Forslaget til ny lov om behandling av personopplysninger:

– Et svekket Datatilsyn?

Professor Dag Wiese Schartum

I 17 år har " personregisterloven" regulert bruken av personregistre. Den 13. juni overleverte Personregisterlovutvalget sin innstilling med forslag om ny lovgivning for å ivareta personvern. Dette er den første av tre artikler der medlem av utvalget, professor Dag Wiese Schartum ved Avdeling for forvaltningsinformatikk gjennomgår de viktigste elementene i forslaget. I denne første artikkelen gjør Schartum rede for bakgrunn for arbeidet og forslag til en ny konsesjons- og meldepliktordning.

Utredningen har hatt EUs direktiv om personvern som ramme og dagsorden, og har skjedd parallelt med lignende lovrevisjoner i de andre nordiske land. Dette innebærer neppe at vi vil få lik lovgivning innen Norden, men at den blir harmonisert og likeverdig med andre land som vi har et tett samkvem med.

Lovforslaget innebærer et "hamskifte" med vesentlige endringer i rettstilstanden. I motsetning til det som har kommet til uttrykk i enkelte forhåndspekulasjoner, oppsummerer imidlertid utvalget forslagene i tittelen på NOUen til: "Et bedre personvern". En grunn til at mange har fryktet et dårligere personvern, er at dagens konsesjonsordning for personregistre står for fall. Ordningen fastsetter bl.a at alle som skal etablere et elektronisk personregister må ha konsesjon (tillatelse) fra Kongen, en myndighet som er delegert Datatilsynet. Konsesjonssakene har vært viktige for etableringen av personvern som et nytt fagfelt og som politisk stridstema. Omstridte konsesjoner har bl.a gitt anledning til verdifull uenighet med presseoppslag og friske meningsutvekslinger. På mange måter kan det sies å ha eksistert et likhetstegn mellom "personvern" og konsesjonsbehandling i Datatilsynet.

Utvalget foreslår en langt mindre omfattende konsesjonsordning som skal være knyttet til bruk av sensitive opplysninger for å treffe enkeltavgjørelser i offentlig og privat sektor. Det betyr ikke at det er "fritt fram" for alle andre. I tillegg til konsesjonsordningen blir det nemlig foreslått en rekke andre tiltak som vil mer enn kompensere for endringen i konsesjonsordningen.

Begrunnelsen for å redusere konsesjonsplikten er blant annet at dette vil frigjør meget tid til veiledning og til kontroll med at loven følges. I lovutkastet gis det en rekke nye konkrete regler om hvorledes personopplysninger skal behandles. Datatilsynet er i forslaget gitt kompetanse til å gripe inn dersom tilsynet mener at disse reglene ikke er overholdt. I motsetning til dagens situasjon kan de etter forslaget ilegge tvangsmulkt dersom pålegg fra tilsynet ikke etterkommes. Dette vil avgjort være med på å styrke Datatilsynets stilling.

I tillegg til konsesjonsplikten er det foreslått en bred meldepliktordning som i utgangspunktet innebærer at alle som vil behandle personopplysninger ved hjelp av edb skal inngi melding om dette til Datatilsynet. Meldingsordningen vil etablere en forpliktende kontakt mellom de behandlingsansvarlige og Datatilsynet, samt danne grunnlag for utsending av informasjon ved endringer av regelverk m.v. Viktigere er imidlertid meldeordningens funksjon som en hovedkilde for den kunnskap som Datatilsynet til enhver tid må erverve om teknologiske og samfunnsmessige forhold. Utvalget går langt i retning av å forutsette mulighet for valgfri elektronisk innsending av meldinger og peker på muligheten for at alle meldinger foreligger i manskinlesbar form. Dette kan sies å være nødvendig for at meldingene ikke bare skal bli hauger av papir, men et materiale som gjør det lettere for Datatilsynet å prioritere og gjennomføre virkningsfulle tiltak.

For flertallet av de som skal forestå behandling av personopplysninger vil det neppe være meldeplikten som vil tiltrekke seg størst oppmerksomhet. Av større betydning vil det trolig være at det foreslås en plikt til å etablere systematisk tiltak for å sikre personopplysningers kvalitet, diskresjon og tilgjengelighet. Videre foreslås det en plikt til å etablere et internkontrollsystem, dvs dokumenterte rutiner som sikrer overholdelse av lovens regler. Begge bestemmelser skal bidra til å påse at personvern ikke bare er noe som pålegges utenfra, men i tillegg blir en integrert del av tenkningen hos de offentlige og private virksomheter som behandler personopplysninger. I tråd med dette er det foreslått at Datatilsynet også skal ha som oppgave å bistå ved utvikling av "bransjevise adferdsnormer" på personvernområdet. Dette er regler som er ment å understøtte personvernet og som en bransje eller lignende blir enige om skal være retningsgivende for sitt område.

Oppsummeringsvis kan det sies at den politiske, teknologiske og samfunnsmessige utviklingen gjør at dagens konsesjonsordning for personregistre uansett står for fall. Til erstatning har Personregisterlovutvalget foreslått et knippe av tiltak som dels styrker Datatilsynet og som dels stiller nye krav til de organsisasjoner og enkeltpersoner som behandler personopplysninger. Til sammen vil dette kunne gi et Datatilsyn som står godt rustet til å møte framtidige utfordringer på personvernområdet.