For å sikre ivaretaking av personvernomsyn har den
registrerte fått ein del rettar. Dessutan er dei behandlingsansvarlege
pålagde ein del plikter som skal bidra til at personvernet til dei
registrerte blir teke hand om.
Ein del personvernrettar er òg nedfelte i anna regelverk,
og dette regelverket kan i praksis ha meir å seie enn personopplysningslova.
For mange er det truleg reglane i forvaltningslova som ligg til
grunn for krav om innsyn i personopplysningar i forvaltninga, og
ikkje innsynsreglane i personopplysningslova. I privat sektor er
det derimot innsynsreglane i personopplysningslova som gir grunnlag
for innsyn. Teiepliktsreglar, som det er mange av i norsk rett,
er òg reglar som bidreg til å tryggje personvernet til dei registrerte.
Mange av rettane i personopplysningsregelverket
er relativt lite kjende, og regjeringa meiner det er nødvendig å
vurdere tiltak som kan bidra til at rettane blir både betre kjende
og betre nytta.
Personvern er både ein kollektiv og ein individuell
rett. Det finst ei rekkje reglar som skal bidra til å gi brukarane
auka kontroll og råderett over eigne personopplysningar, blant anna
reglar om innsyn, reservasjonsrett, retting og sletting og om retten
til å bli gløymd. Ein må bruke handlingsrommet reglane gir på ein
god måte.
Sjølvråderett er eit grunnleggjande prinsipp
i norsk rett. I personvernsamanheng vil sjølvråderetten seie at
individet i stor grad har rett til å bestemme over sine eigne personopplysningar når
desse kan samlast inn, og kva dei kan brukast til.
Ei anna side ved sjølvråderetten er at individet skal
kunne utøve ein viss grad av kontroll med flyten og bruken av personopplysningane
sine, også når dei er komne i andre sine hender.
Personopplysningar har i lang tid vore ei vare
og samstundes eit betalingsmiddel. Mange gir frå seg personopplysningar
i byte mot andre gode. Viljen næringslivet har til å betale for
personopplysningar, er relativt liten, samstundes som verdien personopplysningar
har for dei i kommersiell samanheng, synest høg. I enkelte verksemder
kan eit godt utvikla kunderegister vere den viktigaste verdien i
selskapet. Informasjonen om brukarane har enorm forretningsverdi.
Utan all informasjonen kvar enkelt brukar legg ut, har for eksempel
dei sosiale nettstadene liten kommersiell verdi. Det er derfor rimeleg
at innbyggjarane i det minste har ein viss råderett over den verdien
kvar enkelt representerer. Dersom brukaren ikkje lenger ønskjer
å vere brukar av ein sosial nettstad, og ikkje lenger tek imot noka
vare, bør han følgjeleg kunne krevje at betalinga for tenesta sluttar
i den forstand at personopplysningane blir sletta eller leverte
tilbake.
Kontroll over eigne personopplysningar krev
informasjon og kunnskap. Retten til informasjon og retten til innsyn
er derfor grunnleggjande i personvernsamanheng.
I mange daglege gjeremål lèt innbyggjarane etter seg
informasjon som gir høve til personidentifisering. Ulike automatiserte
registrerings- og betalingssystem forenklar kvardagen både for tenesteytaren
og -mottakaren. Personidentifiserbar informasjon frå registreringsordningane
kan likevel seie mykje om rørslene og åtferda til dei registrerte.
Med omgrepet anonymitet forstår ein normalt
at identiteten ikkje er kjend. Men retten til å opptre og ferdast
anonymt er ikkje uttrykkeleg fastslått i norsk rett. Denne retten
kan likevel til ein viss grad tolkast av prinsippet om dataminimalitet.
Er identifikasjon ikkje nødvendig, skal dei registrerte ha høve
til å opptre anonymt.
Retten til anonymitet er ein rett med modifikasjonar.
Dette gjeld ikkje minst i transportsektoren. Det finst både internasjonale
og norske reglar som avgrensar retten den enkelte har til å reise
utan å måtte gi frå seg personopplysningar.
Også i alminneleg varehandel er anonymiteten på
vikande front.
Utviklinga går i retning av stadig fleire løysingar som
gjer det mogleg å identifisere personar. Det er likevel sjeldan
ein tek seg tid til å diskutere dei utfordringane som følgjer med
ei utvikling der heilt daglegdagse aktivitetar lèt etter seg spor som
både politi, andre styremakter, næringsdrivande og kriminelle, lovleg
eller ulovleg, kan skaffe seg tilgang til. Utviklinga viser at det
er behov for ein overordna debatt om retten til anonymitet, slik
at ein kan sjå utfordringar i ulike sektorar i samanheng. Når ein
greier ut ulike tiltak som har eller kan ha personvernkonsekvensar,
bør prinsippet om dataminimalitet ha betydeleg vekt. Ein skal vurdere
om det er mogleg å bruke anonyme alternativ. Dei elektroniske reisekorta
i kollektivtrafikken er eit eksempel på eit område der retten til
anonymitet er teken hand om på ein god måte.
I forlenginga av retten til anonymitet snakkar
ein stadig oftare om retten til å bli gløymd. EU-kommisjonen har
sett fokus på retten til å vere anonym gjennom å føreslå ein rett
til å bli gløymd («right to be forgotten») i utkastet til revidert personvernregelverk.
Retten til å bli gløymd vil særleg kunne gi grunn til sletting av
opplysningar som er lagde ut på nett.
Langt på veg vil ein rett til å bli gløymd falle
saman med dei tradisjonelle norske reglane om rett til å få sletta
opplysningar som ikkje lenger er nødvendige for behandlingsføremålet.
EU-forslaget til reglar om retten til å bli gløymd femner likevel
vidare. Forslaget går ut på at den registrerte òg kan krevje at
den behandlingsansvarlege set i verk tiltak for å få sletta kopiar
av informasjon som er spreidd på Internett. Det same gjeld lenkjer
til informasjonen som den registrerte ønskjer å få sletta. Forslaget
står òg fram som eit særleg vern av barn, som ikkje alltid er like
kritiske til kva informasjon dei publiserer.
Forslaget har likevel møtt kritikk frå dei som meiner
ein slik regel vil gi folk høve til å redigere liva sine ut over
det som synest rimeleg. Omsynet til dokumentasjon for ettertida
kan derfor tale mot ein rett til å redigere ettermælet sitt på den måten
som retten til å bli gløymd kan synast å opne for.
For å gi den enkelte størst mogleg kontroll
med bruken av opplysningar om seg sjølv kan det vere ei løysing
å gi den registrerte rett til å flytte informasjon frå ein tenestetilbydar
til ein annan.
Eit anna og meir krevjande element ved retten
til å bli gløymd er ein eventuell rett til å få sletta opplysningar
som er distribuerte av andre på nett. Her er forholdet til ytringsfridomen
eit sentralt vurderingstema. Eit spørsmål er òg kva opplysningar
det er praktisk mogleg å få sletta.
Dersom ein rett til å bli gløymd skal få reell
verdi, må han vere mogleg å praktisere. Dette krev blant anna internasjonal
semje om eit slikt prinsipp. Noreg kan ikkje åleine innføre ein
regel som ville få så mykje å seie for internasjonal samhandling.
Ein rett til å bli gløymd må i det minste baserast på europeisk
semje. Regjeringa vil følgje debatten om retten til å bli gløymd
og den internasjonale utviklinga på dette området i tida framover
og sjå i kva lei ho går, når det eventuelt blir aktuelt å vurdere
norske reglar på området.
Etter personopplysningslova er det den behandlingsansvarlege
som avgjer føremålet med ei personopplysningsbehandling, og kva
hjelpemiddel som skal nyttast. Den behandlingsansvarlege har ansvar
for å oppfylle alle plikter etter personopplysningslova. Dette inneber
at den behandlingsansvarlege har ansvar for at det finst rutinar
og system for å leve opp til personopplysningsregelverket og tryggje
rettane til dei registrerte etter regelverket.
Det er ei generell utfordring at personvernregelverket
er lite kjent blant dei som behandlar personopplysningar. Det blir
i meldinga vist til resultata frå ei undersøking som Trafikkøkonomisk
institutt (TØI) gjorde av behandlinga av personopplysningar i norske
verksemder i 2005. Nettopp på bakgrunn av desse resultata har regjeringa
over fleire år gitt øyremerkte midlar til Datatilsynet for arbeid
med å gjere regelverket om informasjonstryggleik betre kjent blant dei
behandlingsansvarlege. Datatilsynet si satsing på opplæring av personvernombod
er òg eit tiltak for å gjere regelverket betre kjent blant behandlingsansvarlege.
Det kan vere føremålstenleg å gjennomføre ei ny personvernundersøking.
Trygginga av personvernrettane er nært knytt
til pliktene den behandlingsansvarlege har, og korleis vedkomande
oppfyller dei. Både reglane som heimlar rettane og reglane om pliktene
er, til ein viss grad skjønsprega, og gir eit visst handlingsrom.
Regjeringa har som mål å bruke dette rommet på ein måte som gagnar
både den behandlingsansvarlege og dei registrerte.
Ei vurdering av personvernkonsekvensar vil leggje
grunnlag for tiltak som skal ta hand om personvernrettane til dei
registrerte på best mogleg måte.
Ein analyse av personvernkonsekvensar kan vise at
det er fleire konkurrerande eller motstridande personvernomsyn å
ta hand om i ei sak. Då må ein vurdere kva personverninteresse som
skal vege tyngst. Analyse av personvernkonsekvensar vil òg kunne
vise at personvernomsyn står mot andre samfunnsomsyn eller private
omsyn.
Det er som regel rimelegare å leggje til rette
for ivaretaking av personvern når eit system blir utvikla, enn å
omarbeide eit eksisterande system slik at det kan ta omsyn til personverninteresser. Dette
tilseier at det vil vere i den behandlingsansvarlege si interesse
å leggje til rette for god ivaretaking av personvernet til dei registrerte
så tidleg som mogleg i arbeidet med nye system.
Dersom personvernkonsekvensar er godt klårgjorde
og drøfta ved førebuing av nye lovreglar, blir personvernkonsekvensar
synlege for Stortinget. Dette vil gi Stortinget grunnlag for å ta stilling
til personvernkonsekvensane i samband med vedtaking av lovreglane.
Rettleiinga om vurdering av personvernkonsekvensar som Fornyings-
og administrasjonsdepartementet har laga, er ei støtte til statlege
etatar slik at dei på ein god måte kan klårgjere personvernkonsekvensar
ved planlagde tiltak. Trass i at rettleiinga har eksistert i nokre
år, er det framleis for mange offentlege utgreiingar som manglar
gode drøftingar av personvern. Det vil bli vurdert tiltak for å
sikre at saksbehandlarar i offentlege verksemder kjenner og bruker
rettleiinga.
Sjølv om den omtala rettleiinga er utarbeidd
for statlege etatar, er råda i rettleiinga allmenngyldige. Rettleiinga
kan derfor vere nyttig også utanfor det statlege forvaltningsområdet.
For å styrkje ivaretakinga av personvernet til dei registrerte er
det i regelverksrevisjonen i EU føreslått å regelfeste ei plikt
til å gjennomføre ein såkalla «data protection impact assessment».
Utgreiing av personvernkonsekvensar og gjennomføring
av personvernanalysar bør vere eit naturleg ledd i tilrettelegginga
for behandling av personopplysningar både i privat og offentleg sektor.
Dette kan ein blant anna oppnå gjennom samarbeid med næringslivet
og næringslivsorganisasjonane. Informasjon om personvernanalysar
og personvernregelverket kan følgje med annan informasjon som blir
gitt til næringsdrivande ved oppstart av næringsverksemd. Nettsidene
til Brønnøysundregistra kan vere ein veleigna informasjonsstad.
I tillegg er nettsidene til Datatilsynet ein naturleg informasjonsstad.
Dei registrerte har omfattande krav på informasjon
frå den behandlingsansvarlege om pågåande personopplysningsbehandlingar,
både ved direkte førespurnad og på initiativ frå den behandlingsansvarlege.
Informasjon er viktig for at dei registrerte skal kunne nytte dei
andre rettane sine etter lova. Informasjonsplikta står derfor sentralt.
Regelverket pålegg den behandlingsansvarlege ei
plikt til å ha tilgjengeleg generell informasjon om behandling av
personopplysningar for dei som spør om det, uansett om spørjaren
er registrert eller ikkje. I tillegg har alle registrerte rett til innsyn
i dei opplysningane som er lagra om dei, og dessutan ein del informasjon
om korleis opplysningane blir behandla. Denne informasjonen skal
den behandlingsansvarlege gi på ein klår og tydeleg måte som set
den registrerte i stand til å ta hand om interessene sine.
For tre spesielle typar personopplysningsbehandlingar
er det særskilde informasjonsreglar. Dette gjeld ved bruk av personprofilar,
ved automatiserte avgjerder og i kredittopplysningsverksemd. Desse
er omtala nærmare i meldinga punkt 7.4.1.
Det blir i meldinga peikt på at det for å setje
innbyggjarane betre i stand til å ta hand om sitt eige personvern,
er nødvendig å skape større medvit om informasjonsplikta som kviler
på den behandlingsansvarlege. Dette kan blant anna gjerast gjennom
informasjon på offentlege nettstader som blir brukte av næringslivet,
til dømes nettsidene til Brønnøysundregistra. På nettsidene til Datatilsynet
finn ein denne typen informasjon under overskrifta personvernerklæring.
Både offentlege og private behandlingsansvarlege bør sørgje for
å ha slik informasjon lett tilgjengeleg på nettsidene sine, for
eksempel under overskrifta personverninformasjon eller personvernerklæring.
For å hjelpe dei behandlingsansvarlege til å oppfylle informasjonspliktene
sine vil regjeringa utarbeide ein mal for denne typen informasjon.
Det vil vere praktisk for dei registrerte å
kunne hente informasjon om behandling av personopplysningar elektronisk
når det passar for dei, utan å vere avhengige av opningstider og
tilgjengelege kundebehandlarar.
Det finst gode eksempel på verksemder som har gjennomarbeidd
og lett tilgjengeleg informasjon om behandling av personopplysningar
på nettsidene sine. Saman med informasjonen får ein ofte høve til
å logge seg inn på personlege informasjonssider som gir tilgang
til noko av den informasjonen verksemda har lagra om den enkelte. Som
ledd i regjeringa sitt arbeid med digitalisering av offentleg sektor
kan auka bruk av elektroniske innsynsløysingar for å gi den enkelte betre
kontroll med eigne opplysningar vere aktuelt. Avgjerande for bruk
av automatiserte innsynsløysingar er likevel at ein kan ta hand
om informasjonstryggleiken på ein god måte, slik at dei registrerte
har tillit til løysingane.
Samstundes kan det vere grunn til å sjå nærmare på
bruk av gjenpartsplikt, det vil seie automatisk varsling ved innsyn
i eller utlevering av personopplysningar. Regjeringa legg til grunn
at elektronisk gjenpartsplikt kan vere ein praktisk måte å gjennomføre
innsynsrett på i mange samanhengar. Samstundes må ein ikkje bruke
ordninga på ein måte som medfører at dei registrerte druknar i informasjon.
Samstundes som elektronisk gjenpartsplikt kan vere ei god løysing
for å gi informasjon til dei registrerte, kan det gjere dei behandlingsansvarlege
meir medvitne. Det offentlege bør vere ein pådrivar for bruk av
løysingar for utsending av elektronisk gjenpart til dei registrerte
i samanhengar der dette er naturleg.
I april 2012 tok endringane i personopplysningslova
§ 11 til å gjelde. Endringane understrekar at personopplysningar
som gjeld barn, ikkje kan behandlast på ein måte som er uforsvarleg
av omsyn til barnet sitt beste. God og forståeleg informasjon retta
mot barn og unge kan vere eit ledd i etterlevinga av desse reglane.
For det offentlege vil det særleg vere aktuelt å sørgje for god
og tilpassa informasjon til elevane om korleis skulen behandlar
personopplysningar om dei. Det finst allereie informasjon på området utarbeidd
av Senter for IKT i utdanninga.
I EUs forordningsforslag er det gjort framlegg om
både generell informasjonsplikt og konkret innsynsrett for dei registrerte.
Forståeleg og lett tilgjengeleg informasjon om behandling av personopplysningar
og om rettane til dei registrerte er framheva. Det blir særleg understreka
at informasjonen skal vere tilpassa mottakaren, spesielt dersom
mottakaren er mindreårig.
EU framhevar òg verdien av at den behandlingsansvarlege
etablerer rutinar som gjer at rettane til den registrerte blir oppfylte
på ein korrekt måte innan rimeleg tid. Dersom den behandlingsansvarlege
nektar å etterkome informasjonskrav, skal den registrerte få ei
grunngiving og informasjon om klageretten.
Prinsippet om dataminimalitet tilseier at opplysningar
ikkje blir lagra lenger enn nødvendig for det føremålet dei er innsamla
for. Personopplysningslova inneheld likevel ingen reglar om maksimal
oppbevaringstid eller slettefrist for personopplysningar. Ein generell
sletteregel ville det vere vanskeleg å praktisere, og truleg ville
han føre til at informasjon vart lagra lenger enn nødvendig fordi
slettefristen vart sedd på som ei opning for å behalde data inntil
maksimal lagringstid var oppnådd. Det er sjeldan reglar om behandling
av personopplysningar har klåre og absolutte fristar for sletting
av personopplysningar. Andre lovreglar har derimot heilt konkrete slettereglar,
og dei vil gå føre dei generelle slettereglane i personopplysningslova.
I tillegg til kravet om at det skal vere sakleg
behov for dei personopplysningane som blir behandla, pålegg personopplysningslova
den behandlingsansvarlege ei plikt til å slette opplysningar som
er unødvendige. Ein må vurdere sletting opp mot eventuelle krav
om vidare lagring i for eksempel arkivregelverket i offentleg sektor,
bokføringsregelverket eller anna spesialregelverk. Deretter må ein
etablere rutinar for sletting av opplysningar som det ikkje lenger er
sakleg behov for i verksemda.
Det kan vere meir ressurskrevjande å etablere
rutinar for sletting enn det er å lagre alt som er generert eller
på annan måte innsamla.
Det kan vere føremålstenleg å ta i bruk teknologi for
å leggje til rette for betre etterleving av slettereglar i personopplysningsregelverket.
Automatiserte slette- eller arkivrutinar kan bidra til betre regeletterleving
og dermed betre personvern. Dersom det er juridisk mogleg, kan ein
implementere automatiserte sletterutinar. I offentleg sektor vil
arkivregelverket setje grenser for høvet til å slette opplysningar.
Skal automatiserte slette- og arkiveringsrutinar fungere,
krevst det grundige vurderingar når dei blir etablerte. Der spesialregelverk
ikkje er til hinder for det, bør ein alltid vurdere tilrettelegging
for automatiserte slette- og arkiveringsrutinar når nye IKT-system
for behandling av personopplysningar blir utvikla. Når nye tiltak og
system med personvernkonsekvensar blir utgreidde, bør ein òg vurdere
bruk av teknologi som reduserer mengda av overskotsinformasjon. Personvernfremjande
bruk av teknologi kan på denne måten medverke til at personvernet
blir tryggja på ein betre måte.
Det blir i meldinga peikt på at eit godt internkontrollsystem
kan vere avgjerande for å sikre forsvarleg behandling av personopplysningar. Personopplysningsregelverket
pålegg den behandlingsansvarlege å etablere internkontroll på personvernområdet.
Verksemder som kjem inn under personopplysningsregelverket,
må setje i verk og dokumentere systematiske tiltak for å sørgje
for etterleving av plikter etter personvernreglane. Den behandlingsansvarlege
skal gjennomføre ei risikovurdering som grunnlag for iverksetjing
av tiltak for informasjonstryggleik. Det finst i dag inga plikt
til å gjennomføre risikovurderingar i arbeidet med internkontroll
på dei andre områda i lova. Erfaring tilseier at mange behandlingsansvarlege
ikkje gjennomfører risikovurderingar, og konsekvensen er ofte mangelfull
internkontroll.
God internkontroll er uttrykk for ei bevisst
haldning til og bevisste val om personvern. Tilsynsverksemda til
Datatilsynet avdekkjer likevel at mange verksemder har liten kunnskap
om personvernregelverket og dei pliktene som følgjer med det å behandle
personopplysningar. Derfor er det viktig å setje i verk tiltak for
å betre kjennskapen til og etterlevinga av internkontrollreglane
på personvernområdet. I perioden 2009–2011 styrkte regjeringa budsjettet
til Datatilsynet med betydelege midlar for å få gjennomført eit prosjekt
om internkontroll i små og mellomstore verksemder. I dette arbeidet
vart det blant anna satsa på opplæring av personvernombod.
Datatilsynet har utarbeidd omfattande kunnskaps-
og rettleiingsmateriell, medrekna opplæringsprogram om internkontroll
og informasjonstryggleik som blant anna er tilgjengelege på nettsidene
til etaten.
Internkontroll på personvernområdet bør bli
like naturleg for alle som behandlar personopplysningar, som internkontroll
på HMS-området er for alle arbeidsgivarar. Som ei vidareføring av
rettleiinga Vurdering av personvernkonsekvenser, som vart utarbeidd
av Fornyings- og administrasjonsdepartementet i 2008, vil regjeringa
derfor utarbeide rettleiingsmateriell om korleis internkontrollplikta
kan etterlevast på personvernområdet i offentleg verksemd.
Uansett kor god informasjonstryggleik og uansett
kor gode system for regeletterleving ein behandlingsansvarleg har,
kan regelbrot skje. Enkelte regelbrot vil vere meir alvorlege og
kan få større konsekvensar enn andre. For ein del slike tilfelle
inneheld personopplysningsforskrifta reglar om avviksrapportering.
Dersom brot på reglar og rutinar fører til at uvedkomande får tilgang
til personopplysningar som er konfidensielle, skal den behandlingsansvarlege
melde dette til Datatilsynet. Rutinar for retting av slike avvik
og rapportering til Datatilsynet bør vere ein naturleg del av eit
internkontrollsystem.
Ei rekkje tryggleiksbrot blir aldri rapporterte
til Datatilsynet. Det er nødvendig å rette merksemd mot etterleving
av dei gjeldande rapporteringsreglane som ledd i arbeidet med å
betre etterlevinga av internkontrollreglane. I arbeidet med å leggje
til rette informasjon om internkontroll for offentleg verksemd vil
regjeringa òg leggje vekt på verdien av rapportering til personvernstyremakta
som ledd i avvikshandteringa.
Innbyggjarane skal
ha størst mogleg råderett over eigne personopplysningar og må få
tilpassa informasjon frå dei behandlingsansvarlege. Det vil bli
utarbeidd ein rettleiar om plikta til å gi informasjon om behandling
av personopplysningar.
Elektroniske løysingar for innsyn bør vurderast dersom
ein samstundes kan ta hand om informasjonstryggleiken i systema.
Elektronisk gjenpart som informasjonskjelde bør
vurderast ved oppretting av store personregister som skal vere tilgjengelege
for mange brukarar.
Dataminimalitet er eit mål, og det skal
leggjast til rette for sporfrie alternativ og bruk av teknologi
for å redusere mengda av overskotsinformasjon der dette er praktisk
mogleg.
Arbeidet for å gjere personvernreglane
kjende må halde fram.
Dei behandlingsansvarlege skal prioritere
utgreiing av personvernkonsekvensar og tilrettelegging av internkontroll.
Det vil bli utarbeidd ein rettleiar om internkontroll etter personopplysningslova.
Komiteen vil fremheve
prinsippet om dataminimalitet, dvs. at det ikke registreres flere opplysninger
enn det som er nødvendig for formålet. For øvrig bør publikum tilbys anonyme
eller pseudonyme løsninger.
Komiteen har også merket seg
at EU-kommisjonen i tråd med tidligere initiativ vil vektlegge prinsippet
om å kunne bli glemt, dvs. en generell regel om å kunne trekke tilbake
samtykke. I praksis vil en slik regel være svært viktig for barn
og unge.
Komiteen ser positivt på at en
bedrift også får pålegg om å organisere personvernspørsmål og etterlevelsen
av regelverket, jf. pol. § 14.
Komiteens medlemmer fra Høyre
og Kristelig Folkeparti hilser velkommen bestemmelsene i
EUs foreslåtte forordning om personvern som går ut på å gi den enkelte
forsterket informasjonsrett og konkret mulighet til innsyn i hva
som er registrert av opplysninger om vedkommende.