4 Gjeldende rett
4.1 Grunnloven
Grunnloven § 102 verner den enkeltes rett til respekt for privatliv, familieliv, hjem og kommunikasjon. Dette omfatter den enkeltes personvern og beskyttelse av egne personopplysninger. Bestemmelsen er basert på Den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8, som omtales nedenfor.
4.2 Internasjonale konvensjoner
EMK artikkel 8 gir rett til respekt for privatliv og familieliv. Retten til privatliv omfatter beskyttelse av den enkeltes personopplysninger. Selve vernet fremgår av artikkel 8 første ledd, mens annet ledd gir regler om hvilke vilkår som må være oppfylt for at inngrep i retten til privatliv er berettiget. Aktørenes behandling av personopplysninger er et inngrep i retten til privatliv som må oppfylle vilkårene i annet ledd dersom de skal gjennomføres. I henhold til annet ledd må behandlingen være i samsvar med loven og nødvendig i et demokratisk samfunn (forholdsmessig) for å ivareta ulike legitime formål, blant annet offentlig trygghet, forebygge uorden eller kriminalitet og beskyttelse av andres rettigheter og friheter.
Tilsvarende rettighet følger også av FNs konvensjon om sivile og politiske rettigheter (SP) artikkel 17. Både EMK og SP gjelder som norsk lov, jf. lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven) § 2.
4.3 Personopplysningsloven og personvernforordningen
Behandling av personopplysninger reguleres i dag av lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven). Loven gjennomfører EU-parlamentet og Europarådets forordning 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) (personvernforordningen). Forordningen erstattet Europaparlamentets og Europarådets direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet). Den nye personopplysningsloven, og dermed personvernforordningen, trådte i kraft i Norge i juli 2018.
Personopplysninger er enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte), jf. forordningen artikkel 4 nr. 1. Behandling av personopplysninger er enhver operasjon som gjøres med personopplysninger, jf. personvernforordningen artikkel 4 nr. 2, og dette er bare lovlig dersom det foreligger et behandlingsgrunnlag som angitt i forordningen artikkel 6 nr. 1. Behandlingsgrunnlaget kan for eksempel være samtykke fra personen opplysningene gjelder, at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, at behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet. Når behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet kreves det et supplerende rettsgrunnlag i nasjonal rett, der formålet med behandlingen fremgår, jf. artikkel 6 nr. 3.
Den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes er behandlingsansvarlig, jf. forordningen artikkel 4 nr. 7. Dette kan for eksempel være en fysisk eller juridisk person eller en offentlig myndighet. Den som behandler opplysninger på vegne av den behandlingsansvarlige er databehandler, jf. artikkel 4 nr. 8.
Forordningen artikkel 9 regulerer behandling av særlige kategorier av personopplysninger. Dette er blant annet opplysninger om etnisk opprinnelse, politisk oppfatning og religion. Behandling av slike opplysninger er i utgangspunktet forbudt, med mindre et av vilkårene i artikkel 9 nr. 2 er oppfylt. Behandling er for eksempel tillatt dersom den registrerte har gitt sitt samtykke, jf. bokstav a, eller behandlingen er nødvendig av hensyn til viktige allmenne interesser, jf. bokstav b. For det sistnevnte behandlingsgrunnlaget kreves nasjonal lovregulering i tillegg. Lovbestemmelsen må stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
Et samtykke må oppfylle kravene etter personvernforordningen for å utgjøre gyldig behandlingsgrunnlag. Samtykke er en frivillig, spesifikk, informert og utvetydig aksept fra den registrerte om at vedkommende aksepterer behandling av egne personopplysninger, jf. forordningen artikkel 4 nr. 11.
Adgangen til å bruke samtykke som behandlingsgrunnlag beror på en nærmere vurdering, der det tas utgangspunkt i kravene som stilles til samtykke, herunder kravet til frivillighet. Dersom et samtykke ikke kan anses frivillig avgitt er det ikke adgang til å bruke samtykke som behandlingsgrunnlag. I vurderingen skal det blant annet tas hensyn til skjevheten mellom den behandlingsansvarlige og den registrerte samt eventuelle negative konsekvenser ved ikke å samtykke.
Offentlige myndigheters behandling av personopplysninger er i forordningens fortale punkt 43 trukket frem som eksempel på et tilfelle der det kan foreligge en klar skjevhet mellom den behandlingsansvarlige og den registrerte. Denne skjevheten kan gjøre det usannsynlig at samtykket er avgitt frivillig med hensyn til alle omstendigheter som kjennetegner situasjonen.
Den registrertes rettigheter reguleres i kapittel III i personvernforordningen. Rettighetene gjelder blant annet åpenhet, informasjon, innsyn, retting og sletting av personopplysninger.
4.4 Utvalgte personvernprinsipper
4.4.1 Innledning
Ut fra det internasjonale personvernregelverket kan det utledes noen grunnleggende prinsipper for personvern. Disse er generelle rettslige normer som fungerer som retningslinjer for datatilsynsmyndigheter, domstoler og andre som foretar skjønnsmessige avveininger, og ved utforming av lov og forskrift. Noen av prinsippene gjennomgås kort i det følgende.
4.4.2 Formålsbestemthet
Innsamling av personopplysninger skal bare skje for å oppnå bestemte, legitime formål. Opplysningene skal brukes i samsvar med disse formålene. Formålene må angis presist og ha saklig sammenheng med den behandlingsansvarliges virksomhet. Dette prinsippet kommer til uttrykk i personvernforordningen artikkel 5 nr. 1 bokstav b.
4.4.3 Minimalitet og proporsjonalitet
Prinsippet om minimalitet innebærer at bare personopplysninger som er nødvendige for å realisere formålet skal innsamles og behandles, se personverndirektivet artikkel 6 nr. 1 bokstav c og personopplysningsloven § 11 første ledd bokstav d. Opplysningene må være nødvendige, det er ikke tilstrekkelig at opplysningene kan være nyttige. Minimalitetsprinsippet innebærer også at opplysninger skal slettes når de ikke lenger er nødvendige for formålet, se personvernforordningen artikkel 5 nr. 1 bokstav c. Dersom identitet ikke er nødvendig for å oppnå formålet skal identifiserende opplysninger utelukkes.
Proporsjonalitetsprinsippet krever at behandlingen av personopplysninger er forholdsmessig opp mot formålet som skal oppnås. Behandlingen skal ikke føre til en urimelig belastning for den registrertes integritet eller selvråderett. Alternativet som griper minst inn i den enkeltes personvern skal velges dersom man kan velge mellom flere måter å behandle personopplysninger på.
4.4.4 Informasjon og innsyn
Den registrerte har rett til å bli informert om innsamling og bruk av personopplysningene, og rett til å få innsyn i hva som er registrert, se personvernforordningen artikkel 15. Blant informasjonen som skal gis er formålene med behandlingen, de berørte kategoriene av personopplysninger og hvilke mottakere eller kategorier av mottakere som kan få personopplysningene utlevert.
4.4.5 Retting og sletting
Etter personvernforordningen artikkel 16 har den registrerte rett til å få uriktige personopplysninger rettet uten ugrunnet opphold. Hvis opplysningene er ufullstendige har den registrerte rett til å få opplysningene komplettert.
Den registrerte har rett til å få personopplysninger om seg selv slettet uten ugrunnet opphold, jf. personvernforordningen artikkel 17 nr. 1. Den behandlingsansvarlige har plikt til å slette opplysninger blant annet hvis de ikke lenger er nødvendige for formålet som de ble samlet inn for eller dersom den registrerte trekker tilbake samtykket for behandlingen og det ikke finnes annet rettslig grunnlag for behandlingen.