Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

6. Regulering og kontroll

Personregisterloven kombinerer en omfattende konsesjonsplikt med enkelte materielle regler om hvordan personopplysninger kan behandles, samt reg­ler om rådgivning og etterfølgende kontroll fra Datatilsynets side.

For å unngå en rutinemessig konsesjonsbehandling av en stor mengde like registre og registre som er uproblematiske ut fra et personvernsynspunkt, er det fastsatt en rekke unntak fra konsesjonsplikten. Disse registrene er underlagt diverse materielle regler i personregisterforskriften.

EU-direktivet etablerer i artiklene 18 og 19 en tilsynsordning der hovedregelen er meldeplikt til tilsynsmyndigheten for all elektronisk behandling av personopplysninger. For personopplysningsbehandlinger som kan innebære særlige farer for de registrertes friheter og rettigheter, kreves strengere forhåndskontroll.

Artikkel 18 oppstiller visse unntak fra meldeplikten, ved at man på nærmere bestemte vilkår enten kan gi regler om forenklet meldeplikt eller helt frita for meldeplikt. Det gjelder bl.a. unntak for behandlinger hvor det ikke er sannsynlig at de registrertes rettigheter krenkes og for intern behandling av sensitive opplysninger i en sammenslutning med politisk, filosofisk, religiøst eller faglig formål.

Etter gjeldende rett har man ikke noen generell meldepliktordning i tillegg til konsesjonssystemet. Utvalget går inn for at det innføres meldeplikt for alle som benytter elektroniske systemer for behandling av personopplysninger og for opprettelse av manuelle registre med sensitive personopplysninger. Virkeområdet for meldeplikten blir etter dette videre enn dagens konsesjonsordning. Utvalget foreslår imidlertid at det åpnes for gjennom forskrift å fastsette visse unntak fra meldeplikten, og mener at de fleste av de nåværende forskriftsbestemte unntakene fra konsesjonsplikten bør videreføres som unntak fra meldeplikten i den nye loven. Kravene til meldingens innhold foreslås oppregnet i en egen lovbestemmelse som går lenger enn det som kreves i henhold til EU-direktivet.

Det er bred oppslutning blant høringsinstansene om å begrense den nåværende konsesjonsplikten til fordel for et meldepliktsystem kombinert med mer vidtrekkende tilsynsoppgaver for Datatilsynet.

Departementet er enig med utvalget og høringsinstansene i at det er behov for å legge om det nåværende konsesjonssystemet til en bred meldepliktsordning. En effektiv kontroll med at lovens regler etterleves vil være av større betydning for ivaretakelse av personvernet enn rutinemessig behandling av konsesjonssøknader.

De nåværende unntakene fra konsesjonsplikten vil kunne tjene som et mulig utgangspunkt for å vurdere nærmere hvilke unntak som bør gjøres fra meldeplikten. Datatilsynet har under høringen hatt innvendinger mot utvalgets forslag om å unnta fra meldeplikten behandlinger som utelukkende gjør bruk av allment tilgjengelige opplysninger. Departementet er enig med Datatilsynet i at et slikt unntak er lite hensiktsmessig.

EU-direktivet åpner for å gjøre unntak fra meldeplikten der den behandlingsansvarlige peker ut en person med ansvar for vern av personopplysninger. Flere land har på ulikt vis etablert slike ordninger. Departementet går ikke inn for å regulere nærmere en slik ordning nå.

Komiteen syns det er riktig å legge om dagens konsesjonssystem til en bred meldepliktsordning. Komiteen er av den oppfatning at et bredere lovverk i kombinasjon med et meldepliktsystem vil ivareta personvernet på en bedre måte enn et rutinemessig konsesjonssøknadssystem. Dagens unntak fra konsesjonsplikten er etter komiteens mening et godt utgangspunkt for å vurdere hvilke unntak det er hensiktsmessig og fornuftig å ha i forhold til meldeplikten.

Komiteen er enig i at en ikke på et generelt grunnlag gjør unntak for meldeplikten for behandlinger som bare gjør bruk av allment tilgjengelige opplysninger.

Komiteen støtter Justisdepartementet i at en ikke nå går inn for en nærmere regulering av den åpning EU-direktivet gir for å unnta fra meldeplikten de tilfeller der den behandlingsansvarlige peker ut en person med ansvar for vern av personopplysninger.

Utvalget mener at konsesjonsplikten bør begrenses til de tilfellene der hensynet til personvernet gjør det sterkt ønskelig med en grundig forhåndsvurdering. Utvalget foreslår på denne bakgrunn at det kreves konsesjon for behandling av personopplysninger som kan karakteriseres som sensitive og som kan munne ut i en enkeltavgjørelse som er bestemmende for bestemte personers rettigheter eller plikter. Konsesjonsplikten forutsettes å omfatte elektronisk behandling av slike opplysninger og manuell behandling når opplysningene inngår i et personregister. Personregistre i offentlig virksomhet som er opprettet ved egen lov, skal undergis de samme reglene for konsesjons- og meldeplikt som behandlinger i privat sektor. I dag er slike registre unntatt fra konsesjonsplikt.

Blant høringsinstansene tar Den norske Advokatforening og Norges Forsikringsforbund til orde for å avskaffe konsesjonsordningen helt og holdent. Andre er imidlertid skeptiske til at nåværende konsesjonsplikt i så stor grad skal erstattes av meldeplikt. Noen høringsinstanser tar også til orde for å gjøre unntak fra konsesjonsplikten på bestemte områder, bl.a. for de registrene som er opprettet ved lov, og for banker og andre finansinstitusjoners behandling av sensitive personopplysninger.

Departementet er enig med utvalget og flertallet av høringsinstansene i at det fremdeles er behov for en forhåndskontroll med slike typer behandlinger av personopplysninger som representerer en særlig risiko for personvernet. Hva som er å anse som sensitive opplysninger, følger av § 2 nr. 8 i lovforslaget.

Som enkelte høringsinstanser har påpekt, gir utvalgets forslag om å innsnevre konsesjonsplikten til behandlinger som har til formål å treffe «enkeltavgjørelser» en avgrensning som kan være vanskelig å praktisere. Departementet går på denne bakgrunn ikke inn for å benytte dette begrepet, jf. § 33 første ledd i lovforslaget. Dermed får man en bredere anlagt konsesjonsordning enn det som følger av utvalgets forslag. Det vil derfor være behov for å gjøre unntak fra konsesjonskravet for personopplysninger som det ikke er behov for å forhåndskontrollere ut fra et personvernsynspunkt. Departementet foreslår derfor unntak fra konsesjonsplikten for behandling av sensitive personopplysninger som er avgitt uoppfordret. Bestemmelsen som unntar fra konsesjonsplikten de personregistre i offentlig virksomhet som er opprettet ved egen lov videreføres også, men også disse registrene bør være meldepliktige. Øvrige unntak fra hovedregelen om konsesjonsplikt kan mest hensiktsmessig gis i forskrift.

Departementet foreslår dessuten i § 33 annet ledd en bestemmelse som gir Datatilsynet adgang til å bestemme at også annen behandling enn den som gjelder sensitive personopplysninger skal kreve konsesjon dersom den ellers åpenbart vil krenke tungtveiende personverninteresser.

I likhet med Personregisterlovutvalget og flertallet av høringsinstansene mener komiteen at det fremdeles skal være konsesjonsplikt for personopplysninger som må anses å være sensitive. Komiteen er enig i departementets konklusjon som ikke begrenser konsesjonsplikten bare til behandlinger som tar sikte på å ta enkeltavgjørelser. En får dermed en konsesjonsplikt med et bredere utgangspunkt enn det som lå i utvalgets forslag.

Forslaget om unntak fra konsesjonsplikten for sensitive opplysninger som gis uoppfordret får komiteens tilslutning. Det samme gjelder for personregistre i offentlig virksomhet som er opprettet ved egen lov. Komiteen synes det er greit at sistnevnte registre er meldepliktige. Eventuelle andre unntak kan etter komiteens mening gis i forskrift.

Komiteen er enig i at Datatilsynet kan bestemme at det også for annen behandling enn for sensitive personopplysninger kan kreves konsesjon hvis det er åpenbart at den ellers vil krenke tungtveiende personverninteresser.

Den behandlingsansvarlige har rett til på forhånd å få avklart fra Datatilsynets side om en behandling krever konsesjon. Komiteen forutsetter at dette ikke fører til at en med utgangspunkt i den nye lovens overgang fra konsesjon til mer meldeplikt, likevel får unødig mange forespørsler om forhåndsklarering av om en behandling krever konsesjon. Det er videre viktig etter komiteens mening at det ikke skapes uryddighet i forhold til når det kreves konsesjon.

Komiteen mener det kan være hensiktsmessig å knytte unntaket fra konsesjonsplikten for stat eller kommune generelt til behandlingen av personopplysninger fremfor bare til registre. En slik endring vil være i tråd med begrepsbruken for øvrig i lovforslaget. Komiteen har etter dette i samråd med departementet foretatt følgende endring i § 33 fjerde ledd:

«Konsesjonsplikt etter første og annet ledd gjelder ikke for behandling av personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov.»

Datatilsynet skal etter gjeldende lov kontrollere om personregisterlovens regler etterleves og tilsynet skal veilede de som planlegger å opprette personregistre om personvern og datasikring. Utvalget går inn for å videreføre dagens regler om rådgivning og kontroll i det nye lovforslaget.

Flere høringsinstanser har understreket betydningen av at Datatilsynet får frigjort ressurser til rådgivning, informasjon, og kontrollvirksomhet.

Departementet uttaler at en grunnleggende forutsetning for lovforslaget er at Datatilsynet i større grad enn tidligere skal konsentrere seg om etterfølgende kontrollvirksomhet og om informasjons- og veiledningsarbeid.

Komiteen slutter seg til at det foreliggende lovforslag legger forholdene langt bedre til rette for at Datatilsynet i større grad enn tidligere skal kunne drive effektiv etterfølgende kontrollvirksomhet og informasjons- og veiledningsarbeid.

Personregisterloven har i begrenset grad regler om hvordan personopplysninger skal behandles. Slike regler følger i all hovedsak av Datatilsynets konsesjonsvilkår, eller av forskrift.

Utvalget foreslår at man i større grad enn i dag lovfester materielle regler som direkte gir uttrykk for hvordan behandling av personopplysninger bør foregå. De viktigste materielle regler som utvalget foreslår, er krav til saklighet og relevans ved behandling av personopplysninger, vilkår for bruk av personopplysninger til andre formål enn det de opprinnelig var innhentet for og en nærmere presisering av når man kan behandle sensitive opplysninger. Utvalget foreslår også en egen regel om bruk av fødselsnummer.

Det synes å være generell oppslutning blant høringsinstansene om å lovfeste flere alminnelige regler om hvordan personopplysninger kan eller skal behandles. Datatilsynet går inn for at man også lovfester en regel om utlevering av personopplysninger. Flere instanser har hatt kommentarer til forslaget om når opplysninger kan brukes til et annet formål enn det de opprinnelig var innhentet for.

Departementet går lenger enn utvalget i å utpensle i lovteksten hvilke grunnleggende krav som må stilles til behandlingen av personopplysninger, jf. § 11 i lovforslaget. Departementet foreslår også en regel som angir vilkårene for når man i det hele tatt kan behandle personopplysninger, jf. § 8 i lovforslaget i samsvar med EU-direktivet og lovforslagene i de øvrige nordiske land.

Departementet har forenklet og omformulert utvalgets forslag til regel om når personopplysninger kan brukes til andre formål enn de opprinnelig ble innsamlet for. Etter departementets forslag er det et vilkår for slik bruk at det innhentes samtykke fra den registrerte, eller godtgjøres at bruken faller inn under et av de andre grunnvilkårene i § 8 i lovforslaget. Det presiseres i lovteksten at gjenbruk av personopplysninger for historiske, statistiske eller vitenskapelige formål ikke anses som uforenlig med de opprinnelige innsamlingsformålene, forutsatt at samfunnets interesse i at gjenbruken finner sted klart overstiger de ulempene som den kan medføre for den registrerte.

Departementet finner det ikke hensiktsmessig å utforme en generell regel om utlevering av personopplysninger. På enkelte punkter er det imidlertid behov for særlige regler. For øvrig vil § 19 i lovforslaget pålegge den som tilbyr betalingskort å informere om betalingsopplysninger vil bli brukt til andre formål enn det som måtte følge direkte av innsamlingen, og om hvem opplysningene eventuelt vil bli utlevert til.

Ved nedtrappingen av konsesjonsplikten til en ordning mer basert på meldeplikt, er det etter komiteens mening både naturlig og nødvendig at en i større grad enn i dag lovfester materielle regler som gir direkte retningslinjer for hvordan behandlingen av personopplysninger bør foregå.

Komiteen slutter seg til departementets opplegg som går lenger enn utvalgets, ved i lovteksten å foreslå vilkårene for når en i det hele tatt kan behandle personopplysninger (§ 8). Dette samsvarer bra med EU-direktivet og de andre nordiske lands lovgivning på dette felt.

Departementets opplegg, som setter som vilkår at det innhentes samtykke fra den registrerte for at personopplysninger kan brukes til andre formål enn de opprinnelig er samlet inn for, eller at det godtgjøres at bruken kommer inn under retningslinjene i § 8, synes etter komiteens oppfatning å være fornuftig. Komiteen er også enig i formuleringen i lovteksten vedrørende gjenbruk av personopplysninger for historiske, statistiske eller vitenskapelige formål.

Komiteen støtter departementet i at det ikke er hensiktsmessig å utforme en generell regel om utlevering. Komiteen er imidlertid innforstått med at det på enkelte områder kan være nødvendig med særlige regler, som f.eks. at ideelle sammenslutninger ikke kan utlevere sensitive opplysninger uten at den registrerte er enig i det (§ 9 annet ledd), og regel for utlevering av personopplysninger gjort ved fjernsynsopptak (§ 39).

Komiteen synes dessuten det er viktig at den som tilbyr betalingskort blir pålagt å informere om betalingsopplysninger vil bli brukt til andre formål enn det som følger direkte av innsamlingen, og hvem opplysningene i tilfelle blir utlevert til (§ 19).

For å understreke det ansvaret som den enkelte behandlingsansvarlige har for å følge lovverket om personvern, foreslår utvalget å innføre regler om internkontroll. Disse reglene vil pålegge både offentlige og private behandlingsansvarlige en plikt til å etablere systematiske tiltak for å påse og dokumentere at såvel personvernlovgivningen som ulike pålegg fra Datatilsynet blir etterlevd.

Det har ikke kommet innvendinger mot forslaget under høringen, og departementet følger opp utvalgets forslag i § 14.

Komiteen slutter seg til forslaget om å innføre regler for internkontroll. Komiteen tror dette forslaget om selvjustis har mye for seg, og at det kan komme til å bety mye for at både personvernlovgivningen og eventuelle pålegg fra Datatilsynet kan bli fulgt. Komiteen synes det er riktig at både offentlige og private behandlingsansvarlige får en slik plikt.

I andre land har man positive erfaringer med bruk av retningslinjer for behandling av personopplysninger som virksomheter eller bransjerepresentanter selv utarbeider på frivillig basis. Utvalget mener at gode grunner taler for at de også tas i bruk i Norge. Departementet støtter utvalgets forslag om å oppfordre til bruk av bransjevise atferdsnormer. Unnlatelse av å følge normene vil kunne bli møtt med reaksjoner fra bransjeorganisasjonene, men vil ikke i seg selv resultere i noen offentligrettslig reaksjon.

Komiteen synes forslaget om å oppfordre til bruk av bransjevise atferdsnormer er meget interessant, og slutter seg til oppfordringen.