8 Personopplysninger om straffbare forhold mv.
8.1 Gjeldende rett
Det følger av personopplysningsloven § 2 nr. 8 at opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, regnes som sensitive personopplysninger. Etter gjeldende rett reguleres behandlingen av slike personopplysninger derfor av de alminnelige reglene om behandling av sensitive personopplysninger. Det vises til punkt 7.1.1 om disse reglene.
En særregel om straffedommer følger av personopplysningsloven § 10. Etter denne bestemmelsen kan et «fullstendig register over straffedommer» bare føres «under kontroll av en offentlig myndighet».
8.2 Forordningen
Etter forordningen omfattes ikke personopplysninger om straffbare forhold mv. av reglene om særlige kategorier av personopplysninger. I stedet er slike opplysninger særregulert i artikkel 10. Bestemmelsen gjelder i tillegg til reglene om behandlingsgrunnlag i artikkel 6, og fastsetter visse nærmere vilkår for behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak. Hovedregelen er at behandling bare kan skje «under en offentlig myndighets kontroll».
Departementet antar at behandlingen utføres «under en offentlig myndighets kontroll» dersom det er en offentlig myndighet som er behandlingsansvarlig, jf. artikkel 4 (7). Om og eventuelt i hvilke tilfeller behandlingen kan sies å utføres under en offentlig myndighets kontroll selv om den behandlingsansvarlige ikke er en offentlig myndighet, må avklares gjennom praksis.
Dersom behandlingen ikke skjer under en offentlig myndighets kontroll, må behandlingen være tillatt i unionsretten eller nasjonal rett. Bestemmelsene må sikre «nødvendige garantier» for de registrertes rettigheter og friheter. Artikkel 10 oppstiller på dette punktet et ubetinget krav om ytterligere bestemmelser i unionsretten eller nasjonal rett, også dersom behandlingen skal skje med den registrertes samtykke.
Etter artikkel 10 annet punktum kan «omfattende registre over straffedommer» bare føres under en offentlig myndighets kontroll. For slike registre kan unionsretten eller nasjonal rett ikke åpne for behandling utenfor en offentlig myndighets kontroll.
Personopplysninger om straffbare forhold mv. er på flere andre punkter undergitt en særskilt regulering i forordningen. Etter artikkel 6 nr. 4 skal det ved vurderingen av om en behandling er (u)forenlig med det opprinnelige formålet legges vekt på om behandlingen gjelder slike opplysninger som nevnt i artikkel 10. Hvorvidt det behandles slike opplysninger som nevnt i artikkel 10, har også betydning ved fastleggelse av pliktene etter artikkel 27 (utpeking av representant i Unionen), artikkel 30 (protokollføring av behandlingsaktiviteter), artikkel 35 (vurdering av personvernkonsekvenser) og artikkel 37 (utpeking av personvernombud).
8.3 Forslaget i høringsnotatet
Departementet foreslo ingen lovbestemmelser om straffbare forhold mv. i høringsnotatet, men ba om høringsinstansenes syn på behovet for nasjonale bestemmelser om behandling av slike personopplysninger.
8.4 Høringsinstansenes syn
En rekke høringsinstanser uttaler seg om behov for bestemmelser som åpner for behandling av personopplysninger som omfattes av personvernforordningen artikkel 10.
Administrasjonen i De nasjonale forskningsetiske komiteene og Norsk senter for forskningsdata mener at det er behov for nasjonale bestemmelser om forskning på personopplysninger om straffedommer og lovovertredelser. Administrasjonen i De nasjonale forskningsetiske komiteene uttaler:
«Det er mulig at behandlingen av opplysningene ved offentlige forskningsinstitusjoner kan anses å være «under en offentlig myndighets kontroll», men dette vil i så fall avskjære de private forskningsinstitusjonene fra å forske på denne typen personopplysninger. Vi registrerer at svenskene har sett det nødvendig å innta egen hjemmel i § 12 i deres forslag til personopplysningslov for forskning (SOU 2017:50). Etter vårt syn har norsk forskning behov for en tilsvarende hjemmel. I mangel av en egen lov om behandling av personopplysninger i forskning, bør hjemmelen tas inn i personopplysningsloven.»
Norsk senter for forskningsdata uttaler videre at det er viktig å sikre at offentlige myndigheter kan utlevere slike personopplysninger til forskning:
«Sist, men ikke minst er det viktig at særlovene som regulerer offentlige myndigheters behandling av strafferettslige opplysninger inneholder hjemler som gir et tydelig lovlig grunnlag for å utlevere slike opplysninger i personidentifiserbar form til forskning. Dette er viktig å sikre bl.a. i rettspleielovene, politiregisterloven og i ny lov om behandling av personopplysninger i Kriminalomsorgen. Disse lovene bør ha bestemmelser som gir klare regler for sammenstilling og utlevering av personopplysninger om strafferettslige forhold til forskning. Slike bestemmelser er viktig, ikke bare på strafferettsområdet.»
Juristforbundet, Næringslivets Hovedorganisasjon, Landsorganisasjonen i Norge og Telenor Norge AS mener at det behov for bestemmelser som tillater behandling av personopplysninger som nevnt i artikkel 10 i arbeidsforhold. Telenor Norge AS uttaler:
«Slik Telenor ser det, vil det f.eks. i arbeidsforhold være behov for å behandle opplysninger om straffedommer og lovovertredelser, eller tilknyttede sikkerhetstiltak, fordi dette kan ha betydning for selve ansettelsesforholdet til en ansatt. I noen tilfeller vil det også være behov for å behandle denne type opplysninger av sikkerhetsmessige årsaker. For eksempel kan det være et familiemedlem til en ansatt som er ilagt et besøksforbud, og der den ansatte orienterer oss som arbeidsgiver, eller det er en ansatt som lever på hemmelig adresse av ulike grunner, og der vi må oppbevare disse opplysningene i våre systemer for å sikre at nødvendige tiltak fra vår side blir tatt for å beskytte den ansatte.»
Næringslivets Hovedorganisasjon mener videre at det er behov for en bestemmelse som åpner for behandling av opplysninger som nevnt i artikkel 10 når det er nødvendig for å «etterleve forpliktelser pålagt av myndighetene».
Datatilsynet, Advokatforeningen og BDO AS gir uttrykk for at det bør sikres adgang til såkalte «integrity due diligence»-undersøkelser, som er bakgrunnsundersøkelser og informasjonsinnhenting som blant annet tar sikte på å avdekke korrupsjon og annen kriminalitet. Datatilsynet uttaler:
«Et annet eksempel er såkalte IDD-prosesser (Integrity Due Diligence) eller liknende. Dette er undersøkelser som foretas i forbindelse med oppkjøp eller ulike former for samarbeid i næringslivet der man undersøker for eksempel om det foreligger tilknytning til korrupsjon eller annen alvorlig kriminalitet. Her har Datatilsynet valgt i gi tillatelser etter personopplysningsloven § 9 tredje ledd, idet vi har ansatt at det foreligger viktige samfunnsinteresser i bunn. Denne bestemmelsen videreføres ikke i sin nåværende form i ny lov.»
BDO AS uttaler:
«Det er BDOs oppfatning at gjennomføringen av GDPR ikke bør medføre rettslige hindre mot effektive og internasjonalt utbredte og til dels lovpålagte tiltak mot korrupsjon og annen økonomisk kriminalitet.»
Datatilsynet uttaler videre at det kan være behov for et rettsgrunnlag for behandling av personopplysninger om straffbare forhold ved kameraovervåking.
Politidirektoratet og Kripos uttaler at offentlige og private aktører som mottar informasjon fra politiet, for eksempel arbeidsgivere, vil trenge et grunnlag for å behandle disse opplysningene. Politidirektoratet uttaler:
«Eksempelvis kan politiet under nærmere vilkår varsle en arbeidsgiver dersom en ansatt har begått lovovertredelser av betydning for hans arbeidsforhold etter politiregisterloven § 31. I slike tilfeller vil mottakerens videre behandling av disse opplysningene avhenge av at de har tilstrekkelig hjemmelsgrunnlag. Politiet vil også ha interesse av at mottakeren har tilstrekkelig behandlingsgrunnlag all den tid dette vil være avgjørende for å sikre at formålet med utleveringen kan oppnås.»
Statens sivilrettsforvaltning peker på behandling av personopplysninger som nevnt i artikkel 10 i rettshjelptiltak:
«Statens sivilrettsforvaltning har ansvaret for forvaltningen av tilskudd til rettshjelptiltakene, men fører verken konkret kontroll med saksbehandlingen eller behandlingen av personopplysninger til de ovennevnte rettshjelptiltakene. Det kan derfor stilles spørsmål ved om det kan være behov for nærmere hjemmel i lov eller forskrift for at rettshjelptiltakene skal kunne utføre oppgaver som innbefatter behandling av personopplysninger som er regulert i artikkel 10.»
Kollektivtrafikkforeningen uttaler at det behandles personopplysninger om lovovertredelser i forbindelse med kollektivselskapers billettkontroller:
«Kollektivselskapene behandler opplysninger om lovovertredelser der vi ved billettkontroll oppdager manglende gyldig billett eller forfalskning av billetter. Dersom offentligeide selskap ikke skal anses som «offentlig myndighet» vil det være behov for nasjonal lovregulering av dette.»
Datatilsynet uttaler at offentlige organers behandling av opplysninger om straffedommer bør reguleres i sektorlovgivningen:
«Etter vår mening bør man i relasjon til offentliges organers behandling av opplysninger om straffedommer mv. bestrebe seg på å ha konkret lovgivning om dette i den spesifikke sektorlovgivningen som gjelder for de ulike organer. For eksempel bør NAVs adgang til å behandle slik type informasjon reguleres i det regelverket som gjelder særskilt for NAV, og det samme gjelder for eksempel for skattemyndighetene eller tollmyndighetene.»
8.5 Departementets vurdering
Forordningen artikkel 10 krever ikke at det fastsettes nasjonale lovbestemmelser for behandling av personopplysninger om straffbare forhold mv. under en offentlig myndighets kontroll. I disse tilfellene stiller ikke artikkel 10 særlige krav utover det som følger av de alminnelige reglene om behandlingsgrunnlag, jf. artikkel 6 nr. 1. Departementet foreslår derfor ingen generelle bestemmelser om behandling av personopplysninger om straffbare forhold mv. under en offentlig myndighets kontroll. Det understrekes imidlertid at artikkel 10 ikke i seg selv gir behandlingsgrunnlag for behandling av personopplysninger om straffbare forhold mv. under en offentlig myndighets kontroll. Behandlingen må i alle tilfelle ha behandlingsgrunnlag etter artikkel 6 nr. 1, noe som også kan innebære krav om supplerende rettsgrunnlag i nasjonal rett, jf. artikkel 6 nr. 1 bokstav c og e, jf. nr. 3. Ved inngripende behandling av personopplysninger om straffbare forhold mv. vil Grunnloven § 102 og EMK artikkel 8 på vanlig måte stille krav til rettsgrunnlaget, jf. punkt 6.4 over.
For behandling av personopplysninger som ikke skjer under en offentlig myndighets kontroll, krever forordningen artikkel 10 derimot at behandlingen tillates i unionsretten eller nasjonal rett. Departementet har merket seg høringsinstansenes syn på behovet for nasjonale bestemmelser på en rekke områder, og foreslår at det gis generelle regler i personopplysningsloven som tillater behandling av personopplysninger om straffbare forhold mv. utenfor en offentlig myndighets kontroll.
Etter departementets syn bør det gjelde samme vilkår for behandling av opplysninger om straffbare forhold mv. utenfor en offentlig myndighets kontroll som for behandling av særlige kategorier av personopplysninger. Departementet kan ikke se at forordningen artikkel 10 stiller krav om strengere vilkår for behandling av slike opplysninger enn for opplysninger som omfattes av artikkel 9 og kan heller ikke se andre hensyn som taler for dette. En slik samlet regulering vil også gi et mer oversiktlig og tilgjengelig regelverk. Departementet går derfor inn for at de generelle reglene som åpner for behandling av særlige kategorier av personopplysninger, som utgangspunkt gis tilsvarende anvendelse for behandling av personopplysninger om straffbare forhold mv. utenfor en offentlig myndighets kontroll, jf. lovforslaget § 11 første ledd første punktum. Dette omfatter de unntaksbestemmelsene i forordningen for behandling av særlige kategorier av personopplysninger som kan anvendes direkte uten ytterligere nasjonale lovbestemmelser, jf. artikkel 9 nr. 2 bokstav a (samtykke), bokstav c (vitale interesser), bokstav d (sammenslutninger mv.), bokstav e (opplysninger offentliggjort av den registrerte selv) og bokstav f (rettskrav mv.). Videre foreslår departementet at de generelle reglene i personopplysningsloven som åpner for behandling av særlige kategorier av personopplysninger, jf. §§ 6 (behandling i arbeidsforhold), 7 (behandling etter tillatelse eller forskrift) og 9 (behandling for arkiv-, forsknings- og statistikkformål) gis tilsvarende anvendelse. Dette vil etter departementets syn sikre nødvendige garantier for de registrertes rettigheter og interesser, jf. artikkel 10. Løsningen vil videreføre gjeldende rett så langt behandlingen ikke skjer under en offentlig myndighets kontroll, ettersom personopplysninger om straffbare forhold etter gjeldende rett regnes som sensitive.
Artikkel 10 gir opphav til flere grensedragningsspørsmål. Disse spørsmålene kan ikke avklares i proposisjonen her, men må avklares gjennom praksis, jf. punkt 2.3. Den foreslåtte bestemmelsen som åpner for behandling av personopplysninger som nevnt i artikkel 10, er ment å ha samme virkeområde som forordningens regel.
Bestemmelser i særlovgivningen som åpner for behandling av «sensitive personopplysninger», gir etter gjeldende rett grunnlag for behandling av personopplysninger om straffbare forhold mv. Etter departementets vurdering vil det være nærliggende å tolke slike bestemmelser på samme måte når forordningen trer i kraft. Dette innebærer at bestemmelser som åpner for behandling av «sensitive personopplysninger», kan anses å omfatte både personopplysninger nevnt i artikkel 9 nr. 1 og artikkel 10. Terminologien i særlovgivningen bør imidlertid tilpasses forordningen på sikt.