Mulige konsekvenser for norsk forvaltning av EFs reviderte utkast til personverndirektiv ¹

Av dr. juris Dag Wiese Schartum

I denne artikkelen gjør forfatteren rede for EFs utkast til personverndirektiv. Han konkluderer bl.a med at konsesjonsplikt for personregistre i offentlig forvaltning trolig ikke kan opprettholdes, noe som bl.a gir økt adgang til samkjøring av registre. Videre er direktivet ikke i særlig grad til hinder for kommersiell utnytting av det offentliges personregistre. Ved visse beslutninger som er undergitt en høy grad av automatisering, innebærer direktivet en plikt til å redegjøre for de automatiske prosedyrene. Dette gir en sterk oppfordring for forvaltningen til å dokumentere det rettslige innholdet av sine edb-systemer. Avslutningsvis stiller forfatteren spørsmål ved verdien av den enkeltes rett til f.eks innsyn, retting, sletting av personopplysninger, i et opphetet felles informasjonsmarked.

Dag Wiese Schartum er født i 1956, ble cand. jur. 1983 og dr. juris 1993. Schartum har vært forsker ved Institutt for rettsinformatikk, Universitetet i Oslo, siden 1983, og har publisert en rekke arbeider vedrørende edb i offentlig forvaltning. For tiden har han ansvar for forberedelsen av forvaltningsinformatikk hovedfag, som fra H-94 vil bli etablert som et nytt undervisningstilbud ved Universitetet i Oslo.

1. Presisering av tema, avgrensing og oversikt over innholdet

EFs utkast til personverndirektiv (COM(92)422 final/2 SYN 287) hører emnemessig under EØS-avtalen. Etter at direktivet (eventuelt) blir vedtatt av EF, vil det bli opptatt forhandlinger i EØS, med sikte på å la direktivet få anvendelse på hele EØS-området. Det kan i denne forbindelse være aktuelt å kreve overgangsordninger.

Min oppgave her er å gjøre rede for mulige virkninger for norsk forvaltning av utkastet til personverndirektiv. Hovedvekten vil bli lagt på konsekvenser for den del av forvaltningsorganers virksomhet som kan benevnes som utøvelse av offentligrettslig myndighet, men også visse andre sider av forvaltningens virksomhet vil bli berørt.

Det foreliggende direktivutkastet gjelder generelt for personvernet innen EF. Direktivet representerer ingen uttømmende angivelse av personvernet innen fellesskapet, men er ment å danne en overbygning over andre rettsakter og anbefalinger fra fellesskapets organer vedrørende personvern. Forslaget til "Direktiv om personvern i offentlige digitale telenett" og "Retningslinjer fra Kommisjonen vedrørende bedre samvirke mellom offentlig og privat sektor innen informasjonsmarkedet", er eksempler på andre relevante dokumenter.

Innledningsvis vil jeg kortfattet orientere om det rettskildemessige utgangspunktet, om bakgrunn, hjemmel og siktemål for personverndirektivet og om direktivets forhold til nasjonal rett. Dernest drøfter jeg personverndirektivets saklige virkeområde og gir en stikkordsmessig oversikt over innholdet. Mest plass vil jeg bruke til å drøfte fire større emner vedrørende direktivets mulige innvirkning på norsk forvaltning. Emnene kan stikkordsmes sig angis som "konsesjonsplikt for offentlige registre", "samkjøring av offentlige registre", "kommersiell utnyttelse av offentlige registre" og "grenser for forvaltningsautomatisering". Avslutningsvis vil jeg komme med enkelte rettspolitiske betraktninger.

2. Om tolkninger av personverndirektivet

Før jeg sier noe konkret om personvern direktivets innehold, er det nødvendig å si noe om min fortolkningen av direktivet. EFs rettsakter utferdiges i en rekke offisielle språk. Derfor kan et EF-direktiv bare i begrenset grad gjøres til gjenstand for ren ordlydsfortolkning. Personverndirektivets fortale og bestemmelser inneholder forholdsvis mange vage og skjønnsmessige uttrykk, noe som også gjør ordlydsfortolkning vanskelig. Fortolkningen av personverndirektivet er dessuten knyttet til et utkast. Det finnes derfor ikke rettspraksis som spesielt gjelder direktivet. I denne spesielle situasjonen har jeg valgt å legge forholdsvis stor vekt på forarbeidene til direktivet, herunder Kommisjonens bemerkninger. Det er ellers ikke vanlig å basere tolkning av direktiver på forarbeider. I to tilfelle der den franske personvernloven åpenbart har vært mønster for EF-direktivet, har jeg støttet meg til ordlyden i denne.

3. Direktivets bakgrunn, hjemmel, behandlingsmåte og siktemål

Kommisjonen la fram sitt første utkast til personverndirektiv i 1990. Bakgrunnen for Kommisjonens initiativ var at flere medlemsland ikke hadde personvernlovgivning, mens andre land hadde lover med et høyt beskyttelsesnivå. Flere land hadde heller ikke tiltrådt Europarådskonvensjonen om personvern (108/1981). Kommisjonen fryktet at disse ulikhetene ville kunne skape problemer for den frie flyt av persondata mellom medlemslandene, og dermed skape problemer for det økonomiske samkvemmet mellom landene.

Personverndirektivets siktemål er å etablere felles reguleringsprinsipper og et ensartet vern i hele EF-området (se Kommisjonens bemerkninger til artikkel 1). Innen denne målsettingen er det åpnet for at det enkelte land kan fastsette høyere standarder for personvern enn det som følger av direktivet (se fortalens avsnitt 9). Adgang til å supplere med strengere nasjonale regler følger av spesielle hjemler i direktivet. Direktivet inneholder imidlertid forbud mot å innføre personvernbeskyttelse som forbyr eller innskrenker fri utveksling av personopplysninger mellom medlemslandene, se artikkel 1 annet avsnitt, jf EF-traktatens artikkel 7 bokstav A om de fire friheter.

Kommisjonens utkast til personverndirektiv har hjemmel i EF-traktatens artikkel 100A som gir Rådet kompetanse til, med kvalifisert flertall, å utstede rettslige reguleringer med sikte på å harmonisere nasjonale bes temmelser som vedrører det indre markeds opprettelse og funksjon. Siden første direktivutkast ble lagt fram, har det kommet en rekke endringsforslag, særlig fra Europa-parlamentet. I 1992 la Kommisjonen fram revidert forslag til direktiv. For tiden er det hard tautrekking i saken, og det er uvisst når direktivet kan bli endelig vedtatt.

I tråd med EFs utvidede aktivitetsområde etter Unionsavtalen, ble det i fortalen til det reviderte utkastet til personvern direktiv tatt inn et avsnitt der andre enn markedsmes

sige aspekter ved direktivet blir understreket. Det uttales at databehandling blant annet må skje ut i fra respekt for sosiale framskritt og det enkelte individs velferd, se fortalens avsnitt 2. I fortalens avsnitt 5 gis det uttrykk for at utveksling av person opplysninger mellom landene også er en forutsetning for at de nasjonale forvaltninger skal kunne virkeliggjøre fellesskapsretten.

Jeg tror det er riktig å snakke om tre begrunnelser for direktivet. De markedsmessige over veielsene må sies ådominere, idet personvern ses som en forutsetning for å fået fritt marked til å fungere. I tillegg kommer en forvaltningsmessig begrunnelse, idet personopplysninger må kunne flyte uhindret for at felles forvaltningsordninger skal kunne etableres. For det tredje har også EF en idealistisk begrunnelse, idet personvern ses som en grunnleggende rettighet.

4. Generelt om direktivets forhold til nasjonal rett

EF-direktiver retter seg mot medlemslandene, og etablerer plikt til å gjennomføre innholdet av direktivet i nasjonal rett, for eksempel i form av nasjonal lovgivning. Personverndirektivet vil m.a.o. primært kunne få virkning for norsk forvaltning gjennom Stortingets vedtak, særlig i form av endringer i person registerloven.

Selv om et direktiv ikke er gjennomført etter forutsetningene kan det, i henhold til EF-domstolens lære om "direkte virkning", på visse vilkår likevel få gjennomslag i forhold til nasjonal rett. I henhold til prinsippet om EF-rettens forrang, vil regler utledet av et direktiv da gå foran regler utledet av nasjonal rett. Jeg kommer ikke nærmere inn på vilkårene for at direktiver skal kunne få direkte virkning.

Direktiver kan også tenkes å fåvirkning for norsk rett i tiden etter at direktivet er vedtatt, men før det er gjennomført i form av lovvedtak e.l. Prinsippet om direktiv-konform tolkning innebærer en plikt for domstolene og andre rettsanvendere til, også innen det nevnte tidsrommet, å fortolke nasjonal lovgivning i tråd med direktivets bestemmelser.

Til slutt bør det nevnes at det, selv om det ikke skulle foreligge noen rettsplikt for medlemslandene, kan det være politiske årsaker til å følge direktivets bestemmelser. Jeg kommer straks tilbake til personverndirektivets mulige politiske innvirkning.

5. Personverndirektivets saklige virkeområde

Direktivet omfatter både edb-messig og manuell behandling av personopplysninger, men den manuelle behandlingen kommer jeg ikke nærmere inn på.

I motsetning til personregisterloven omfatter ikke direktivet juridiske personer. Det får derfor ingen direkte konsekvenser for forvaltningens behandling av informasjon vedrørende sammenslutninger m.v.

Direktivet får heller ikke anvendelse på fysiske personers behandling av person opplysninger til private formål (artikkel 3, annet avsnitt, annet alternativ).

Angivelsen av personverndirektivets saklige virkeområde i artikkel 3 annet avsnitt, første alternativ, er av spesiell interesse for offentlig forvaltning. Her er virkeområdet (etter den danske versjonen) avgrenset mot "behandling [av personopplysninger] med henblik på udøvelse af aktiviteter, der ikke falder ind under fællesskapsrettens anvendelsesområde". I EF-retten gjelder et krav om at fellesskapets rettsakter skal være hjemlet i traktatene.² Fellesskapsrettens anvendelses område måderfor fastlegges i henhold til traktatene. EFs personverndirektiv vil derfor ikke gjelde for forvaltningsområder som ikke er omfattet av traktatene.

Etter inngåelsen av Unionsavtalen er antallet politikkområder i fellesskapet utvidet. I tråd med dette vil også betydningen av personverndirektivet øke, idet flere områder, som for eksempel sosial- og arbeidsmarkedspolitikken er inkludert i traktaten. I dag ligger m.a.o. mange, men ikke alle forvaltnings områder innenfor fellesskapsretten og dermed direktivets anvendelsesområde. Samtidig er det langt fra enkelt å avgjøre med sikkerhet hvilke forvaltningsområder som er omfattet.

Et av de områdene som ikke er en del av fellesskapsretten, er det europeiske politisamarbeidet. Europol, Trevi og Schengen er tre navn som betegner politisamarbeid mellom et flertall av EF-landene og som er nøye forbundet med oppbyggingen av omfattende persondatasystemer som CIS (Criminal Information System) og SIS (Schengen Information System).

Politioppgavene i Vest-Europa må sies ha å blitt viktigere og mer brennbare enn tidligere bl.a på grunn av bortfallet av kontrollfunksjoner knyttet til grensene mellom medlemslandene. Selv om "Storebrorsamfunnet" generelt er knyttet til kontrollintensiteten i samfunnet, står politiet og andre myndigheter med politilignende oppgaver, som for eksempel tolletater og immigrasjonsmyndigheter, fremst i rekken når skremmebildet av framtidssamfunnet skal tegnes. EF-direktivet innebærer ikke at fellesskapsorganene har grepet fatt i denne viktige delen av Europas personvernproblem.

De emneområder som faller utenfor felles skapsretten, er omtalt i direktivfortalens avsnitt 11. Her gis det anbefaling om at direktivets beskyttelses prinsipper også skal legges til grunn på områder utenfor fellesskapsretten. Det foreligger altså ingen rettsplikt for medlemslandene til å inkorporere personvern direktivet på forvaltningsområder som ikke er omfattet traktatene. Likevel antar jeg det også utenfor det saklige virkeområdet i praksis skal tungtveiende politiske grunner til for å gjøre avvik fra direktivet. Slike tungtveiende grunner kan for eksempel slå gjennom i forhold til politisamarbeid og etterretning. For øvrig er det grunn til å tro at det meste av den offentlige forvaltningen vil bli behandlet i henhold til direktivet.

6. Oversikt over viktige forskjeller mellom personverndirektivet og personregisterloven.

Før jeg går mer inngående inn på enkelte bestemmelser i direktivet, er det nødvendig å gi et riss av helheten. Jeg vil her kortfattet angi noen hovedpunkter:

Dersom jeg først skal gi en karakteristikk av direktivet, måtte det være at det i vid grad åpner for behandling av personopplysninger, samtidig som det stiller strenge krav til framgangsmåten og gir de registrerte klare og sterke rettigheter. Direktivet kan således beskrives som liberalt og strengt på samme tid.

Det reviderte utkast til personverndirektiv etablerer en fellesbehandling av offentlig og privat sektor, med et bes kyttelsesnivå som i utgangspunktet er likt. En begrunnelse har vært at det finnes forholdsvis mange etater som befinner seg i en gråsone mellom offentlig og privat sektor.

Jeg vil stikkordsmessig angi hovedtrekk ved reguleringsmåten i direktivet:

Et vesentlig element er plikten til å angi et eksplisitt formål for innsamling av personopplysninger (se artikkel 6 første avsnitt bokstav b).

Av helt sentral betydning er likeledes at direktivet angir et begrenset antall legitime grunnlag for behandling av person opplysninger, se artikkel 7.

Edb-messig behandling av personopplysninger skal meldes til et uavhengig tilsynsorgan (se artikkel 18).

Tilsynsorganet skal primært være en kontrollør og behandle klager fra publikum, men skal også kunne gripe inn ved brudd på personvern lovgivningen (se artikkel 30).

Publikum gis en rekke rettigheter i forhold til de registeransvarlige og operatørene av registeret (se artiklene 10 til 16).

De rettigheter som gis enkeltpersoner, er flere enn de den norske personregisterloven gir (jf prl §§ 7, 8 og 8a). Blant garantiene i direktivet nevner jeg registerførers plikt til å opplyse om eksistensen av en behandling av person opplysninger (artikkel 10), informasjonsplikt ved innsamling av opplysninger fra den registrerte (artikkel 11) og informasjons plikt ved videregivelse av personopplysninger til tredjemann (artikkel 12). I artikkel 13 etableres det rett til innsyn for den registrerte og til å fåuriktige eller ufullstendige opplysninger rettet, slettet eller blokkert.

Videre er det bestemmelser i artiklene 15 og 16 som gir rett til å motsette seg visse typer behandling av person opplysninger.

7. Hvilken skjebne vil den norske konsesjonsordningen få ?

Den norske personregisterloven er bygget opp rundt en konsesjons ordning, se lovens kapittel 4. Denne ordningen innebærer bl.a at det i utgangspunktet er forbudt for forvaltningen å opprette personregistre som gjør bruk av edb, se prl § 9 første ledd. Det er gjort visse generelle unntak fra konsesjonsplikten i forskriften til loven, se forskriftens kapittel 2. For forvaltningen er det imidlertid mest enkelte registre knyttet til intern administrasjon som på denne måten er unntatt.

Offentlig registre trenger heller ikke konsesjon dersom de er opprettet ved lov eller i medhold av lov, jf prl § 41.

Øvrige edb-førte personregistre i offentlig forvaltning trenger konsesjon fra Datatilsynet.

Innen norsk forvaltning har skillet mellom konsesjonspliktige og lovhjemlede registre vært viktig. Dersom konsesjons plikt foreligger, kan Datatilsynet for eksempel nekte forvaltningen å opprette registeret, nekte samkjøring mot andre registre og nekte visse opplysninger registrert. Datatilsynet kan forøvrig fastsette registerregler med ytterligere vilkår, i tråd med eksemplifiseringen i prl § 11 annet ledd. Det siste kan også fastsettes for lovhjemlede registre, men da med hjemmelsloven som ramme for hva som kan fastsettes.

Så vidt jeg kan forstå, kan ikke konsesjons plikten for personregistre i offentlig forvaltning beholdes dersom Norge forpliktes til å inkorporere personvern direktivet. Jeg skal straks begrunne hvorfor jeg mener dette er en konsekvens, og si noe om hva direktivet setter i stedet for dagens norske ordning.

I motsetning til personregisterloven bygger personvern direktivet på det utgangspunkt at forvaltningen fritt kan behandle personopplysninger, når dette inngår i offentligrettslig myndighetsutøvelse. Forvaltningen kan m.a.o. fritt samle inn, registrere og prosessere person opplysninger, med mindre dette uttrykkelig er forbudt. Dette går fram av artikkel 7 som angir legitime grunnlag for behandling av personopplysninger. I artiklens bokstav e heter det (i den danske versjonen) at slik behandling kan skje når det "[...] er nødvendigt af hensyn til udførelsen af en opgave i samfundets interesse eller henhørende under offentlig myndighetdsudøvelse [...]".

I direktivet finnes likevel to begrensede forbud mot å behandle personopplysninger uten tillatelse. Dette er for det første ved behandling av visse særlig sensitive personopplysninger, se artikkel 8 første avsnitt (opplysninger om rase, etnisitet, politikk, religion, filosofi, moral, fagorganisering, helse og seksualitet). Det dreier seg her grovt sett om de samme opplysningstypene som angitt i prl § 6 annet ledd. Direktivet fastsetter at det kan gis tillatelse til behandling av slike sensitive opplysninger, se artikkel 8 annet avsnitt. Tilsynsmyndigheten er bl.a tiltenkt kompetanse til å gi slike tillatelser, se artikkel 8 tredje avsnitt, jf artikkel 30 annet avsnitt.

For det andre er det i artikkel 18 femte, jf fjerde avsnitt, gitt adgang for medlemsstatene til å fastsette at det ved behandling av persondata, som innebærer særlig risiko for krenkelser, kan gjelde en ordning med forhåndstillatelse i stedet for normalordningen med meldeplikt. Av Kommisjonens bemerkninger går det fram at særlig risiko for personvernkrenkelser, kan anses å foreligge p.g.a. av behandlingens omfang, for eksempel dersom hele landets befolkning omfattes. Videre kan særlig risiko anses å foreligge når opplysningene er spesielt sensitive, se artikkel 8, eller dersom det tilsiktede resultatet av behandlingen kan ha særlig drastiske konsekvenser for de registrerte. Et eksempel på det siste er behandling som tar sikte på åstenge noen ute fra å utøve en offentligrettslig rettighet. Det er imidlertid verd å merke seg at det etter artikkel 18 fjerde avsnitt er en særlig risiko som kreves.

Selv om EF-direktivet altså inneholder to begrensede ordninger der et generelt forbud suppleres med individuelle tillatelser, må dagens norske konsesjonssystem sies å bryte med et av de grunnleggende prinsipper bak direktivet, nemlig prinsippet om at behandling av person opplysninger som ledd i utøvelse av offentlig myndighet er tillatt med mindre det eksplisitt er forbudt. Fordi målsettingen med direktivet er å finne fram til felles prinsipper for personvernreguleringene i medlemslandene, må den markerte forskjellen mellom EFs og Norges reguleringsprinsipper i hvert fall sies å være problematisk.

Siden direktivet eksplisitt gir tillatelse til å etablere to avgrensede tillatelsessordninger i nasjonal lovgivning, er det dessuten nærliggende å forstådette antitetisk, ved å anta at ytterligere konsesjonsordninger ikke godtas.

Riktignok er det i fortalen til direktivet og i Kommisjonens bemerkninger framhevet en mulighet for nasjonalstatene til å fastlegge en høyere personvernstandard enn det direktivet etablerer. Dette innebærer imidlertid ikke at medlemslandene gis frie tøyler. Høyere nasjonale standarder kan for eksempel godtas utenfor direktivets saklige virkeområde, for eksempel utenfor fellesskapsretten, for juridiske personer og for fysiske personers behandling av person opplysninger til private formål, se artikkel 3. Dessuten kan det antagelig fastsettes enkelte strengere standarder i henhold til medlemslandenes rett til å presisere bes temmelsene i kapittel II, se artikkel 5 annet avsnitt. I tillegg er det gitt i alt 10 begrensede hjemler for fastsettelse av nasjonale regler. Forøvrig er det selvsagt en forutsetning for å kunne fastsette en høyere nasjonal standard, at slike bestemmelser ikke strider mot EF-retten ellers, for eksempel bestemmelser vedrørende det åpne markedet.

Det er etter min mening klart at en norsk konsesjonsordning ikke kan henføres under de direktivbestemmelser som åpner for høyere personvernstandarder i medlemslandene enn det som følger av direktivet.

Uansett om det kan sies å gjenstånoe usikkerhet vedrørende dette rettsspørsmålet, vil trolig også en politisk vurdering av økonomiske og praktiske forhold spille en viss rolle ved vurderingen om konsesjonsordningen skal søkes opprettholdt. I Norge som i Sverige har den brede konsesjonsplikten medført store belastninger på Datatilsynet og Datainspektionen. I Sverige er det anbefalt å gåbort i fra "tilstånds"ordningen, og i Norge har spørsmålet om konsesjonsordningens framtid vært reist flere ganger. Ut i fra en kombinasjon av rettslige og politiske vurderinger, regner jeg det derfor som overveiende sannsynlig at den nåværende norske konsesjonsordningen vil forsvinne etter at direktivet er integrert i EØS.

Når dette er sagt, vil jeg minne om at bortfallet av konsesjonsplikt for forvaltningens personregistre, til en viss grad kan kompenseres gjennom krav til tillatelse i henhold til direktivets artikkel 8 tredje avsnitt og artikkel 18 femte avsnitt. Endringen vil derfor ikke være fullt så dramatisk som den umiddelbart kan virke. Som jeg straks skal gi et eksempel på, vil bortfallet av konsesjonsplikt likevel få klare konsekvenser for behandlingen av persondata i offentlig forvaltning.

8. Samkjøring av registere

Dersom forvaltningen ønsker å samkjøre personregistre, kreves det etter de någjeldende norske reglene konsesjon fra Datatilsynet, med mindre samkjøringen anses å ha lovhjemmel. Dersom kons esjonsordningen faller bort på grunn av EF-direktivet, blir spørsmålet hvilke erstatninger personvern direktivet foreskriver. Jeg tror svaret er enkelt: Direktivet legger i de fleste tilfelle ingen nevneverdige hindringer i veien for samkjøring av forvaltningens personregistre.

Bortsett fra oppregningen i artikkel 2 bokstav b der begrepet "behandling" defineres, er ikke samkjøringstilfellene spesielt regulert i direktivet. I de aller fleste bestemmelser brukes i stedet det altomfattende begrepet "behandling".

Det stilles opp fire generelle krav for at behandling herunder samkjøring - skal kunne finne sted:

For det første må samkjøringen være omfattet av det eller de eksplisitte formål som er angitt i tilknytning til innsamlingen av opplysningene, se artikkel 6 første avsnitt, bokstav b. Kravet til eksplisitet er neppe et særlig alvorlig hinder for realiseringen av forvaltningsorganers ønsker om samkjøring. Dersom et formål for innsamling av personopplysninger for eksempel angis å være "kontroll med lovligheten av likningsvedtak", vil dette trolig være tilstrekkelig og samtidig dekke en rekke behov for samkjøring.

Dersom nye behov skulle dukke opp, for eksempel ved at en ønsker å bruke enkelte av opplysningene til kontroll med lovligheten av avgiftsvedtak, er spørsmålet om det opprinnelige formålet vil kunne endres. Verken direktivet eller forarbeidene gir noe klart svar på dette spørsmålet. Det danske Justitsministeriet går i et notat imidlertid inn for at slik endring skal være mulig (s 38). I motsatt fall vil nemlig store deler av den "gjenbruk" av informasjon som planlegges i dansk og i norsk forvaltning, bli alvorlig innskrenket. Formålsangivelsen kan etter min mening gi en viss treghet, men vil på litt sikt neppe forhindre samkjøring som et forvaltningsorgan ønsker gjennomført ut i fra en forvaltningsmessig begrunnelse.

For det andre stilles det krav om at samkjøringen kan begrunnes i et av de legitime grunnlag for behandling av person opplysninger, som er angitt i direktivets artikkel 7. Et av de mulige grunnlagene i alternativ e er, som tidligere nevnt, spes ielt myntet på utøvelse av offentlig virksomhet. Her kreves det bl.a at behandlingen "er nødvendigt af hensyn til udførelsen af en opgave [...] henhørende under offentlig myndighedsudøvelse". Et annet mulig grunnlag for forvaltningens samkjøring av personregistre, er det høyst vurderingspregede alternativet i bokstav f, der det bl.a tales om "en legitim interesse hos den registeransvarlige".

Det tredje vilkåret er at samkjøringen ikke omfatter slike sensitive opplysninger som det i henhold til artikkel 8 første avsnitt er forbudt å behandle uten særlig tillatelse eller lovhjemmel. Jeg minner om at klassifiseringen av særlig sensitive opplysninger grovt sett tilsvarer opplistingen i prl § 6 annet ledd.

For det fjerde kan det i helt spesielle tilfelle være aktuelt å vurdere om samkjøringen innebærer en særlig risiko for personvern krenkelse, jf artikkel 18 fjerde avsnitt. Jeg har tidligere forklart innholdet av denne bestemmelsen.

I mange tilfelle vil samkjøring av registre forutsette en videregivelse av opplysninger, og således omfattes av kravet i direktivets artikkel 12 om plikt til å informere de registrerte om videregivelsen. I såfall skal det sendes melding om hvilke person opplysninger som gis videre, hvem som mottar opplysningene og formålet med utleveringen av personopplysningene, for eksempel om samkjøringsformålet (se artikkel 12 nr. 1 bokstavene c, d og b).

Konklusjonen på dette punktet er at direktivet innebærer en vid, men likevel ikke ubegrenset, adgang for forvaltningen til å samkjøre registre. I tillegg krever direktivet at de registrerte skal bli aktivt informert om samkjøringen, forutsatt at samkjøringen krever videregivelse av personopplysninger.

9. Samvirke mellom offentlig og privat sektor

I tilknytning til spørsmålet om den offentlige forvaltningens adgang til å samle inn ulike opplysnings typer og til å samkjøre personregistre, er det etter min mening grunn til å framheve noen sammenhenger mellom personverndirektivet og EFs retningslinjer for forbedret samvirke mellom offentlig og privat sektor innen informasjons markedet (Directorate-General for Telecommunications, Information Industries and Innovation, 1989). Jeg avgrenser meg til spørsmål vedrørende offentlig forvaltning som produsent og selger av grunnlagsdata. Grunnlagsdata er bl.a opplysninger som forvaltningen samler inn for å fatte enkeltvedtak og for ulike andre formål, og som kan danne grunnlag for videre bruk også innen privat sektor. Blant grunnlagsdata er ulike personopplysninger.

De nevnte retningslinjer fra EF forutsetter at også personopplysninger fra offentlig sektor skal kunne tilflyte privat sektor, og således for eksempel danne basis for oppbygging og markedsføring av edb-baserte informasjons tjenester. Forutsetningen er at slike personopplysninger ikke er undergitt begrenset tilgang i henhold til en "legitim interesse". Personvern representerer en slik legitim interesse. EFs person verndirektiv vil derfor også kunne få stor betydning ved at direktivet angir hvilke begrensninger som skal gjelde for kommersielt motivert samvirke om personinformasjon mellom det offentlige og det private.

Hvilke regler som anses å gjelde for flyt av person informasjon fra offentlig til privat sektor, er avhengig av de fire bestemmelser som også var utslagsgivende i forhold til spørsmålet om samkjøring. I denne sammenheng nøyer jeg meg med å minne om kravet om en eksplisitt formålsangivelse, forbudet mot å behandle visse typer spesielt sensitive personopplysninger og muligheten for å nedsette forbud mot behandling som medfører særlig risiko for personvernkrenkelser.

Det fjerde og springende punktet i denne sammenheng, vil trolig være spørsmålet om videregivelse fra offentlig til privat sektor kan sies å ha grunnlag i direktivets artikkel 7, dvs i den bestemmelsen som regulerer spørsmålet om behandling av personinformasjon har et akseptert grunnlag.

Dersom vi forutsetter at forvaltningen selger sine grunnlagsdata, og motivet kan sies både åvære utsikten til inntekt og ønsket om å stimulere det private informasjonsmarkedet, kan en ikke påberope et grunnlag i offentlig myndighetsutøvelse slik som ved mange samkjøringstilfelle (bokstav e). Artikkel 7 bokstav e inneholder imidlertid også et annet alternativ. Dette omfatter tilfelle der behandlingen er nødvendig "af hensyn til udførelsen af en opgave i samfundets interes se". Jeg antar at denne bestemmelsen kan være et tilstrekkelig grunnlag for å selge opplysninger til privat sektor, dersom dette er ledd i etableringen av en privat informasjonstjeneste som anses å være samfunnsmessig nyttig.

Det nevnte alternativet i bokstav e kan neppe være grunnlag for salg av personopplysninger som primært har et forretningsmessig sikte. Derimot kan alternativet i bokstav f tenkes å utgjøre et tilstrekkelig grunnlag i disse tilfellene. Her kreves det bl.a at behandlingen er nødvendig for å forfølge en "legitim interesse hos den registeransvarlige eller den eller de tredjemænd, til hvem oplysningerne videregives". Det gis m.a.o. anvisning på en interesseavveining. Hvis slike legitime interesser finnes å veie tyngre enn den registrertes interesser, anses det å foreligge et tilstrekkelig grunnlag for behandling, for eksempel til salg av personopplysninger fra offentlig til privat sektor.

Oppsummeringsvis kan det sies at direktivet ikke er til hinder for salg av personopplysninger til privat sektor, dersom dette anses nødvendig for å utføre oppgaver som det er i samfunnets interesse å gjennomføre. Dersom samfunnsnytten mangler og fortjenes temotivet gjenstår, vil spørsmålet om adgangen til å selge personinformasjonen avhenge av en bred interesseavveining.

10. Tiltak rettet mot høy grad av automatisering

Jeg skal nå gåover til å diskutere to bestemmelsene i direktivet, som har vakt interesse i det rettsinformatiske miljøet. Begge bestemmelser er hentet fra den franske loven av 1978 om "databehandling, dataregistre og individuelle rettigheter".³ Bestemmelsene representerer person verngarantier som kan sies å beskytte den registrerte mot en meget høy grad av automatisering i beslutningene.

Jeg vil først drøfte artikkel 13 femte avsnitt i direktivet, som har artikkel 3 i den franske loven som forbilde, og som kom med i Kommisjonens reviderte direktivutkast fra november 1992. I direktivet heter det at den registrerte skal ha "ret til på forlangende at kende det ræsonnement der ligger til grund for en edb-behandling, der går ham imod". M.a.o. skal den registrerte gis et krav på en redegjørelse for de operasjoner som datamaskinen har utført i saken, dvs for innholdet av vedkommende edb-program. Jeg skal kort diskutere de nærmere vilkår for at et slikt krav om redegjørelse skal oppstå.

For det første stilles det ikke opp noe krav om at hele beslutningsprosessen skal skje ved hjelp av edb. Også når resultatet bare delvis blir til ved hjelp av maskinelle rutiner skal den registrerte sikres krav på redegjørelse.

Forvaltningen unngår trolig ikke kravet om slik redegjørelse selv om en saksbehandler ser på og bekrefter riktigheten av de resultater som har framkommet ved hjelp av edb. Annerledes vil det trolig være dersom det skjer en manuell etterbehandling av et resultat fra edb-systemet, med den konsekvens at resultatet helt eller delvis endres. Jo mindre betydelig edb-behandlingen er for sluttresultatet, jo større sannsynlighet er det for at tilfellet ikke omfattes av denne direktivbestemmelsen.

Et videre vilkår er at avgjørelsen skal gå imot den registrerte. Bestemmelsen forutsetter at den registrerte ønsker resultater i en viss retning, noe det ofte vil være enkelt å bringe på det rene, for eksempel fordi dette kommer til uttrykk i form av oppgaver og søknader som vedkommende har inngitt. Jeg skal ta for meg to situasjoner som dekkes av direktivets ordlyd.

For det første vil automatiserte avslagsrutiner komme inn under artikkel 13 femte avsnitt. Ved behandling av en sak om dagpenger ved arbeidsløshet, viser for eksempel beregningen at den gjennomsnittlige inntekten de tre sist avsluttede kalenderår ikke overstiger minstegrensen for inntektsgrunnlag i henhold til ftl § 4-3 nr 2, sjette ledd. På dette grunnlaget avslås såsøknad om dagpenger. Her gir direktivet den registrerte et krav på redegjørelse for de automatiserte prosedyrene.

Den andre, og etter min mening mest interessante muligheten, er at den registrerte har gjort klart overfor forvaltningsorganet hvilken beregningsmåte han mener er riktig å følge i sin sak. En skattyter har for eksempel i et vedlegg laget en talloppstilling som viser det han mener er riktig utregning av skatten. Dersom ligningsmyndighetene legger en avvikende og mindre gunstig beregningsmåte til grunn, kommer artikkel 13 femte avsnitt til anvendelse. Hele den edb-prosedyren som det står strid om, skal det i slike tilfelle redegjøres for.

Artikkel 13 femte avsnitt bringer forvaltningen i den meget interessante situasjon, at den må forberede seg på åkunne gjøre rede for alle automatiserte rutiner som er basert på rettskildemateriale. Denne direktivbestemmelsen representerer derfor en klar oppfordring til forvaltningen om på forhånd å utarbeide en forståelig systemdokumentasjon.

Retten til redegjørelsene for visse automatiserte prosedyrer innebærer imidlertid neppe at forvaltningen vil få stor pågang av folk som krever slike redegjørelser. For det første må den registrerte selv kreve redegjørelse. For det andre må den registrerte være både kunnskapsrik og initiativrik for å utløse krav om redegjørelse for prosedyrer som ikke har ledet fram til avslag. I slike tilfelle var jo forutsetningen at den registrerte selv hadde gjort klart sine forventninger for så vidt gjelder utregnings- og behandlingsmåte.

Dersom en avgjørelse bare er basert på edb-behandling påbyr direktivets artikkel 16 medlemslandene å sikre de registrerte en rett til å motsette seg slik behandling. De registrerte skal i slike tilfelle kunne kreve å fåsaken vurdert av en saksbehandler. Bestemmelsen er etter modell av artikkel 2 annet avsnitt i den franske loven.

En forutsetning for krav etter artikkel 16 er at edb-behandlingen leder ut i en "personlighedsprofil"som oppfattes som negativ. Med "personlighedsprofil" må en trolig forstå resultater som angir en beskrivelse eller karakteristikk av vedkommende. Sagt med andre ord, innebærer artikkel 16 bl.a en rett for den enkelte til å motsette seg resultater som er respons på den registrertes kommunikasjon mot edb-systemet, når dette innebærer en karakteristikk av hans framferd som må oppfattes som negativ. I offentlig sektor kan en tenke seg slike personlighetstester anvendt som grunnlag for opptak til studier, ved søknad om stillinger i det offentlige eller som ledd i statsbankers vurdering av kredittverdighet.

Fordi jeg vet at enkelte har forstått denne bes temmelsen som en generell rett til å motsette seg saksbehandling som fullt ut er automatisert, vil jeg sterkt understreke at direktivet kun gjelder fullautomatiserte avgjørelser som leder ut i vurderinger av egenskaper, evner eller adferd uttrykt i form av karakteristikker av vedkommende person. Direktivet omhandler ikke andre tilfelle av fullautomatisert saksbehandling, for eksempel tilfelle hvor samkjøring av registre og automatiserte beregnings prosedyrer gir enkeltvedtak som ikke er undergitt noen individuell behandling. Dette går etter min mening klart fram av Kommisjonens bemerkninger til artikkel 16, der det bl.a gis eksempler som illustrerer uttrykket "personlighedsprofil".

Artikkel 16 kan ikke antas å være praktisk viktig i dagens norske forvaltning. Etter min mening er imidlertid både denne bestemmelsen og artikkel 13 femte avsnitt av prinsipiell interesse fordi de representerer vilkår knyttet til en høy grad av automatisering. Slike vilkår finnes ikke i dagens norske lovgivning. Vi kan i dag se konturene av behandlingsmåter i offentlig forvaltning der tjenestemennene spiller en meget beskjeden rolle i forhold til den enkelte avgjørelse.⁴ Jeg ser personvern direktivets artikler 13 femte avsnitt og 16 som et interessant innspill i diskusjonen om balansen mellom manuelle og automatiserte elementer i saksbehandlingen.

11. Avsluttning og rettspolitiske betraktninger.

Til slutt vil jeg komme med noen rettspolitiske betraktninger i tilknytning til EFs direktiv om personvern.

Jeg vil ta utgangspunkt i det gledelige forhold at direktivet etablerer flere nye rettigheter for de registrerte, bl.a retten til å bli informert ved videregivelse av person opplysninger i henhold til artikkel 12.

Videregivelse og samkjøring av personregistre vil etter alt å dømme bli en stadig vanligere foreteelse, også innen offentlig forvaltning. Derfor er det etter min mening grunn til å frykte den dagen da alle meldinger om slike videregivelser fyller opp postkassene. Med det offentlige integrert i EFs "informasjonsmarked" og med videregivelse over landegrensene for bl.a å muliggjøre en fellesskapsforvaltning, er det grunn til å spørre hvor mange mennesker som vil klare å følge med i hvorledes opplysninger om dem flyter innenfor og mellom offentlig og privat sektor og på tvers av landegrenser. Etter min mening gir en slik meldeplikt best mening dersom antallet videregivelser kan holdes på et begrenset nivå.

Mer generelt mener jeg det er problematisk å gi omfattende rettigheter for de registrerte samtidig som det "informasjonsmarkedet" opplysningene inngår i, stimuleres i retning av stadig høyere omløpshastigheter og stadig mer kompliserte mønstre for informasjonsutveksling og informasjonsbehandling ellers.

Rett til for eksempel innsyn, retting, sletting og beskjed om videregivelser skal gi den enkelte en følelse av kontroll - og kanskje også en reell mulighet for kontroll. De fleste ønsker imidlertid ikke å vie sitt liv til oppgaven å kontrollere andres behandling av opplysninger om dem. Derfor er det en grense for hvor mange steder vi burde be om innsyn, hvor mange feil vi oppdager og hvor mange beskjeder om videregivelse vi mottar, før rettighetene virker lite hensiktsmessige, og kanskje til og med meningsløse.

Et omfattende og hektisk informasjonsmarked vil etter min mening ha to viktige effekter i forhold til de registrertes rettigheter:

• Kostnadene knyttet til de registrertes rettigheter vil gå i været, og
• garantiene vil i stadig større grad virke over veldende og meningsløse på de registrerte, fordi det uansett ikke er mulig å etablere noen oversikt eller følelse av kontroll.

I tilknytning til EFs personverndirektiv er det derfor nærliggende å tenke seg personvernlovgivningen i tre utviklingstrinn:

• Et første trinn der registre ble konsesjonsbehandlet og regulert ved hjelp av registerregler, kombinert med rettigheter for de registrerte.
• Et annet trinn der konsesjonsbehandlingen ble helt eller delsvis oppgitt og erstattet av et meldesystem, kombinert med forsterkede rettigheter for de registrerte.
• Et framtidig tredje trinn der meldesystemet begrenses på grunn av det høye antallet registre, og der rettighetene for de registrerte mister sin verdi på grunn av omfanget og hastigheten i informasjonsbehandlingen.

Jeg tror alle viktige samfunnsinstitusjoner, og ikke minst de innen offentlig forvaltning, vil være tjent med å innrette sin virksomhet på en måte som skaper tillit i befolkningen. Samtidig tror jeg det finnes en grense for hvor omfattende, intrikat og kontrollrettet forvaltningens informasjonsbehandling kan bli før dette tillitsforholdet settes i fare. Dersom EF-direktivet skal sette rammene for framtidens norske personvernlovgivning, mener jeg derfor forvaltningen bør vise adskillig mer tilbakeholdenhet enn det EFs utkast til personverndirektiv gir grunn til.

Fotnoter

1. Artikkelen inneholder en utvidet versjon av Schartums prøveforelesning for den juridiske doktorgraden, oppgitt emne 26. november 1993. Artikkelen er publisert i Lov og Rett 6/94.

2. Dvs Traktaten om det europeiske kull og stålfellesskap, Euratom-traktaten, Romatraktaten eller Traktaten om den europeiske union.

3. Loi no. 78-17 du 6 janvier 1978 relative … l'informatique, aux fichiers et aux libertés.

4. Dag Wiese Schartum, "Den selvbetjente forvaltning - Om saksutredning ved behandling av enkeltsaker i masseforvaltningen", Nordisk Administrativt Tidsskrift 1994 s xx.