7 Behandling av personopplysninger
7.1 Forslaget i høringsnotatet
Høringsforslaget § 4 inneholdt en bestemmelse om utvalgets grunnlag for å behandle personopplysninger. I høringsnotatet ble det gitt følgende redegjørelse for forslaget:
«Departementet foreslår å lovfeste i § 4 at utvalget kan behandle personopplysninger som er nødvendige for formålet med utvalgets arbeid uten samtykke fra den som opplysningene gjelder. Departementet viser til at utvalget vil innhente personopplysninger om straffbare forhold og i noen tilfeller særlige kategorier av personopplysninger. Verken samtykke eller anonymisering anses som tilstrekkelig for utvalgets innhenting av personopplysninger, og departementet legger til grunn at et særskilt grunnlag for behandling av personopplysninger er nødvendig.
Formålet med utvalgets granskning er å finne årsakene til at Viggo Kristiansen ble uriktig dømt og klarlegge hvorfor begjæring om gjenåpning først ble tatt til følge etter lang tid og gjentatte begjæringer samt identifisere eventuelle læringspunkter for å redusere risikoen for uriktige domfellelser i fremtiden og sikre et godt gjenåpningsinstitutt. Departementet mener at selv om utvalgets behandling av personopplysninger kan være inngripende, er samfunnsnytten av behandlingen så stor at den begrunner dette. Departementet går derfor inn for å fastsette en lovbestemmelse som eksplisitt gir utvalget rett til å behandle personopplysninger som er nødvendige for formålet med utvalgets arbeid. Dette skal kunne gjøres uten samtykke fra dem opplysningene gjelder, og også omfatte personopplysninger som nevnt i personvernforordningen artikkel 9 og 10.
Departementet foreslår videre i lovforslaget § 4 andre ledd at retten til innsyn etter personvernforordningen artikkel 15 ikke gjelder dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn.
Departementet legger til grunn at det følger av personvernforordningen artikkel 23 nr. 1 bokstav e at nasjonal rett kan begrense rettighetene til den registrerte når en slik begrensning overholder det vesentligste innholdet i de grunnleggende rettighetene og frihetene, og er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre «viktige mål av generell allmenn interesse».
Med grunnlag i personvernforordningen artikkel 23 nr. 1 bokstav e, forslås det derfor et unntak fra den registrertes rett til innsyn i personopplysningene om vedkommende etter personvernforordningen artikkel 15. På bakgrunn av at utvalgets arbeid skal foregå innenfor en tidsavgrenset periode, er departementets vurdering at det ikke er hensiktsmessig dersom en for stor del av utvalgets arbeidstid går med til å behandle innsynskrav. Departementet foreslår derfor at denne innsynsretten ikke skal gjelde dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn.
Departementet påpeker at utvalget må gjøre en konkret vurdering av om det er forholdsmessig å gi innsyn eller ikke. I dette ligger også en vurdering av nødvendighet, herunder en konkret vurdering av de ulike typene informasjon som omfattes av innsynskravet etter artikkel 15, og hvor stor del av utvalgets arbeidstid som vil gå til å behandle innsynskravet. Det vises til at tilsvarende unntak gjelder ved behandling av personopplysninger for vitenskapelige forskningsformål.
Bestemmelsen, som foreslås tatt inn i § 4 andre ledd, innebærer at den registrertes rett til innsyn ikke gjelder «så langt det vil kreve en uforholdsmessig stor innsats å gi innsyn». Formuleringen «så langt» er vesentlig for at begrensningen i innsynsretten skal være i tråd med forholdsmessighetskravet i personvernforordningen artikkel 23. Uforholdsmessighetsvurderingen skal være i samsvar med det som gjelder for vitenskapelige forskningsformål etter personopplysningsloven § 17, jf. Prop. 56 LS (2017–2018) side 217–218:
«Det kan bare gjøres unntak i den utstrekning innsyn er uforholdsmessig. Det må derfor foretas en konkret vurdering av de ulike typene informasjon som omfattes av artikkel 15. Det kan for eksempel kreve en uforholdsmessig innsats å gi en kopi av personopplysningene som behandles, jf. artikkel 15 nr. 3, men ikke å gi slik generell informasjon som er nevnt i artikkel 15 nr. 1 og 2. Da vil det foreligge innsynsrett etter artikkel 15 nr. 1 og 2, men ikke etter nr. 3. I forholdsmessighetsvurderingen inngår ikke bare den enkelte innsynsbegjæringen; også den samlede mengden av innsynsbegjæringer og potensielle innsynsbegjæringer kan tas i betraktning.»
Når det gjelder muligheten for å få overprøvd et eventuelt avslag på slike innsynskrav, viser departementet til at det er mulig å klage til Datatilsynet som er den alminnelige klageinstansen for klager over avslag på slike innsynskrav. Departementet presiserer imidlertid at Datatilsynet ikke er overordnet forvaltningsorgan for beslutninger om å gjøre unntak fra innsynsretten.
Unntaket fra innsynsretten er ikke ment å begrense den registrertes rett til å klage og å bruke rettsmidler etter personvernforordningen kapittel 8.
Departementet foreslår ingen ytterligere begrensninger i den registrertes rettigheter etter personvernforordningen. Utvalget skal løpende vurdere om de personopplysningene som til enhver tid behandles, er nødvendige for å gjennomføre oppgavene i utvalgets mandat. Departementet viser her til personvernforordningen artikkel 5 nr. 1 bokstav c og e. Etter bokstav c om dataminimering skal behandling av personopplysninger være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Etter bokstav e skal opplysningene ikke lagres lenger enn det som er nødvendig for formålet.
Departementet legger til grunn at utvalget selv vil være behandlingsansvarlig etter personvernforordningen artikkel 4 nr. 7, siden utvalget vil gjennomføre sitt arbeid uavhengig av Justis- og beredskapsdepartementet og andre organer. Det presiseres derfor i lovforslaget § 4 tredje ledd at utvalget er behandlingsansvarlig frem til utvalget har avsluttet sitt arbeid.
Som behandlingsansvarlig skal utvalget etter personvernforordningen artikkel 24 nr. 1 gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med forordningen. Den skal også foreta en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35 i den grad denne bestemmelsen kommer til anvendelse.»
7.2 Høringsinstansenes syn
Politidirektoratet, Kripos og Datatilsynet har uttalt seg om utvalgets grunnlag for å behandle personopplysninger. Politidirektoratet har forelagt høringsnotatet for blant annet Kripos. De viser til at det i lovforslaget § 4 andre ledd foreslås, med grunnlag i personvernforordningen artikkel 23 nr. 1 bokstav e, et unntak fra den registrertes rett til innsyn i personopplysninger om vedkommende etter personvernforordningen artikkel 15 «dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn».
Politidirektoratet uttaler i den forbindelse:
«Der opplysninger er taushetsbelagte av hensyn til den registrertes personvern, er taushetsplikten ikke til hinder for at den registrerte kan få innsyn i egne personopplysninger. Enkelte taushetspliktsbestemmelser skal imidlertid ivareta andre hensyn enn hensynet til den registrerte.
Kripos viser i sin uttalelse til politiregisterloven § 23 annet ledd som pålegger taushetsplikt om «opplysninger som det ut fra hensynet til etterforskningen i den enkelte sak, hensynet til spanings- og etterretningsvirksomheten eller hensynet til politiets operative virksomhet og organiseringen av denne er nødvendig å holde hemmelig.» Opplysninger som er taushetsbelagte etter politiregisterloven § 23 annet ledd vil være unntatt fra retten til innsyn etter personvernforordningen, jf. personopplysningsloven § 16 første ledd bokstav d. Kripos viser til at ved behandling av begjæring om innsyn i eventuelle opplysninger som er utlevert fra politiet, må politiet kontaktes for en vurdering av om opplysningene er omfattet av unntaket i personopplysningsloven § 16 første ledd bokstav d.
Videre understreker Kripos at dersom utvalget behandler begjæringer om innsyn i opplysninger utlevert fra politiets registre, må behandlingsansvarlig for registeret få anledning til å gi føringer for hvilke opplysninger den registrerte kan få innsyn i.
Politidirektoratet støtter Kripos’ innspill og viser til at virkeområdet for unntak etter politiregisterloven § 23 annet ledd synes å rekke videre enn unntakshjemlene etter personopplysningsloven § 16».
Politidirektoratet uttaler videre:
«Departementet viser i høringsnotatet på side 8 til politiregisterloven § 32 som aktuelt grunnlag for utlevering av opplysninger fra politiet til utvalget. Politidirektoratet antar at også politiregisterloven § 30 vil være aktuell i denne forbindelse. Det følger av politiregisterloven § 30 at taushetsplikten ikke er til hinder for at opplysninger utleveres til andre offentlige organer i deres interesse, dersom dette er nødvendig for å fremme mottakerorganets oppgaver etter lov eller for å hindre at virksomhet blir utøvd på en uforsvarlig måte. I begge tilfeller har politiet adgang til å pålegge taushetsplikt etter politiregisterloven § 35 annet ledd, når organet mottar opplysninger. Det praktiske vil likevel være at utvalget, ved eventuelle innsynskrav, avklarer med politiet hvilke opplysninger som eventuelt er taushetspliktige, enn at politiet må vurdere dette for alle opplysningene i forbindelse med utleveringen.
Departementet foreslår på side 20 i høringsnotatet at dersom utvalget mottar opplysninger som er underlagt strengere taushetsplikt enn den som følger av forvaltningsloven, skal de strengere reglene gjelde. Videre uttaler departementet at politiet bør konsulteres før utvalget beslutter om den registrerte skal gis innsyn i opplysninger innhentet fra politiet.
Direktoratet er enig med departementet og mener det bør fremgå av lovproposisjonen at utvalget har samme taushetsplikt som politiet og at utvalget skal konsultere politiet ved forespørsler og vurdering av innsyn».
Datatilsynet viser i sin høringsuttalelse til forholdet mellom lovforslagets §§ 2 og 4, og uttaler i den forbindelse:
«Departementet legger til grunn at den foreslåtte § 2 gir et supplerende rettsgrunnlag for utlevering og innhenting av personopplysninger i samsvar med personvernforordningen artikkel 6 nr. 3, jf. nr. 1 bokstav e, artikkel 6 nr. 4 og artikkel 9 nr. 2 bokstav g og artikkel 10. Slik vi ser det, vil opphevelse av taushetsplikten være en nødvendig forutsetning for at utvalget skal kunne innhente informasjon. Bestemmelsen i lovforslagets § 2 vil imidlertid ikke kunne tjene som rettslig grunnlag for utvalgets innhenting, slik departementet ser ut til å legge til grunn. På den annen side vil utvalgets innsamling være dekket av lovforslagets § 4, jf. legaldefinisjonen av «behandling» i personvernforordningen artikkel 4 nr. 2.
For øvrig vil nærmere presiseringer i ordlyden av de aktuelle behandlingsaktiviteter og fremgangsmåter for behandling være i samsvar med personvernforordningen artikkel 6 nr. 3. Vi anbefaler derfor departementet å innta slike presiseringer i § 4».
Datatilsynet uttaler videre:
«I bestemmelsens annet ledd foreslås det at retten til å kreve innsyn i egne personopplysninger etter personvernforordningen artikkel 15 ikke skal gjelde dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn. Vi viser til EDPBs retningslinjer om retten til innsyn som presiserer at unntaksadgangen etter artikkel 23 er ment å være snever. Vi overlater til departementet å vurdere om unntakshjemmelen som foreslås er i samsvar med personvernforordningens krav og rammer».
Når det gjelder § 4 tredje ledd påpeker Datatilsynet at utvalget, som behandlingsansvarlig, selv er ansvarlig for å gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysninger utføres i samsvar med personvernforordningen. Datatilsynet minner om at dette også gjelder ansvaret for personopplysningssikkerheten i henhold til artikkel 32. Innsamlingen av opplysninger må skje gjennom tilfredsstillende kanaler for informasjonsoverføring, og dataene må være sikret når de er kommet utvalget i hende.
Datatilsynet uttaler videre:
«Vi kan ikke se at høringsnotatet omtaler hvem som skal være behandlingsansvarlig etter at utvalget har avsluttet sitt arbeid. Det fremstår derfor som uklart for oss hvor eventuelle registrerte skal henvende seg for å utøve sine rettigheter etter personvernforordningen etter dette tidspunktet. Vi mener derfor at departementet må utpeke et organ som skal ivareta behandlingsansvaret etter utvalgets opphør, med mindre det er slik å forstå at opplysningene umiddelbart skal overlates til Arkivverket idet utvalget avslutter sitt arbeid. Dette kan uansett med fordel vurderes tydeliggjort i lovteksten».
7.3 Departementets vurderinger
Departementet opprettholder forslaget til § 4 om behandling av personopplysninger. Departementet legger til grunn at forslaget til § 4 første ledd gir grunnlag for behandling av personopplysninger, og at denne hjemmelen også omfatter særlige kategorier av personopplysninger etter personvernforordningen artikkel 9 og personopplysninger om straffedommer og lovovertredelser etter samme forordning artikkel 10.
Departementet mener at behandling av særlige kategorier av personopplysninger er forholdsmessig sett opp mot samfunnsnytten av utvalgets arbeid. De tiltakene som er foreslått fastsatt i loven, blant annet begrensning av tilgang til opplysninger hva gjelder innhold, personkrets og tid, og forbud mot bruk av informasjonen i senere straffesaker eller sivile saker, eller som dokumentasjon i tilsynssaker som kan gi grunnlag for reaksjoner mot enkeltpersoner, er tilstrekkelige for å verne den registrertes grunnleggende rettigheter og interesser.
Departementet er videre enig med Datatilsynet i at det er viktig at utvalget som behandlingsansvarlig selv gjennomfører egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av personopplysninger utføres i samsvar med personvernforordningen. Det påhviler også et ansvar på avgiverorganet til å foreta en vurdering av hvilke personopplysninger som er nødvendige for utvalget, og om det er mulig å anonymisere eller avidentifisere personopplysningene før de utleveres til utvalget.
Departementet går ikke inn for at det skal uttrykkelig fastsettes i loven at anonyme eller pseudonyme opplysninger skal brukes dersom det er tilstrekkelig for å dekke utvalgets informasjonsbehov, da dette følger av dataminimeringsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav c. Videre viser departementet til at andre lignende utvalg er vurdert å ha grunnlag for å behandle særlige kategorier av personopplysninger etter artikkel 9 nr. 2 bokstav g. Ut fra dette opprettholdes forslaget fra høringsnotatet.
Departementet opprettholder også forslaget til § 4 andre ledd, som innebærer et unntak fra den registrertes rett til innsyn i personopplysningene om vedkommende etter personvernforordningen artikkel 15, dersom det kreves en uforholdsmessig stor innsats å gi innsyn. Det vises her til vurderingen i høringsnotatet inntatt i punkt 7.1 ovenfor, samt at uforholdsmessighetsvurderingen etter lovforslaget § 4 andre ledd skal være i samsvar med det som gjelder for vitenskapelige forskningsformål etter personopplysningsloven § 17, jf. Prop. 56 LS (2017–2018) side 217–218.
Departementet har merket seg Datatilsynets høringsinnspill hvor de viser til EDPBs retningslinjer om retten til innsyn som presiserer at unntaksadgangen etter artikkel 23 er ment å være snever. Som nevnt i høringsnotatet legger departementet til grunn at det følger av personvernforordningen artikkel 23 nr. 1 bokstav e at nasjonal rett kan begrense rettighetene til den registrerte når en slik begrensning overholder det «vesentligste innholdet i de grunnleggende rettighetene og frihetene», og er et «nødvendig og forholdsmessig tiltak» i et demokratisk samfunn for å sikre «viktige mål av generell allmenn interesse». Om kravet til overholdelse av innholdet i de grunnleggende rettighetene og frihetene framkommer følgende av EDPB retningslinje 10/2020:
«One of the main objectives of data protection law is to enhance data subjects’ control over personal data concerning them. Any restriction shall respect the essence of the right that is being restricted. This means that restrictions that are extensive and intrusive to the extent that they void a fundamental right of its basic content, cannot be justified. In any case, a general exclusion of all data subjects’ rights with regard to all data processing operations as well as a general limitation of the rights mentioned in Article 23 GDPR of all data subjects for specific data processing operations or with regard to specific controllers would not respect the essence of the fundamental right to the protection of personal data, as enshrined in the Charter.»
Departementet er av den oppfatning at unntaket i lovforslaget § 4 andre ledd overholder innholdet i retten til innsyn ved at unntaket kun gjelder «dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn». Dette innebærer at den registrerte fortsatt har rett til innsyn i opplysninger om vedkommende selv etter personvernforordningen artikkel 15 dersom det ikke krever en uforholdsmessig stor innsats å gi vedkommende innsyn.
Departementet legger til grunn at utvalget skal foreta en konkret vurdering av om det er forholdsmessig å gi innsyn eller ikke. I dette inngår også en vurdering av nødvendighet, herunder en konkret vurdering av de ulike typene informasjon som omfattes av innsynskravet etter artikkel 15, og hvor stor del av utvalgets arbeidstid som vil gå til å behandle innsynskrav. Det er kun dersom det etter denne vurderingen framstår uforholdsmessig å behandle innsynskravet at unntaket kan sies å være nødvendig. Det vises for øvrig til utvalgets mandat når det gjelder kravet om å sikre «viktige mål av generell allmenn interesse».
Når det gjelder muligheten for den registrerte til å få overprøvd et eventuelt avslag på innsynskrav, viser departementet til at slike avslag kan påklages til Datatilsynet, som er den alminnelige klageinstansen for klager over avslag på slike innsynskrav. Departementet finner derfor ikke grunn til å fastsette dette uttrykkelig i loven her, men understreker at Datatilsynet ikke er noe overordnet forvaltningsorgan på området. Ved klager på utvalgets avgjørelser etter offentleglova, er derimot departementet klageinstans.
Departementet er også enig med Datatilsynet i at utvalget opphører å være behandlingsansvarlig når dets arbeid er avsluttet. Det vil da være det organet som overtar materialet etter at utvalget ikke lenger eksisterer som vil være behandlingsansvarlig, det vil si Justis- og beredskapsdepartementet.
Når det gjelder høringsinnspillet fra Politidirektoratet og Kripos påpekes det at dersom politiet gir utvalget opplysninger som er undergitt strengere regler om taushetsplikt enn det som følger av forvaltningsloven, skal disse strengere reglene etter lovforslaget gjelde for utvalget, jf. forslaget til § 4 andre ledd. Spørsmålet om å nekte den registrerte innsyn med hjemmel i personopplysningsloven § 16 første ledd bokstav d må da vurderes ut fra denne strengere taushetsplikten. Dersom politiet har pålagt utvalget taushetsplikt om utleverte opplysninger, jf. politiregisterloven § 35, kan den registrerte nektes innsyn med hjemmel i personopplysningsloven § 16 første ledd bokstav d. De andre unntakene i § 16 første ledd kan også etter en konkret vurdering kunne komme til anvendelse. Utvalget bør i utgangspunktet innhente politiet eller påtalemyndighetens syn før utvalget beslutter om den registrerte skal gis innsyn i opplysninger innhentet fra politiet eller påtalemyndigheten. Det er imidlertid utvalget som tar den endelige beslutningen, og departementet vil ikke foreslå en plikt for utvalget til å konsultere politiet eller påtalemyndigheten i lovforslaget. Et slikt pålegg kan bli forstått som en avgrensing av innsynsretten etter personvernforordningen artikkel 15, og det kreves da hjemmelsgrunnlag i forordningen artikkel 23. Det sentrale vil i alle tilfelle være om opplysningene er av en slik karakter at det er grunn til å vurdere nærmere om det er behov og grunnlag for unntak fra innsynsretten etter personopplysningsloven §§ 16 eller 17. Det bør vurderes ut fra de konkrete opplysningene og omstendighetene ellers om en skal kontakte politiet eller påtalemyndigheten for å få innspill til dette.