Et møte mellom personvernretten og forvaltningsretten

Et møte mellom personvernretten og forvaltningsretten

Personvernrettens inntog?

Av professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO


Personvernretten har til nå vært et emne for spesielt interesserte. På Universitetet i Oslo har personvern blitt behandlet på spesialfaget i rettsinformatikk, mens det iden alminnelige delen av det juridiske studium kun har vært med som petitstoff. Personregisterloven er for tiden under revisjon i tråd med EUs direktiv om personvern. Den rammen som direktivet legger for revisjonsarbeidet og enkelte nye innholdsmessige elementer i direktivet, gjør at en ny norsk lov kan og bør få en langt mer sentral betydning for universitetene og for rettslivet generelt. I denne artikkelen vil jeg først gi en kort innføring i personvernteori. På denne bakgrunn vil jeg så gi en oversikt over enkelte sentrale berøringspunkter mellom personvernretten og forvaltningsretten. Jeg viser dessuten hvorledes det i deler av personvernretten er kimer til generelle saksbehandlingsregler som bl.a også omfatter beslutninger i privat sektor.


1 Allment om personvern

Hensynet til personvern er nedfelt i personregisterloven (prl) av 9. juni 1978 samt i internasjonale reguleringer som for eksempel Europarådskonvensjonen om personvern(1) og EUs personverndirektiv(2). "Personvern" er imidlertid ikke bare en merkelapp vi knytter til bestemte deler av rettslige reguleringer, men betegner også et sett av overordnede ideer og verdier knyttet til behandling av personopplysninger. Her er det bare anledning til å skrape litt i det øverste laget av den mangfoldige personvernteorien.(3)

I den første og mest tradisjonelle tilnærmingen til personvernet blir det fokusert på enkeltmenneskets personlige integritet. Denne kan delvis ses som uttrykk for et grunnleggende ønske om å kunne ha kontroll over opplysninger om en selv, særlig om forhold og i situasjoner som oppleves som strengt personlige. Dette integritetsfokuserte personvernet dekker imidlertid mere enn hensynet til at opplysninger om strengt personlige og intime forhold ikke skal bringes videre uten samtykke fra de aktuelle personene. Også retten til å være i fred fra andre, uavhengig av om fredsforstyrrelsen innebærer at personlige opplysninger blir røpet eller ikke, kan sies å høre med under denne synsvinkelen på personvernet. Denne måten å se personvernet på kan illustreres ved at det trekkes en sirkel av privatsfære rundt enkeltpersonene, slik at når en trår nær en person, må en enten eksplisitt eller implisitt ha en tillatelse eller en annen legitim grunn for å nærme seg. Jo "nærmere en trår" uten tillatelse, jo sterkere må den legitime grunnen være. Det er trolig ikke mange som vil hevde at det eksisterer noen absolutt grense mot å krenke denne integritetssfæren. De fleste godtar at det eksisterer tilstrekkelig sterke og legitime grunner til selv den mest eklatante krenkelse av folks personlige integritet. For eksempel godtar mange at tollere i visse situasjoner kan undersøker "kroppens hulrom" på jakt etter narkotika, og at psykisk utviklingshemmede blir gjenstand for vedvarende kontroll ved hjelp av elektronisk tilsyn. Grensene mellom det akseptable og uakseptable er imidlertid vanskelig å trekke. I hvilken grad bør for eksempel pressen eksponere folks privatliv; "offentlige personers" liv og levned, ofre for ulykker, forbrytere eller andre personer som det av en eller annen grunn har nyhetsverdi, underholdsningsverdi eller (bare) økonomisk verdi å omtale og avbilde.

"Kontrollsamfunnet" og "Storebrorsamfunnet" er to vanlige betegnelser på et skremmebilde av et samfunn der alt er gjennomkontrollert av offentlige myndigheter. Den andre type av fokus som vi kan velge når personvernet skal betraktes, kan sies å gjelde spørsmål om makt og innflytelse mellom ulike grupper og/eller personer i samfunnet. Vi kan snakke om det maktfokuserte personvernet. Hvis "kunnskap er makt" vil kanskje også kunnskap om andre mennesker gi makt, både i alminnelighet og spesielt over de mennesker kunnskapen gjelder. Ut i fra et slikt ståsted kan det for noen grupper av enkeltpersoner bli viktig å motvirke at andre vesentlig styrker sin posisjon og styringsmulighet ved å ha tilgang til mye og betydningsfull personinformasjon. Særlig aktuelt er det å se relasjonene mellom forvaltning – borgere, næringsdrivende – kunder og arbeidsgiver – arbeidstaker i dette perspektivet.

Det tredje og siste perspektivet på personvern som jeg vil nevne, tar utgangspunkt i at personopplysninger ofte blir brukt som grunnlag for beslutninger av ulike slag, for eksempel vedrørende iligning av skatt og oppgjør i en forsikringssak. Dersom vi velger det beslutningsfokuserte personvernet forutsetter vi at avgjørelser treffes på basis av et sett av personopplysninger, og stiller ut i fra dette krav til innholdet og behandlingen av opplysningene for øvrig. Det er denne vinklingen av personvernet jeg i det følgende vil konsentrere meg om.


2 Nærmere om det beslutningsfokuserte personvernet

Det at vi innenfor det beslutningsfokuserte personvernet forutsetter en beslutning, betyr ikke nødvendigvis at det er aktuelt å treffe beslutninger i umiddelbar framtid. Beslutningsfokuseringen er også aktuell når vi forutsetter at opplysninger kan bli anvendt som beslutningsgrunnlag i nær eller fjernere framtid. Opplysninger om pensjonspoeng vil for eksempel normalt ikke anvendes med det første, men vil for eksempel bli beslutningsgrunnlag ved uførhet eller ved oppnådd pensjonsalder.(4) Beslutningsfokuseringen er heller ikke begrenset til de mest betydningsfulle beslutningssituasjonene, tilsvarende slike enkeltbeslutninger som i forvaltningsloven regnes som "enkeltvedtak".

Listen over situasjoner der ulike beslutningsinstanser treffer avgjørelser om oss kan i vårt velferdssamfunn gjøres uendelig lang. Mange beslutninger kan være avgjørende for folks livssituasjon og velferd. Det er også grunn til å peke på at slike beslutninger både treffes innen offentlig og privat sektor, og at det neppe er mulig generelt å påstå at den ene sektoren er viktigere for menneskers velferd enn den annen. De saksopplysninger som velferdssamfunnets beslutninger hviler på, har normalt avgjørende betydning for resultatet. Slike beslutningsgrunnlag vil for en stor grad bestå av opplysninger som direkte gjelder enkeltpersoner, de er "personopplysninger", jf prl § 1 annet ledd. Derfor blir det viktig å påse at behandling av slike opplysninger skjer på måter som kan sies å være egnet til å sikre riktige og rettferdige avgjørelser. Målsettingen om korrekte avgjørelser gjelder uavhengig av om opplysningene anvendes til å treffe avgjørelser i form av "enkeltvedtak" i offentlig forvaltning eller en avgjørelse i privat sektor.

Det beslutningsfokuserte personvernet er spesielt knyttet (men ikke avgrenset) til automatiserte avgjørelser, d.v.s. til beslutninger som helt eller delvis er truffet ved hjelp av datamaskinsystemer. Avgjørelser i offentlig og privat automatisert masseforvaltning ses mer som resultater av en produksjonsprosess enn arbeidsmåter som er tilpasset det enkelte menneskes individuelle ønsker og behov. Slik sett kan disse aspektene ved personvernet sies å supplere og fornye den rettssikkerhetstankegangen som tradisjonelt har forutsatt individuell behandling av genuine enkeltsaker, jf punkt 6 nedenfor.

I forvaltningsloven sies det bare at saken skal være "så godt opplyst som mulig før vedtak treffes" (§ 17), men uten å angi noen nærmere kvalitetskrav. I personvernteorien er det derimot utviklet en omfattende systematikk og teori for å understøtte vurderinger om beslutningsgrunnlag er korrekte og tilstrekkelige m.v.(5)

Det at beslutninger skal være korrekte, er ikke noe vi trenger personvernet for å begrunne. I rettssikkerhetstradisjonen ligger det nettopp et krav om at avgjørelsene skal være riktige, og under et slikt krav må det nødvendigvis ligge et krav om riktig beslutningsgrunnlag. I et tradisjonelt rettssikkerhetsperspektiv har det imidlertid nesten utelukkende handlet om offentlig myndighetsutøvelse. Personverntilnærmingen er bl.a spesiell ved at den tar utgangspunkt i opplysningene og ved at den ikke skiller mellom offentlig og privat sektor.(6) Det kan derfor hevdes at det beslutningsfokuserte personvernet på mange måter representerer et utvidet rettsikkerhetsperspektiv.

Etter at jeg nå har presentert tre typer av fokus på personvernet, er det viktig å understreke at disse ikke representerer isolerte og selvstendige tilnærminger. Dersom vi tenker oss personvern som en gjenstand som vi kan gå rundt og observere, er det snarere tre observasjonspunkter for iakttagelse av denne gjenstanden jeg her har presentert. Vurderinger knyttet til disse tre synsvinklene utgjør basis for lovgivningen innen personvernområdet og begrunner bl.a tildeling av ulike typer avgjørelses- og inngrepskompetanse til Datatilsynet , samt forholdsnormer som fastsetter hvorledes de som behandler personopplysninger skal innrette seg. Ivaretagelsen av personvernet begrunner dessuten tildeling av rettigheter eller "personverngarantier" for de registrerte, dvs etablering av tiltak som setter den enkelte bedre i stand til å ivareta sine interesser i en lovmessig og forsvarlig behandling av opplysninger om dem selv. I den resterende delen av denne artikkelen skal jeg gjennomgå berøringspunkter mellom slike personverngarantier og rettssikkerhetsgarantier slik vi særlig kjenner dem fra forvaltningsloven. Her er det i første rekke det beslutningsorienterte personvernet jeg vil knytte an til.


3 To utgangspunkter

Før jeg kommer nærmere inn på forholdet mellom rettssikkerhets- og personverngarantiene er det viktig å gjøre klar over to forskjeller mht hvem garantiene gjelder for og for hvilke typer av situasjoner garantiene kan benyttes. Etter forvaltningsloven er det et vilkår for rett til å nyte godt av rettighetene i kapittel IV – VI at behandlingen gjelder et "enkeltvedtak".(7) Det innebærer at det er partene som nyter godt av lovens rettssikkerhetsgarantier med rett til innsyn, varsling, uttalerett, begrunnelse m.v. Personverngarantier gis de registrerte, dvs vilkåret er at det er registrert personopplysninger om vedkommende person. I noen tilfelle vil opplysninger være registrert som ledd i enkeltsaksbehandling. Garantiene etter personvernlovgivningen omfatter imidlertid også de personer som ikke er gjenstand for enkeltvedtak, men som for eksempel er gjenstand for avgjørelser i et privat kundeforhold, ved offentlig og privat tjenesteyting, og i det hele tatt for de personer som får opplysninger om seg behandlet.

Den andre viktige presiseringen gjelder det tidligere nevnte skillet mellom offentlig og privat sektor. I EU direktivet om personvern og i den nasjonale lovgivning som skal vedtas innen fristen for implementering av direktivet (oktober 1998), vil det på dette området være gjennomført en total likestilling mellom de to sektorene. I et tidligere direktivutkast ble det distingvert mellom offentlig og privat virksomhet. Skillet ble imidlertid ansett som uholdbart, bl.a på grunn av den privatisering som pågikk i mange medlemsland. Også utenom de klare privatiseringstilfellene har det oppstått en stadig bredere gråsone mellom offentlig myndighetsutøvelse og privat virksomhet som kan gjøre det vanskelig å praktisere et skille.

Alt i alt betyr de nevnte to utgangspunktene at personvernreguleringer innebærer etablering av generelle regler, og at disse reglene dels overlapper forvaltningsrettslige regler, og dels supplerer dem fordi de ikke forutsetter at det skal treffes noen enkeltvedtak. For privat sektor innebærer personvernreglene at det etableres "saksbehandlingsregler" som ivaretar kunders, medlemmers m.v. interesser i en lovlig og forsvarlig behandling av personopplysninger. Dette får igjen særlig betydning for hvilke regler som gjelder når opplysningene er beslutningsgrunnlag for private instansers enkeltavgjørelser i henhold til avtale m.v.


4 Innsynsrett

Fvl §§ 18 og 19 angir parters rett til å gjøre seg kjent med sakens dokumenter. Faller avgjørelsen utenfor virksomhet som drives av eller på vegne av forvaltningsorganer, eller er det ikke tale om "enkeltvedtak", gjelder ingen innsynsrett etter loven. Personregisterloven supplerer i dag denne innsynsretten ved at det i § 7 er etablert en alminnelig innsynsrett for den registrerte i opplysninger om seg selv. I dagens lov er dette innsynet noe sterkere i forhold til organ for stat og kommune enn for øvrig, men denne forskjellen vil måtte elimineres ved tilpasningen til EU-direktivet.

Innsynsretten etter personverndirektivet og en framtidig norsk lovgivning vil ha to elementer. For det første et innsyn i generelle forhold knyttet til behandlingen av personopplysninger. Det betyr at de registrerte bl.a skal ha rett til å få innsyn i formålet for behandlingen, hvilke opplysningstyper som inngår i behandlingen, hvem opplysningene kan avgis til og hvilke sikkerhetstiltak som er iverksatt. Denne innsynsretten kan også ses i sammenheng med innsynet etter offentlighetslovens § 2. Etter disse reglene er innsynet ikke knyttet til spesifisering av "en bestemt sak", men gir rett til enhver som etterspør opplysninger om en bestemt behandling av personopplysninger. Jeg minner om at en "behandling" her ofte vil være utøvelse av avgjørelsesmyndighet. Innsynet vil da omfatte det teknisk-administrative opplegget knyttet til beslutningsprosesser som involverer enkeltpersoner.

Det andre elementet i innsynsretten gjelder konkrete opplysninger om enkeltpersoner. Som nevnt gjelder innsynsretten helt generelt, dvs uavhengig om det dreier seg om en avgjørelse eller ikke, og uansett om opplysningene behandles av det offentlige eller av private. Dersom retten blir kjent og brukt, kan dette for det første være et viktig tilskudd til "rettssikkerheten" i privat sektor, dvs et tiltak som kan bidra til å sikre rettsriktige avgjørelser og disposisjoner ellers. Det er her særlig grunn til å trekke frem mulige konsekvenser for relasjoner som typisk har stor velferdsmessig betydning, som for eksempel kundeforhold i forsikring og bank samt forholdet mellom arbeidstaker og arbeidsgiver.(8)

Dersom jeg sammenfatningsvis skal skissere endringer mht graden av åpenhet og innsyn i samfunnet, er det viktig å være oppmerksom på det tilskudd personvernlovgivningen representerer på området. Jo flere avgjørelser og viktige disposisjoner ellers som treffes ved hjelp av datamaskinsystemer, jo større vil denne betydningen bli. Dette fordi generelt og individuelt innsyn etter personvernlovgivningen ofte vil være konkretisert i forhold til edb-behandling av personopplysninger.


5 Informasjonsplikt

Etter fvl § 17 annet ledd har forvaltningsorganer som hovedregel en plikt til å forelegge visse opplysninger for partene. Dette gjelder for det første opplysninger om vedkommende part eller den virksomhet han driver eller planlegger. Også andre opplysningstyper skal forelegges parter dersom de er av vesentlig betydning og det må forutsettes at partene har en interesse i å uttale seg (§ 17 tredje ledd). De opplysningstyper som det i forvaltningsloven er etablert informasjonsplikt for vil stort sett være "personopplysninger" i personregisterlovens forstand. Dette gjelder ubetinget for opplysninger etter annet ledd, men også etter tredje ledd kan det faktum at andre opplysninger faktisk knyttes til en sak og dermed til en person, gjøre at opplysningen ses som "personopplysning".(9)

I personregisterloven er det i dag ingen generell bestemmelse som innebærer informasjonsplikt overfor de registrerte.(10) Personverndirektivets artikkel 11 inneholder imidlertid en bestemmelse som forplikter statene til å innstifte lovgivning om varsling av de registrerte når de som behandler personinformasjon mottar slik informasjon fra andre enn de registrerte selv. Dersom dette realiseres i en revidert personregisterlov, vil det innebære en plikt lignende den som følger av fvl § 17 annet og tredje ledd, men som ikke er begrenset til forvaltningsorganers enkeltvedtak. Viktigere er likevel at slik informasjonsplikt vil introduserer tilsvarende bestemmelser på den private sektor, noe som bl.a vil legge bedre til rette for kontradiksjon knyttet til beslutningsgrunnlaget innen private beslutningsprosesser.(11)


6 Begrunnelse

Forvaltningsloven gir regler for offentlig forvaltning om parters rett til å få enkeltvedtak begrunnet. Lovens § 24 stiller krav til når begrunnelse for enkeltvedtak skal gis. Hovedregelen er at forvaltningen er pliktig til å begrunne enkeltvedtak når resultatet går parten imot, for eksempel ved at en søknad helt eller delvis avslås. I § 25 fastsettes det krav til hvilket innhold begrunnelsen skal ha. Det heter her bl.a at begrunnelsen «skal vise til de regler vedtaket bygger på, med mindre parten kjenner reglene». Forvaltningsorganet skal også gjengi innholdet av reglene, dersom dette er nødvendig for at parten skal forstå vedtaket. Begrunnelser etter forvaltningsloven trenger normalt kun inneholde en henvisning til de bestemmelser som enkeltvedtaket hviler på. Bare dersom det er nødvendig for å sette parten i stand til å forstå resultatet skal begrunnelsen i tillegg inneholde en gjengivelse av reglenes innhold. Loven forutsetter her en individuell vurdering av partens forutsetning for å forstå vedtaket.

I personverndirektivet art. 12 bokstav a, tredje strekpunkt introduseres en interessant regel som kan ses på som et tilskudd til begrunnelsesplikten for forvaltningsorganer, og som dessuten etablerer en helt generell begrunnelsesplikt som også innbefatter privat sektor. Bestemmelsen innebærer rett for enhver til "at få vide, hvilken logik der ligger bag edb-behandlingen af oplysningerne om den pågældene [...]". Som et minimum forplikter direktivet statene til å fastsette slike regler for visse typer helt automatiserte avgjørelser slik de er angitt i art. 15.(12) Med den "logikken" som skal forklares, sikter en her til de rettslige behandlingsregler som finnes i de datamaskinprogrammer som forestår saksbehandlingen. Dette er regler i form av "oversettelser" av de fortolkninger av lov, forskrift, kontrakt m.v. som er lagt til grunn ved utviklingen av datamaskinsystemet, og som derfor rutinemessig legges til grunn for enkeltavgjørelser. Av direktivet går det fram at retten til å få disse reglene forklart er knyttet til avgjørelser som er truffet, og gir for eksempel ikke rett til slike forklaringer forut for avgjørelser eller på hypotetisk grunnlag. Retten framstår derfor mer som en rett til begrunnelse enn en rett til veiledning.

Det er grunn til å ha et nøkternt forhold til den mulige betydningen av en slik begrunnelsesregel knyttet til fullstendig automatisert saksbehandling. Følger en direktivets minimumskrav vil det i dag være ytterst få avgjørelsestyper som vil være omfattet av bestemmelsen. Likevel er det mulig at teknologiske og rettspolitiske utviklingstrekk vil kunne gjøre at en slik begrunnelsesrett får større betydning i årene framover. For det første er det mulig at det i fremtiden blir langt flere beslutningsrutiner som fullautomatiseres.(13) Selv om det åpenbart er slik at de fleste avgjørelsestyper må ha betydelige innslag av manuell behandling, er det samtidig klart at det for flere avgjørelsestyper finnes et potensiale i retning av langt høyere automatiseringsgrad enn i dag. Hvor raskt utviklingen vil gå avhenger både av teknologien og den sosiale og politiske aksepten av nye behandlingsmuligheter. Når det gjelder den rettspolitiske utviklingen, er det først og fremst viktig å nevne at den beskjedne begrunnelsesplikten for det private området som personverndirektivet gjør nødvendig, kan vise seg å bli kimen til lignende og mer omfattende plikter til å begrunne resultater innen utvalgte livsområder innen avtale- og markedssfæren. Her kan det for eksempel tenkes at personvernrettslige og forbrukerrettslige begrunnelser vil kunne trekke i samme retning og lede fram til mer omfattende forpliktelser enn det direktivet gjør nødvendig.


7 Rett til individuell behandling

Retten til en konkret og individuell behandling av enkeltsaker er grunnfestet i rettssystemet. Retten gir seg bl.a utslag i kravene til saksforberedelse i forvaltningsretten og partenes anledning til å uttale seg og til å klage saken inn for en overordnet instans. Med dette som utgangspunkt kan det være overraskende å se at personverndirektivet fastsetter en rett til å nekte å la seg underkaste visse typer totalt automatiserte beslutningsrutiner.(14) Total automatisering innebærer nemlig at alle deler av saksbehandlingen styres av regler i datamaskinprogrammene, noe som gjør det uaktuelt med en individuell overprøving. Selv om det i artikkel 15 nr 2 er gjort vesentlige unntak fra hovedregelen, er det grunn til å legge merke til at direktivet kan påvirke for automatiseringsgraden innen offentlige og private beslutningsrutiner. Det viktigste ved denne direktivbestemmelsen kan imidlertid vises seg å bli den rettspolitiske, fordi den signaliserer at det kanskje bør settes en grense mht hvor langt det bør være tillatelig å gå i retning av totalt automatiserte beslutninger. I dette ligger det bl.a et spørsmål om det er noen avgjørelsestyper som bør skjermes spesielt ved at individuell overprøving alltid skal være mulig. I forlengelsen av diskusjonen av de administrative beslutningsrutinene ligger det imidlertid også et spørsmål om domstolenes framtidige rolle i forhold til beslutninger som er "kapslet inn" i et system av forhåndsdefinerte regler for alle tenkelige saker.(15)


8 Avslutning

Siktemålet med denne artikkelen har delvis vært å gjøre rede for noen hovedpunkter i personvernteorien. Med dette som utgangspunkt har jeg villet forklare hvordan personvernlovgivningen ikke bare har relevans i forhold til "personlighetens rettsvern" og et snevrere vern om privatlivets fred. Ved å velge et "beslutningsfokus" på personvernet og ved å trekke enkelte forbindelseslinjer mellom forvaltningsretten og eksisterende og kommende personvernlovgivning, har jeg forhåpentlig vist at personvernretten virker inn på en rekke livsområder og beslutningstyper så vel innen offentlig som privat sektor. Med dette som bakteppe er det grunn til å oppfordre jurister flest til konkret å vurdere mulige innvirkninger av personvernretten på de ulike rettsområder som de er i befatning med. Særlig spennende er det etter min mening å vurdere personvernrettens framtidige innvirkning på ulike kunde- og kontraktsforhold mellom enkeltpersoner og store private organisasjoner.



Fotnoter

(1) "Convention for the protection of individuals with regard to automatic processing og personal data", i kraft fra 1. oktober 1981, ratifisert av Norge i 1983.

(2) Europaparlamentets og Rådets direktiv 95/46/EF "For the protection of individuals with regard to the processing of personal data and on the free movement of data.

(3)Et grunnleggende arbeid på området er Blekeli og Selmers bok "Data og personvern", Universitetsforlaget 1977. Se også Jon Bing: "Personvern i faresonen", Cappelen 1991. Se også NOU: 1993: 22 avsnitt 5.3 for en alternativ tilnærming til det integritetsfokuserte personvernet. Ved Institutt for rettsinformatikk ved Universitetet i Oslo arbeider Lee Bygrave og Jens Petter Berg med å avslutte hvert sitt spennende doktorgradsarbeid om personvern.

(4) Beslutningsfokuseringen blir selvsagt mindre hensiktsmessig jo større usikkerheten er m.h.t. om opplysningen noen gang vil inngå i et beslutningsgrunnlag.

(5) Se f.eks Lee Bygraves artikkel "Ensuring Right Information on the Right Person(s): Legal Controls of the Quality of Personal Infomation – Part I", Forvaltningsinformatisk notatserie 4/96.

(6) I personregisterloven fra 1978 gjelder de sentrale bestemmelsene i kapitlene 3 og 4 generelt, mens det i kapitlene 5 – 9 er gitt særlige regler for virksomheter som typisk drives av private aktører. Enkelte lands personregisterlovgivning skiller mellom offentlig og privat forvaltning. I Danmark har en f.eks én registerlov for hver sektor. Det er imidlertid nærliggende å anta at dette vil bli endret i tråd med de harmoniseringskrav som EUs personverndirektiv innebærer.

(7) Fvl. § 3 første ledd, jf § 2.

(8) Innenfor slike private områder kan personvernreguleringene supplere særlovgivning, f.eks forsikringsavtaleloven og arbeidsmiljøloven.

(9) Jf. legaldefinisjonen i pregl. § 1 annet ledd som angir "personopplysning som "opplysninger og vurderinger som direkte eller indirekte kan knyttes til identifiserbare enkeltpersoner, sammenslutninger eller stiftelser."

(10) En viktig særbestemmelse finnes dog i § 19 som gjelder avgivelse av kredittopplysning om fysiske personer.

(11) I art. 11 nr 2 er det gitt en rekke unntak fra informasjonsplikten. For det første er behandling som gjelder statistikk og forskning unntatt. For det andre gjelder unntak for registrering av personopplysninger som eksplisitt er fastsatt ved lov. For det tredje er det gitt en mer skjønnsmessig adgang til å gjøre unntak dersom det er umulig eller uforholdsmessig vanskelig å gi informasjon om behandlingen til den registrerte. Dersom det gjøres unntak skal medlemsstatene fastsette nødvendige garantier. Dette innebærer at unntakstilfellene skal omfattes av andre tiltak som er egnet til å sikre den registrerte en rimelig behandling av opplysningene.

(12)Dette er avgjørelser vedrørende personlige forhold som har rettsvirkninger for den enkelte eller som berører den enkelte i vesentlig grad, og som i sin helhet er truffet på grunnlag av edb-behandling av opplysninger. Avgjørelser om ervervsevne, kredittverdighet, pålitelighet og adferd regnes opp som eksempler på avgjørelsestyper som omfattes.

(13) Husbankens vedtak ved tildeling av bostøtte er et gammelt og vel kjent eksempel. Av nyere dato er forsøksdrift med "bankkiosker" der kunden gjennom automatiske rutiner kan få innvilget forbrukerlån etter en maskinell prøving av vilkår for kredittverdighet.

(14) Dette er for øvrig de samme typer beslutninger som minimumskravet vedrørende retten til å få forklart logikken i en totalt automatisert behandling er knyttet til, se punkt 5 ovenfor. Fyldig redegjøørelse og diskusjon av automatiserte beslutningsrutiner finnes i Dag Wiese Schartum: "Rettssikkerhet og systemutvikling i offentlig forvaltning", Universitetsforlaget 1993.

(15) Slike regler inneholder også bestemmelser om hvilke saksfakta beslutninger skal treffes på grunnlag av, f.eks ved at det er fastlagt at opplysninger av bestemte typer som finnes i nærmere angitte databaser skal benyttes uansett hvorledes disse forholder seg til reelle forhold. Husbankens bostøttesystem forholder seg f.eks til registrerte og ikke nødvendigvis til de faktiske boforhold for søkerne.

Publisert 17. des. 2009 19:33