Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

4. Lovens saklige og geografiske virkeområde

Personregisterlovens anvendelsesområde knytter seg i hovedsak til opprettelse og bruk av personregistre, jf. § 1.

Utvalget går inn for å la den nye personopplysningsloven omfatte all elektronisk behandling av personopplysninger, og manuell behandling når personopplysningene skal inngå i et register.

Det er generell oppslutning under høringen om å gå bort fra et registerbegrep når det gjelder elektronisk behandling av personopplysninger. Enkelte instanser peker imidlertid på at det foreslåtte behandlingsbegrepet favner vidt.

Departementet slutter seg til forslaget fra utvalget. Når man nærmere skal skille mellom elektronisk og manuell behandling, må man legge vekt på den særlige risiko som elektronisk behandling medfører for personvernet.

Komiteen er enig i at den nye personopplysningsloven må omfatte all elektronisk behandling av personopplysninger, og også manuell behandling av personopplysninger når disse skal inngå i et personregister. Komiteen støtter Justisdepartementet i at en må legge spesielt vekt på den særlige risiko elektronisk behandling medfører for personvernet.

Komiteen viser til at man i § 2 nr. 2 definerer uttrykket behandling av personopplysninger som «enhver formålsbestemt bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av disse bruksmåter». Ordet «formålsbestemt» kan gi opphav til uklarhet, og er ikke tatt inn i Personregisterutvalgtes lovutkast eller i EU-direktivet. I samråd med departementet har komiteen derfor tatt ut dette utrykket.

Personregisterloven omfatter opplysninger og vurderinger som direkte eller indirekte kan knyttes til identifiserbare enkeltpersoner, sammenslutninger eller stiftelser.

Utvalget går inn for at opplysninger om juridiske personer ikke lenger bør omfattes direkte av loven, og viser bl.a. til at behovet for å verne slike opplysninger i stor grad er begrunnet i andre hensyn enn personvernhensyn. Heller ikke Europarådskonvensjonen eller EU-direktivet omfatter juridiske personer.

Flere høringsinstanser støtter uttrykkelig utvalgets forslag. Noen mener imidlertid at behovet for personvern også for juridiske personer bør vurderes på et bredere grunnlag enn det utvalget har gjort.

Departementet er enig i vurderingene fra utvalget og flertallet av de høringsinstansene som har uttalt seg. Med et såpass vidtrekkende anvendelsesområde som det personopplysningsloven legger opp til, vil det dessuten kunne være vanskelig fullt ut å overskue konsekvensene av også å la loven omfatte juridiske personer.

Det er likevel et behov for å verne også næringsdrivende mot misbruk ved innsamling og formidling av kredittopplysninger. Departementet foreslår derfor at det åpnes for å gi forskrift om at enkelte av lovens regler også skal gjelde for kredittopplysninger om andre enn fysiske personer, jf. § 3.

Komiteen er enig med Personregisterlovutvalget i at opplysninger om juridiske personer ikke bør omfattes av den nye loven. Dette begrunnes i at det i all hovedsak har vært andre grunner enn de rent personvernmessige som har gjort at juridiske personer er omfattet av dagens personvernregister. Komiteen legger i denne forbindelse vekt på at verken Europarådskonvensjonen om personvern i forbindelse med elektronisk databehandling eller EU-direktivet, omfatter juridiske personer.

For å verne næringsdrivende mot eventuelt misbruk ved innsamling og formidling av kredittopplysninger, synes komiteen det er hensiktsmessig at det åpnes for at en ved forskrift kan gjøre relevante lov­regler gjeldende for kredittopplysninger om andre enn fysiske personer.

De fleste kapitlene i personregisterloven får anvendelse både på offentlig og privat virksomhet. Det er likevel enkelte forskjeller på hvilke regler som gjelder for de to sektorene. I EU-direktivet er reglene for offentlig og privat sektor i utgangspunktet de samme.

Utvalget foreslår at også den nye loven skal gjelde både for offentlig og privat sektor, med unntak for behandling av personopplysninger for rent personlige aktiviteter. Dette er i tråd med både personregisterloven og EU-direktivet.

Det har ikke kommet innvendinger til forslaget under høringen, og departementet slutter seg til utvalgets vurderinger.

Komiteen er enig i at den nye personopplysningsloven, både i tråd med dagens personregisterlov og EU-direktivet, skal gjelde både for offentlig og privat sektor. Departementets forslag om unntak for personopplysninger for rent private formål støttes av komiteen.

I tråd med blant annet EU-direktivet finner utvalget det nødvendig å undergi særlig følsomme opplysninger særskilt lovregulering når det gjelder adgangen til i det hele tatt å behandle opplysningene og plikten til å søke om konsesjon forut for behandlingen. I tillegg til de samme kategoriene av sensitive opplysninger som i dag er særregulert i personregisterloven, har utvalget, som følge av EU-direktivet, føyd til opplysninger om fagforeningstilhørighet.

Enkelte høringsinstanser reiser spørsmål ved om oppregningen av sensitive opplysninger bør snevres inn, andre ved om den bør utvides. Norsk Redaktørforening går imot at man skal legge opp til et videre spekter av sensitive opplysninger enn det EU-direktivet krever, og viser til at opplysninger om straffbare forhold omfattes av forslaget. Datatilsynet foreslår at det skal kunne gi pålegg om at behandling av personopplysninger som på grunn av sitt omfang eller sin art vil virke krenkende for den enkelte, skal opphøre eller gjennomføres på særskilte vilkår.

Departementet viser til at utvalgets definisjon av sensitive opplysninger bygger på en videreføring av gjeldende rett samtidig som den gjennomfører EU-direktivet. Direktivet gir en uttømmende og bindende oppregning av hvilke typer personopplysninger som skal regnes som sensitive.

Departementet er enig i at det etter norske forhold ikke er naturlig å betrakte opplysninger om fagfo­reningstilhørighet som sensitive. Med de reglene som foreslås i § 9, åpner man imidlertid for å behandle slike opplysninger i den utstrekning dette er ønskelig eller nødvendig. Departementet finner det for øvrig naturlig fortsatt å behandle opplysninger om straffbare forhold som sensitive.

Komiteen mener som Personregisterutvalget, at det er nødvendig å ha en særskilt lovgivning på enkelte punkter vedrørende særlig følsomme opplysninger. Dette gjelder både adgangen og retten til å behandle slike opplysninger, og plikten til å søke om konsesjon i forkant av en behandling.

Komiteen er enig i at definisjonen av sensitive opplysninger både skal bygge på en videreføring av gjeldende rett, og EU-direktivets oppregning av hvilke typer personopplysninger som skal regnes som sensitive.

Det er bred enighet om at det etter norske forhold ikke er naturlig å betrakte opplysninger om fagfor­eningstilhørighet som sensitive. På dette punkt er vi imidlertid bundet av EU-direktivet art. 8 nr. 1 som helt klart forutsetter at slike opplysninger skal regnes som sensitive. Også i de øvrige nordiske land har man på denne bakgrunn sett seg nødt til å karakterisere fag­foreningstilhørighet som en sensitiv personopplysning. Komiteen peker på at reglene i § 9 i vil gi nødvendig adgang til å behandle fagforeningsopplysninger der det er et praktisk behov for det; etter samtykke, når det er hjemlet i lov eller når det er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter.

Komiteen deler Justisdepartementets syn om at opplysninger om straffbare forhold er å betrakte som sensitive.

Personregisterloven har ikke særlige regler om lovens stedlige virkeområde og gjelder som hovedregel ikke for personregistre på Jan Mayen, Svalbard eller i utlandet, men det er meldeplikt til Datatilsynet for den som vil overføre personopplysninger til utlandet når formålet med overføringen er å innføre opplysningene i et register.

I henhold til artikkel 4 i EU-direktivet skal man som hovedregel anvende det landets lov hvor den behandlingsansvarlige er etablert.

Utvalget foreslår at den nye loven skal gjelde for behandlingsansvarlige som er etablert i Norge. For behandlingsansvarlige med hovedsete i en annen EØS-stat og datterselskap eller filial i Norge, skal den norske loven gjelde for behandling av personopplysninger knyttet til den norske filialens/datterselskapets virksomhet. Loven skal også gjelde når en behandlingsansvarlig som er etablert utenfor EØS-området benytter hjelpemidler i Norge ved behandlingen av personopplysningene, med mindre disse hjelpemidlene bare benyttes til å transportere personopplysningene via Norge. Utvalget foreslår at loven skal gjelde for Svalbard og Jan Mayen.

Departementet slutter seg i hovedtrekk til utvalgets forslag, men går inn for å erstatte utvalgets forslag med en hjemmel for Kongen til å gi forskrift om hvilke bestemmelser i den nye loven som skal gjelde for Svalbard og Jan Mayen, og til eventuelt å fastsette særregler.

Komiteen tar til etterretning at departementet ser behov for å vurdere nærmere eventuelle særskilte tilpasninger av lovens bestemmelser når det gjelder Svalbard og Jan Mayen, bl.a. av hensyn til annet regelverk som ikke er gitt anvendelse der og Svalbards folkerettslige status. Departementet foreslår derfor en forskriftsbestemmelse som åpner for å fastsette hvilke regler som skal gjøres gjeldende for disse områdene.

Komiteen vil understreke at det må være en klar forutsetning for dette arbeidet at befolkningen på Svalbard og Jan Mayen skal ha de samme krav på personvern som befolkningen på fastlandet.

Etter personregisterloven § 1 kan det bestemmes ved forskrift at loven ikke skal gjelde for visse typer personregistre, og i henhold til § 41 er personregistre i stat eller kommune unntatt fra konsesjonsplikten når registrene er opprettet ved egen lov.

Personregisterlovutvalget foreslår at Kongen gis adgang til å gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte former for elektronisk behandling av personopplysninger. Den nye loven skal gjelde for behandling av personopplysninger som er regulert i annen lov, med mindre noe annet følger av hjemmelsloven.

Under høringen har Politiets Overvåkingstjeneste, ØKOKRIM, Riksadvokaten og Kripos tatt sterkt til orde for unntak for politiets registre.

Departementet er enig med utvalget i at personopplysningsloven bør være en generell lov som i utgangspunktet gjelder for all slags behandling av personopplysninger. Det vil imidlertid være nødvendig å gjøre unntak fra deler av loven for personopplysningsbehandlinger som er nødvendige ut fra beredskapshensyn eller hensynet til rikets sikkerhet, og politiets behandling av personopplysninger.

Politiets arbeidsregistre er i dag underlagt særlige regler på en rekke punkter. For overvåkingstjenstens registre gjelder særlige regler i overvåkingsinstruksen.

I lys av den særlige kontroll som er etablert for registreringen i overvåkingstjenesten, ser departementet liten grunn til at personopplysningslovens regler skal gjelde i tillegg for overvåkingspolitiets registre. Departementet ser et klart behov for å gjennomgå strafferegistreringsloven med sikte på en generell revisjon, og vil igangsette et slikt utredningsarbeid. I påvente av en slik revisjon vil det være hensiktsmessig å la den nye personopplysningsloven gjelde for politiregistrene i utgangspunktet, og samtidig åpne for unntak ved forskrift fra deler av loven. Departementet slutter seg derfor til utvalgets forslag om en forskriftshjemmel, jf. § 3 tredje ledd i lovforslaget.

Et eget spørsmål er i hvilken utstrekning Stortingets behandling av personopplysninger bør falle utenfor loven. EU-direktivet må trolig forstås slik at det ikke er adgang til å gjøre noe alminnelig unntak for politiske organers behandling av personopplysninger. Unntak for Stortinget og tilknyttede institusjoner må derfor vurderes i forhold til hver enkelt artikkel innenfor de rammene direktivet setter. Hvorvidt det er ønskelig å gjøre unntak, er en vurdering som Stortinget selv er nærmest til å foreta. Departementet nøyer seg derfor med å peke på behovet for å vurdere særlige innsynsregler, unntak fra melde- og konsesjonsplikten, og om det er Datatilsynet eller andre som bør føre tilsyn med at Stortinget etterlever loven.

Komiteen mener i likhet med utvalget og Justisdepartementet at personopplysningsloven i utgangspunktet må være en generell lov som skal gjelde for alle typer behandling av personopplysninger.

Visse unntak fra loven er etter komiteens syn likevel nødvendige. Det vil være når beredskapshensyn, hensynet til rikets sikkerhet og når politiets behandling av personopplysninger tilsier det.

Med bakgrunn i dagens unntak fra personregisterloven og den særlige kontroll som er etablert for registreringen i overvåkingstjenesten, er komiteen enig med departementet i at personopplysningslovens reg­ler ikke skal gjelde for overvåkingspolitiets registre.

Komiteen deler departementets oppfatning av behovet for en generell revisjon av strafferegistreringsloven. I tiden fram til vi har en revidert strafferegistreringslov, vil det også etter komiteens syn være naturlig å la den nye personopplysningsloven i utgangspunktet omfatte politiregistre, under forutsetning at en gjennom forskrift åpner for de nødvendige unntak fra loven. Komiteen støtter derfor forslaget i § 3 tredje ledd om en forskriftshjemmel med dette formål.

I forhold til internasjonalt politisamarbeid, og behovet for registrering og bruk av personopplysninger og hensynet til personvernet i den forbindelse, vil komiteen peke på at Stortinget i juni 1999 vedtok loven om Schengen-informasjonssystemet (SIS-loven).

Komiteen ser ingen grunn til å gjøre noe alminnelig unntak for politiske organers håndtering av personopplysninger.

Når det gjelder Stortinget og dets tilknyttede organer viser komiteen til brev til komiteen av 9. november 1999, der Presidentskapet

«ikke ser behov for å ta initiativ til at Stortinget helt eller delvis blir unntatt fra den nye personopplysningsloven, slik utkastet til ny lov er utformet i Ot.prp. nr. 92 (1998-1999).»

Komiteen deler Presidentskapets syn og ser derfor ingen grunn til å gjøre noen unntak fra loven for Stortinget.

Komiteen viser til brev fra Riksrevisjonen av 27. januar 2000 der det fremgår at Riksrevisjonen ser behov for unntak fra deler av loven for sin revisjons- og kontrollvirksomhet. Slikt unntak er gitt også etter eksisterende lov. Komiteen viser til at Riksrevisjonens kontrollvirksomhet innebærer midlertidig behandling av andre instansers personopplysninger i det øyemed å kontrollere den aktuelle instansens arbeid. Komiteen viser til at reglene i loven er utformet med sikte på primærinstansenes ansvar, og mener det er grunnlag for å unnta Riksrevisjonen fra reglene om innsyn, retting og om melde- og konsesjonsplikt der Riksrevisjonen behandler opplysninger innhentet fra andre instanser som del av sin kontrollvirksomhet. Når det gjelder varslingsplikten, vil § 19 ikke være aktuell ettersom Riksrevisjonen ikke innhenter opplysninger direkte fra den registrerte selv. I § 20, som gjelder innhenting fra andre, er det i loven gjort unntak for tilfeller der det vil være umulig eller uforholdsmessig vanskelig å gjennomføre varsling. Etter det Riksrevisjonen opplyser vil varsling fra deres side by på så store praktiske vanskeligheter at de vil være omfattet av denne unntaksregelen. Det er dermed ikke behov for ytterligere unntak fra § 20.

Riksrevisjonens egne registre bør omfattes av loven på samme måte som Stortingets og øvrige tilknyttede organers registre. Komiteen antar etter dette at det vil være behov for å gi unntak fra §§ 18, 27, 31 og 33.

Den nye loven legger generelt opp til at særregler på enkeltområder skal gis i særlovgivningen og ikke inntas i personopplysningsloven. Komiteen deler dette syn, og viser til at det arbeides med en ny lov om Riksrevisjonen. Inntil denne loven er på plass mener komiteen at de nevnte unntak bør gjøres i forskrifter, og komiteen forutsetter at departementet følger opp dette før personopplysningsloven trer i kraft.