Forventede endringer i norsk personvernlovgivning

Forventede endringer i norsk personvernlovgivning

Forventede endringer i norsk personvernlovgivning

Av professor dr. juris Dag Wiese Schartum


I juni måned ble NOU 1997: 19 "Et bedre personvern" med forslag til ny lov om behandling av personopplysninger overlevert Justisdepartementet. Forslaget er ment å erstatte lov av 9. juni 1978 nr 48 om personregistre m.m. (personregisterloven). I utredningen fremmes det forslag om vesentlige endringer i tråd med EUs personverndirektiv. Blant annet foreslåes dagens konsesjonsordning vesentlig omlagt, reglene om fjernsynsovervåkning foreslås skjerpet, den enkeltes innsynsrettigheter styrkes og en ny klageinstans foreslås opprettet. Endringene vil kunne få stor betydning innen nær sagt alle samfunnsfelt. Regjeringen vil trolig legge fram sitt lovforslag i løpet av høsten 1998. På grunn av den EU-rettslige rammen for lovforslaget er det neppe grunn til å vente store endringer i forhold til utvalgets forslag.


1 Innledning

Den 6. oktober 1995 oppnevnte regjeringen et utvalg som skulle fremme forslag om revisjon av lov av 9. juni 1978 nr 48 om personregistre m.m. Utvalget kunne herunder også vurdere "tilstøtende lovgivning". (1) "Personregisterlovutvalget" hadde 10 medlemmer med representanter fra Planleggings- og samordningsdepartementet, Sosial- og helsedepartementet, Samferdselsdepartementet, Justisdepartementet, Datatilsynet, Statistisk sentralbyrå, Landsorganisasjonen i Norge, Næringslivets hovedorganisasjon, Universitetet i Oslo og med konserndirektør Arne Skauge, Den norske bank, som leder. (2)

Den 13. juni 1997 leverte lovutvalget sin innstilling som med noen få unntak inneholder enstemmige tilrådinger om hvorledes personvernet bør videreføres og videreutvikles i informasjonssamfunnet. Forslagene peker i retning av en klar endring av lovgivningen på området og markerer samtidig overgang til en mer enhetlig personvernlovgivning innen EU/EØS-området. I denne artikkelen vil jeg kort redegjøre for bakgrunnen for lovrevisjonen og gjennomgå hovedpunkter i lovforslaget.


2 Kort om bakrunnen for lovrevisjoen

Personregiserloven ble vedtatt i 1978 og trådte i kraft 1. januar 1980.(3) Grunnlaget for loven var to offentlige utredninger fra 1970-årene. (4) Personregisterloven bærer på mange måter preg av den tid den ble forberedt i. Da loven ble vedtatt i 1978 var omfanget av elektronisk behandling av personopplysninger forholdsvis lite og fortrinnsvis knyttet til større offentlige og private virksomheter. Selv om datamaskinsystemer på den tid allerede hadde vært i bruk i mer enn 15 år, og selv om "datarevolusjonen" rullet videre mens loven ble utredet, var det den gangen realistisk med et krav til tillatelse (konsesjon) for å opprette personregistre som gjorde bruk av "elektroniske hjelpemidler".(5) Bare noen få år etter lovens ikrafttredelse ble det imidlertid klart at det nyopprettede Datatilsynet ikke hadde kapasitet til å behandle de mange store og små "personregistre" som det ble søkt konsesjon for. (6) I tillegg satt teknologiutviklingen lovens registerbegrep på prøve. Særlig etterhvert som telekommunikasjonsteknologien knyttet datamaskinsystemer sammen, oppstod spørsmålet om sammenstilling av opplysninger i to eller flere systemer innebar etablering av konsesjonspliktige personregistre. Jo mer omfattende og skiftende slik utveksling og sammenstilling av personinformasjon har blitt, jo vanskeligere har det blitt å fastholde "personregister" som et av lovens grunnbegreper.

I utvalgets mandat ble den teknologiske, økonomiske og administrative utviklingen på området trukket fram som den generelle bakgrunnen for ønsket om en lovrevisjon. Det må antas at det særlig var håndteringen av konsesjonsordningen som lå bak mandatets framheving av endrede administrative forhold. Gjennom årene har det blitt gjort flere viktige unntak fra konsesjonsplikten, og slike personregistre er i stedet regulert ved forskrift. For konsesjonspliktige registre har det utviklet seg en praksis med "ramme- og standardkonsesjoner" for å underlette saksbehandlingen. (7) I dag regner Datatilsynet med at de har gitt ca 60.000 konsesjoner. I 1996 ble det gitt ca 2700 nye tillatelser til å føre personregistre. (8) Selv om det så vidt vites ikke er gjort noen overslag over antall konsesjonspliktige registre uten konsesjon, er det samtidig på det rene at et høyt antall slike personregistre har eksistert uten at det har vært søkt om konsesjon. En stor del av dette problemet ble løst ved at omfanget av konsesjonsplikten ble redusert f.o.m. 1. januar 1997. (9)

Dagens konsesjonsordning kan videreføres ved at en unntar ytterligere registertyper fra konsesjonsplikten. En ville imidlertid få et lovgivningsteknisk problem fordi unntakene blir så mange at lovens generelle utgangspunkt om konsesjonsplikt blir misvisende. Det avgjørende rettspolitiske spørsmålet er imidlertid om en omfattende konsesjonsordning utgjør en hensiktsmessig reguleringsmåte når målsettingen er å ivareta personvernet. Også etter den gjeldende personregisterloven skal Datatilsynet utføre andre oppgaver enn å behandle konsesjonssøknader. Således er informasjonsvirksomhet, kontroll med overholdelse av lovgivning og konsesjonsvilkår og utarbeidelse av høringsuttalelser blant de oppgaver tilsynet skal utføre. Problemet er imidlertid at fordi det foreligger en plikt til å behandle konsesjonssøknadene uten ugrunnet opphold (forvaltningsloven § 11 a), vil slike saker i stor grad få en "forkjørsrett", noe som lett vil gi for lite tid til de andre oppgavene. Dette er situasjonen selv om mange og lite kontroversielle konsesjonssøknader må anses som langt mindre viktige for personvernet enn for eksempel kontroll med at regler for personregistre faktisk blir etterlevet.

Behovet for omlegging av konsesjonsordningen kan ses som en selvstendig grunn til å ønske revisjon av personregisterloven. Minst like viktig var det imidlertid at EU i 1995 vedtok rådets direktiv 95/46/EF "Om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger" ("personverndirektivet"). Direktivet var ved avleveringen av utvalgets innstilling ikke tatt inn i EØS-avtalen, men utgjorde i tråd med mandatet like fullt en avgjørende ramme for utvalgets arbeid. For det første tok en det for gitt at Norge ville bli forpliktet av direktivet. For det andre framstår det som innlysende at den teknologiske og samfunnsmessige utviklingen tilsier en lovgivning som er harmonisert med land der det skjer – og i økende grad vil skje – utveksling av personopplysninger. Dette gjelder særlig på grunn av det økonomiske og forvaltningsmessige samkvemmet med EU- og EØS-land. Fastlegging av felles minstekrav til europeisk personvernlovgivning har imidlertid lenge vært en målsetting. Allerede i 1984 ratifiserte Norge således Europarådets konvensjon om personvern (28. januar 1981 nr 108).

Personverndirektivet legger klare føringer på revisjonen av personregisterloven. For det første er det klart at Norge ikke lenger kan beholde kravet til forhåndstillatelse (konsesjon) som hovedregel, men at konsesjon bare kan benyttes i særlige situasjoner. (10) For det andre la direktivet opp til bruk av enkelte nye virkemidler, spesielt etablering av en ordning med plikt til å inngi meldinger til tilsynsmyndigheten om behandling av personopplysninger ("meldepliktordning"). I personregisterloven finnes blant annet bestemmelser som gir den enkelte rett til innsyn i opplysninger som er registrert om ham eller henne og som regulerer krav til å rette, slette og supplere opplysninger. Direktivet introduserer for det tredje mer omfattende rettigheter og flere bestemmelser med "individuelle personverngarantier". En ny norsk lov må derfor inneholde styrkede personverngarantier for enkeltpersoner.


3 Formålsbestemmelse

Dagens lov har ingen formålsbestemmelse. Bak flertallsforslaget til formålsformulering i lovutkastets § 1 ligger det en ambisjon om en bestemmelse som kan ha en viktig funksjon som moment ved fortolkning av utkastets øvrige bestemmelser. (11) Personvernlovgivningen skal anvendes på en meget rask teknologisk og samfunnsmessig utvikling. Dette gir behov for at det innenfor lovens bestemmelser kan skje en viss rettsutvikling. Formålsangivelsen bør angi ramme og retning for den slik utvikling.

Den foreslåtte formålsbestemmelsen viser til "grunnleggende personvernhensyn", noe som igjen eksemplifiseres ved begrepene "opplysningskvalitet", "personlig integritet" og "privatlivets fred". Henvisningen til personvernhensyn innebærer en referanse til festnede oppfatninger av personvern, slik dette vil bli nedfelt i praksis fra domstolene, praksis fra den foreslåtte Personvernnemda(12) og i personvernteori. Formålsbestemmelsen vil blant annet være viktig når enkelte "nedre grenser" skal fastlegges. For eksempel bygger lovforslaget (og direktivet) på de i utgangspunktet altomfattende begrepene "personopplysning" og "behandling" (av personopplysninger). Det vil her kunne skje at en opplysning rent teknisk faller inn under lovens definisjon av "personopplysning", samtidig som det likevel ikke kan knyttes til noen personvernhensyn som omtalt i formålsbestemmelsen til opplysningen. En opplysning om at det vokser løvetann på Gnr 12, Bnr. 400, er for eksempel rent teknisk en personopplysning fordi den kan knyttes til eieren (Dag Wiese Schartum), men det er likevel vanskelig å forestille seg at opplysninger om slike løvetann-forekomster kan sies å ha betydning for grunneierenes personvern (!). På den annen side vil det være ugjørlig på forhånd å definere hvilke opplysninger som faktisk vil få personvernmessig betydning. Det er derfor et behov for en fleksibel tilnærming for å kunne trekke grensen for utstrekningen av de personvernmessige sider ved behandling av opplysninger.

I det svenske forslaget til Persondatalag er lovens formål knyttet til "att skydda människor mot otillbörligt intrång i den personliga integriteten ..." (13), noe som synes å innebære en vesentlig snevrere formålsangivelse enn etter det norske forslaget. For det første vil bruken av kravet om utilbørlig behandling trolig innebære en høyere terskel enn det norske kravet om samsvar med grunnleggende personvernhensyn. Videre kan den svenske formålsbestemmelsens angivelse av personlig integritet synes å være langt snevrere enn det norske forslagets "opplysningskvalitet, personlig integritet og privatlivets fred." Fordi begge forslag er blitt til med EU-direktivet som felles lesst, er det likevel grunn til å tro at disse forskjellene vil få mindre betydning enn perspektivvalg og begrepsbruk kan tyde på. Noe realitet er det imidlertid i disse forskjellene. Et mulig eksempel på den noe forskjellige tilnærmingen til personvern er bestemmelsene om bruk av personnummer. Mens begge forslag har bestemmelser som begrenser adgangen til å benytte slike nummer (se henholdsvis NOU 1997: 19, § 10 og SOU 1997: 39, § 22), så gir det norske forslaget hjemmel for åpålegge bruk av slike nummer for å sikre en tilstrekkelig kvalitet på opplysningene (§ 10 annet ledd).


4 Saklig virkeområde

Dagens lov regulerer opplysninger om både fysiske og juridiske personer, se personregisterloven § 1 annet ledd. I lovforslaget er dette foreslått endret i tråd med direktivet slik at det direkte bare er opplysninger om fysiske personer som omfattes. Foruten hensynet til direktivet, er endringen motivert ut i fra et ønske om en mer enhetlig regulering. "Personvern" knyttet til juridiske personer vil ofte ha andre begrunnelser enn ideelle personvernhensyn, og vil i stor grad være knyttet til økonomiske og forretningsmessige forhold. Også personvern for fysiske personer vil riktignok ofte kunne ha klare økonomiske konsekvenser som selvsagt også vil kunne smitte over på begrunnelser og motiver. Likevel er det også her grunn til å opprettholde distinksjoner mellom økonomiske og ideelle begrunnelser for verneregler. Den avgrensingen til fysiske personer som er foreslått innebærer ikke at Personregisterlovutvalget ikke anerkjenner at det finnes legitime vernebehov i tilknytning til behandling av opplysninger om juridiske personer, men at dette må ses på som et eget problemfelt.

Det er viktig å merke seg at det bare er virkning i forhold til opplysninger om juridiske personer direkte som er foreslått tatt ut av det saklige virkeområdet i en framtidig lov. Opplysninger om personer som er ansatt eller på annen måte har tilknytning til den juridiske personen omfattes av lovforslaget. Av definisjonen av "personopplysning" følger det da at opplysninger om virksomheten som kan knyttes til slike enkeltpersoner er å regne som "personopplysninger" som er omfattet av lovreguleringen. Således vil for eksempel alle opplysninger om et enkeltmannsforetak være å regne som "personopplysning" i lovens forstand fordi de kan knyttes til eieren. (14)

Et sentralt punkt i personregisterlovens angivelse av virkeområde er "personregistre". Eksistensen av slike registre er i dag blant annet avgjørende for om det eksisterer konsesjonsplikt eller ikke. I lovutkastet forlates registerbegrepet som hovedbegrep, idet det kun beholdes i forhold til manuell behandling av opplysninger. Det foreslås i stedet at en ny lov skal gjelde all elektronisk behandling av opplysninger som ikke skjer for rent personlige formål og for manuell behandling av personopplysninger i personregistre. For den elektroniske behandlingen er det således ikke lenger avgjørende hvorledes opplysningene (dataene) er organisert og lagret. Lovforslaget tar også sikte på å regulere delvis elektronisk behandling av personopplysninger, slik at hele behandlingen av personopplysninger i sin helhet kommer inn under loven når behandlingen inneholder elektroniske elementer.


5 Krav til formålsangivelse og saklig begrunnelse (§ 7)

I dagens lov stilles det opp et krav til at registrering av personopplysninger skal være saklig begrunnet ut i fra hensynet til administrasjon og virksomhet hos den som foretar registreringen (§ 6 første ledd). Lovforslaget bygger videre på dette saklighetskravet og supplerer det med krav til formålsangivelse og relevans. Opplysninger som omfattes av lovforslaget kan bare behandles ut i fra et lovlig og uttrykkelig angitt formål. Dette formålet må være saklig begrunnet i vedkommende virksomhet, noe som innebærer at virksomhetsplaner, vedtektsbestemmelser m.v. kan få betydning for hvilke formål som kan godtas. Behandling til andre formål enn de angitte kan skje etter samtykke fra den registrerte, i henhold til lovvedtak eller etter en samlet interesseavveiing der personverninteresser holdes opp i mot de interesser som begrunner endringen. Det kreves her en klar interresse-overvekt for de sist nevnte interessene. (15) Etter en konkurs vil for eksempel konkursboet ikke kunne bruke personopplysninger i boet til nye formål med mindre fordelene med behandlingen for det nye formålet er klart større enn de personvernmessige ulempene, se forslagets § 8 første ledd nr 3.

Formålene skal være konkret angitt, og det vil etter forslaget ikke bli mulig å angi helt generelle og "utflytende" formål. (16) Imidlertid vil det være anledning til å oppgi flere formål. Et ytterligere krav er at de opplysninger som samles inn og behandles skal være relevante i forhold til det formålet som er oppgitt. Datatilsynet vil i medhold av forslagets § 40 for eksempel kunne nedlegge forbud mot behandling av opplysninger som de ikke anser å være relevante. Det kan imidlertid også skje at tilsynet gir påbud om å behandle opplysninger som må anses å være relevante ut i fra formålsangivelsen, for eksempel fordi det samlede bildet som tegnes av en person blir misvisende uten opplysningen.

Formålsangivelsen er knyttet til vedkommende virksomhetstype. Lovutkastet innebærer ingen skranker mot å starte visse typer virksomhet, heller ikke for virksomhet som gjør intensiv bruk av personopplysninger. Dette innebærer en oppmykning i forhold til dagens regler der det i tillegg til konsesjon til å opprette personregistre kreves tillatelse til å etablere visse typer virksomhet, for eksempel kredittopplysning, adresseringsvirksomhet m.m., se personregisterloven kap. 5 – 8. Etter forslaget kan det således fritt etableres virksomheter som "A/S Personprofiler", men da med den virkning av en rekke bestemmelser i loven kommer til anvendelse. Slike bestemmelser vil innebære krav som står i forhold til de personverntrusler som virksomheten representerer. Særlig er det verd å merke seg at nivået for sikring av konfidensialitet, kvalitet og tilgjengelighet for opplysninger er knyttet til hva som anses som "tilstrekkelig", noe som gir rom for krav som er avpasset de konkrete trusler for vedkommende behandlingstype, se § 11. Som det framgår ovenfor utgjør kravene til formål, saklig begrunnelse og relevans et reellt men ikke absolutt hinder for de som bestemmer formål og innhold av persondatabehandlinger ("de behandlingsansvarlige"(17)) dersom de ønsker å endre bruken av opplysninger som allerede er samlet inn. Det kan etter forslaget imidlertid alltid etableresny virksomhet og defineres nye formål for framtidig behandling av personopplysninger.

Bestemmelsen om formål mm har andre viktige funksjoner enn å være et stengsel for forandringer i behandlingsmåten. Spesielt er det viktig at Datatilsynets og den behandlingsansvarliges vurdering av opplysningskvalitet vanskelig kan skje på forsvarlig måte uten en formålsangivelse. Videre vil formål og relevans lett kunne være av avgjørende betydning når den enkelte gir fra seg opplysninger som seg selv: Mange anser det for eksempel å være i orden å gi opplysninger om inntekter til et meningsmålingsinstitutt for statistikk- og forskningsformål, men aksepterer ikke at instituttet selger opplysningene videre til markedsførere. Av den grunn må den registrerte også kunne ha tillit til at det formål som angis også vil gjelde i fremtiden.


6 En sterkt redusert konsesjonsordning

I debatten av personverndirektivet har direktivets anvisning på en meldepliktordning blitt presentert som alternativet til dagens konsesjonsordning. Utvalget går inn for en betydelig redusert konsesjonsordning og en forholdsvis omfattende meldepliktordning. I tråd med direktivets artikkel 20 foreslår utvalget en ordning med krav til godkjenning fra Kongen (konsesjon) ved visse behandlinger av personopplysninger. Mens utgangspunket i dagens lov er at alle etableringer av personregistre som gjør bruk av edb eller inneholder sensitive opplysninger er konsesjonspliktige, kreves det etter lovforslaget kun konsesjon når 1) behandlingen gjelder "sensitive opplysninger" og 2) formålet med behandlingen er å treffe "enkeltavgjørelser". Hva som regnes som "sensitive opplysninger" er definert i § 2 nr 8. Definisjonen er noe omformulert i forhold til personregisterloven § 6 annet ledd, men det er få innholdsmessige endringer. Den viktigste endringen er at opplysninger om medlemsskap i fagforeninger defineres som sensitive. (18) For øvrig angir stikkordene rase, etnisitet, religion, straffbare forhold, helse (i vid forstand) og seksualitet de viktigste opplysningstypene som inngår i definisjonen og som derfor er avgjørende ved avgrensingen av den foreslåtte konsesjonsordningen.

Konsesjonsplikten oppstår bare når sensitive opplysninger brukes til å treffe "enkeltavgjørelser", et begrep som er nærmere definert i lovforslagets § 2 nr 9. I forhold til offentlig forvaltning viser definisjonen til forvaltningslovens definisjon av "enkeltvedtak" i forvaltningsloven § 2 bokstav b jf. bokstav a. Offentlig forvaltning som behandler sensitive personopplysninger med det formål å treffe enkeltvedtak, må med andre ord søke konsesjon fra Kongen. Utenfor området for offentlig forvaltning gjelder samme plikt når formålet med behandlingen av sensitive opplysninger er å treffe "andre avgjørelser som er bestemmende for bestemte personers rettigheter eller plikter". Bestemmelsen bygger på definisjonen av enkeltvedtak i forvaltningsloven, men mangler (naturlig nok) kriteriet om at avgjørelsen treffes under utøving av offentlig myndighet. Grunnlaget for privates avgjørelsesmyndighet vil typisk være avtale/kontrakt, men hjemmelsgrunnlaget for private er ikke avgjørende for avgrensingen av konsesjonsplikten. Etter dette vil for eksempel forsikringsselskapers behandling av helseopplysninger for å avgjøre en forsikringssak gi konsesjonsplikt, likeledes (eventuelt) Bymisjonens behandling av opplysninger om rusbruk m.m. som grunnlag for tildeling av plass på herberge. Det foreslås at Kongen i forskrift skal kunne unnta fra konsesjonsplikten og i stedet pålegge meldeplikt, men det må forventes at en vil få langt færre unntak enn etter dagens konsesjonsordning.

I dag trenger ikke lovhjemlede registre konsesjon, se personregisterloven § 41. Etter lovforslaget blir situasjonen en annen fordi det ikke lenger er eksistensen av registre som er avgjørende, men det faktum at personopplysninger i det hele tatt er gjenstand for behandling. Også offentlige myndigheter er derfor underlagt konsesjonsplikt etter lovforslaget. Slike myndigheter behandler ofte opplysninger i tråd med hjemler og reguleringer i særlovgivningen. Bestemmelser i særlovgivningen vil selvsagt gå foran en lov om behandling av personopplysninger som lex specialis. Poenget med den foreslåtte konsesjonsordningen er at det for å sikre personvernet kreves forhåndsgodkjenning for den måten saksbehandlingsoppgaven utføres på, for så vidt gjelder de deler av saksbehandlingen som ikke er regulert i særlovgivningen. Hvor lagt Datatilsynet vil komme til å gå i retning av å stille krav til behandlingsmåten vil derfor avhenge av i hvilken grad personvernspørsmål er løst/vurdert i vedkommende særlov.


7 En vid meldepliktordning

På mange måter er det den foreslåtte meldepliktordningen for persondatabehandlinger som framstår som den gamle konsesjonsordningens arvtaker. Ordningen innebærer at alle som vil behandle personopplysninger ved hjelp av elektroniske systemer skal melde fra til Datatilsynet i god tid før behandlingen tar til. Det samme gjelder for opprettelse av (manuelle) personregistre som skal inneholde sensitive opplysninger. (19) Omfaget av meldeplikten er med andre ord i utgangspunktet tilsvarende den nåværende konsesjonsplikten. Det er imidlertid grunn til å minne om begrensningene i det saklige virkeområdet og unntaket for behandling av personopplysninger for rent personlige formål (§ 3 annet ledd). For meldeordningen er det i lovforslaget dessuten gjort unntak for behandlinger som kun gjør bruk av allment tilgjengelige personopplysninger (§ 31 tredje ledd). En tenker her på opplysninger som ikke er forbeholdt en bestemt krets av personer. Også opplysninger som en må betale for regnes som allment tilgjengelig. Således vil opplysninger fra Brønnøysundregistrene høre til denne unntaksgruppen. Det samme gjelder annen informasjon som er tilgjengelig for almennheten, for eksempel personopplysninger på hjemmesider på Internett og opplysninger i en biografi. I tillegg til dette ene unntaket i lovforslaget er det gitt hjemmel for ved forskrift å unnta fra meldeplikten, se § 31 fjerde ledd. Når meldingenes enkle innhold og krav for øvrig tas i betraktning (se nedenfor), og forutsetningen om et praktikabelt meldesystem holder stikk, er det likevel neppe grunn til å unnta særlig mange kategorier fra meldeplikt. (20)

Meldeplikten innebærer intet krav om tillatelse fra tilsynet før behandlingen begynner. Selv om det i lovforslaget er gitt forskiftshjemmel for å fastsette unntak fra den vide meldeplikten, vil enhver meldepliktordning av noe omfang imidlertid kunne få den samme sterkt dirigerende effekten på Datatilsynets ressursbruk som den nåværende konsesjonsordningen har. Dette blir situasjonen dersom en forutsetter at hver melding skal gjøres til gjenstand for en individuell vurdering. I så fall vil også en meldepliktordning binde opp betydelig kapasitet på saksbehandling av uvesentlige og mindre viktige saker. Dette vil i betydelig grad kunne redusere Datatilsynets mulighet til en virkningsfull utnyttelse av sine medarbeideres arbeidskapasitet. Den foreslåtte meldepliktordningen forutsetter derfor ikke at Datatilsynet gjør en individuell vurdering av hver enkelt melding.

En frihet til ikke å undergi alle meldinger en individuell behandling kan gi et bilde av en papirstrøm som ikke har annet enn symbolfunksjoner og som ikke gir stort andre resultater enn fulle arkivskap. Personverndirektivets meldepliktordning er ikke knyttet opp til forutsetninger som kan motvirke at meldeplikten vil bli oppfattet som en byråkratisk ordning. Personregisterlovutvalget har i sin innstilling imidlertid lagt stor vekt på å innrette og forklare den foreslåtte meldepliktordningen slik at den skal være nyttig, og slik at kostnader og innsats knyttet til ordningen fullt ut skal stå i forhold til nytten. Blant annet er det spesifisert hvilke funksjoner meldepliktordningen skal ha: For det første skal meldeplikten innebære at det etableres en kontakt mellom behandlingsansvarlige og Datatilsynet. Slik kontakt vil kunne ha en bevisstgjørende virkning og forutsetter at alle som sender inn melding får en tilbakemelding fra tilsynet i en aller annen form. For det andre skal meldepliktordningen danne grunnlag for utsending av regelinformasjon til de behandlingsansvarlige. Slik informasjon vil særlig være aktuelt som respons på innsendt melding, men vil like meget være aktuelt på senere stadier, for eksempel ved regelendringer eller spesielle begivenheter som nødvendiggjør avklaringer av eksisterende regelverk. Meldepliktordningen gir med andre ord grunnlag for at tilsynet kan drive aktiv og målrettet rettsinformasjon. For det tredje skal den enkelte melding og særlig summen av alle meldinger samlet eller sektorvis utgjøre en vesentlig del av Datatilsynets kunnskapsbasis. Denne kunnskapen skal primært danne utgangspunkt for tilsynets veilednings- og kontrollarbeid, det vil si meldingene skal danne grunnlag for ulike typer enkeltsaksbehandling i tilsynet. For eksempel vil meldingene kunne tillate en gjennomgang av datasikkerheten i alle persondatasystemer som gjør bruk av bestemte kommunikasjonsløsninger. Foranledningen kan for eksempel tenkes å være en forskningsrapport, et nyhetsoppslag eller lignende som viser at det er spesielle problemer på området. (21) Tanken er også at opplysningene i meldingene skal sette myndigheten i stand til – på et overordnet nivå – å danne oppdaterte og sanne bilder av de relevante delene av den teknologiske og samfunnsmessige utviklingen på området. (22) Selvsagt vil tilsynet også benytte seg av en rekke andre kanaler og informasjoner for å skaffe oversikter og kunnskap om sammenhenger. Særlig vil aktuelle enkeltsaker der tilsynet og Personvernnemda treffer enkeltvedtak, (23) samt medieoppslag, forskningsresultater mm være verdifulle. Informasjonene fra meldepliktsystemet sammenholdt med slike andre informasjoner vil kunne gi et meget godt bilde av generelle utviklingstrekk med betydning for personvernet. Den fjerde og siste funksjonen som meldeplikten er ment å ha gjelder offentlighet og generelt innsyn vedrørende persondatabehandlinger. I tillegg til innsynsrett i opplysninger om seg selv (§ 18), gir lovforslagets § 16 rett til innsyn for enhver i generelle forhold knyttet til en persondatabehandling (formål for behandlingen, hvilke opplysningstyper som behandles, hvem som er behandlingsansvarlig m.v.) En stor del av de opplysninger som forefinnes i meldingene vil sammen med opplysninger fra konsesjonene inngå i denne offentlige fortegnelsen.

De funksjoner meldeplikten er ment å få kan åpenbart bare delvis realiseres dersom en ikke legger til rette for en virkningsfull praktisk gjennomføring. Dette gjelder for det første for de meldepliktige. Dersom plikten ikke skal bli for byrdefull og stå i fare for manglende etterlevelse, vil det være nødvendig med praktisk og teknologisk nytekning og tilrettelegging. Utvalget har således gått langt i å vurdere elektronisk meldebehandling, se utredningens avsnitt 20.3.2. En slik løsning vil kunne innebære en mulighet for valgfri elektronisk innmelding til Datatilsynet via nettet, noe som også vil gjøre det mulig å bedre tilgjengeligheten av meldeskjemaer og relevant rettsinformasjon, og vil redusere det praktiske arbeidet for de meldepliktige. Et annet viktig forhold er at alle meldinger i Datatilsynet må foreligge i maskinlesbar form, ved at papirmeldinger skannes inn i et felles meldesystem. En slik teknologisk støtte gjør det langt lettere å virkeliggjøre de funksjoner som meldingene er forutsatt å ha (jf overfor). Meldinger i papir vil ha en tendens til å samle seg i høye bunker og opplysningene der vil vanskelig kunne bli brukt på annen måte enn det arkivsystemet tillater (for eksempel med oppslag på kronologisk rekkefølge og navn på behandlingsansvarlige). Elektronisk meldingsbehandling vil tillate atalle opplysninger i meldeskjemaet vil være lett tilgjengelig, noe som på dramatisk måte øker nytten av meldingene.

En annen viktig forutsetning for en virkningsfull og ubyråkratisk meldeordning er at opplysningene i meldeskjemaet er begrenset samtidig som opplysningene er gode indikatorer på personvernproblemer. Personverndirektivet fastsetter at visse grunnlagsopplysninger alltid skal med (i alt 9 opplysningstyper, se lovforslaget § 32). Dette er opplysninger som den enkelte seriøse behandlingsansvarlige uansett vil ha umiddelbar kunnskap om. I tillegg kan det i forskrift fastlegges andre opplysningstyper som det skal meldes om. Her er det et vesentlig poeng at meldeskjemaene må være fleksible og differensieres i tråd med informasjonsbehovet for de ulike typer persondatabehandlinger. (24)

Som nevnt overfor er den foreslåtte meldepliktordningen i utgangspunktet meget vid, og vil forutsetningsvis fortsatt være vid også etter at det er gjort unntak i forskrift. Diskusjonen om omfanget av ordningen kommer imidlertid i et spesielt lys fordi det i direktivet er fastsatt at de samme opplysninger som minst skal finnes i meldingene uansett skal være tilgjengelige for enhver hos den behandlingsansvarlige, (25) se art 21 nr 3 og lovutkastets § 16. Forskjellen mellom meldepliktige og "frie" persondatabehandlinger blir således primært omfanget av de opplysninger som skal gjøres tilgjengelig og selve innsendingshandlingen. Med dette som utgangspunkt og med en forutsetning om et tilfredsstillende praktisk/teknisk behandlingsopplegg for meldingene (jf overfor) og en høy grad av nytte for Datatilsynet, blir diskusjonen om hvor langt meldeplikten skal reduseres lite dramatisk for de behandlingsansvarlige.


8 Innsynsrett

I dagens lov har alle rett til å få vite hva som er registrert om dem selv ved hjelp av elektroniske hjelpemidler, se pregl § 7. I offentlig sektor har en også rett til å få vite innholdet av personopplysninger som ikke er elektronisk lagret, mens det i privat sektor ikke er en slik rett. I lovforslaget likestilles offentlig og privat sektor ved at det gis like innsynsrettigheter, se § 18. Forslaget gir f.eks kunder rett til innsyn i opplysninger om dem som en banken eller et forsikringsselskap har uansett om opplysningene finnes i elektronisk form eller på papir. På lignende måte som ved innsyn etter forvaltningsloven er det imidlertid gjort enkelte unntak, bl.a for dokumenter som er utarbeidet for intern saksforberedelse, se forslagets § 19.

I dag har alle rett til å få vite hvilke opplysningstyper som er tatt inn i et offentlig register, pregl § 7 tredje ledd. Lovforslaget gir en generell rett til innsyn i flere opplysninger som beskriver opplegg for behandling av personopplysninger, se § 16, jf § 17. Dersom en person for eksempel vurderer å skaffe deg et Domino-kort, vil vedkommende etter lovforslaget ha rett til å kreve informasjon om formålet med innsamlingen av opplysninger i tilknytning til kortet, hvem opplysninger samles inn fra, hvor de gis videre samt hvem som er ansvarlig for behandlingen av personopplysninger. Tanken er bl.a at denne rettigheten skal sette folk bedre i stand til å vurdere om kunde- og kontraktsforhold m.v. skal inngås eller ikke.

Lovforslaget gir også rett til å bli varslet når de opplysninger som blir samlet inn ikke er innhentet fra personen selv, se § 21. Dersom arbeidsgiver sender opplysning om sykefravær til arbeidstakerens forsikringsselskap, vil dette kunne utløse en plikt for forsikringsselskapet til å sende varsel til deg om at opplysninger er mottatt. Hensikten er bl.a å legge til rette for at uriktig eller ufullstendig informasjon ikke skal bli stående uimotsagt. Det er foreslått unntak for tilfelle der varsling er uforholdsmessig vanskelig, når opplysningen må antas å være kjent, eller når videregivelse av opplysningen er hjemlet i lov.

Noen ganger brukes bildet av datamaskinen som en "sort boks" for å understreke at datamaskinsystemer som styrer behandling av personopplysninger m.v. er utilgjengelige for folk flest. I tillegg til de nevnte innsynsreglene foreslår utvalget to bestemmelser som særlig kan få funksjon som "bokseåpnere" og som kan gjøre det lettere å få innblikk i hva som faktisk foregår i datamaskinsystemene. For det første er det foreslått en bestemmelse som gir plikt til å varsle dersom det brukes "personprofiler" når det skal treffes avgjørelser om eller gjøres henvendelser til personer, se § 23. En "personprofil" er en samling av opplysninger som brukes for å anta noe om personers preferanser, holdninger, evner m.v. Det "mønster" man etterlater i elektroniske betalingssystemer kan for eksempel være av stor verdi for markedsføring. Etter lovforslaget kan ikke slike personprofiler anvendes uten at vedkommende person varsles om hvilke opplysningstyper og -kilder som er anvendt. Formålet er å unngå manipulerende situasjoner det den ene parten vet "alt" uten at den personen kunnskapen gjelder er klar over denne kunnskapen. F.eks skal du få vite at årsaken til at akkurat du får tilbud om billig bruktbil er det faktum at du flere ganger har benyttet deg av bilforretningens hjemmeside på Internett og i skattelistene står oppført med lav inntekt.

Et annet forslag som vil kunne gjøre det lettere å få innsyn i hvorledes opplysninger blir behandlet, er bestemmelsen om at alle skal ha krav på å få forklart innholdet av edb-programmer som styrer totalt automatiserte avgjørelser, se § 22. I begrunnelsen skal det gjøres rede for regelinnholdet i de datamaskinprogrammer som ligger til grunn for avgjørelsen. Selv om det foreløpig ikke er mange avgjørelsesprosesser som er "uberørte av menneskehender", vil en slik bestemmelse fungere som et signal og en garanti for at det alltid skal være mulig å få en individuell behandling.

De nevnte forslag til regler som gir deg rett til innsyn og kunnskap om hvorledes personopplysninger behandles i datamaskinsystemer (og ellers), reiser spørsmålet om dette virkelig er rettigheter som folk vil bruke. Etter min mening skal det ikke meget til for at de foreslåtte bestemmelsene om innsyn fullt ut lar seg forsvare. Særlig vil innsynsretten om generelle forhold kunne få positiv betydning for pressens arbeid og således være et viktig supplement til dagens offentlighetslovgivning.


9 Elektronisk overvåkning

Fjernsynsovervåking er i dag regulert i kap. 9 a i personregisterloven og strl § 390 b. Slik overvåking av personer med fjernbetjent eller automatisk virkende kamera er bare tillatt dersom det er saklig begrunnet ut i fra virksomheten hos den som ønsker å foreta overvåkingen (personregisterloven § 37 a). Overvåking av sted der en begrenset gruppe personer jevnlig ferdes, er bare tillatt dersom det er etsærskilt behov for overvåkningen. I henhold til strl § 390 b skal slik overvåking av offentlig sted eller arbeidssted alltid varsles ved skilt eller på annen måte. Dagens regulering av fjernsynsovervåkning bryter langt på vei med innholdet av personregisterloven ellers. Personregisterloven er i stor grad bygget opp rundt begrepet "personregister", mens bestemmelsene om slik overvåkning gjelder for andre tilfelle enn der billedbehandlingen resulterer i et register. I forslaget til ny lov er spørsmål vedrørende fjernsynsovervåking og billedopptak i tilknytning til dette bedre integrert i lovgivningen for øvrig. For det første er det foreslått at kravet til saklig begrunnelse og formålsangivelse skal gjelde også for billedbehandling som ikke er elektronisk (er analog), se forslagets § 4. Kravet til formålsangivelse er nytt og innebærer en viss skjerping i forhold til dagens regler. (26) Videre blir det foreslått at Datatilsynet skal kunne gripe inn og kreve opphør av slik overvåkning den mener er ulovlig i henhold til forslagets § 40 og ilegge tvangsmulkt (§ 41). Manglende etterlevelse av tilsynets påbud er videre straffesanksjonert i forslagets § 42 nr 6, jf § 4 første ledd. For billedopptak som ikke er elektroniske gjelder i tillegg reglene om meldeplikt (forslagets §§ 31 og 32) og regelen i § 38 om Datatilsynets tilgang til opplysninger. Forslaget innebærer med andre ord en utvidet rolle for Datatilsynet i forhold til ikke elektronisk fjernsynsovervåking.

Viktigere enn forslagene til endringer for ikke-elektronisk fjernsynsovervåking er framlegget om at elektronisk fjernsynsovervåking skal omfattes av lovens generelle bestemmelser, se § 3 jf § 4. Dette innebærer blant annet at bestemmelsene om innsyn i opplysninger om en selv, og kravet om retting, sletting og supplering av opplysninger vil gjelde. (27) Denne integrerte reguleringen av all elektroniske behandling av personopplysninger representerer trolig et tungt krav til mental omstilling for de som har vendt seg til dagens "registerfikserte" personregisterlov.

Den generelle innfallsvinkelen når det gjelder personovervåkning innebærer også at annen form for elektronisk overvåking enn den billedbaserte er omfattet av lovens generelle regler. Således vil behandling av personopplysninger ved hjelp av teknologi for å overvåke senile og andre hjelpetrengende på (institusjon eller hjemme) eller ved overvåkning av innsatte i fengsler i utgangspunktet være omfattet av lovforslaget. Slik teknologi er imidlertid ikke spesielt drøftet i forslaget, og generelt er det grunn til å tro at det her vil melde seg behov for særreguleringer.


10 En uavhengig klageinstans

Etter dagens ordning er Justisdepartementet klageinstans for Datatilsynets enkeltvedtak. Personregisterlovutvalget foreslår at en ny uavhengig klageinstans – Personvernnemda – skal behandle klager over Datatilsynets enkeltvedtak.

Selv om Justisdepartementet i dag ikke anses å ha noen instruksjonsmyndighet over tilsynet, vil presedensvirkninger av departementets vedtak i praksis virke inn på Datatilsynets rettsanvendelse og skjønnsutøvelse. Personverndirektivet fastsetter at tilsynsmyndigheten skal utøve sine funksjoner i "fuld uafhængighed", se art. 28 nr 1 annet avsnitt. Utvalget har ansett Datatilsynets nåværende uavhengighet utilstrekkelig i forhold til direktivets krav. Viktigere er likevel at utvalget anfører reelle grunner for å endre på dagens klageordning. En begrunnelse er at avgjørelser i klagesaker som er truffet av en egen instans som er uavhengig av departementet vil kunne framstå som mer uhildet og således inngi mer tillit i befolkningen. Personlig vil jeg tilføye at Regjeringen og departementene i stor grad har sterke interesser i modernisering av forvaltningen. Dette er endringer som ofte vil ha betydning for personvernet, (28) noe som gjør at spørsmålet om departements uhildethet i slike sammenhenger raskt vil kunne bli et stridsspørsmål. Dette gjelder selv om det ikke er Justisdepartementet som står bak det omstridte tiltaket. Det andre hensynet bak endringen i klageordningen gjelder muligheten for å redusere saksbehandlingstidene ved klage. Utvalget antar at avgjørelse i klagesaker vil kunne komme raskere med et eget selvstendig klageorgan. Dette er det viktig å få virkeliggjort for derved å redusere rettsuvisshet for partene. Rask avgjørelse er også viktig fordi vedtak fra Datatilsynet kan være av avgjørende betydning for planer/tiltak med stor samfunnsmessig og/eller økonomisk betydning.

Utvalget er delt i spørsmålet om oppnevningsmåte for medlemmene i Personvernnemda. Et flertall på syv medlemmer går inn for at Kongen skal oppnevne (alle) fem medlemmer. Dette er fullt ut i tråd med vanlig praksis ved etablering av organer som skal utøve offentligrettslig myndighet. Et mindretall på tre (29) går inn for en ordning der Kongen først oppnevner fem medlemmer og Stortinget deretter oppnevner ytterligere to medlemmer som leder og nestleder for nemda. Hele utvalget er imidlertid enige om at nemdsmedlemmene skal oppnevnes ut i fra personlig skikkethet og at leder og nestleder skal ha dommers kompetanse i samsvar med domstolloven § 54 annet ledd. Det er således ikke under noen omstendigheter tale om noen "politisk utnevning" til Personvernnemda. Begrunnelsen for mindretallets forslag er primært at en ser Stortinget som en selvstendig demokratisk kanal. Ut i fra tanken om personvern som en grunnleggende rettighet anser disse medlemmene det som en fordel med en klageinstans med en så bred forankring som mulig.

Personvernnemda skal primært behandle klager, men skal også ha adgang til av eget tiltak å omgjøre enkeltvedtak truffet av Datatilsynet i tråd med bestemmelsene i forvaltningsloven § 35 annet ledd. Som nevnt vil Datatilsynet med den foreslåtte generelle inngrepshjemmelen kunne treffe enkeltvedtak i en rekke andre situasjoner enn i saker vedrørende konsesjoner. Dette vil trolig medføre at nemdas praksis blir variert og mer omfattende enn dagens klagesaker som kun gjelder konsesjonsvedtak. (30)

I tillegg til å behandle klagesaker skal nemda hvert år gi en årlig orientering til Kongen om behandlingen av klagesakene. Dette kommer altså i tillegg til Datatilsynets årsmelding, og gir Personvernnemda en mulighet til å fremme mer generelle synspunkter på spørsmål knyttet til rettsanvendelse og skjønnsutøvelse knyttet til personopplysningsloven. Det vil være naturlig om nemdas orientering foreligger samtidig med Datatilsynets årsmelding. Dette vil klart kunne styrke grunnlaget for Stortingets behandling av årsmeldingen og personvernspørsmål. Like viktig er imidlertid at en slik årlig orientering vil gi anledning til å sikre en oversikt over praksis i klagesaker, herunder over prinsipielle spørsmål. (31)


11 Datatilsynets framtidige rolle

I pressen har det vært enkelte spekulasjoner om at revisjonen av personregisterloven vil svekke Datatilsynet. En slik oppfatning kan lett få grofeste dersom en setter likhetstegn mellom personvern og en omfattende konsesjonsordning. Utvalget har ikke ansett at det er noen sammenheng mellom et handlekraftig Datatilsyn på den ene side og et omfattende krav til forhåndsgodkjenning (konsesjon) på den annen. For det første får Datatilsynet i henhold til forslaget et noe utvidet arbeidsområde, jf avsnitt 9 om fjernsynsovervåking. For det andre er det foreslått en generell inngrepshjemmel for tilsynsmyndigheten med anledning til å ilegge tvangsmulkt. Det er grunn til å tro at Datatilsynets myndighetsutøvelse dermed vil bli mer virkningsfull enn tidligere. (32) For det fjerde vil Datatilsynet i større grad enn tidligere ha generelle bestemmelser å håndheve i form av adferdsnormer som fastsetter konkrete regler om hvorledes personopplysninger skal eller kan behandles. Datatilsynets uavhengighet blir for det femte befestet og bestyrket ved at det i lovforslagets § 36 slås fast at tilsynet bare er underordnet Kongen i administrative saker. Den nåværende loven er ikke klar på dette punktet, idet det sies at tilsynet er "et frittstående organ underordnet Kongen og det departement Kongen fastsetter" (se pregl § 2 første ledd), samtidig som departementet er klageinstans for Datatilsynets enkeltvedtak. For det sjette vil meldepliktordningen kunne gi Datatilsynet et langt bedre "sanseapparat" og dermed styrkede muligheter for å følge med på og forholde seg til den aktuelle teknologiske og samfunnsmessige utviklingen.

Det kanskje viktigste elementet i vurderingen av Datatilsynets framtidige rolle og posisjon er imidlertid den fleksibilitet og mulighet for skiftende prioriteringer som reduksjonen i den nåværende konsesjonsordningen vil innebære. Samtidig er det imidlertid klart at en endring fra en "konsesjonsdrevet" arbeidsmåte til en tilsynsvirksomhet som i større grad tillater fortløpende vurderinger og prioriteringer, vil stille Datatilsynet overfor store administrative og faglige utfordringer. Selv om utvalget ikke forutsetter noen vesentlige varige økninger av Datatilsynets budsjett, er det klart at tilsynet på kort og mellomlang sikt i en overgangsfase vil trenge ikke ubetydelige midler for å gjennomføre et vellykket "hamskifte". Det vil her både være aktuelt med engasjement av nye medarbeidere som ledd i et administrativt utviklingsarbeid, og det vil være nødvendig med investering av ny teknologi for å etablere nye og virkningsfulle rutiner for saksbehandling og administrasjon.(33)

En vesentlig usikkerhet vedrørende Datatilsynets videre rolle er knyttet til reglene om lovens geografiske virkeområde, se forslagets § 6 og direktivets art. 4 og fortalens avsnitt 18 – 21. Det avgjørende for hvilken lands lov som skal gjelde er i hvilket land den behandlingsansvarlige er "etablert" og hvor hjelpemidlene for behandlingen befinner seg. I forhold til behandlingsansvarlige som er etablert innenfor EØS-området gjelder norsk lov bare i forhold til behandlingsansvarlige som er etablert i landet. Dette betyr at Datatilsynet må kunne forholde seg til andre EØS-lands lovgivning på behandling av personopplysninger som skjer i Norge i regi av behandlingsansvarlige som er etablert utenfor landet. Bestemmelsen innebærer videre at norsk lov gjelder for behandling av personopplysninger i utlandet når den behandlingsansvarlige er etablert i Norge. Slike lovvalgsregler og myndighetsforhold stiller for det første meget store krav til samarbeid mellom ulike lands tilsynsmyndigheter. Det vil for eksempel oppstå behov for at Datatilsynet skal få tilgang til oversikter over behandling av personopplysninger som skjer i Norge i regi av behandlingsansvarlige som er etablert i Danmark, Hellas m.v. Videre må det sikres åpne kanaler myndighetene i mellom, slik at utilfredsstillende behandling i Norge som reguleres av et annet EØS-lands lovgivning raskt vil kunne bli tatt opp til behandling mellom Datatilsynet og det andre landets myndighet. Det foreslåtte geografiske virkeområdet for loven forutsetter generelt en større grad av internasjonal orientering hos tilsynsmyndigheten med utvikling av ekspertise på andre lands personvernlovgivning. Det geografiske virkeområdet for personvernlovgivningen vil trolig også føre til at en ikke bare sammenholder den formelle rettstilstanden i EØS-landene, men at også rettsanvendelsen vil bli sammenlignet. Dermed vil den politiske diskusjonen rundt denne lovgivningen kunne bli stimulert i retning av større grad av rettslikhet innen EØS-landene.

Når en på denne bakgrunn skal svare på spørsmålet om Datatilsynet blir svekket eller ikke, ligger det etter min mening klare muligheter for en styrket tilsynsmyndighet. Forutsetningen er imidlertid at Datatilsynet klarer den faglige og administrative omstilling som kreves, herunder at det etableres et velfungerende samarbeid mellom tilsynsmyndighetene innen EØS-området. Dersom viktige aktører aktivt unnviker norsk lovregulering ved å etablere seg i land med mindre streng lovgivning og lemfeldig håndhevelse, vil dette i kombinasjon med et svakt samarbeid mellom myndighetene kunne resultere i et svakere Datatilsyn, i hvert fall innen visse områder. Faren for at personvernlovgivningen i særlig grad skal motivere virksomheters flukt fra Norge er imidlertid liten. Til det vil forskjellene mellom landenes lovgivning være for liten og de foreslåtte reguleringer for lite byrdefulle for de behandlingsansvarlige. (34)


12 Et bedre personvern?

I forrige avsnitt konkluderte jeg med at lovforslaget på visse vilkår vil innebære en styrking av Datatilsynet. Etableringen av Personvernnemda vil dessuten kunne gi større legitimitet for klageinstansen, samt større autoritet og oppmerksomhet. Når spørsmålet om den foreslåtte lovrevisjonen alt i alt vil gi et bedre personvern skal besvares, er det imidlertid ikke bare endringer på myndighetssiden som er viktig. En vellykket reform forutsetter like meget tilslutning fra de som har bestemmelsesrett over persondatabehandlinger ("de behandlingsansvarlige") og fra den vanlige kvinne og mann som det registreres og behandles opplysninger om ("de registrerte"). Jeg vil derfor kort vurdere hvorledes forslaget til ny lovgivning kan komme til å bli mottatt av disse to gruppene.

De registrertes og de behandlingsansvarliges forutsetninger for å kunne forstå og etterleve en ny lov om behandling av personopplysninger vil selvsagt variere meget. Når det imidlertid gjelder muligheten for å skaffe oversikt over den rettslige reguleringen av området, er det grunn til å tro at forslaget jevnt over vil representere en forbedring. Hovedårsaken er at konsesjoner blir langt mindre viktig enn tidligere, noe som innebærer at det blir generelle regler i lov og forskrift og ikke de spesielle reglene i konsesjonen som primært avgjør rettstilstanden. I tillegg blir en rekke særreguleringer av visse virksomheter i dagens lov fjernet og erstattet av generelle regler, noe som også burde lette oversikten. På den annen side vil neppe forskriftsmengden bli særlig redusert.

Når det gjelder mulighetene for å forstå lovens bestemmelser vil det selvsagt oppstå tolkningsproblemer slik det gjør for enhver ny lovtekst. Forslaget inneholder dessuten enkelte vanskelige avveininger, særlig knyttet til avgrensingen av konsesjonsplikten (§ 33). Flere bestemmelser er dessuten resultatet av vanskelige avveininger som resulterer i forholdsvis kompliserte regler (se. for eksempel §§ 18 og 19 om og innsynsrett §§ 29 og 30 om videregivelse av personopplysninger til utlandet). På flere punkter er forslaget imidlertid vesentlig enklere enn direktivets tilsvarende formuleringer, for eksempel når det gjelder de tilfelle behandling av personopplysninger kan finne sted, se direktivets artiklene 6 og 7, sammenlign lovforslaget §§ 7 og 8.

Det må antas å være en forbedring at det i forslaget § 35 er tatt inn en bestemmelse som langt på vei oppsummerer viktige punkter i norsk personvernteori. I denne bestemmelsen ligger det for det første en betydelig rettledning m.h.t. det typiske innholdet av en vurdering av en konsesjonssøknad. Bestemmelsen får imidlertid også betydning for alle enkeltvedtak som Datatilsynet treffer fordi det i tilsynets generelle inngrepshjemmel i § 40 i annet ledd er vist til vurderingstemaene i § 35. I dag nøyer loven seg med å eksemplifisere en del tiltak som vil kunne kreves gjennomført når konsesjon gis (se personregisterloven § 11 annet ledd), mens det ikke sies noe om andre enn konsesjonstilfelle og ikke (direkte) sies noe om de vurderingstemaer som typisk styrer fastsettingen av tiltak. Forslagets § 35 tar således sikte på å bedre forutberegneligheten i tilknytning til alle typer enkeltvedtak som Datatilsynet treffer.

Spørsmålet om hvor byrdefull forslaget til personopplysningslov vil være for de behandlingsansvarlige, kan ikke besvares helt generelt. Dagens konsesjonsordning innebærer på den ene side en klar og tyngende plikt. (35) Den foreslåtte meldepliktordningen vil i utgangspunktet være mindre byrdefull enn dagens konsesjonsplikt, men samtidig vil det administrative opplegget rundt en meldeordning trolig gjøre det lettere for Datatilsynet å sikre nødvendig oppfølging for oppdatering og kontroll. For flere behandlingsansvarlige vil trolig bestemmelsene om sikring av personopplysninger (§ 11) og internkontroll (§12) framstå som langt mer tyngende enn meldeplikten. For større organisasjoner vil imidlertid tenkningen bak disse reglene ofte være godt kjent og lignende systemer og rutiner som de lovforslaget kraver etablert, vil allerede være etablert. I slike tilfelle vil personopplysningslovens krav ikke nødvendigvis framstå som spesielt tyngende.

For mindre organisasjoner og enkeltpersoner vil kravene i forslaget §§ 11 og 12 oftere være av ny karakter og derfor anses som tyngende. Særlig gjelder dette i tilfelle der formålet med og karakteren av behandlingen tilsier strenge krav, for eksempel fordi sensitive opplysninger brukes til å treffe enkeltavgjørelser. Som tidligere understreket kan imidlertid flere av de tiltak som lovforslaget foreskriver med bakgrunn i personvernhensyn også begrunnes ut i fra andre hensyn. Således vil det ofte kunne være andre sikkerhetsmessige og økonomiske grunner for å gjennomføre sikring av personopplysninger og etablere et internkontrollsystem. Selv om de tiltak som lovforslaget foreskriver isolert sett av noen vil bli sett på som tyngende, vil det derfor være mulig å vinne tilslutning til forslaget ved å peke på at de tiltak loven foreskriver også understøtter andre interesser enn de personvernmessige, for eksempel forretningsmessige interesser.

Når det gjelder en mulig tilslutning fra ham og henne – de "registrerte" – tror jeg bildet av et styrket Datatilsyn er avgjørende (jf ovenfor). Et annet spørsmål er imidlertid om denne økte styrken vil komme til å stå i forhold til framtidige personverntrusler og dermed til folks opplevelse av å nye godt av et reellt og effektivt vern. Dette spørsmålet kan selvsagt ikke besvares nå, men må være til stadig observasjon.

For de registerte vil det også være avgjørende hvorledes de individuelle rettighetene som foreslås oppfattes og om hvor gjennomførbare slike bestemmelser vil vise seg å være. Utgangspunktet her bør imidlertid være det beste, idet det gis flere og sterkere rettigheter for de registrerte enn i dag. De fleste slike rettigheter er så vidt det er mulig å se heller ikke forbundet med store problemer eller kostnader å gjennomføre. Det kan imidlertid vise seg at enkelte rettigheter kan oppfattes som "overdrevne" og/eller kun av symbolsk betydning. Hyppige meldinger om hvor personopplysninger videresendes kan for eksempel komme til å bli latterliggjort i en framtid der utveksling av personinformasjon snarere blir regelen enn unntaket. Innen overskuelig framtid tror jeg imidlertid det foreslåtte nivået og omfanget av de individuelle rettighetene er vel tilpasset dagens forhold. De første årene vil en stor utfordring være å legge til rette for en aktiv bruk av rettighetene, også for de som ikke føler at de mestrer moderne teknologi og informasjonsbehandling.

Alt i alt mener jeg forholdene ligger godt til rette for at lovforslaget vil gi et bedre personvern: Datatilsynet vil bli styrket, de fleste behandlingsansvarlige har liten grunn til sterke protester og de registrerte har grunn til å være fornøyd med utvidede og praktikable indviduelle rettigheter.



Fotnoter

(1) Tilstøtende lovgivning må først og fremst sies å være forvaltningsloven og ulike typer "registerlover", dvs lover som regulerer visse særlige registre, for eksempel strafferegisterloven, folkeregisterloven m.v. Mens utvalget var i arbeid ble det utarbeidet og vedtatt viktige endringer forskriftene til personregisterloven. Utvalget vurderte ikke forskriftsverket spesielt, men fremmet forslag om endringer som forutsetter en gjennomgripende revisjon også av forskriftene.

(2) Enkelte har blant annet kritisert sammensetningen og pekt på at statsforvaltningen var for tungt representert. Kritikken kom bl.a fra utvalgets medlem Georg Apenes, se NOU 1997: 19 s 130 annen spalte, øverst.

(3) Med unntak av § 7 om innsynsrett som trådte i kraft fra 1. juli 1980, se kgl. res. 21. desember 1979.

(4) Henholdsvis "Seip-utvalget" (NOU 1975: 10) og Sandvik-utvalget (NOU 1974: 22). Det først nevnte utvalget la hovedvekt på utforming av generelle prinsipper og personregistrering i offentlig sektor, mens det sist nevnte utvalget primært arbeidet med visse typer privat virksomhet som gjør intensiv bruk av personopplysninger (kredittopplysningsvirksomhet, adresseringsvirksomhet m.v. Forslagene fra de to utvalgene ble innarbeidet i personregisterloven.

(5) Selv om loven ikke ble avgrenset til spørsmål vedrørende elektronisk behandling av personopplysninger, tok lovgiver særlig sikte på å regulere datamaskinbehandling av personopplysninger.

(6) Utredningen av mulige endringer av konsesjonssystemet m.v. ble igangsatt allerede 1 ½ år etter lovens ikrafttredelse. Se om dette i "Føyen-utredningen", Complex 1/83, Universitetsforlaget.

(7) Selv om dette kun er et standard oppsett for konsesjoner, vil standardene i praksis kunne redusere den individuelle prøvingen av søknader som ikke anses som kontroversielle. Standardkonsesjonene er tilgjengelig på Avdeling for forvaltningsinformatikks nettsider "Personvern på nettet", http://www.jus.uio.no/iri/afin/person_nett/kons_dt/konsdt.htm.

(8) Antallet konsesjoner har økt sterkt de senere årene. Således ble det i 1995 gitt 2507 tillatelser, 1994 1656 tillatelser og i 1993 ble det gitt 1262 konsesjoner til å opprette personregistre.

(9) Se bestemmelsene i forskrift i medhold av lov om personregistre m.m. gitt av Justisdepartementet §§ 2-19 og § 2-20 om unntak fra konsesjonsplikt for elektroniske arkiv og for aktivitetslogger i edb-systemer og datanett.

(10) Se om dette i min artikkel "Mulige konsekvenser for norsk forvaltning av EFs reviderte utkast til personverndirektiv" I: Lov og Rett, 6/94, s 349 - 62.

(11) Utvalgets medlem Georg Apenes dissenterte på formålsbestemmelsen. Han ønsket en formålsbestemmelse som også inneholder materielle bestemmelser som overlapper med flere av lovutkastets øvrige bestemmelser, se utredningens s 130.

(12) Se avsnitt 10 nedenfor og lovforslagets § 37.

(13) Se SOU 1997: 39 § 1.

(14) Jf. dog det som er sagt under avsnitt 3 om behovet for å definere en nedre grense for personvernet.

(15) Ved denne vurderingen vil momentene i § 35 annet ledd nr 1 – 5 i forslaget være retningsgivende, jf § 40 annet ledd.

(16) Hvorledes formålet skal angis vil etter forslaget avhenge av utformingen av melde- og konsesjonspliktordningene og krav til meldingenes og konsesjonssøknadenes innhold, jf § 32 annet ledd i forslaget.

(17) Se definisjonen av dette begrepet i forslagets § 2 nr 4.

(18) Dette kan forekomme noe fremmed i Norge, men vil følge som en forpliktelse for Norge av personverndirektivets artikkel 8 nr 1.

(19) I dag er slike registre konsesjonspliktige.

(20) Unntak vil dessuten få konsekvenser for omfaget av den fortegnelse som etter § 17 skal etableres for å skape åpenhet og offentlighet rundt behandling av personopplysninger, se avsnitt 8.

(21) Forutsetningen er selvsagt at opplysninger om kommunikasjonsløsninger er blant de opplysninger som skal meldes, se straks nedenfor.

(22) Jf. § 36 i lovforslaget der Datatilsynet i annet ledd nr 3 og 4 gis oppgaven å holde seg orientert om utviklingen i behandling av personopplysninger, de problemer dette skaper og å gi råd om mulige tiltak for å møte nye personverntrusler.

(23) Se lovforslaget §§ 33 (konsesjon) og 40 (generell inngrepshjemmel for Datatilsynet).

(24) Se kommentaren til lovforslaget § 32 på s 155 i utredningen.

(25) Eventuelt hos andre myndigheter som er utpekt til å gi slik informasjon.

(26) Særlig er kravet av betydning fordi det settes bestemte krav til å anvende opplysninger for nye formål, se lovforslagets § 8.

(27) Enkelte bestemmelser vil tilsynelatende passe dårlig. F.eks vil retting av et billedopptak av en person gi noe uvante situasjoner, men kan likevel være av praktisk betydning. F.eks kan det være knyttet feil personidentitet til bildet eller feil om opptakssted, -situasjon eller lignende Også selve bildet kan være uriktig, for eksempel slik at det er retusjert eller på annen måte manipulert (noe dagens teknologi åpner for i vidt monn).

(28) Personvernhensyn kan ikke anses å representere noe vesentlig hinder for en slik modernisering, men vil ofte virke inn på løsningsmåter og i noen grad også kostnader forbundet med moderniseringen.

(29) Formannen Arne Skauge, Georg Apenes og meg selv.

(30) Omfanget av klagesaker som bringes inn for Personvernnemda vil selvsagt avhenge meget av hvilke prioriteringer som gjøres i Datatilsynet. Aktiv kontroll og bruk av den foreslåtte inngrepshjemmelen i § 40 peker imidlertid i retning av et noe høyere konfliktnivå og flere klagesaker.

(31) Fra før 1997 forelå ingen samlet oversikt over klagesaker over Datatilsynets vedtak. Sakene er nå publisert og omtalt i Lee Bygrave "Personvern i praksis", Cappelen Akademiske Forlag, 1997. Sammendrag av sakene med referanser finnes fritt tilgjengelig på Avdeling for forvaltningsinformatikks nettsider "Personvern på nettet", http://www.jus.uio.no/~evenh/afin_pv/klager/klagintr.htm.

(32) Endringen gjør også at Datatilsynet i sin virksomhet bør gå igjennom sine rutiner med siktemål å ivareta en best mulig rettssikkerhet for de som blir berørt av tilsynets vedtak.

(33) Utvalgte delte seg på midten i synet på om Datatilsynet fortsatt bør ha et virksomhetsstyre, se avsnitt 18.3.7 (s 114 – 116.

(34) På den annen side kan utviklingen innen næringslivet bli slik at eier- og skatteforhold m.v. medfører etablering av norske selskaper i andre land, noe som vil få direkte betydning for personvernlovgivningens geografiske virkeområde.

(35) På den annen side er det uklart i hvilken utstrekning de konsesjonspliktige faktisk etterlever pliktene, for eksempel plikten til å søke ny konsesjon ved endringer av betydning.


Publisert 17. des. 2009 19:33