Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

5. Vilkår for behandling av personopplysningar

Det går fram av meldinga at behandling av personopplysningar kan ha grunnlag i samtykke frå dei registrerte, i lovheimel eller i ein av dei nærmare bestemte grunnane i personopplysningslova § 8 bokstavane a til f. Når ein skal behandle sensitive personopplysningar, må ein ha grunnlag i både § 8 og § 9. Dette inneber at det blir stilt strengare krav til heimelsgrunnlag ved behandling av personopplysningar som er sensitive, enn ved behandling av andre personopplysningar.

Behandling av personopplysningar er nødvendig for eit velfungerande samfunn og ein føresetnad for rettsstaten. Ein må kunne samle inn personopplysningar til definerte føremål og kunne bruke opplysningane til desse føremåla. Når det gjeld krav til rettsleg grunnlag for behandling av personopplysningar, er det stor forskjell mellom offentlege styremakter, private aktørar som utfører lovheimla offentlege tenester og oppgåver, og private aktørar. Privatrettsleg bind innbyggjarane seg frivillig ved avtalar, medan myndigheita på det offentlegrettslege området er knytt til lovgiving. Utøving av offentleg myndigheit er bindande utan noka form for samtykke frå innbyggjarane.

Det blir i meldinga vist til at det er ønskjeleg at dei registrerte har så stor råderett over eigne personopplysningar som mogleg. Samtykke som behandlingsgrunnlag står sentralt i denne samanhengen. I den vidare framstillinga vil spørsmålet om lovheimel som behandlingsgrunnlag i første rekkje vere knytt til utføring av lovpålagde offentlege oppgåver, sjølv om dette òg er eit aktuelt behandlingsgrunnlag for private aktørar i visse samanhengar. Samtykke som behandlingsgrunnlag er primært aktuelt i privat sektor, men kan òg vere relevant i offentleg sektor. Enkelte personopplysningsbehandlingar er openbert nødvendige for å utføre lovpålagde offentlege oppgåver, sjølv om behandlinga ikkje har nokon eksplisitt heimel i lov. Då må ein kunne leggje til grunn at lovgivaren har vurdert dei personvernmessige konsekvensane av lova, og at den medfølgjande behandlinga ikkje er så inngripande at ho etter legalitetsprinsippet krev ein klårare lovheimel. Nødvendiggjerande grunnar kan vere aktuelle behandlingsgrunnlag i både offentleg og privat sektor. I offentleg sektor vil til dømes utøving av offentleg myndigheit eller utøving av oppgåver av allmenn interesse kunne vere aktuelle grunnlag for innsamling og bruk av personopplysningar. I privat verksemd kan ein aktuell grunn vere oppfylling av ei avtale med den registrerte.

Dei tre behandlingsgrunnlaga samtykke, lovheimel og grunn som gjer behandling nødvendig er likeverdige alternativ i personopplysningslova.

I valet mellom samtykke eller nødvendiggjerande grunn som grunnlag for behandling av personopplysningar, går det fram av forarbeida til personopplysningslova at personopplysningsbehandlingar i størst mogleg grad bør baserast på samtykke der dette let seg gjere.

I ei rekkje samanhengar er samtykke likevel ikkje eit eigna grunnlag for behandling av personopplysningar. Behandling av personopplysningar i offentleg forvaltning er i stor grad basert på heimel i lov som ein føresetnad for utøving av offentleg myndigheit eller som ein føresetnad for å utøve ei lovpålagd offentleg oppgåve.

For private aktørar kan det òg vere nødvendig å nytte andre behandlingsgrunnlag enn samtykke. Eit eksempel kan vere behandling av kontaktinformasjon for bruk i direkte marknadsføring. Behandling av kontaktinformasjon er i dei fleste tilfelle lite personverninngripande, og det å bli kontakta for direkte marknadsføring er ikkje eit stort personverninngrep for den enkelte. På den andre sida kan kostnaden ved å innhente samtykke for slike behandlingar vere stor i høve til gevinsten.

Forvaltninga si innsamling og bruk av personopplysningar er i hovudsak fastsett i lov eller er nødvendig for å utøve offentleg myndigheit. Tilsvarande gjeld for private aktørar som utfører lovpålagde offentlege tenester. Forvaltninga si behandling av personopplysningar må sjåast i samanheng med at behandling av personopplysningar ofte skjer som del av utøvinga av myndigheit. Personopplysningane som blir behandla, må vere relevante og oppdaterte. Langt på veg har derfor det offentlege og dei registrerte dei same interessene når grunnlag for behandling av personopplysningar skal vurderast.

Det blir i meldinga vist til at samtykke er eit lite eigna behandlingsgrunnlag for dei fleste behandlingar av personopplysningar i forvaltninga.

Somme lover regulerer sjølve behandlinga av personopplysningar, og behandlinga kan stå fram som eit mål i seg sjølv.

Sidan forvaltninga si utøving av myndigheit byggjer på legalitetsprinsippet, følgjer det av heimel i lov kva oppgåver offentlege styremakter skal utføre. Ein må leggje til grunn at lovgivaren òg har vurdert personvernsidene ved ei vedteken forvaltningsordning som krev at visse personopplysningar blir behandla.

Lovheimel som behandlingsgrunnlag kan ein ha både der det direkte er gitt heimel til å behandle personopplysningar, og der det er føresett at slik behandling kan skje. Tilsvarande gjeld for private aktørar som utfører lovpålagde offentlege tenester. Kva opplysningar som er dekte av heimelen, må likevel avgrensast til det som er nødvendig og relevant, slik at kravet til forholdsmessigheit og dataminimalitet i personopplysningslova blir oppfylt.

Det går fram av meldinga at dersom ei grundig vurdering etter legalitetsprinsippet viser at ei personopplysningsbehandling i offentleg verksemd ikkje har slik heimel i lov at lovkravet i personopplysningslova er oppfylt, må ein sjå om personopplysningslova gir eit anna behandlingsgrunnlag. I slike tilfelle må forvaltninga kunne behandle personopplysningar med heimel i personopplysningslova § 8 bokstav e, når det er nødvendig for «å utøve offentlig myndighet».

I behandlinga av utkastet til ny personvernforordning i EU er det peikt på at den nødvendiggjerande grunnen i personopplysningslova § 8 bokstav e er det mest sentrale behandlingsgrunnlaget for offentlege styremakter. Dersom forvaltningsorganet ønskjer å samle inn opplysningar som ikkje er relevante for utøving av myndigheit, for eksempel ei brukarundersøking, kan behandlinga ikkje heimlast i § 8 bokstav e.

I meldinga blir det peikt på at i framtida bør behandling av personopplysningar som er ein nødvendig føresetnad for at den offentlege forvaltninga kan utøve myndigheit og utføre tenester, så langt råd er ha heimel i lov. Utgreiingar av personvernkonsekvensar i lovgivingsprosessen kan bidra til auka merksemd på behovet for og innretninga av personopplysningsbehandlinga og såleis gi eit betre regelverk og eit betre personvern.

Samtykke blir i mange samanhengar framheva som det føretrekte grunnlaget for behandling av personopplysningar.

Krava til eit samtykke i personvernsamanheng er lovregulert. Etter personopplysningslova § 2 nr. 7 skal eit samtykke vere ei frivillig, informert og uttrykkeleg erklæring frå den registrerte om at vedkomande godtek behandling av opplysningar om seg sjølv. Samtykket skal vere ei aktiv handling frå dei registrerte si side. Det er ikkje eit krav at samtykket blir gitt skriftleg. Det er likevel den behandlingsansvarlege som har ansvaret for å dokumentere at det er gitt eit gyldig samtykke.

Før han eller ho gir samtykke, skal den registrerte få god og forståeleg informasjon om bruken av personopplysningar. Informasjonen skal seie noko om føremålet med behandlinga, kva opplysningar som blir behandla, og korleis dei blir henta inn, i tillegg til kven som har tilgang til opplysningane. Denne informasjonen skal danne grunnlaget for samtykket og vil vere avgjerande for kor langt samtykket rekk.

Informasjonen må vere godt synleg og lett tilgjengeleg for brukaren, helst samla på éin stad. Ein bør unngå å bruke vanskeleg språk og lange formuleringar. For mykje informasjon kan føre til at brukaren føler avmakt og unngår å setje seg inn i informasjonen, medan for lite informasjon kan føre til at brukaren ikkje forstår omfanget av behandlinga han eller ho samtykkjer i. Begge situasjonane kan føre til at samtykket ikkje tilfredsstiller krava i lova. Dei europeiske datatilsynsstyremaktene synest å vere einige om at ein gjennomsnittleg brukar bør vere i stand til å forstå informasjonen for at den skal vere tilfredsstillande.

Samtykket skal vere frivillig. Det blir i meldinga vist til at dersom det kan vere tvil om den registrerte opplever å ha eit reelt val, bør ikkje behandling av personopplysningar ha grunnlag i samtykke.

Det blir i meldinga vist til at alternativ til samtykke kan vere reservasjonsrett eller implisitt samtykke/konkludent åtferd.

Det er viktig å skilje mellom samtykke til å delta i ei gitt handling eller aktivitet og samtykke til behandling av personopplysningar som følgjer av denne aktiviteten.

«Clickwrap» er ein avtale som blir inngått på nett ved at standardvilkår blir presenterte for brukaren i eit eige vindauge, og brukaren aksepterer desse vilkåra ved for eksempel å klikke på ein «aksept»-knapp.

Både Datatilsynet og Forbrukarombodet legg til grunn at «click-wrap»-samtykke ikkje oppfyller krava til samtykke etter personopplysningslova og marknadsføringslova mellom anna fordi informasjonen er mangelfull. Forbrukarombodet har det siste året prioritert å få rydda opp i bruk av «clickwrap»-samtykke som grunnlag for behandling av personopplysningar i marknadsføringssektoren. Tilsyn og informasjon til behandlingsansvarlege kan bidra til å redusere problema ytterlegare.

Det eksisterer ikkje noko generelt krav om at samtykke skal vere skriftleg. Sidan det kan vere vanskeleg å vite kva dei registrerte har forstått og teke stilling til ved handlingane sine, kan det vere utfordrande å godtgjere at det er gitt eit implisitt samtykke.

Internasjonalt held ein fast ved at samtykke som grunnlag for behandling av personopplysningar skal vere klårt og tydeleg og innebere ein aktivitet frå den registrerte si side som stadfestar at vedkomande forstår at det vil bli behandla personopplysningar. Regjeringa meiner prinsippet om at samtykke helst skal vere ei uttrykkeleg erklæring eller aktiv handling, er eit godt prinsipp som det er viktig å halde fast ved også i tida framover.

For at eit samtykke skal vere eit gyldig grunnlag for behandling av personopplysningar, er eit av krava at det må vere gitt frivillig. Frivillig inneber sjølvsagt at samtykket ikkje kan bli gitt under noka form for tvang. Men òg andre forhold kan påverke den frie viljen, til dømes at det er eit ujamt styrkeforhold mellom partane som inneber at den registrerte ikkje opplever å ha noko reelt val med omsyn til å gi samtykke. Dette kan blant anna vere tilfellet når innbyggjarane er i kontakt med offentlege styremakter. Nokre døme kan vise dei utfordringane den behandlingsansvarlege kan møte, og som kan tilseie at samtykke ikkje er eigna som grunnlag for behandling av personopplysningar.

Det blir i meldinga kapittel 6.4 vist til døme frå arbeidslivet og frå helse- og omsorgstjenesten.

Mindreårige har i dei fleste tilfelle ikkje sjølvstendig samtykkekompetanse. Likevel er det mykje dei kan samtykkje i, avhengig av alder og mognad. Barnet sin alder og mognad vil vere eit viktig element i vurderinga av om barnet òg skal høyrast i spørsmålet om behandling av opplysningar.

For å tryggje barns personvern betre tilrådde Justis- og politidepartementet i Prop. 47 L (2011–2012) endringar i personopplysningslova § 11. Lovendringsforslaget vart vedteke, og frå 20. april 2012 følgjer det av personopplysningslova at ein ikkje kan behandle personopplysningar om barn i strid med det som er til beste for barnet. Prinsippet om barnet sitt beste tilseier at der barnet sitt behov for omsorg og vern i praksis ikkje fell saman med interessene til foreldra, må barnet sine interesser og behov gå føre. Dette gjeld òg for samtykke til behandling av personopplysningar.

Spørsmålet om samtykkekompetansen til mindreårige er særleg aktuelt ved behandling av personopplysningar i skule- og barnehagesektoren, i helse- og omsorgssektoren og i forskingssamanheng (sjå nærmare omtale i meldinga). Graden av sjølvråderett aukar med alderen. På dei nemnde områda er mindreårige sin samtykkekompetanse godt avklåra, og det er ikkje nødvendig med nye tiltak for å tryggje barna sitt personvern.

Det er særlege utfordringar knytte til innhenting av samtykke når mindreårige bruker tenester i informasjonssamfunnet. Barn og unge forstår i mindre grad enn vaksne kva opplysningar som blir lagra om dei, kva opplysningane blir brukte til, og kven som får tilgang til opplysningar dei gir frå seg når dei bruker ulike tenester på nett.

Bruk av sosiale medium og andre informasjonssamfunnstenester inneber i betydeleg grad eksponering for marknadsføring. Marknadsføringa er ofte spesielt retta mot brukaren ved å vere basert på analysar av nettaktivitetane til brukaren. Barn og unge har ofte vanskeleg for å forstå samanhengen mellom nettaktiviteten og reklamen dei blir eksponerte for.

Samtykke til at personopplysningar kan nyttast til marknadsføring på nett, blir ofte gitt på lite tydelege måtar. I 2005 utarbeidde Forbrukarombodet og Datatilsynet ei rettleiing om innhenting og bruk av barns personopplysningar. Sidan det har utviklinga i barns bruk av tenester i informasjonssamfunnet eksplodert.

På europeisk nivå blir det diskutert om det skal innførast ei aldersgrense for barns samtykkekompetanse i informasjonssamfunnet. Det er gjort framlegg om at føresette skal samtykkje så lenge barnet er under 13 år, og det skal leggjast til rette for at samtykket kan etterprøvast.

Det blir i meldinga peikt på at det er viktig å ha reglar som kan tryggje personvernet til norske barn på ein god måte, uavhengig av kva ein meiner er godt personvern i vertslandet for ulike sosiale nettsamfunn.

Det blir vidare vist til at det er viktig å følgje den internasjonale diskusjonen om korleis ein best kan tryggje barns personvern, både ved bruk av tenester i informasjonssamfunnet og elles, slik at landa kan stå samla i sine krav overfor tenestetilbydarane.

Innhenting av samtykke til behandling av personopplysningar om personar med nedsett eller manglande vurderingsevne og især pasientar som lir av demens, reiser særlege utfordringar. Dette er derfor spesielt regulert i helse- og omsorgslovgivinga.

Bruken av velferdsteknologi har lenge vore eit aktuelt tema i helse- og omsorgssektoren. I rapporten frå Hagen-utvalet (NOU 2011:11 Innovasjon i omsorg) er det blant anna føreslått å innføre og vidareutvikle tryggingsalarmar som har funksjonar for lokalisering av brukaren. Dette er føreslått som ein del av eit nasjonalt program for velferdsteknologi. Utvalet gjer framlegg om å innføre særskild lovgiving knytt til formidling og bruk av varslings- og lokaliseringshjelpemiddel, medrekna behandling av personopplysningar som hjelpemidla genererer. Også frå anna hald, mellom anna Datatilsynet og Helsedirektoratet, har det vore etterlyst eit klårare regelverk om bruk av varslings- og lokaliseringsteknologi i tenesteytinga til pasientar og brukarar som manglar samtykkekompetanse.

Behandling av personopplysningar som kan følgje med bruk av slik teknologi, krev eit klårt rettsgrunnlag etter personopplysningslova, helst i form av samtykke frå den registrerte (pasienten eller brukaren). Pasientane eller brukarane må ha samtykkekompetanse.

Regjeringa ønskjer å skape rettsleg klårleik og leggje betre til rette for teknologi som kan gi kvar einskild betre høve til utfalding og livskvalitet samstundes som han eller ho får oppfylt behovet for tryggleik. Regjeringa har derfor sendt eit framlegg om lovendring på dette området på høyring. Framlegget gir helse- og omsorgstenesta høve til å ta i bruk varslings- og lokaliseringssystem for demente og andre som manglar samtykkekompetanse.

Det blir i meldinga peikt på at samtykke som behandlingsgrunnlag er eit viktig element i det å ha råderett over eigne personopplysningar. Råderetten står sentralt i både norske personvernreglar og i EUs arbeid med revisjon av personvernregelverket. I forslaget til revidert regelverk er det tydelegare fokus på reelt samtykke til behandling av personopplysningar. Ein fordel med samtykke som behandlingsgrunnlag er at det stør opp under og legg grunnlag for bruken av mange av dei andre rettane innbyggjarane har i samband med behandling av personopplysningar.

I meldinga blir det peikt på at det likevel er grunn til å spørje om samtykke alltid gir godt personvern. I 2005 gjennomførte Transportøkonomisk institutt ei stor undersøking om folks haldningar til og kunnskap om personvern på oppdrag frå Moderniseringsdepartementet og Datatilsynet. Undersøkinga viste at nordmenn flest reflekterer lite over eige personvern. Samstundes viser undersøkinga at befolkninga har tillit til at innsamla personopplysningar blir behandla på ein god måte både i offentleg og privat verksemd.

Ut frå svar i undersøkinga er det grunn til å rekne med at mange samtykkjer i behandling av personopplysningar utan å lese informasjonen dei får i samband med samtykkeerklæringa.

Verdien av samtykke som behandlingsgrunnlag har vore framheva og understreka dei siste åra, både nasjonalt og internasjonalt. Samtykke som behandlingsgrunnlag kan likevel gi eit inntrykk av ein råderett som kanskje ikkje er reell. Ein bør derfor vurdere nøye om ei personopplysningsbehandling eignar seg for å vere samtykkebasert.

Det er avgjerande at befolkninga blir sett i stand til å ta vare på sitt eige personvern. Samtykke er viktig i denne samanhengen og kan vanskeleg bli erstatta av andre ordningar.

Reservasjonsrett kan vere aktuelt der føremålet med eit tiltak ikkje blir oppnådd med bruk av samtykke og ein vurderer at nytta av personopplysningsbehandlinga er vesentleg større enn personvernulempa for dei registrerte. Reservasjonsrett blir mellom anna brukt ved etablering av Nasjonal kjernejournal. Registrering av opplysningar i Nasjonal kjernejournal er lovheimla, men samstundes frivillig ved at kvar einskild pasient har rett til å reservere seg mot å vere med. Seinare uthenting av opplysningar om einskildpasientar frå kjernejournalen er basert på samtykke får pasienten, med unntak av nokre situasjonar, typisk i ein akuttmedisinsk situasjon.

I nokre samanhengar kan reservasjonsrett for den einskilde i kombinasjon med lovheimel som behandlingsgrunnlag òg gi ei oppleving av større valfridom enn registrering med grunnlag i samtykke. Dette gjeld mellom anna der den registrerte på ein eller annan måte er avhengig av tenester frå den behandlingsansvarlege, for eksempel i pasient-lege-relasjonar. I nokre situasjonar kan derfor reservasjonsrett gi godt personvern for den einskilde.

For at dei registrerte skal kunne vurdere om dei ønskjer å reservere seg mot innsamling og bruk av personopplysningar, må dei få informasjon om alle delar av bruken slik at dei blir i stand til å ta eit slikt val. Informasjonen som skal gi grunnlag for å vurdere bruk av reservasjonsretten, bør i det vesentlege vere den same som om behandlinga skulle bli basert på samtykke frå dei registrerte. Det at ein på opplyst grunnlag vel å la vere å reservere seg, er likevel ikkje det same som å samtykkje. Det å gjere noko aktivt er alltid meir krevjande enn passivitet, og ein må gå ut frå at terskelen for å reservere seg er høgare enn for berre stillteiande å akseptere noko. Dermed kan ei løysing med reservasjonsrett ikkje likestillast med ei samtykkeløysing, der den registrerte blir tvinga til aktivt å ta stilling til behandling av personopplysningar.

Det at ein kan reservere seg mot ei behandling av personopplysningar, tek ikkje vare på alle dei same omsyna som det er meininga at samtykkekrava skal tryggje. Reservasjonsrett åleine kan derfor ikkje nyttast som eit behandlingsgrunnlag etter personopplysningsregelverket. Det blir gjerne gitt tilbod om reservasjonsrett fordi ein trur at dei registrerte kan reagere på personopplysningsbehandlinga, og at det derfor er fornuftig å opne for at dei som ikkje ønskjer å ta del i behandlinga, kan sleppe det. Grunnlaget kan vere varetaking av den rettkomne interessa den behandlingsansvarlege har i å behandle personopplysningar etter personopplysningslova § 8 bokstav c eller ein annan særskild lovheimel. Reservasjonsretten er ikkje eit behandlingsgrunnlag etter personopplysningslova, men kan vere eit personvernfremjande tiltak. Det er viktig å halde fast ved at reservasjonsrett ikkje er det same som at bruk av personopplysningar har grunnlag i samtykke. Regjeringa meiner likevel at reservasjonsrett i mange samanhengar vil gi godt personvern samstundes som det legg til rette for god ivaretaking av allmenne interesser. Dette kan gi grunnlag for å vurdere reservasjonsrett i fleire samanhengar enn det som i dag er tilfellet.

  • Dei registrerte skal i størst mogleg grad ha råderett over eigne personopplysningar.

  • Det offentlege si behandling av personopplysningar bør ha heimel i lov eller vere grunngitt i at det er nødvendig for utøving av offentleg myndigheit eller utføring av lovpålagde oppgåver.

  • I privat verksemd er samtykke det føretrekte behandlingsgrunnlaget der den registrerte har eit reelt val om å la seg registrere.

  • I somme samanhengar kan lovheimel for behandling av personopplysningar saman med ein reservasjonsrett for dei registrerte gi den mest reelle råderetten for den einskilde.

Komiteen er kjent med at personopplysningsloven (Pol.) både angir samtykke og en såkalt nødvendiggjørende grunn som rettslig grunnlag for å behandle personopplysninger.

Likeledes er komiteen av den oppfatning at man alltid skal vurdere om samtykke er et realistisk behandlingsgrunnlag. Prinsippet er at den registrerte i størst mulig grad skal ha råderetten over egne personopplysninger.

Komiteens medlemmer fra Fremskrittspartiet, Høyre og Kristelig Folkeparti sier seg uenig i regjeringens vurdering av at «samtykke er lite egnet for de fleste behandlinger av personopplysninger». Disse medlemmer vil tvert imot hevde at informert, reelt samtykke er det foretrukne behandlingsgrunnlag for innhenting av personopplysninger, og at de praktiske ulemper ved samtykke er sterkt overdrevet. Disse medlemmervil også fremheve reservasjonsrett som et alternativ til lovhjemlet masseinnhenting uten samtykke, men ikke som alternativ til samtykke der det er praktisk forsvarlig.

Disse medlemmer vil også fremheve at selv om innhenting av samtykke kan være mer omstendelig enn automatisk registrering, vil den registrerte få en sterkere bevissthet om sin råderett over egne opplysninger, og at man også kan bevisstgjøre den registrerte om at opplysninger som innhentes i forbindelse med søknad om ytelser, også kan bli gjenstand for kontroll, og dermed være forebyggende mot uriktige opplysninger.

Disse medlemmer viser til at samtykke er det grunnleggende behandlingsgrunnlag når private, for eksempel næringslivet, registrerer opplysninger, men deler ikke regjeringens oppfatning om at kontaktinformasjon i seg selv er lite inngripende. Ved sammenkobling av andre opplysninger man har fått gjennom kundeforholdet, og ved utveksling av kontaktinformasjon med andre, vil bildet kunne bli et annet. Likeledes tilsier respekt for den enkelte at man gis en reell reservasjonsrett mot markedsføring man ikke ønsker.