tatt i betraktning opplysningenes sensitivitet, behandlingens formål, risikoen ved behandlingen mv. Hva garantiene eller tiltakene kan og må gå ut på, vil kunne variere betydelig. Departementet legger til grunn at én mulig form for tiltak er spesifiserende regler om behandlingen, for eksempel om hvilke personopplysninger som kan samles inn for et gitt formål, hvor opplysningene skal hentes fra, hvordan de skal lagres, nøyaktig hvor lenge de kan lagres, hvem personopplysningene kan utleveres til mv. Der det ikke er mulig å gi detaljerte regler om slike forhold, for eksempel fordi reglene skal omfatte mange ulike kategorier av behandlingsansvarlige og behandlinger, blir det nødvendig å fastsette mer generelle regler. Et eksempel på et slikt tiltak er et krav om at personopplysninger skal pseudonymiseres så langt formålet med behandlingen kan nås på den måten. Slike regler vil gjerne stille større krav til den behandlingsansvarliges egne vurderinger.
Jo bredere nedslagsfelt reglene har, jo vanskeligere vil det være å utforme spesifikke tiltak eller garantier. Som nevnt over kan forordningen neppe anses å være til hinder for at det i nasjonal rett åpnes for behandling av særlige kategorier av personopplysninger gjennom generelle bestemmelser, det vil si bestemmelser med omtrent samme anvendelsesområde som artikkel 9 nr. 2 bokstav b, g, h, i og j. I slike tilfeller kan det være et alternativ å fastsette mekanismer eller prosedyrer som den behandlingsansvarlige skal følge for å sikre etterlevelse av regelverket. Forhåndsgodkjenning fra tilsynsmyndigheten er et eksempel på en slik mekanisme, og et annet eksempel er at den enkelte behandlingen skal vurderes av personvernombud før behandlingen begynner.
Forordningen artikkel 9 nr. 2 bokstav a åpner for å fastsette i nasjonal rett at samtykke ikke er tilstrekkelig for behandling av særlige kategorier av opplysninger. En slik begrensning kan enten fastsettes uttrykkelig i lovgivningen, eller være implisitt ved at den nasjonale bestemmelsen oppstiller vilkår som gjelder uavhengig av den registrertes samtykke. Ved tolkningen av nasjonale regler som åpner for behandling av særlige kategorier av opplysninger, må det dermed tas stilling til om bestemmelsene er ment å være et alternativ til samtykke, eller om bestemmelsene er ment å begrense adgangen til å behandle etter samtykke.
Bestemmelser som åpner for behandling av særlige kategorier av personopplysninger, kan fastsettes både i særlovgivning og i den generelle personopplysningslovgivningen. Under i punkt 7.2 til 7.4 drøfter departementet om det i den generelle personopplysningsloven bør gis lovbestemmelser som åpner for behandling av personopplysninger i de tilfellene som omfattes av artikkel 9 nr. 2 bokstav b, g, h og i.
7.2 Arbeidsrett, trygderett og sosialrett
7.2.1 Gjeldende rett
Det følger av personopplysningsloven § 9 første ledd bokstav f at sensitive personopplysninger kan behandles når «behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter». Personopplysningsloven har ingen generelle bestemmelser som åpner for behandling av sensitive personopplysninger på trygde- eller sosialrettens område.
7.2.2 Forordningen
Forordningen artikkel 9 nr. 2 bokstav b gjør unntak fra artikkel 9 nr. 1 for behandling som er «nødvendig for at den behandlingsansvarlige eller den registrerte skal kunne oppfylle sine forpliktelser og utøve sine særlige rettigheter på området arbeidsrett, trygderett og sosialrett». Behandlingen må være tillatt i unionsretten, nasjonal rett eller tariffavtale som gir «nødvendige garantier for den registrertes grunnleggende rettigheter og interesser».
7.2.3 Forslaget i høringsnotatet
Departementet uttrykte i høringsnotatet tvil om hvorvidt det er behov for å videreføre en bestemmelse i den generelle personopplysningsloven som åpner for behandling av særlige kategorier av personopplysninger i arbeidsforhold, eller om arbeidsmiljølovgivningen åpner for behandlingen i tilstrekkelig grad. Det ble ikke foreslått noen slik bestemmelse, men det ble bedt om høringsinstansenes syn på om det er nødvendig med en generell lovbestemmelse.
Departementet bemerket at områdene trygderett og sosialrett ikke omfattes av noen egen bestemmelse i den gjeldende personopplysningsloven, slik at behandling på disse områdene må skje i tråd med eksisterende særlovgivning. Det ble på denne bakgrunn ikke foreslått noen generell bestemmelse om disse områdene.
7.2.4 Høringsinstansenes syn
Alle høringsinstansene som uttaler seg om spørsmålet, uttaler at det er behov for å videreføre en generell bestemmelse om behandling av særlige kategorier av personopplysninger i arbeidsforhold. Arbeids- og sosialdepartementet, Oslo kommune, Oslo universitetssykehus HF, Arbeidsgiverforeningen Spekter, Juristforbundet, Unio, Næringslivets Hovedorganisasjon, Hovedorganisasjonen Virke, Akademikerne, Den norske legeforening, Landsorganisasjonen i Norge, SAMFO – Arbeidsgiverforening for samvirkeforetak, KS, Norges Rederiforbund, Telenor Norge AS, Telia, Brækhus Advokatfirma DA og Sporveien Oslo AS mener at det bør videreføres en generell bestemmelse som gir adgang til behandling av særlige kategorier av personopplysninger. Arbeidsgiverforeningen Spekter mener at det uten en slik bestemmelse kan oppstå tvil om adgangen til behandling, og uttaler:
«Spekter er av den oppfatning at det er behov for å videreføre dagens generelle unntaksregel for å behandle sensitive personopplysninger tilsvarende dagens regel i § 9 bokstav f. Dette blant annet fordi rettstilstanden når det gjelder arbeidsgivers adgang til å behandle sensitive personopplysninger uten dagens generelle unntaksbestemmelse vil bli fragmentarisk, og unnlatelse av å videreføre dagens unntaksbestemmelse kan i seg selv være egnet til å skape tvil om arbeidsgivers adgang til å behandle sensitive personopplysninger.»
Den norske legeforening uttaler at det er nødvendig å behandle særlige kategorier av personopplysninger i tilfeller som ikke er tilstrekkelig dekket i annen lovgivning:
«Arbeidsmiljøloven § 9-3 og § 9-4 om henholdsvis innhenting av helseopplysninger ved ansettelse eller medisinske undersøkelser gir hjemmel for behandling av sensitive personopplysninger i arbeidsforhold. Vi mener at det vil være tilfeller hvor det behandles sensitive personopplysninger i arbeidsforhold uten at dette har et rettslig grunnlag i nasjonal lovgivning. Det kan være nødvendig å behandle opplysninger om fagforeningsmedlemskap i forbindelse med lønnsutbetaling. Videre kan det være nødvendig å behandle helseopplysninger eller andre typer sensitive personopplysninger i forbindelse med tilrettelegging, personaladministrasjon eller lignende. Vi foreslår dermed en regulering som hjemler behandling som er nødvendig for å ivareta arbeidsrettslige rettigheter og plikter.»
Datatilsynet uttaler at det kan være behov for en bestemmelse som av pedagogiske grunner klargjør når lov, forskrift eller tariffavtale kan være rettslig grunnlag, samt at adgangen til å behandle på grunnlag av tariffavtaler må reguleres nærmere i lov:
«Av pedagogiske grunner kan det vurderes å utforme en bestemmelse i den generelle personopplysningsloven som klargjør når lov, forskrift eller tariffavtale kan utgjøre et rettslig grunnlag på dette området.
Slik vi ser det må behandling av sensitive personopplysninger på grunnlag av tariffavtale skje innenfor de rammer som følger av nasjonal lov med nødvendige garantier, jf. artikkel 9 nr. 2 bokstav b. Det mest praktiske er derfor trolig at arbeidsmiljøloven med forskrifter regulerer forholdet til behandling av sensitive personopplysninger på grunnlag av en tariffavtaler nærmere.»
Også Landsorganisasjonen i Norge uttaler at det bør gis nasjonale regler om behandling i medhold av tariffavtaler, og uttaler:
«LO mener det i den forbindelse bør inntas et kvalifikasjonskrav med en nedre grense relatert til hvilket nivå, og av hvilke parter tariffavtalen skal inngås for å tilfredsstille forordningens krav til rettslig grunnlag. Etter norsk rett er det lite som skal til for å oppfylle vilkårene for å opprette en «tariffavtale». Det vises til arbeidstvistloven § 1 e). I utgangspunktet bør tariffavtalereguleringen reserveres til forbund/landsforening med landsomfattende tariffavtale.»
Landsorganisasjonen i Norge og Unio mener at det også er behov for nasjonale regler som åpner for at fagforeninger kan behandle særlige kategorier av personopplysninger. Landsorganisasjonen i Norge uttaler:
«LO foreslår at det innføres et særskilt unntak fra forbudet mot å behandle sensitive personopplysninger i forordningens artikkel 9 nr 1 for fagforeninger som behandler opplysninger om sine medlemmer for å administrere medlemskapet.
Begrunnelsen for forslaget om et unntak er at behandling av opplysninger om fagforeningsmedlemmer er underlagt strengere regler da de regnes som sensitive personopplysninger i henhold til forordningen. Dette medfører unødvendige kompliserende krav og rutiner ved f.eks inn- og utmeldelse og annen administrasjon av medlemskapet. Medlemskap i fagforening er frivillig, og opplysningen som sådan oppleves i det norske samfunn neppe å ha samme grad av sensitivitet som andre sensitive personopplysninger som f.eks helseopplysninger eller opplysninger om straff.»
Ingen høringsinstanser gir uttrykk for at det bør gis generelle bestemmelser om behandling av særlige kategorier av personopplysninger på rettsområdene trygderett og sosialrett. Arbeids- og velferdsdirektoratet uttaler:
«Trygderett og sosialrett er kjernen av NAV sin virksomhet. Artikkel 9 nr. 2 bokstav b vil, sammen med artikkel 9 nr. 2 bokstav g, i hovedsak være NAV sitt hjemmelsgrunnlag etter forordningen for behandling av sensitive personopplysninger og som vil kreve ytterligere rettsgrunnlag i nasjonal rett. Som Justis- og beredskapsdepartementet skriver er disse rettsområdene i stor grad lovregulert og behandling av sensitive personopplysninger på disse områdene skjer etter gjeldende rett med grunnlag i eksisterende særlovgivning.
Vi mener i hovedsak at gjeldende særlovgivning på våre områder gir tilstrekkelig grunnlag for behandling av sensitive personopplysninger også etter ny forordning.»
7.2.5 Departementets vurdering
Høringen har etter departementets syn avdekket et behov for å videreføre en generell bestemmelse som åpner for behandling av særlige kategorier av personopplysninger i arbeidsforhold. Departementet foreslår på denne bakgrunn at det fastsettes en slik bestemmelse i den nye personopplysningsloven med grunnlag i artikkel 9 nr. 2 bokstav b, se lovforslaget § 6. Den foreslåtte bestemmelsen er en videreføring av gjeldende personopplysningslov § 9 første ledd bokstav f, og åpner for behandling av særlige kategorier av personopplysninger i den utstrekning det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.
Det følger av artikkel 9 nr. 2 bokstav b at nasjonale regler som åpner for behandling, skal gi «nødvendige garantier for den registrertes grunnleggende rettigheter og interesser». Etter departementets oppfatning er det ikke hensiktsmessig å utforme generelle «garantier» for behandlingen i arbeidsforhold i personopplysningsloven utover at det må foreligge arbeidsrettslige plikter eller rettigheter som gjør behandlingen nødvendig. Bestemmelsen favner om til dels svært ulike behandlingssituasjoner, og departementets oppfatning er at det på dette området er vanskelig å se at det finnes egnede «garantier» av generell art som vil ha reell betydning ved siden av forordningens øvrige regler. Etter departementets syn bør dette kravet i stedet oppfylles gjennom mer spesifikke garantier i sektorlovgivningen. Det vises på dette punktet til reglene om kontrolltiltak i arbeidsmiljøloven kapittel 9, samt de foreslåtte reglene om kameraovervåking på arbeidsplass og innsyn i e-post mv. Reglene i arbeidsmiljøloven §§ 9-3 og 9-4 innebærer for eksempel en spesifisering av når helseopplysninger om ansatte kan innhentes. Reglene om kontrolltiltak kan bli aktuelle der det innhentes særlige kategorier av personopplysninger som ledd i kontrollen. Arbeidsmiljøloven inneholder også et særskilt diskrimineringsvern i kapittel 13 og regler om fortrolige opplysninger i § 8-3. Dersom det oppstår et behov for ytterligere garantier, bør dette fastsettes i arbeidsmiljølovgivningen.
Ordlyden i forordningen artikkel 9 nr. 2 bokstav b sondrer mellom nasjonal rett og tariffavtale, og det er etter ordlyden tilstrekkelig at tariffavtalen er «i henhold til» («pursuant to») nasjonal rett. Etter departementets vurdering er det mest nærliggende å lese dette som at tariffavtalen må være inngått etter nasjonal rett og underlagt denne, og ikke som at nasjonal rett må åpne for behandling i medhold av tariffavtale. Av pedagogiske hensyn mener departementet likevel at en generell lovbestemmelse om behandling i arbeidsforhold også bør omfatte tariffavtaler. Etter departementets syn bør det ikke på nåværende tidspunkt fastsettes noe kvalifikasjonskrav for hva slags tariffavtaler som er tilstrekkelige, idet dette vil bero på en tolkning av artikkel 9 nr. 2 bokstav b.
Fagforeninger kan behandle særlige kategorier personopplysninger om sine medlemmer direkte etter forordningen artikkel 9 nr. 2 bokstav d. Departementet foreslår derfor ingen nasjonale regler om slik behandling.
Ingen høringsinstanser har gitt uttrykk for at det bør gis generelle bestemmelser om behandling av særlige kategorier av personopplysninger på rettsområdene trygderett og sosialrett. Departementet foreslår ikke bestemmelser om dette.
7.3 Helsetjenester mv. og allmenne folkehelsehensyn
7.3.1 Gjeldende rett
Etter personopplysningsloven § 9 første ledd bokstav g kan sensitive personopplysninger behandles når «behandlingen er nødvendig for forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt».
Gjeldende lov inneholder ingen bestemmelser om behandling av sensitive personopplysninger for folkehelseformål.
7.3.2 Forordningen
Forordningen artikkel 9 nr. 2 bokstav h åpner for behandling av særlige kategorier av personopplysninger når dette er nødvendig «i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av unionsretten eller medlemsstatenes nasjonale rett eller i henhold til en avtale med helsepersonell og med forbehold for vilkårene og garantiene nevnt i nr. 3.» Bestemmelsen stiller i motsetning til de andre unntakene som krever nasjonal regulering, ikke krav om «egnede og særlige tiltak» eller «garantier» utover det som følger av artikkel 9 nr. 3, som krever at opplysningene må behandles av en fagperson med taushetsplikt eller under en slik persons ansvar.
Artikkel 9 nr. 2 bokstav i åpner for behandling som er «nødvendig av allmenne folkehelsehensyn, f.eks. vern mot alvorlige grenseoverskridende helsetrusler eller for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester og legemidler eller medisinsk utstyr». Behandlingen må ha grunnlag i «unionsretten eller medlemsstatenes nasjonale rett der det fastsettes egnede og særlige tiltak for å verne den registrertes rettigheter og friheter, særlig taushetsplikt».
7.3.3 Forslaget i høringsnotatet
Departementet viste i høringsnotatet til at yting og forvaltning av helse- og sosialtjenester mv. i norsk rett er underlagt en omfattende lov- og forskriftsregulering, herunder om behandling av opplysninger og om taushetsplikt. Departementet tok på denne bakgrunn utgangspunkt i at det neppe er nødvendig med en generell bestemmelse i personopplysningsloven som åpner for behandling av særlige kategorier av personopplysninger på disse områdene. Det ble ikke foreslått noen lovbestemmelse, men departementet ba om høringsinstansenes syn på om det forekommer at sensitive personopplysninger i dag behandles utelukkende på grunnlag av personopplysningsloven § 9 første ledd bokstav g, uten ytterligere rettsgrunnlag i helselovgivningen.
Når det gjaldt folkehelsehensyn, tok departementet utgangspunkt i at gjeldende lov ikke har egne regler om dette, og at behandlingen derfor etter gjeldende rett må skje med grunnlag i samtykke eller særlovgivning. Departementet foreslo ingen bestemmelser om dette, men ba om høringsinstansenes syn på behovet for generelle regler.
7.3.4 Høringsinstansenes syn
Få høringsinstanser uttaler seg om hvorvidt det er behov for en generell lovbestemmelse om helsetjenester mv. Oslo universitetssykehus HF mener at det bør vurderes å gi en slik bestemmelse på bakgrunn av at sektoren er i utvikling:
«OUS er ikke kjent med at helseopplysninger i dag behandles utelukkende på grunnlag av personopplysningsloven § 9 første ledd bokstav g, uten ytterligere grunnlag i helselovgivningen. OUS mener det likevel bør vurderes å innta en generell lovbestemmelse i ny personopplysningslov. Ny kunnskap, spesialisering og teknologiske fremskritt bidrar til at den tradisjonelle medisin og helsetjeneste hele tiden er i endring når det gjelder innhold, arbeidsform og organisering. Gjeldene regulering i særlovgivning følger ikke alltid samme utvikling og vil nødvendigvis ikke gi tilstrekkelig rettsgrunnlag. Dette er en problemstilling som særlig vil kunne gjøre seg gjeldende innen persontilpasset medisin, der grenseoppgangen mellom helseforskning, metodeutvikling, diagnostikk og behandling utfordrer gjeldende regelverk.»
Den norske legeforening påpeker at behovet for nasjonale bestemmelser henger sammen med hvordan kravene i forordningen forstås:
«Hvorvidt det er tilstrekkelig supplerende rettslig grunnlag i nasjonal rett henger sammen med hvor strengt kravet til rettslig grunnlag tolkes. Vi forstår departementet slik at det legges opp til en lite streng/liberal tolkning av kravet til rettslig grunnlag. Ut i fra dette kan vi ikke se at de mangler supplerende rettslig grunnlag innenfor helselovgivningen. Vi påpeker likevel at kravet til rettslig grunnlag må ses i sammenheng med hvordan dette tolkes i EU for øvrig. Dersom EUs praksis på området innebærer en strengere tolkning av kravet til rettslig grunnlag, kan dette nødvendiggjøre tilsvarende mer detaljerte grunnlag for behandling av eksempelvis helseopplysninger.»
Få høringsinstanser uttaler seg om hvorvidt det er behov for en generell bestemmelse som åpner for behandling av særlige kategorier av personopplysninger for folkehelseformål. Folkehelseinstituttet uttaler at det er behov for et slikt unntak, og mener at behandlingen ikke i tilstrekkelig grad er regulert i særlovgivning:
«Folkehelseinstituttet understreker at et generelt unntak fra forbudet mot behandling av sensitive personopplysninger som er nødvendig av allmenne folkehelsehensyn kan forenkle folkehelsearbeidet og redusere risikoen for at myndighetene ikke vil ha anledning til å gjennomføre kvalitetsforbedring, beredskapstiltak, nødvendig overvåkning og undersøkelser, eller kvalitetssikring av personopplysninger, for å ivareta og forbedre befolkningens helse. Nødvendig behandling av personopplysninger til disse formål er ikke i tilstrekkelig grad regulert i særlovgivningen og det er så langt ikke tilstrekkelig klarlagt hvorvidt særlovgivningen oppfyller de tilføyede krav til nasjonal lovgivning som fremgår av forordningen artikkel 9 nr. 2.»
Videre uttaler Folkehelseinstituttet at generelle lovregler kan gjøre det enklere å fastsette tiltak for å verne den registrertes rettigheter og friheter:
«Folkehelseinstituttet tillegger forøvrig at det synes enklere, både for lovgiver og for de behandlingsansvarlige, å påse at kravet i forordningen til at lovgrunnlaget eller forskriftene skal fastsette «tiltak for å verne den registrertes rettigheter og friheter», jf. forordningen artikkel 9 nr. 2 bokstav b, g, i og j, er oppfylt om det fastsettes generelle og lovhjemlede unntak.»
Også Brækhus Advokatfirma DA mener at det bør fastsettes en generell lovbestemmelse om behandling som er nødvendig av folkehelsehensyn:
«Brækhus stiller seg positiv til innføring av en generell lovbestemmelse for behandling av sensitive personopplysninger som anses nødvendig av allmenne folkehelsehensyn.
Nødvendighetskriteriet setter igjen viktige skranker for i hvilke tilfeller behandling kan finne sted. Det må i tillegg stilles strenge krav til «egnede og særlige tiltak for å verne den registrertes rettigheter og interesser» som tar hensyn til opplysningenes sensitivitet. Bestemmelsen fremhever i denne sammenheng taushetsplikt som et eksempel på et slikt tiltak som bør innføres i sammenheng med et eventuelt supplerende rettslig grunnlag for behandling av sensitive personopplysninger som er nødvendig av allmenne folkehelsehensyn.
Under forutsetning av at slike tiltak iverksettes, mener vi at viktige allmenne folkehelsehensyn bør gå foran hensynet til den enkeltes personvern. Brækhus legger til grunn at bestemmelsen vil ha et snevert virkeområde, men kan bli viktig i særlige tilfeller.»
7.3.5 Departementets vurdering
Høringen har etter departementets vurdering ikke avdekket at det er behov for en generell lovbestemmelse i personopplysningsloven som åpner for behandling av særlige kategorier av personopplysninger i forbindelse med helsetjenester mv., jf. forordningen artikkel 9 nr. 2 bokstav h. Det foreslås derfor ingen slik bestemmelse. Dersom utviklingen i sektoren gjør det nødvendig med nye regler, slik Oslo universitetssykehus HF er inne på, bør nye regler etter departementets syn gis i særlovgivningen. På samme måte bør et eventuelt behov for mer detaljerte regler på området ivaretas gjennom særlovgivningen, og ikke den generelle personopplysningsloven.
Departementet har merket seg at Folkehelseinstituttet og Brækhus Advokatfirma DA mener at det kan være behov for bestemmelser om behandling av særlige kategorier av personopplysninger for folkehelseformål. Etter departementets oppfatning synes det lite hensiktsmessig å innta generelle bestemmelser om dette i den generelle personopplysningsloven. Etter departementets oppfatning vil mer spesifikke regler om dette i særlovgivningen gjøre det enklere for lovgiver og de behandlingsansvarlige å sikre egnede og særlige tiltak for å verne den registrertes rettigheter og friheter. Det foreslås på denne bakgrunn ingen generell lovbestemmelse om behandling for folkehelseformål.
7.4 Behandling etter tillatelse fra Datatilsynet
7.4.1 Gjeldende rett
Det følger av § 9 tredje ledd i personopplysningsloven at «Datatilsynet kan bestemme at sensitive personopplysninger kan behandles også i andre tilfeller dersom viktige samfunnsinteresser tilsier det og det settes i verk tiltak for å sikre den registrertes interesser». Bestemmelsen gir Datatilsynet kompetanse til i enkeltsaker å gi tillatelse til behandling av sensitive personopplysninger som ikke har annet grunnlag i personopplysningsloven eller særlovgivningen. Dersom Datatilsynet gir tillatelse, vil denne utgjøre tilstrekkelig grunnlag. Det er forutsatt i forarbeidene at bestemmelsen skal ha et snevert anvendelsesområde, jf. Ot.prp. nr. 92 (1998–99) side 112. Med grunnlag i denne bestemmelsen har Datatilsynet gitt tillatelse til blant annet treningssentres behandling av sensitive personopplysninger for antidopingformål og til behandling av sensitive personopplysninger i forbindelse med såkalte «integrity due diligence»-undersøkelser, som er bakgrunnsundersøkelser og informasjonsinnhenting som blant annet tar sikte på å avdekke korrupsjon og annen kriminalitet.
7.4.2 Forordningen
Forordningen inneholder ingen bestemmelse som gir tilsynsmyndigheten kompetanse til å gjøre unntak fra forbudet mot behandling av særlige kategorier av personopplysninger i enkelttilfeller. Artikkel 9 nr. 2 bokstav g åpner for nasjonale regler som gjør unntak fra forbudet når det er «nødvendig av hensyn til viktige allmenne interesser». Lovgivningen må «stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser».
7.4.3 Forslaget i høringsnotatet
Departementet viste i høringsnotatet til at det i noen tilfeller kan oppstå et særlig og uforutsett behov for behandling av særlige kategorier av personopplysninger som er nødvendig av hensyn til viktige allmenne interesser, uten at det er tilstrekkelig tid til å forberede og vedta lovgivning som regulerer behandlingen, og at det kan forekomme behandlingssituasjoner som er såpass unike at det ikke vil være naturlig å gi lover eller forskrifter. Som eksempel nevnte departementet Datatilsynets tillatelse til 22. juli-kommisjonen til å behandle sensitive personopplysninger i forbindelse med granskning.
På denne bakgrunn mente departementet at det med grunnlag i artikkel 9 nr. 2 bokstav g bør gis en lovregel som gir Datatilsynet en snever adgang til å gjøre unntak fra forbudet i artikkel 9 nr. 1 i særlige tilfeller når viktige samfunnsinteresser tilsier dette. Det ble ikke foreslått noen lovfestet tidsbegrensning for tillatelsene, men departementet ba om høringsinstansenes syn på om det burde gjelde en lovfestet tidsbegrensning.
Departementet foreslo videre at det burde være en tilsvarende adgang til å gi forskrift om behandlingen.
7.4.4 Høringsinstansenes syn
Direktoratet for e-helse, Brønnøysundregistrene, Kulturrådet, Advokatforeningen, Juristforbundet, Næringslivets Hovedorganisasjon, Den norske legeforening, KS og Brækhus Advokatfirma DA støtter forslaget om å videreføre en adgang for Datatilsynet til å tillate behandling av særlige kategorier av personopplysninger i enkelttilfeller. Brækhus Advokatfirma DA uttaler:
«Videre er Brækhus positive til en innføring av en generell adgang for Datatilsynet til å i enkelttilfeller fravike artikkel 9 nr. 1. Det vil, som departementet påpeker, fra tid til annen kunne oppstå særlige situasjoner som skaper et behov for å kunne behandle sensitive personopplysninger, hvor det er til samfunnets beste at slik fravikelse skjer for det aktuelle formålet. Bestemmelsen vil med andre ord være forbeholdt helt spesielle situasjoner hvor Datatilsynet kommer til at andre samfunnsinteresser må gå foran hensynet til den enkeltes personvern og bør derfor ikke utgjøre noen risiko for personvernet i nevneverdig grad. Vi mener også at Datatilsynet, ved å sette vilkår for slik behandling, vil kunne ivareta personvernet til den enkelte i en slik situasjon på en god og betryggende måte.»
Juristforbundet mener at Datatilsynet også bør kunne gi tillatelse til behandling av alminnelige personopplysninger, og uttaler:
«Juristforbundet ber i tillegg departementet vurdere behovet for særskilt hjemmel for at Datatilsynet skal kunne gi tillatelse til å behandle både alminnelige og særlige kategorier av personopplysninger av hensyn til viktige samfunnsinteresser, som for eksempel for private selskaper som driver med tilrettelegging av varsling til befolkningen om ekstreme farer som naturkatastrofer, flyalarmer med videre, for eksempel ved hjelp av sms-varsling.»
Datatilsynet mener at det er usikkert om forordningen åpner for en slik bestemmelse, og at det er uheldig å overlate til Datatilsynet å åpne for behandlingen:
«Bestemmelsen i personopplysningsloven § 9 tredje ledd gjennomfører den tilsvarende bestemmelse i personverndirektivet, artikkel 8 nr. 4. Denne generelle adgangen for medlemsland til å fastsette ytterligere unntak fra forbudet til å behandle sensitive personopplysninger er ikke videreført i forordningen. Dette tror vi neppe er tilfeldig.
Behandling av sensitive personopplysninger utenfor reglene i artikkel 9 nr. 2, det vil blant annet si behandling uten samtykke og uten lovhjemmel, er i praksis forbudt etter forordningen. Siden det ikke lenger en klar hjemmel for nasjonal handlingsrom for å supplere listen med unntak fra forbudet mot behandling av sensitive personopplysninger i forordningens artikkel 9 nr. 2, mener Datatilsynet at det er grunn til å tro at det ikke er adgang til å videreføre bestemmelsen i personopplysningsloven § 9 tredje ledd slik departementet foreslår. Vi mener også at det er uheldig å overlate dette til Datatilsynet. En konsesjon gir ikke de samme mulighetene til å innhente de registrertes synspunkter som ved en offentlig høring ved forskriftsendring.»
Datatilsynet uttaler videre at en eventuell bestemmelse bør gjøres svært snever:
«Dersom departementet kommer til at det er adgang til slik regulering, bør denne adgangen gjøres svært snever. Hvis ikke er vi redd for at Datatilsynet vil få mange henvendelser om dette og det vil kunne oppfattes som en «nødløsning».»
Få høringsinstanser har uttalt seg om det bør lovfestes en tidsbegrensning for tillatelsene. Brækhus Advokatfirma DA mener at det ikke bør fastsettes en generell tidsbegrensning, og uttaler:
«Brækhus mener videre at det bør være opp til Datatilsynet å vurdere i det enkelte tilfelle hvorvidt en tidsbegrensning bør være et vilkår for behandlingen og eventuelt hvor lang denne bør være. Med hensyn til at slike særlige situasjoner som foranlediger fravikelse fra forordningen artikkel 9 nr. 1 kan være svært ulikeartede, mener vi det kan være uheldig med en generell tidsbegrensning for konsesjon.»
Brønnøysundregistrene mener at det bør fastsettes en tidsbegrensning, men at det som en sikkerhetsventil bør være adgang til å fornye tillatelsen:
«Når det gjelder tidsbegrensning for konsesjonene, mener vi at selv om det kan være en utfordring å fastsette en eksakt tidsbegrensning, så bør det lovfestes en slik begrensning. Dette for å unngå en utvanning av formålet med bestemmelsen. Bestemmelsen skal dekke de situasjoner som oppstår uforutsett, og hvor behovet som utgangspunkt gjerne er situasjonsbetinget. Hvis behovet vedvarer over tid, og blir mer permanent, bør nødvendigheten av behandlingen vurderes nærmere gjennom en lovgivningsprosess og eventuelt lovhjemles.
Som en sikkerhetsventil bør det være adgang til å fornye konsesjonen i et visst tidsrom dersom det fortsatt foreligger er et særlig tilfelle.»
Ingen høringsinstanser har uttalt seg om den foreslåtte hjemmelen til å fastsette forskrifter som åpner for behandling av særlige kategorier av personopplysninger.
7.4.5 Departementets vurdering
Etter departementets vurdering er det et klart behov for en bestemmelse som gir Datatilsynet adgang til å tillate behandling av særlige kategorier av personopplysninger i enkelttilfeller. Departementet mener at en slik regel vil være i overensstemmelse med forordningen. Behandlingen vil ha forankring i en lovbestemmelse, og den forutsetter forhåndskontroll fra tilsynsmyndigheten, som også må fastsette egnede og særlige tiltak som er tilpasset den enkelte behandlingen. Formålet med behandlingen må også være innenfor det som dekkes av artikkel 9 nr. 2 bokstav g. Samtidig er departementet enig med Datatilsynet i at adgangen bør være snever. Departementet foreslår på denne bakgrunn at Datatilsynet gis en snever adgang til å gjøre unntak fra forbudet i artikkel 9 nr. 1 i særlige tilfeller når viktige allmenne interesser tilsier dette, se lovforslaget § 7 første ledd. Adgangen er ment å være snevrere enn etter gjeldende rett etter någjeldende personopplysningslov § 9 tredje ledd. Etter departementets syn bør adgangen til å gi tillatelse som den klare hovedregel være begrenset til tilfeller der det ikke er tilstrekkelig tid til å forberede og vedta lovgivning eller forskrifter som åpner for behandlingen, eller der behandlingssituasjonen er så unik at det ikke vil være naturlig å regulere den i lov eller forskrift.
Etter departementets oppfatning er det ikke hensiktsmessig å lovfeste en tidsbegrensning for tillatelsene. Datatilsynet vil etter den foreslåtte bestemmelsen kunne gi en tidsbegrenset tillatelse, og det er etter departementets syn mest hensiktsmessig å overlate til Datatilsynet å vurdere i det enkelte tilfelle hvor lenge tillatelsen bør vare.
Departementet foreslår videre at Kongen kan gi forskrifter som åpner for behandling av særlige kategorier av personopplysninger, se lovforslaget § 7 annet ledd. Den klare hovedregelen bør etter departementets syn være at bestemmelser om behandling av særlige kategorier av personopplysninger etter artikkel 9 nr. 2 bokstav g gis i spesifikk særlovgivning eller i forskrift med hjemmel i spesifikk særlovgivning. Etter departementets vurdering er det imidlertid likevel behov for en sikkerhetsventil som åpner for forskrifter om unntak fra forbudet i artikkel 9 nr. 1 i tilfeller der det ikke er tilstrekkelig tid til å forberede og vedta lovgivning. Det foreslås at slik forskrift kan gis når det er nødvendig av hensyn til viktige allmenne interesser, jf. forordningen artikkel 9 nr. 2 bokstav g. Forskrift med hjemmel i denne bestemmelsen bør først og fremst være aktuelt i tilfeller der det ikke er tilstrekkelig tid til å forberede og vedta lovgivning som enten åpner for behandlingen eller gir mer spesifikk hjemmel for forskrifter. Det må i tråd med personvernforordningen artikkel 9 nr. 2 bokstav g fastsettes egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
Ettersom forslaget her er ment å snevre inn adgangen Datatilsynet har til å gi tillatelse til behandlinger i enkelttilfeller, kan det bli behov for overgangsregler for behandlinger som i dag skjer på grunnlag av tillatelse etter personopplysningsloven § 9 tredje ledd. Det vises til punkt 12.6 om dette spørsmålet.