Prop. 94 L (2021–2022)

Lov om forskriftshjemmel for behandling av personopplysninger for frivillige tiltak på barne-, oppvekst- og familieområdet mv.

Til innholdsfortegnelse

3 Ny lov om forskriftshjemmel for behandling av personopplysninger

3.1 Gjeldende rett

3.1.1 Personopplysningsloven og personvernforordningen

Personvernforordningen er innlemmet i EØS-avtalen og inkorporert i norsk rett gjennom lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven). Personvernforordningen skal verne fysiske personers grunnleggende rettigheter og friheter ved behandling av personopplysninger, samtidig som den skal sikre fri flyt av personopplysninger mellom medlemsstatene.

Personvernforordningen gir regler om behandling av personopplysninger. Personopplysninger defineres i forordningen som enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. artikkel 4 nr. 1. Med «behandling» menes enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten den er automatisert eller ikke, jf. artikkel 4 nr. 2. Typiske eksempler på behandling er innsamling, registrering, lagring, tilpasning eller endring, gjenfinning, bruk, utlevering, sammenstilling eller samkjøring og sletting.

Personvernforordningen oppstiller blant annet grunnleggende prinsipper og vilkår for behandling av personopplysninger. Den behandlingsansvarlige har ansvaret for at de grunnleggende prinsippene og vilkårene til enhver tid er oppfylt. Begrepet «behandlingsansvarlig» er definert i artikkel 4 nr. 7 i forordningen. Behandlingsansvarlig er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

Personvernforordningens grunnprinsipper

Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper som er fastsatt i personvernforordningen artikkel 5. Prinsippene henger sammen, og angir rammer og krav som må følges ved enhver behandling av personopplysninger. Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at disse prinsippene overholdes (ansvarlighetsprinsippet).

All behandling av personopplysninger må være lovlig, rettferdig og åpen med hensyn til den registrerte. Det betyr blant annet at det må foreligge et gyldig rettslig grunnlag før behandling av personopplysninger kan skje, et såkalt behandlingsgrunnlag etter personvernforordningen artikkel 6.

Personopplysninger kan kun samles inn til spesifikke, uttrykkelig angitte og berettigede formål. Konkrete formålsangivelser er særlig viktig, da det i utgangspunktet er forbudt å viderebehandle opplysninger på en måte som er uforenelig med det opprinnelige formålet (formålsbegrensing). Personvernforordningen oppstiller unntak fra forbudet mot å viderebehandle personopplysninger til uforenelige formål i artikkel 6 nr. 4. Dersom viderebehandlingen bygger på «samtykke eller på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1», vil uforenlig viderebehandling være tillatt. Det må i så fall foreligge et særskilt rettsgrunnlag knyttet til selve viderebehandlingen.

Med et uttrykkelig angitt og konkret formål vil det være enklere å angi hvilke personopplysninger som er adekvate, relevante og nødvendige for å oppfylle formålet (prinsippet om dataminimering).

Personopplysninger som behandles skal være korrekte. Opplysningene skal også oppdateres hvis det er nødvendig (prinsippet om riktighet). Prinsippet om lagringsbegrensning innebærer at personopplysninger ikke skal lagres lenger enn det som er nødvendig for formålet de ble samlet inn for. Personopplysninger skal videre behandles slik at opplysningenes integritet og konfidensialitet beskyttes (prinsippet om integritet og konfidensialitet).

Nærmere om kravet til behandlingsgrunnlag

Behandling av personopplysninger er bare lovlig dersom det foreligger behandlingsgrunnlag etter personvernforordningen artikkel 6. Dette må identifiseres før en behandling av personopplysninger starter. Forordningen artikkel 6 nr. 1 oppstiller en uttømmende liste over alternative grunnlag i bokstavene a) – f).

De mest aktuelle behandlingsgrunnlagene på barne-, oppvekst- og familieområdet er artikkel 6 nr. 1 bokstav a), c) og e).

Artikkel 6 nr. 1 bokstav a) åpner for behandling av personopplysninger etter samtykke fra den registrerte. Det framgår av fortalen til forordningen at samtykke bør unngås som rettslig grunnlag der det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige, særlig dersom den behandlingsansvarlige er en offentlig myndighet og det derfor er usannsynlig at samtykket er gitt frivillig med hensyn til alle omstendigheter som kjennetegner den bestemte situasjonen, jf. forordningens fortalepunkt 43.

Artikkel 6 bokstav c) åpner for behandling av personopplysninger dersom behandlingen er «nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige». Videre åpner artikkel 6 bokstav e) for behandling når behandlingen er «nødvendig for å utføre en oppgave i allmennhetens interesse» eller «utøve offentlig myndighet som den behandlingsansvarlige er pålagt».

Grunnlaget for behandlingen etter bokstav c) og e) skal «fastsettes» i EØS-retten eller i medlemsstatenes nasjonale rett, jf. artikkel 6 nr. 3. Dette innebærer at artikkel 6 nr. 1 bokstav c) og e) ikke alene kan utgjøre behandlingsgrunnlaget. Ved behandling med grunnlag i bokstav c) og e) stilles det krav om supplerende rettsgrunnlag, se nedenfor for nærmere beskrivelse av dette kravet.

For behandlingsgrunnlaget i bokstav c) og e) oppstilles det videre et krav om nødvendighet, noe som innebærer at behandlingen av personopplysninger må være nødvendig for å oppfylle en rettslig forpliktelse, utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet.

Personvernforordningen artikkel 9 oppstiller tilleggsvilkår for behandling av såkalte særlige kategorier av personopplysninger. Dette inkluderer opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, eller fagforeningsmedlemskap og genetiske og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, jf. artikkel 9 nr. 1. Særlige kategorier av personopplysninger er gitt et særskilt vern, ved at en av unntaksbestemmelsene i artikkel 9 nr. 2 bokstav a) – j) må være oppfylt for at behandlingen skal være lovlig.

Det følger av personvernforordningen artikkel 10 at behandling av opplysninger om straffedommer og lovovertredelser bare skal utføres under en offentlig myndighets kontroll eller dersom behandlingen er tillatt i henhold til EØS-retten eller medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter.

Viderebehandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål anses som forenlig med de opprinnelige formålene, jf. personvernforordningen artikkel 5 nr. 1 bokstav b). Slik viderebehandling krever derfor i utgangspunktet ikke særskilt viderebehandlingsgrunnlag. Personopplysningsloven § 8 og § 9 beskriver når personopplysninger og særlige kategorier av personopplysninger kan behandles til statistiske formål etter norsk rett. Ved behandling av særlige kategorier av personopplysninger til dette formålet er det oppstilt et ytterligere vilkår i personopplysningsloven § 9 nr. 1 om at samfunnets interesse i at behandlingen finner sted klart må overstige ulempene for den enkelte.

Krav om supplerende rettsgrunnlag

Etter personvernforordningen artikkel 6 nr. 3 krever behandling av personopplysninger med grunnlag i artikkel 6 nr. 1 bokstav c) og e) et supplerende rettsgrunnlag fastsatt i EØS-retten eller i medlemsstatenes nasjonale rett. Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandling som nevnt i nr. 1 bokstav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Videre framgår det at EØS-retten eller medlemsstatenes nasjonale rett skal oppfylle et mål i allmennhetens interesse og stå i et rimelig forhold til det berettigede målet som søkes oppnådd.

Det er lagt til grunn i forarbeidene til personopplysningsloven, Prop. 56 LS (2017–2018) punkt 6.3.2, at i alle fall lov- eller forskriftsbestemmelser kan utgjøre et supplerende rettsgrunnlag.

Videre nevner artikkel 6 nr. 3 eksempler på hva det supplerende rettsgrunnlaget kan inneholde:

[…] allmenne vilkår for lovlig behandling av personopplysninger, fastsatte spesifikasjoner for å fastslå hvem den behandlingsansvarlige er, hvilken type personopplysninger som skal behandles, de berørte registrerte, hvilke enheter personopplysningene kan utleveres til, formålsbegrensninger, hvor lenge opplysningen kan lagres og andre tiltak for å sikre lovlig og rettferdig behandling.

Personvernforordningens fortalepunkt 45 utdyper dette nærmere. Det framgår blant annet av fortalepunktet at nevnte rettslige grunnlag kan presisere forordningens allmenne vilkår for lovlig behandling av personopplysninger, og at en lov kan være tilstrekkelig som grunnlag for flere behandlingsaktiviteter «som bygger på en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet».

I forarbeidene til personopplysningsloven, Prop. 56 LS (2017–2018) punkt 6.1 og 6.4, følger det at kravene til det supplerende rettsgrunnlaget må tolkes i lys av Den europeiske menneskerettskonvensjon (EMK) artikkel 8 og Grunnloven § 102, i tillegg til legalitetsprinsippet i Grunnloven § 113. Det betyr at kravet til klarhet, nødvendighet og forholdsmessighet i personvernforordningen artikkel 5 nr. 1 bokstav a) og fortalepunkt 39, må tolkes i lys av legalitetsprinsippet og EMK artikkel 8 og Grunnloven § 102. Det følger også av personvernforordningens fortalepunkt 41 at det rettslige grunnlaget bør være tydelig og presist, og at anvendelsen bør være forutsigbar for personer som omfattes av det. Disse kravene skal verne mot vilkårlighet og sikre tilstrekkelig presisjon.

Behandling av personopplysninger på barne-, oppvekst- og familieområde vil kunne aktualisere det grunnleggende hensynet til barnets beste og retten til familieliv. Hensynet til barnets beste følger blant annet av Grunnloven § 104 og FNs barnekonvensjon artikkel 3. Retten til familieliv følger av Grunnloven § 102 og EMK artikkel 8.

Hvorvidt det foreligger et tilstrekkelig supplerende rettsgrunnlag beror på en konkret vurdering, herunder av hvor inngripende behandlingen av personopplysninger er. Jo mer inngripende behandlingen er, jo strengere krav må stilles til utformingen av det supplerende rettsgrunnlaget. Vurderingen av graden av inngrep og inngrepets art, blir derfor avgjørende for behovet for et mer spesifikt grunnlag enn minimumskravet etter ordlyden i personvernforordningen artikkel 6 nr. 3.

Forordningens regler om særlige kategorier av personopplysninger

Behandling av særlige kategorier av personopplysninger er i utgangspunktet forbudt, jf. forordningens artikkel 9 nr. 1. Slike opplysninger kan kun behandles dersom man kan vise til et av unntakene i artikkel 9 nr. 2. På barne-, oppvekst- og familieområdet er unntakene i nr. 2 bokstav g) og h) de mest relevante unntakene.

Artikkel 9 nr. 2 bokstav g) åpner for behandling som er nødvendig av hensyn til «viktige allmenne interesser». Behandling etter bokstav h) er aktuell når det er «nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin for å vurdere en arbeidstakers arbeidskapasitet, i forbindelse med medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer».

Begge alternativene krever et supplerende rettsgrunnlag i EØS-retten eller i nasjonal rett. Bestemmelsen i bokstav g) krever videre at behandlingen skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. Garantiene skal ha som sitt primære formål å sørge for at behandlingen skjer i tråd med de grunnleggende prinsippene for behandling av personopplysninger, tatt i betraktning opplysningenes sensitivitet, behandlingens formål og risikoen ved behandlingen mv., jf. Prop. 56 LS (2017–2018) punkt 7.1.3. Bestemmelsen i bokstav h) krever at vilkårene og garantiene nevnt i artikkel 9 nr. 3 om taushetsplikt er innfridd.

Viderebehandling

Det følger av personvernforordningen artikkel 5 nr. 1 bokstav b) at personopplysninger skal samles inn for «spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene». Artikkel 6 nr. 4 angir en ikke-uttømmende liste med momenter som skal vektlegges i vurderingen av om viderebehandlingen er forenlig med innsamlingsformålet, blant annet «enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen», jf. bokstav a). Etter fortalepunkt 50 i forordningen krever forenlig viderebehandling ikke et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysninger. En viderebehandling som er uforenlig med innsamlingsformålet, er i utgangspunktet forbudt, jf. forordningen artikkel 5 nr. 1 bokstav b). For at en slik viderebehandling skal være lovlig, må den enten ha et særskilt rettsgrunnlag i EØS-retten eller nasjonal rett eller være basert på samtykke fra den registrerte, jf. forordningen artikkel 6 nr. 4, hvor det framgår at EØS-retten eller den nasjonale retten må «utgjør[e] et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene som er nevnt i artikkel 23 nr. 1».

Den registrertes rettigheter

Personvernforordningen oppstiller en rekke krav som skal ivareta den registrertes rettigheter.

Personvernforordningen artikkel 12, 13 og 14 pålegger den behandlingsansvarlige å gi informasjon til den registrerte når man behandler deres personopplysninger. Informasjonen skal være kortfattet, åpen, forståelig og lett tilgjengelig. Den registrerte har videre etter artikkel 15 rett til innsyn i egne personopplysninger. Dette innebærer blant annet at registrerte skal kunne motta en bekreftelse og forklaring med informasjon om formålet med behandlingen, opplysningskategorier, eventuelle mottakere, kilder, og ellers de informasjonselementene som framgår av forordningen.

Personvernforordningen artikkel 16 gir den registrerte rett til å få rettet personopplysninger om seg selv. Artikkel 17 gir den registrerte rett til å få slettet personopplysninger om seg selv. Videre følger det av forordningen artikkel 18 nr. 1, en rett til begrensing av behandling. Begrensing av behandling er i artikkel 4 nr. 3 definert som «merking av lagrede personopplysninger med det som mål å begrense behandlingen i fremtiden».

Artikkel 19 inneholder regler om underretningsplikt ved retting, sletting og begrensing etter artikkel 16 til 18. Den behandlingsansvarlige skal selv sørge for å underrette enhver mottaker som har fått utlevert personopplysninger, om at retting, sletting eller begrensing er utført, med mindre dette viser seg å være umulig eller uforholdsmessig vanskelig.

Det følger av artikkel 21 nr. 1 at den registrerte skal til enhver tid, av grunner knyttet til vedkommendes særlige situasjon, ha rett til å protestere mot behandling av personopplysninger om vedkommende, og som har grunnlag i artikkel 6 nr. 1 bokstav e) eller f), herunder profilering med grunnlag i nevnte bestemmelser.

Det framgår av personvernforordningen artikkel 5 nr. 1 bokstav e), jf. nr. 2, at den behandlingsansvarlige er ansvarlig for at personopplysninger som gjør det mulig å identifisere de registrerte ikke lagres lenger enn det som er nødvendig for formålene med behandlingen av opplysningene. Hvor lenge det er nødvendig å lagre personopplysninger, vil variere ut fra hvilket formål som ligger til grunn for informasjonsinnhentingen- og delingen.

Når det gjelder barn, er utgangspunktet etter personvernforordningen at barn og voksne har samme rettigheter i forbindelse med behandling av personopplysninger. Det følger imidlertid av punkt 38 i fortalen til forordningen at barns personopplysninger fortjener et særlig vern, ettersom barn kan være mindre bevisst på aktuelle risikoer, konsekvenser og garantier samt på de rettigheter de har når det gjelder behandling av personopplysninger. Forordningen inneholder enkelte spredte artikler og fortalepunkter om behandling av barns personopplysninger, men gir ingen samlet enhetlig regulering av temaet. Personvernforordningen artikkel 8, 12, 40 og 57 omhandler blant annet barn. Utgangspunktet etter forordningen er at nasjonale regler om når barn kan samtykke til behandling av personopplysninger, fortsatt skal gjelde. I forordningen artikkel 8 fastsettes det imidlertid en særlig aldersgrense for barns samtykke i forbindelse med informasjonssamfunnstjenester. Det følger videre av artikkel 8 nr. 1 at medlemsstatene ved lov kan fastsette en lavere aldersgrense, forutsatt at den ikke er lavere enn 13 år. Av personopplysningsloven § 5 følger det at aldersgrensen er 13 år for samtykke etter personvernforordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i personvernforordningen artikkel 8 nr. 1.

3.1.2 Taushetsplikt og deling av opplysninger

Innledning

Aktørene som skal behandle personopplysninger på barne-, oppvekst- og familieområdet vil normalt være underlagt taushetsplikt, enten etter lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven) eller etter særlovgivningen. Reglene om taushetsplikt vil gjelde ved siden av dette lovforslaget, og vil blant annet begrense og være en skranke for adgangen til å dele taushetsbelagte opplysninger med andre forvaltningsorganer.

Forvaltningsmessig taushetsplikt

Forvaltningsloven gjelder all virksomhet som drives av forvaltningsorganer, når ikke annet er bestemt i eller i medhold av lov, jf. forvaltningsloven § 1. Den generelle forvaltningsmessige taushetsplikten, som i utgangspunktet gjelder for alle som utfører «tjeneste eller arbeid» for et forvaltningsorgan, er regulert i forvaltningsloven §§ 13 flg. Den gjelder også for private dersom de utfører oppgaver eller arbeid for et forvaltningsorgan, jf. forvaltningsloven § 13 første ledd. Forvaltningsloven §§ 13 til 13 g omhandler regler om taushetsplikt og begrensninger i taushetsplikten.

Etter forvaltningsloven § 13 første ledd nr. 1 har enhver som utfører tjeneste eller arbeid for et forvaltningsorgan taushetsplikt om det de i forbindelse med tjenesten får vite om «noens personlige forhold».

Det må vurderes konkret om en opplysning angår et «personlig forhold», og det kan ofte oppstå tvilstilfeller. Det må dreie seg om opplysninger som det med god grunn er vanlig å ønske å holde for seg selv. Dette kan dreie seg om opplysninger som gjelder en persons egenskaper eller utførte handlinger som er egnet til å karakterisere en person. At en opplysning er regnet som en personopplysning etter personopplysningsloven, medfører ikke i seg selv at den også må regnes som en opplysning om et «personlig forhold» etter forvaltningsloven § 13 første ledd.

Forvaltningslovens regler om deling av taushetsbelagte opplysninger

Taushetsplikten etter forvaltningsloven § 13 første ledd er til hinder for at taushetsbelagte opplysninger gjøres kjent for «andre», noe som dermed også regulerer deling av opplysninger innenfor forvaltningen. Opplysningene kan bare deles med personer i samme organ eller med andre forvaltningsorganer når det er gitt adgang til det i lov eller forskrift med hjemmel i lov. Forvaltningsloven §§ 13 a og 13 b inneholder en rekke bestemmelser som kan gi grunnlag for slik informasjonsdeling. Bestemmelsene gir en adgang, men i utgangspunktet ingen plikt, til å videreformidle opplysninger.

Bestemmelsene i forvaltningsloven § 13 b første ledd gir adgang til å dele taushetsbelagte opplysninger i situasjoner der private eller offentlige interesser tilsier det. Flere av hjemlene her skal tilrettelegge for nødvendig deling av informasjon mellom ulike deler av forvaltningen, og samlet gir disse bestemmelsene i dag en forholdsvis vid adgang til deling av taushetsbelagte opplysninger mellom forvaltningsorganer. Det vises til Prop. 166 L (2020–2021) punkt 3.2 for nærmere omtale.

Taushetsplikt etter særlovgivningen

En rekke lover inneholder regler om taushetsplikt som fraviker eller supplerer reglene i forvaltningsloven. Flere av aktørene på barne-, oppvekst- og familieområdet kan være underlagt regler om taushetsplikt i en særlov. For eksempel er helsepersonell i spesialisthelsetjenesten og den kommunale helse- og omsorgssektoren underlagt den profesjonsbaserte taushetsplikten etter lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) §§ 21 flg. Det vises til Prop. 166 L (2020–2021) punkt 3.3 for nærmere gjennomgang av regler om deling av opplysninger underlagt forvaltningsmessig taushetsplikt i særlovgivningen.

Oppslag mot Folkeregisteret

Folkeregisteret er et sentralt personregister for Norge. For utlevering av opplysninger fra Folkeregisteret, skiller lov 9. desember 2016 nr. 88 om folkeregistrering (folkeregisterloven) mellom ikke-taushetsbelagte opplysninger i folkeregisterloven § 10-1, og taushetsbelagte opplysninger i § 10-2. Utlevering av taushetsbelagte opplysninger etter § 10-2, for eksempel hvem som er foreldre til et barn, krever særskilt hjemmel i lov.

Offentlige myndigheter som har hjemmel i lov til å innhente opplysninger fra Folkeregisteret, kan gjøre dette uten hinder av taushetsplikt. Det er forutsatt i Prop. 164 L (2015–2016) punkt 18.4.4 at hjemmelen må framgå av den aktuelle særloven.

3.2 Forslaget i høringsnotatet

Behovet for en klar hjemmel

I høringsnotatet foreslo departementet en ny lov om forskriftshjemmel for behandling av personopplysninger for å gjennomføre frivillige tiltak på barne-, oppvekst- og familieområdet. Det ble opplyst om at formålet med lovforslaget er å gi et rettslig grunnlag for å behandle personopplysninger slik at tiltak besluttet av statlige myndigheter på barne-, oppvekst- og familieområdet, som ikke er regulert i sektorlovgivningen, kan gjennomføres. Samtidig skal lovforslaget sikre en forsvarlig behandling av personopplysninger på området.

Departementet viste til at personvernforordningen krever at det foreligger et behandlingsgrunnlag for å behandle personopplysninger. Barne-, oppvekst- og familieområdet er et sektorovergripende felt, og særlovgivning kan komme til kort når det gjelder behandling av personopplysninger ved slike sektorovergripende tiltak. Tiltakene denne loven er ment å favne er ofte forankret i budsjettvedtak fastsatt av Stortinget, jf. Grunnloven § 75.

Departementet viste videre til at samtykke kan være et lite egnet behandlingsgrunnlag for enkelte av tiltakene på dette området, fordi det kan foreligge en skjevhet i styrkeforholdet mellom forvaltningen og de personene tiltakene gjelder, jf. forordningens fortalepunkt 43. Det kan være utfordrende å fastslå om samtykke er avgitt frivillig i forordningens forstand, der samtykke er en forutsetning for å oppnå et gode eller et hjelpetiltak. Det kan også være vanskelig å slå fast om kravene til samtykke er tilfredsstillende innfridd fordi familiene, det vil si barn og foreldre som omfattes av tiltakene, kan være i en sårbar og utsatt livssituasjon, og ikke alltid kan forventes å ivareta egne interesser og behov. I tilfeller hvor det er nødvendig å behandle personopplysninger for å gjennomføre tiltakene, og det er tvil om samtykke er tilstrekkelig, mangler det følgelig i dag et klart og tydelig rettslig grunnlag for behandling av personopplysninger.

Personvernkonsekvenser av forslaget

Departementet viste i høringsnotatet til at lovforslaget kan medføre at det samles inn et stort omfang av opplysninger om barn og andre som omfattes av tiltakene, og at dette vil innebære en begrensning av den enkeltes rett til å bestemme over egne opplysninger og retten til privatliv.

Departementet foretok en vurdering av om personverninngrepet forslaget medfører kan avdempes gjennom tiltak i loven eller de enkelte forskriftene. Departementet viste primært til at tiltakene det er tale om i mange tilfeller vil utgjøre et gode for barnet og dets familie, og at det vil være opp til den enkelte og dets foresatte om de vil delta på de ulike tiltakene. Videre foreslo departementet ulike tiltak for å sikre hensynet til den enkeltes personvern. I lovutkastet til § 3 ble det foreslått et vilkår om at det kun kan behandles personopplysninger som er nødvendig for å gjennomføre den enkelte ordningen. Departementet presiserte at det må foretas en konkret vurdering av personvernkonsekvensene av det enkelte tiltaket i forbindelse med utarbeidelse av forskrift. Departementet ga i lovutkastet § 3 annet ledd en opplisting av tiltak som kan fastsettes for å avhjelpe personverninngrepet. Departementet viste videre til at det i enkelte tilfeller kan følge av personvernforordningen at det må fastsettes særlige tiltak for å beskytte de registrerte, jf. personvernforordningen artikkel 9 og artikkel 10.

Barns rettigheter

I høringsnotatet redegjorde departementet for barns rettigheter. Forordningen inneholder enkelte spredte artikler om behandling av barns personopplysninger, men departementet kom til at disse ikke er aktuelle for dette lovforslaget. Departementet la til grunn at lovforslaget er godt i samsvar med FNs barnekonvensjon.

Det supplerende rettsgrunnlaget

I høringsnotatet redegjorde departementet for behovet for et supplerende rettsgrunnlag og at aktuelt behandlingsgrunnlag etter personvernforordningen er artikkel 6 nr. 1 bokstav c) og e).

For å oppfylle kravet om supplerende rettsgrunnlag foreslo departementet i høringsforslaget at det supplerende rettsgrunnlaget fastsettes nærmere i form av forskrift for det enkelte tiltaket. Departementet bemerket at dette innebærer at det i forbindelse med forberedelse av forskrift for tiltaket, må gjøres en selvstendig vurdering av hvorvidt kriteriene etter forordningen er oppfylt.

Innhenting av opplysninger

Viderebehandling

I praksis kan behandlingsansvarlige allerede gjennom særlovgivningen være i besittelse av personopplysninger som er nødvendige for å gjennomføre og administrere tiltak på barne-, oppvekst- og familieområdet. Formålet etter særlovgivningen for behandling av personopplysninger, kan imidlertid være et annet enn etter tiltak på barne-, oppvekst- og familieområdet.

Departementet uttalte i høringsnotatet at det antas at det ikke i alle situasjoner vil framstå som like klart hvorvidt formålet opplysningene vurderes viderebehandlet til, er forenlig med det opprinnelige formålet. Departementet foreslo derfor i høringsnotatet og lovutkastet § 3 annet ledd, at det gis hjemmel til i forskrift å regulere viderebehandling av personopplysninger.

I høringsnotatet viste departementet videre til at det for å gjennomføre tiltak på barne-, oppvekst- og familieområdet kan være behov for å innhente ulike typer opplysninger som allerede er registrert av andre organer. Departementet la til grunn at det også i disse tilfellene må foretas en konkret vurdering av om formålet opplysningene er innhentet til, er forenlig med det opprinnelige formålet.

Departementet viste i høringsnotatet videre til at behovet for å viderebehandle og dele informasjon mellom organer kan gjelde både opplysninger som ikke er omfattet av taushetsplikt og taushetsbelagte opplysninger. Dersom opplysningene som ønskes innhentet er underlagt taushetsplikt, presiserte departementet i høringsnotatet at spørsmålet om opplysningene kan gis uten hinder av taushetsplikten, må avgjøres etter de taushetspliktbestemmelsene som gjelder.

Oppslag mot Folkeregisteret

For gjennomføring av enkelte tiltak på barne-, oppvekst- og familieområdet, vil det være nødvendig med oppslag i Folkeregisteret, for eksempel for å få bekreftet taushetsbelagte opplysninger om den enkelte familie, barn eller forelder. Videre vil det i forbindelse med bruk av digitale løsninger tilknyttet tiltak og prosjekter på området, kunne være behov for å gjøre oppslag i taushetsbelagte opplysninger fra Folkeregisteret, blant annet for å ta stilling til hvem som har foreldreansvar.

For utlevering av opplysninger fra Folkeregisteret, skiller folkeregisterloven mellom ikke-taushetsbelagte opplysninger i folkeregisterloven § 10-1, og taushetsbelagte opplysninger i folkeregisterloven § 10-2. Utlevering av taushetsbelagte opplysninger etter folkeregisterloven § 10-2, for eksempel om hvem som er foreldre til et barn, krever særskilt hjemmel i lov.

Offentlige myndigheter som har hjemmel i lov til å innhente opplysninger fra Folkeregisteret, kan gjøre dette uten hinder av taushetsplikt. Som vist til i høringsnotatet, vil imidlertid tiltak på barne-, oppvekst- og familieområdet ofte ikke være omfattet av særlovgivningen. Departementet foreslo derfor i lovutkastet § 4 første ledd at det gis hjemmel til at behandlingsansvarlig uten hinder av taushetsplikten kan innhente opplysninger fra Folkeregisteret som er nødvendig for å gjennomføre tiltak besluttet av offentlige myndigheter på barne-, oppvekst- og familieområdet.

For å sikre muligheten for å hente ut personopplysninger for å lage statistikk ved behov, foreslo departementet i høringsnotatets lovutkast § 4 annet ledd at offentlige organer skal ha tilgang til registeret til utredning og produksjon av statistikk. Departementet foreslo videre i lovutkastet § 4 tredje ledd en hjemmel til å gi forskrift om hvilke opplysninger som kan innhentes.

Behandlingsansvar

Departementet viste i høringsnotatet til at hvem som er behandlingsansvarlig for en konkret behandling av personopplysninger, er regulert i forordningen artikkel 4 første ledd nr. 1. Departementet la derfor til grunn at det ikke var behov for å regulere dette nærmere i loven, men foreslo at det i lovutkastet § 3 annet ledd inntas at det i forskrift kan reguleres hvem som er behandlingsansvarlige, vurdert konkret i forhold til det enkelte tiltaket.

3.3 Høringsinstansenes syn

Høringsinstansene som har uttalt seg om forslaget om å innføre en ny lov om forskriftshjemmel for å behandle personopplysninger for frivillige tiltak på barne-, oppvekst- og familieområdet, uttaler at de støtter forslaget. Dette gjelder Aurskog-Høland kommune, Barne-, ungdoms- og familiedirektoratet (Bufdir), BarnsBeste, Bergen kommune Byrådsavdelingen for arbeid, sosial og bolig (Bergen kommune), Datatilsynet, Kommunesektorens organisasjon (KS), Narvik kommune, Oslo kommune Byrådsavdelingen for oppvekst og kunnskap (Oslo kommune) og Øygarden kommune.

Datatilsynet viser til at det er gjort et grundig arbeid med høringsnotatet, og uttaler blant annet:

Vi støtter departementets vurdering av at det er nødvendig å sikre et tydelig rettslig grunnlag for frivillige tiltak på barne- oppvekst- og familieområdet. […]
I likhet med departementet, mener Datatilsynet at både særlovgivningen og personopplysningsloven er lite egnet til å hjemle en adgang til å behandle personopplysninger på barne-, oppvekst- og familieområdet. Når det gjelder personopplysningsloven, er den i sin utforming svært generell, og det vil være unaturlig å særregulere ett samfunnsområde i loven. Vi stiller oss derfor bak forslaget om innføring av en egen lov som gir forskriftshjemmel for det enkelte tiltak.

Bufdir uttaler:

Innledningsvis ønsker Bufdir å fremheve at det på flere områder innenfor barne-, familie- og oppvekstområdet er behov for hjemmel i lov eller forskrift for å sikre tydelige behandlingsgrunnlag. Som departementet påpeker er samtykke og budsjettvedtak lite egnede behandlingsgrunnlag i forbindelse med tiltak som utføres på vårt område.

Bufdir uttaler videre at forslaget om ny lov om forskriftshjemmel, vil skape større forutsigbarhet for de registrerte enn hva som er tilfellet i dag.

KS uttaler at de støtter at det rettslige grunnlaget tydeliggjøres, og mener dette vil styrke rettssikkerheten for brukerne og fjerne eventuell usikkerhet om behandlingsgrunnlaget for de som står ansvarlig for tiltakene og for de som jobber i dem. Oslo kommune mener at forslaget vil styrke personvernet, også barns, og forhåpentligvis forenkle og effektivisere realiseringen av de ulike tiltakene som krever behandling av personopplysninger.

I høringsnotatet ba departementet om høringsinstansenes innspill til om eksisterende lovgivning eventuelt kunne være egnet som hjemmelsgrunnlag for å gi regler om behandling av personopplysninger på barne-, oppvekst- og familieområdet. Blant høringsinstansene er det kun Bergen kommune som har gitt innspill til dette. Kommunen mener at en lovfestet forskriftshjemmel må inngå som en del av lov om behandling av personopplysninger slik at den ses i direkte sammenheng med andre forhold loven regulerer.

Enkelte av høringsinstansene har innspill til utformingen av loven. KS antar at begrepet «frivillig» skal være med i § 1. Bufdir og Datatilsynet uttaler at det å vurdere behovet for lagring er en viktig personverngaranti og at vurdering av lagringstid bør framgå uttrykkelig i lovutkastet § 3 annet ledd.

Justis- og beredskapsdepartementet mener at det bør framgå også at det enkelte tiltaket skal reguleres nærmere i forskrift. Det må blant annet sikres at kravene til nasjonal rett i artikkel 6 nr. 3 blir oppfylt.

Det har kommet enkelte høringsinnspill om at det er behov for å presisere hva slags tiltak loven vil gjelde for, og hvilke bestemmelser i personvernforordningen som er aktuelle. Justis- og beredskapsdepartementet uttaler at det bør presiseres hvilke av unntakene i personvernforordningen artikkel 9 nr. 2 som kan tenkes å åpne for behandling av særlige kategorier personopplysninger og når det kan være behov og eventuelt grunnlag for å behandle opplysninger om straffedommer og lovovertredelser som nevnt i personvernforordningen artikkel 10. Videre at det bør gis noen føringer og eksempler på hvilke tiltak det kan være aktuelt å fastsette for å beskytte den registrerte.

Bufdir mener det bør presiseres når det er aktuelt å behandle personopplysninger om straffedommer og lovovertredelser slik at dette begrenses til tilfeller der det er strengt nødvendig.

Enkelte av høringsinstansene har innspill til utarbeidelsen av forskrifter etter loven. KS presiserer at det er viktig at brukerne forstår hvilke personopplysninger som behandles og hvorfor, før de samtykker til det aktuelle frivillige tiltaket, og at forskriftsutformingen bør ivareta dette hensynet. KS framhever også viktigheten av at de enkelte forskriftsforslagene sendes på høring og viser til at det svært ofte er kommunene som vil ha behandlingsansvaret i tiltakene og som best kjenner innholdet i dem. Datatilsynet anser det at forskriftene vil bli sendt på høring som en viktig mekanisme for å sikre god ivaretakelse av personvernet i forbindelse med det konkrete tiltaket.

Oslo kommune uttaler at det er viktig å skille mellom samtykke til behandling av personopplysninger, og samtykke til tiltak på barne-, oppvekst- og familieområdet. Det pekes også på at barn har krav på et særlig vern og at konkrete forskriftsbestemmelser vil være en styrking av barns personvern.

Bufdir viser til at sletting er et viktig prinsipp etter personvernretten, og mener at vurderinger knyttet til sletting og lagring bør framgå tydelig av forskriften.

Bergen kommune ber om at det særlig ses hen til FNs barnekonvensjon. I denne sammenheng særlig til de artikler som omhandler barns rett til å bli hørt og barns rett til privatliv. Kommunen mener at framtidige forskrifter må komme i en språkdrakt som er lett forståelig for personer i og utenfor offentlig forvaltning slik at de blir lett anvendelige, også for barn der det er nødvendig.

Når det gjelder behandlingsansvar, hvor angivelse av hvem som er behandlingsansvarlig er foreslått som et tiltak som kan forskriftsfestes, uttaler Datatilsynet at deres erfaring er at det ofte er nyttig og fornuftig å fastsette dette i det rettslige grunnlaget. Oslo kommune mener det samme.

Det har kommet flere høringsinnspill knyttet til forslaget om viderebehandling. Justis- og beredskapsdepartementet mener at det kan tydeliggjøres om og eventuelt når gjennomføringen av tiltak kan rettferdiggjøre viderebehandling av personopplysninger til andre formål enn de er innsamlet for, jf. personvernforordningen artikkel 6 nr. 4. Videre framholdes det at reglene i gjeldende rett om utlevering av taushetsbelagte personopplysninger også kan beskrives nærmere, slik at det kan vurderes om disse er tilstrekkelige til å dekke behovene i forbindelse med de ulike tiltakene.

Datatilsynet påpeker at det i forbindelse med viderebehandling av personopplysninger er særlig viktig å sette rammer og iverksette tiltak for å ivareta personvernet. Datatilsynet uttaler at det må være forutsigbart hvor opplysningene behandles til enhver tid og at eventuell adgang til viderebehandling må ledsages av god og konkret informasjon til de registrerte.

Skattedirektoratet har flere kommentarer til lovutkastet § 4 som omhandler tilgang til taushetsbelagte opplysninger fra Folkeregisteret, og oppsummerer slik:

Slik som poengtert foran, foreligger det noen uklarheter som vi mener bør klargjøres. Dette gjelder hvilke offentlige organer som skal ha tilgang til taushetsbelagte opplysninger, rekkevidden av § 4, samt formålet med § 4 annet ledd. I tillegg er det viktig å merke seg at dersom det gis forskrift som regulerer tilgang for en konsument som ikke har tilgang til alle taushetsbelagte opplysninger, vil dette ha en merkostnad.

Skattedirektoratet opplyser at folkeregisterloven § 10-1 og § 10-2 allerede dekker adgangen til å hente ut personopplysninger for å lage statistikk, og at forslaget i annet ledd om å åpne for tilgang til Folkeregisteret for «utredning og produksjon av statistikk», derfor synes unødvendig.

Finansdepartementet støtter innspillene fra Skattedirektoratet, og påpeker at det vil påløpe ikke ubetydelige kostnader dersom det er aktuelt ved forskrift å gi tilgang til taushetsbelagte opplysninger til aktører som ikke allerede har tilgang til alle taushetsbelagte opplysninger. Hvis det er aktuelt å gi tilgang til andre enn disse, forutsetter Finansdepartementet at dette omtales i høring av eventuell forskrift, og at departementet konsulteres om økonomiske og administrative konsekvenser av dette.

Skattedirektoratet uttaler til lovforslaget som åpner for at departementet kan gi forskrift om hvilke opplysninger som kan innhentes, at utgangspunktet ved deling av folkeregisteropplysninger er at den enkelte konsument skal gis faktisk tilgang til de opplysninger man rettslig har adgang til å få utlevert.

Justis- og beredskapsdepartementet uttaler at det bør klargjøres hvilket register det siktes til når det framgår av utkastet til § 4 at offentlige organer skal ha tilgang til registeret til utredning og produksjon av statistikk.

Oslo kommune savner en begrunnelse for hvorfor departementet gir hjemmel til at offentlige organer skal ha tilgang til registeret til utredning og produksjon av statistikk.

Narvik kommune anbefaler departementet å utarbeide forskrift om tilgang til taushetsbelagte opplysninger fra Folkeregisteret, og at någjeldende begrensning, gradert kode 6 (strengt fortrolig) etter Beskyttelsesinstruksen, videreføres, men at det inntas en unntakshjemmel som konkretiserer hvilke offentlige instanser som gis tilgang, i hvilke situasjoner denne tilgangen gjelder og varigheten av en slik tilgang.

Time kommune stiller spørsmål ved om det er gjort en risikovurdering knyttet til flere tilganger til Folkeregisteret sett opp mot vernet om barn og unge som bor på hemmelig adresse.

3.4 Departementets vurdering

3.4.1 Behovet for en klar hjemmel

Departementet opprettholder forslaget i høringsnotatet om en ny lov som gir adgang til å gi forskrifter som åpner for å behandle personopplysninger som er nødvendige for å gjennomføre enkelte tiltak på barne-, oppvekst- og familieområdet.

Departementet mener forslaget vil sikre at behandling av personopplysninger på området har et klart og tydelig hjemmelsgrunnlag. Høringen gir støtte for dette. Flere høringsinstanser, blant annet Bergen kommune, gir uttrykk for at lovforslaget vil imøtekomme en utfordring de møter i sitt virke som følge av mangel på klart og tydelig rettslig grunnlag for behandling av personopplysninger. KS peker på at forslaget vil styrke rettssikkerheten for brukerne, og fjerne eventuell usikkerhet om behandlingsgrunnlaget for de som står ansvarlig for tiltakene og de som jobber med dem.

Departementet har ikke funnet noe sted i eksisterende lovgivning som er egnet som hjemmelsgrunnlag for å gi regler om behandling av personopplysninger på barne-, oppvekst- og familieområdet. Departementet har merket seg innspillet fra Bergen kommune om at forskriftshjemmelen bør inntas i personopplysningsloven. Departementet mener, i likhet med Datatilsynet, at personopplysningsloven er en generell lov som ikke er egnet til å særregulere ett særskilt samfunnsområde. Personopplysningsloven vil imidlertid gjelde for tiltakene det her er tale om, herunder denne lovens og forordningens regler om den registrerte rettigheter.

Justis- og beredskapsdepartementet har gitt innspill om at det bør beskrives nærmere hvilke typer tiltak forskriftshjemmelen skal dekke. Barne- og familiedepartementet viser til at det er uensartede tiltak som vil kunne omfattes av forskriftshjemmelen, blant annet ulike tilskuddordninger som skal gi barn og unge mulighet til å delta og utvikle seg i samfunnet, og ved tilskudd til utsatte barn og ungdom legges det for eksempel til rette for økt deltakelse og bedre levekår. Det er imidlertid et sentralt premiss at tiltakene det er tale om ikke er regulert i lov. Et aktuelt tiltak per i dag er programmet Familie for første gang. Aktuelle tiltak framover kan være tilbud om fritidsaktiviteter, foreldreveiledning eller andre støttetilbud for barn, unge og deres foreldre. Departementet viser til punkt 2.1 hvor typiske kjennetegn ved tiltakene er nærmere omtalt.

Departementet presiserer at den foreslåtte loven ikke kommer til anvendelse i de tilfeller hvor sektorlovgivningen gir et tilstrekkelig hjemmelsgrunnlag for å behandle personopplysninger. Det vil derfor ikke være aktuelt å fastsette en forskrift for et tiltak som for eksempel faller inn under barnevernsloven, slik Oslo kommune bemerker i sin høringsuttalelse.

KS har foreslått at det bør framgå av formålsparagrafen at loven gjelder frivillige tiltak på barne-, oppvekst- og familieområdet. Departementet er enig i dette, og har lagt til dette i lovutkastet § 1. For å tydeliggjøre at det er tiltak besluttet av statlige myndigheter loven gir hjemmel til å fastsette forskrifter for, har departementet erstattet begrepet «offentlige myndigheter» med «statlige myndigheter». Departementet har også erstattet begrepet «fastsatt» med «besluttet» for å tydeliggjøre at det er selve beslutningen som ligger til grunn for tiltaket som er det sentrale. Se lovutkastet §§ 1, 3 og 4.

Departementet foreslår etter dette å gå videre med forslaget som ble sendt på høring, men med enkelte presiseringer som vil bli utdypet nedenfor.

3.4.2 Personvernkonsekvenser

Departementet mener at personvernkonsekvensene av lovforslaget er nøye vurdert, og at lovforslaget inneholder tilstrekkelige tiltak for å avdempe de personvernkonsekvensene som lovforslaget vil medføre.

I høringen er det flere av instansene, blant annet Oslo kommune, som uttrykker at det vil medføre en styrking av personvernet at det må fastsettes en forskrift for det enkelte tiltaket.

Departementet viser videre til at tiltakene som omfattes av lovforslaget i mange tilfeller utgjør et gode for barnet og dets familie, som for eksempel tilskuddsordninger, eller vil være ment som et hjelpetiltak, slik som programmet Familie for første gang. Det er opp til den enkelte og dets foresatte hvorvidt de vil delta på de ulike tiltakene. Departementet er enig med KS i at det er viktig at brukerne forstår hvilke personopplysninger som skal behandles og hvorfor. Dette må ivaretas i forbindelse med utarbeidelsen av den enkelte forskrift.

Når det gjelder barns rettigheter, har departementet merket seg at Bergen kommune mener det ved utformingen av loven må ses særlig hen til FNs barnekonvensjon. Departementet legger til grunn at lovforslaget er godt i samsvar med FNs barnekonvensjon, herunder artikkel 3 om barnets beste. Det vises til at tiltak på barne-, oppvekst- og familieområdet er ment å være et gode for barn. Etter departementets vurdering vil lovforslaget innebære en styrking av barns personvern ved at behandling av personopplysninger for det enkelte tiltaket skal reguleres i forskrift. Dette innebærer at det ved utformingen av den enkelte forskrift, konkret må vurderes hvilke personvernkonsekvenser tiltaket medfører for den enkelte, herunder barn. Departementet er enig med Oslo kommune som uttaler at et lov- og forskriftsgrunnlag for behandling av personopplysninger i disse sakstypene er mer hensiktsmessig enn å basere seg på samtykke.

I lovutkastet § 3 er det gitt eksempler på tiltak som kan fastsettes for å sikre hensynet til den enkeltes personvern. Bufdir og Datatilsynet uttaler at det å vurdere behovet for lagring er en viktig personverngaranti og at vurdering av lagringstid bør framgå uttrykkelig av lovteksten. Departementet er enig i at dette bør gjenspeiles i lovens ordlyd, og føyer derfor til lagring, lagringstid og sletting i opplistingen i lovutkastet § 3 annet ledd.

Videre vil det i enkelte tilfeller følge av personvernforordningen at det må fastsettes særlige tiltak for å beskytte de registrerte. Dette gjelder ved behandling av særlige kategorier av personopplysninger etter forordningen artikkel 9, og personopplysninger om straffedommer og lovovertredelser etter forordningen artikkel 10.

Justis- og beredskapsdepartementet har spilt inn at det bør gis noen føringer og eksempler på hvilke tiltak det kan være aktuelt å fastsette. Barne- og familiedepartementet viser til at flere tiltak kan være aktuelle for å beskytte de registrertes rettigheter i forbindelse med behandling av personopplysninger om straffedommer og lovovertredelser, samt særlige kategorier av personopplysninger. Det kan tenkes tekniske tiltak, for eksempel lagring, avidentifisering, kryptering og tilgangskontroll. Det kan være organisatoriske tiltak som for eksempel rutiner som har til hensikt å sikre overholdelse av personvernprinsippene, lagringsbegrensning (særlig sletterutiner) og integritet og konfidensialitet. Eller det kan være fysiske tiltak som adgangskontroll, låsbare rom, skap, arkiv eller PCer. Videre kan taushetsplikt for de som skal ha tilgang til opplysningene være et viktig tiltak for å sikre de registrertes rettigheter.

Dersom en forskrift skal åpne for viderebehandling av opplysninger til formål som ikke er forenelige med innsamlingsformålet, må forskriften, som minimum, oppfylle kravene i personvernforordningen artikkel 6 nr. 4.

3.4.3 Det supplerende rettsgrunnlag

Departementets lovforslag vil oppfylle kravet til et supplerende rettsgrunnlag etter personvernforordningen artikkel 6 nr. 1 bokstav c) og e), jf. artikkel 6 nr. 3, som vurderes som aktuelle behandlingsgrunnlag i denne sammenheng. Forslaget vil også oppfylle krav etter personvernforordningen artikkel 9 og 10 om supplerende rettsgrunnlag. Det er loven og den enkelte forskrift som vil utgjøre det supplerende rettsgrunnlaget.

Det supplerende rettsgrunnlaget fastsettes nærmere i forskrift for det enkelte tiltaket hvor også formålet med behandlingen må framgå, jf. artikkel 6 nr. 3. Det betyr at det i forbindelse med forberedelse av forskrift for tiltaket må gjøres en selvstendig vurdering av det aktuelle supplerende rettsgrunnlaget og av hvorvidt kriteriene etter forordningen er oppfylt.

Det følger av lovutkastet § 3 første ledd at det kun er adgang til å utarbeide forskrifter når det er «nødvendig» å behandle personopplysninger for å gjennomføre det konkrete tiltaket på barne-, oppvekst- og familieområdet. Det skal ikke behandles flere opplysninger enn det som trengs for å gjennomføre tiltaket. Datatilsynet ser positivt på forslaget om å tydeliggjøre i lovteksten grunnvilkåret om at personopplysningene må være nødvendige for gjennomføring av tiltaket.

Justis- og beredskapsdepartementet uttaler at det bør presiseres hvilke av unntakene i personvernforordningen artikkel 9 nr. 2 som er aktuelle. Barne- og familiedepartementet legger til grunn at det i denne sammenhengen vil være artikkel 9 nr. 2 bokstav g) og h) som kan være aktuelle, men at dette må vurderes konkret i forbindelse med det enkelte tiltaket. Til illustrasjon vises det til programmet Familie for første gang, hvor begge alternativene vil kunne være aktuelle. Programmet vil kunne omfatte behandling av personopplysninger som ledd i utførelse av en oppgave i allmennhetens interesse, jf. bokstav g). Departementet mener imidlertid at bokstav h) her vil være best egnet fordi behandlingsgrunnlaget spesielt nevner «helse- og sosialtjenester». Etter både bokstav g) og h) er det et krav om hjemmel i nasjonal rett som gir tilstrekkelige garantier, og at behandlingen er nødvendig. Departementet vil imidlertid legge til at det generelt er vanskelig å angi utfyllende hva som ligger i de ulike alternativene i 9 nr. 2, og at det må bero på en konkret vurdering i det enkelte tilfellet.

Justis- og beredskapsdepartementet og Bufdir ber i sine høringsuttalelser om at det tydeliggjøres når det kan være aktuelt å behandle opplysninger om straffedommer og lovovertredelser. Departementet har identifisert et behov for å behandle opplysninger om straffedommer og lovovertredelser i forbindelse med gjennomføring av programmet Familie for første gang. Det kan også være aktuelt å behandle slike opplysninger ved andre framtidige tiltak der opplysningene trengs for å kunne gi et godt og fullverdig tilbud til de registrerte. Departementet understreker at slike opplysninger kun skal behandles når det er nødvendige for å gjennomføre nærmere bestemte tiltak, jf. lovutkastet § 3 først ledd. Videre følger det av personvernforordningen artikkel 10 at det må fastsettes nødvendige garantier for de registrertes rettigheter og friheter. Hvilke tiltak som er aktuelle må vurderes konkret i forbindelse med utarbeidelsen av den enkelte forskriften. Departementet viser til punkt 3.4.2 hvor det er redegjort for hvilke tiltak som kan være aktuelle.

Når det gjelder selve utformingen av det supplerende rettsgrunnlaget, har departementet i lovutkastet § 3 annet ledd kommet med eksempler på tiltak som kan fastsettes i den enkelte forskriften. Fordi tiltakene det er tale om er ulike, mener departementet at det ikke er hensiktsmessig å regulere uttømmende hva hver forskrift skal regulere, men at det må foretas en konkret vurdering i forbindelse med den enkelte forskrift av hvilke tiltak som er aktuelle og nødvendige for gjennomføring av tiltaket. Datatilsynet framhever det samme i sin høringsuttalelse.

Departementet presiserer at hver enkelt forskrift må oppfylle de kravene personvernforordningen oppstiller, herunder kravene i artikkel 6 nr. 3 om at formålet med behandlingen skal være fastsatt i det rettslige grunnlaget eller være nødvendig for å oppfylle en rettslig forpliktelse, utføre en oppgave i allmenhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, slik Justis- og beredskapsdepartementet er inne på i sin høringsuttalelse.

Departementet påpeker at forskriftene skal sendes på høring på vanlig måte. Departementet mener, i likhet med Datatilsynet, at dette er viktig for å sikre god ivaretakelse av personvernet og, som KS framhever, at det gir kommunene og andre relevante aktører anledning til å komme med innspill. Eventuelle nye forpliktelser for kommunene eller andre, og eventuelle administrative og økonomiske konsekvenser av dette, vil måtte vurderes i forbindelse med utarbeidelsen av den enkelte forskrift.

3.4.4 Innhenting av opplysninger

Viderebehandling

Departementet opprettholder forslaget om at det gis hjemmel til i forskrift å regulere viderebehandling av personopplysninger. Det vises til lovutkastet § 3 annet ledd. Formålet med forslaget er å sikre at den behandlingsansvarlige kan bruke opplysninger den allerede besitter dersom disse er nødvendige for å gjennomføre og administrere tiltak på barne-, oppvekst- og familieområdet. Dette vil omfatte tilfeller der det ikke framstår som klart om formålet opplysningene vurderes viderebehandlet til er forenlig med det opprinnelige formålet. Etter departementets vurdering vil lovforslaget oppfylle kravet til et særskilt rettsgrunnlag etter personvernforordningen artikkel 6 nr. 4, og sikre at viderebehandling av personopplysninger til et annet formål enn det de opprinnelig ble samlet inn for, blir lovlig. Ingen av høringsinstansene har hatt motforestillinger til forslaget.

Justis- og beredskapsdepartementet har i sin høringsuttalelse uttalt at det kan tydeliggjøres om og eventuelt når gjennomføringen av tiltak kan rettferdiggjøre viderebehandling av personopplysninger til andre formål enn de er innsamlet for, jf. personvernforordningen artikkel 6 nr. 4. For å illustrere om og når det på barne-, oppvekst- og familieområdet kan være behov for å viderebehandle personopplysninger, viser departementet til erfaringer fra prøveprosjektet med fritidskortet, som også er omtalt under punkt 2.1. For å forvalte denne ordningen var det behov for å innhente opplysninger om barnets fulle navn og adresse, barnets fødsels- og personnummer, barnets foresatte eller verger og informasjon om betalinger til aktivitetstilbydere. Personopplysningene kommunene skulle behandle var om «sine» borgere, og allerede innhentet til andre formål, blant annet opplærings- og helseformål. Opplysningene kunne imidlertid ikke viderebehandles, fordi formålet ikke var forenlig med innsamlingsformålet, og særskilt rettsgrunnlag manglet. På bakgrunn av disse erfaringene ble departementet oppmerksom på at spørsmålet om viderebehandling av personopplysninger til andre formål enn de er innsamlet for, også kan være relevant for andre nåværende og framtidige tiltak som skal gjennomføres på barne-, oppvekst- og familieområdet.

Departementet viser videre til at viderebehandling også kan omfatte tilfellet å innhente opplysninger som allerede er registrert av andre organer. Også i disse tilfellene må det foretas en konkret vurdering av om formålet opplysningene er innhentet til, er forenlig med det opprinnelige formålet, og hvorvidt det vil være nødvendig med nærmere regulering i forskrift.

Datatilsynet påpeker at det i forbindelse med viderebehandling av personopplysninger er særlig viktig å sette rammer og iverksette tiltak for å ivareta personvernet. Departementet er som Datatilsynet oppmerksom på at de registrerte vil kunne oppleve å miste kontrollen over egne personopplysninger ved deling av opplysninger med andre organer og virksomheter. Personvernforordningen oppstiller krav som skal ivareta den registrertes rettigheter, som må oppfylles også i denne sammenheng. Departementet legger derfor til grunn at en adgang i forskrift til viderebehandling av personopplysninger må ledsages av god og konkret informasjon til de registrerte, slik at det er forutsigbart for de registrerte hvor opplysningene behandles til enhver tid.

Behovet for å viderebehandle og dele informasjon mellom organer kan gjelde både taushetsbelagte og ikke-taushetsbelagte opplysninger. På barne-, oppvekst- og familieområdet er det i all hovedsak størst behov for deling av ikke-taushetsbelagte opplysninger, men det kan også være behov for viderebehandling og deling av opplysninger som er underlagt generell eller spesiell taushetsplikt. Taushetspliktreglene vil utgjøre en selvstendig skranke for innhenting og utlevering av taushetsbelagte opplysninger, som ikke kan reguleres nærmere etter forskriftshjemmelen som foreslås. Det betyr at dersom opplysningene som ønskes innhentet er underlagt lovbestemt taushetsplikt, må spørsmålet om innhenting og utlevering av opplysningene avgjøres etter de taushetspliktbestemmelsene som gjelder etter sektorlovgivningen eller forvaltningsloven.

Oppslag mot folkeregisteret

Departementet opprettholder forslaget i høringsnotatet om at det i loven inntas en hjemmel som gir behandlingsansvarlig adgang til uten hinder av taushetsplikten å innhente opplysninger fra Folkeregisteret som er nødvendig for å gjennomføre tiltak besluttet av statlige myndigheter på barne-, oppvekst- og familieområdet. Det vises til lovutkastet § 4. Departementet vurderer at dette gir tilstrekkelig rettslig grunnlag etter personvernforordningen artikkel 6 nr. 3. Av høringsinstansene er det KS og Oslo kommune som har uttalt seg om dette, og begge støtter forslaget.

Skattedirektoratet påpeker at offentlige myndigheter, herunder kommuner og fylkeskommuner, samt statsforvalterne, allerede har tilgang til den rettighetspakken som inneholder alle taushetsbelagte opplysninger registrert i Folkeregisteret. Dersom det er aktuelt å gi tilgang til taushetsbelagte opplysninger til aktører som ikke allerede har tilgang til alle taushetsbelagte opplysninger, påpeker direktoratet at det vil påløpe ikke ubetydelige kostnader. Finansdepartementet forutsetter i så tilfelle at Finansdepartementet konsulteres om økonomiske og administrative konsekvenser av dette. Departementet vil i tråd med Finansdepartementets merknad følge opp dette dersom det blir aktuelt å gi tilgang til taushetsbelagte opplysninger til aktører som ikke allerede har tilgang til alle taushetsbelagte opplysninger.

I høringsnotatet foreslo departementet en bestemmelse i lovutkastet § 4 annet ledd med følgende ordlyd: «Offentlige organer skal ha tilgang til registeret til utredning og produksjon av statistikk.». Bakgrunnen for forslaget var å sikre muligheten for å hente ut personopplysninger for utredning og produksjon av statistikk ved behov. Skattedirektoratet opplyser imidlertid at folkeregisterloven § 10-1 og § 10-2 allerede dekker adgangen til å hente ut personopplysninger for dette formålet. Departementet slutter seg på denne bakgrunn til direktoratets vurdering om at bestemmelsen er unødvendig, og følger ikke opp forslaget.

Narvik kommune og Time kommune har i høringen kommet med innspill til utformingen av selve innholdet i forskriftene. Innspill fra høringen som er knyttet til utforming av forskrift vil departementet komme tilbake til i forbindelse med utarbeidelsen av den enkelte forskrift, som vil bli sendt på høring på vanlig måte.

3.4.5 Behandlingsansvar

Departementet opprettholder forslaget i høringsnotatet om at det i forskrift kan reguleres nærmere hvem som er behandlingsansvarlig, vurdert konkret i forhold til det enkelte tiltaket. Det vises til lovutkastet § 3 annet ledd. Av høringsinstansene er det Oslo kommune, Øygarden kommune og Datatilsynet som har uttalt seg om dette, og alle støtter forslaget. Datatilsynet viser til at deres erfaring er at det ofte er nyttig og fornuftig å fastsette hvem som er behandlingsansvarlig i det rettslige grunnlaget, fordi det tidvis kan være uklart hvem som har behandlingsansvaret, eller det kan oppstå behov for å plassere behandlingsansvaret et annet sted enn der det naturlig hører hjemme etter definisjonen av behandlingsansvarlig i personvernforordningen artikkel 4 nr. 7.

3.4.6 Geografisk virkeområde

Departementet opprettholder forslaget i høringsnotatet om at Kongen kan gi forskrift om lovens anvendelse på Svalbard, og at det kan fastsettes særlige regler under hensyn til de stedlige forholdene. I utgangspunktet tilbys det ikke tjenester eller ytelser på Svalbard med sosial profil, se blant annet Meld. St. 32 (2014–2015), kapittel 6.3.4. Dette innebærer at loven ikke vil gjelde for Svalbard med mindre Kongen bestemmer noe annet, samtidig som det gis hjemmel for fastsettelse av særlige regler begrunnet i svalbardmessige forhold. Det vises til lovutkastet § 2.

Til forsiden