6. Personvernrettar og -plikter
- 6.1 Sammendrag
- 6.2 Komiteens merknader
For å sikre ivaretaking av personvernomsyn har den registrerte fått ein del rettar. Dessutan er dei behandlingsansvarlege pålagde ein del plikter som skal bidra til at personvernet til dei registrerte blir teke hand om.
Ein del personvernrettar er òg nedfelte i anna regelverk, og dette regelverket kan i praksis ha meir å seie enn personopplysningslova. For mange er det truleg reglane i forvaltningslova som ligg til grunn for krav om innsyn i personopplysningar i forvaltninga, og ikkje innsynsreglane i personopplysningslova. I privat sektor er det derimot innsynsreglane i personopplysningslova som gir grunnlag for innsyn. Teiepliktsreglar, som det er mange av i norsk rett, er òg reglar som bidreg til å tryggje personvernet til dei registrerte.
Mange av rettane i personopplysningsregelverket er relativt lite kjende, og regjeringa meiner det er nødvendig å vurdere tiltak som kan bidra til at rettane blir både betre kjende og betre nytta.
Personvern er både ein kollektiv og ein individuell rett. Det finst ei rekkje reglar som skal bidra til å gi brukarane auka kontroll og råderett over eigne personopplysningar, blant anna reglar om innsyn, reservasjonsrett, retting og sletting og om retten til å bli gløymd. Ein må bruke handlingsrommet reglane gir på ein god måte.
Sjølvråderett er eit grunnleggjande prinsipp i norsk rett. I personvernsamanheng vil sjølvråderetten seie at individet i stor grad har rett til å bestemme over sine eigne personopplysningar når desse kan samlast inn, og kva dei kan brukast til.
Ei anna side ved sjølvråderetten er at individet skal kunne utøve ein viss grad av kontroll med flyten og bruken av personopplysningane sine, også når dei er komne i andre sine hender.
Personopplysningar har i lang tid vore ei vare og samstundes eit betalingsmiddel. Mange gir frå seg personopplysningar i byte mot andre gode. Viljen næringslivet har til å betale for personopplysningar, er relativt liten, samstundes som verdien personopplysningar har for dei i kommersiell samanheng, synest høg. I enkelte verksemder kan eit godt utvikla kunderegister vere den viktigaste verdien i selskapet. Informasjonen om brukarane har enorm forretningsverdi. Utan all informasjonen kvar enkelt brukar legg ut, har for eksempel dei sosiale nettstadene liten kommersiell verdi. Det er derfor rimeleg at innbyggjarane i det minste har ein viss råderett over den verdien kvar enkelt representerer. Dersom brukaren ikkje lenger ønskjer å vere brukar av ein sosial nettstad, og ikkje lenger tek imot noka vare, bør han følgjeleg kunne krevje at betalinga for tenesta sluttar i den forstand at personopplysningane blir sletta eller leverte tilbake.
Kontroll over eigne personopplysningar krev informasjon og kunnskap. Retten til informasjon og retten til innsyn er derfor grunnleggjande i personvernsamanheng.
I mange daglege gjeremål lèt innbyggjarane etter seg informasjon som gir høve til personidentifisering. Ulike automatiserte registrerings- og betalingssystem forenklar kvardagen både for tenesteytaren og -mottakaren. Personidentifiserbar informasjon frå registreringsordningane kan likevel seie mykje om rørslene og åtferda til dei registrerte.
Med omgrepet anonymitet forstår ein normalt at identiteten ikkje er kjend. Men retten til å opptre og ferdast anonymt er ikkje uttrykkeleg fastslått i norsk rett. Denne retten kan likevel til ein viss grad tolkast av prinsippet om dataminimalitet. Er identifikasjon ikkje nødvendig, skal dei registrerte ha høve til å opptre anonymt.
Retten til anonymitet er ein rett med modifikasjonar. Dette gjeld ikkje minst i transportsektoren. Det finst både internasjonale og norske reglar som avgrensar retten den enkelte har til å reise utan å måtte gi frå seg personopplysningar.
Også i alminneleg varehandel er anonymiteten på vikande front.
Utviklinga går i retning av stadig fleire løysingar som gjer det mogleg å identifisere personar. Det er likevel sjeldan ein tek seg tid til å diskutere dei utfordringane som følgjer med ei utvikling der heilt daglegdagse aktivitetar lèt etter seg spor som både politi, andre styremakter, næringsdrivande og kriminelle, lovleg eller ulovleg, kan skaffe seg tilgang til. Utviklinga viser at det er behov for ein overordna debatt om retten til anonymitet, slik at ein kan sjå utfordringar i ulike sektorar i samanheng. Når ein greier ut ulike tiltak som har eller kan ha personvernkonsekvensar, bør prinsippet om dataminimalitet ha betydeleg vekt. Ein skal vurdere om det er mogleg å bruke anonyme alternativ. Dei elektroniske reisekorta i kollektivtrafikken er eit eksempel på eit område der retten til anonymitet er teken hand om på ein god måte.
I forlenginga av retten til anonymitet snakkar ein stadig oftare om retten til å bli gløymd. EU-kommisjonen har sett fokus på retten til å vere anonym gjennom å føreslå ein rett til å bli gløymd («right to be forgotten») i utkastet til revidert personvernregelverk. Retten til å bli gløymd vil særleg kunne gi grunn til sletting av opplysningar som er lagde ut på nett.
Langt på veg vil ein rett til å bli gløymd falle saman med dei tradisjonelle norske reglane om rett til å få sletta opplysningar som ikkje lenger er nødvendige for behandlingsføremålet. EU-forslaget til reglar om retten til å bli gløymd femner likevel vidare. Forslaget går ut på at den registrerte òg kan krevje at den behandlingsansvarlege set i verk tiltak for å få sletta kopiar av informasjon som er spreidd på Internett. Det same gjeld lenkjer til informasjonen som den registrerte ønskjer å få sletta. Forslaget står òg fram som eit særleg vern av barn, som ikkje alltid er like kritiske til kva informasjon dei publiserer.
Forslaget har likevel møtt kritikk frå dei som meiner ein slik regel vil gi folk høve til å redigere liva sine ut over det som synest rimeleg. Omsynet til dokumentasjon for ettertida kan derfor tale mot ein rett til å redigere ettermælet sitt på den måten som retten til å bli gløymd kan synast å opne for.
For å gi den enkelte størst mogleg kontroll med bruken av opplysningar om seg sjølv kan det vere ei løysing å gi den registrerte rett til å flytte informasjon frå ein tenestetilbydar til ein annan.
Eit anna og meir krevjande element ved retten til å bli gløymd er ein eventuell rett til å få sletta opplysningar som er distribuerte av andre på nett. Her er forholdet til ytringsfridomen eit sentralt vurderingstema. Eit spørsmål er òg kva opplysningar det er praktisk mogleg å få sletta.
Dersom ein rett til å bli gløymd skal få reell verdi, må han vere mogleg å praktisere. Dette krev blant anna internasjonal semje om eit slikt prinsipp. Noreg kan ikkje åleine innføre ein regel som ville få så mykje å seie for internasjonal samhandling. Ein rett til å bli gløymd må i det minste baserast på europeisk semje. Regjeringa vil følgje debatten om retten til å bli gløymd og den internasjonale utviklinga på dette området i tida framover og sjå i kva lei ho går, når det eventuelt blir aktuelt å vurdere norske reglar på området.
Etter personopplysningslova er det den behandlingsansvarlege som avgjer føremålet med ei personopplysningsbehandling, og kva hjelpemiddel som skal nyttast. Den behandlingsansvarlege har ansvar for å oppfylle alle plikter etter personopplysningslova. Dette inneber at den behandlingsansvarlege har ansvar for at det finst rutinar og system for å leve opp til personopplysningsregelverket og tryggje rettane til dei registrerte etter regelverket.
Det er ei generell utfordring at personvernregelverket er lite kjent blant dei som behandlar personopplysningar. Det blir i meldinga vist til resultata frå ei undersøking som Trafikkøkonomisk institutt (TØI) gjorde av behandlinga av personopplysningar i norske verksemder i 2005. Nettopp på bakgrunn av desse resultata har regjeringa over fleire år gitt øyremerkte midlar til Datatilsynet for arbeid med å gjere regelverket om informasjonstryggleik betre kjent blant dei behandlingsansvarlege. Datatilsynet si satsing på opplæring av personvernombod er òg eit tiltak for å gjere regelverket betre kjent blant behandlingsansvarlege. Det kan vere føremålstenleg å gjennomføre ei ny personvernundersøking.
Trygginga av personvernrettane er nært knytt til pliktene den behandlingsansvarlege har, og korleis vedkomande oppfyller dei. Både reglane som heimlar rettane og reglane om pliktene er, til ein viss grad skjønsprega, og gir eit visst handlingsrom. Regjeringa har som mål å bruke dette rommet på ein måte som gagnar både den behandlingsansvarlege og dei registrerte.
Ei vurdering av personvernkonsekvensar vil leggje grunnlag for tiltak som skal ta hand om personvernrettane til dei registrerte på best mogleg måte.
Ein analyse av personvernkonsekvensar kan vise at det er fleire konkurrerande eller motstridande personvernomsyn å ta hand om i ei sak. Då må ein vurdere kva personverninteresse som skal vege tyngst. Analyse av personvernkonsekvensar vil òg kunne vise at personvernomsyn står mot andre samfunnsomsyn eller private omsyn.
Det er som regel rimelegare å leggje til rette for ivaretaking av personvern når eit system blir utvikla, enn å omarbeide eit eksisterande system slik at det kan ta omsyn til personverninteresser. Dette tilseier at det vil vere i den behandlingsansvarlege si interesse å leggje til rette for god ivaretaking av personvernet til dei registrerte så tidleg som mogleg i arbeidet med nye system.
Dersom personvernkonsekvensar er godt klårgjorde og drøfta ved førebuing av nye lovreglar, blir personvernkonsekvensar synlege for Stortinget. Dette vil gi Stortinget grunnlag for å ta stilling til personvernkonsekvensane i samband med vedtaking av lovreglane. Rettleiinga om vurdering av personvernkonsekvensar som Fornyings- og administrasjonsdepartementet har laga, er ei støtte til statlege etatar slik at dei på ein god måte kan klårgjere personvernkonsekvensar ved planlagde tiltak. Trass i at rettleiinga har eksistert i nokre år, er det framleis for mange offentlege utgreiingar som manglar gode drøftingar av personvern. Det vil bli vurdert tiltak for å sikre at saksbehandlarar i offentlege verksemder kjenner og bruker rettleiinga.
Sjølv om den omtala rettleiinga er utarbeidd for statlege etatar, er råda i rettleiinga allmenngyldige. Rettleiinga kan derfor vere nyttig også utanfor det statlege forvaltningsområdet. For å styrkje ivaretakinga av personvernet til dei registrerte er det i regelverksrevisjonen i EU føreslått å regelfeste ei plikt til å gjennomføre ein såkalla «data protection impact assessment».
Utgreiing av personvernkonsekvensar og gjennomføring av personvernanalysar bør vere eit naturleg ledd i tilrettelegginga for behandling av personopplysningar både i privat og offentleg sektor. Dette kan ein blant anna oppnå gjennom samarbeid med næringslivet og næringslivsorganisasjonane. Informasjon om personvernanalysar og personvernregelverket kan følgje med annan informasjon som blir gitt til næringsdrivande ved oppstart av næringsverksemd. Nettsidene til Brønnøysundregistra kan vere ein veleigna informasjonsstad. I tillegg er nettsidene til Datatilsynet ein naturleg informasjonsstad.
Dei registrerte har omfattande krav på informasjon frå den behandlingsansvarlege om pågåande personopplysningsbehandlingar, både ved direkte førespurnad og på initiativ frå den behandlingsansvarlege. Informasjon er viktig for at dei registrerte skal kunne nytte dei andre rettane sine etter lova. Informasjonsplikta står derfor sentralt.
Regelverket pålegg den behandlingsansvarlege ei plikt til å ha tilgjengeleg generell informasjon om behandling av personopplysningar for dei som spør om det, uansett om spørjaren er registrert eller ikkje. I tillegg har alle registrerte rett til innsyn i dei opplysningane som er lagra om dei, og dessutan ein del informasjon om korleis opplysningane blir behandla. Denne informasjonen skal den behandlingsansvarlege gi på ein klår og tydeleg måte som set den registrerte i stand til å ta hand om interessene sine.
For tre spesielle typar personopplysningsbehandlingar er det særskilde informasjonsreglar. Dette gjeld ved bruk av personprofilar, ved automatiserte avgjerder og i kredittopplysningsverksemd. Desse er omtala nærmare i meldinga punkt 7.4.1.
Det blir i meldinga peikt på at det for å setje innbyggjarane betre i stand til å ta hand om sitt eige personvern, er nødvendig å skape større medvit om informasjonsplikta som kviler på den behandlingsansvarlege. Dette kan blant anna gjerast gjennom informasjon på offentlege nettstader som blir brukte av næringslivet, til dømes nettsidene til Brønnøysundregistra. På nettsidene til Datatilsynet finn ein denne typen informasjon under overskrifta personvernerklæring. Både offentlege og private behandlingsansvarlege bør sørgje for å ha slik informasjon lett tilgjengeleg på nettsidene sine, for eksempel under overskrifta personverninformasjon eller personvernerklæring. For å hjelpe dei behandlingsansvarlege til å oppfylle informasjonspliktene sine vil regjeringa utarbeide ein mal for denne typen informasjon.
Det vil vere praktisk for dei registrerte å kunne hente informasjon om behandling av personopplysningar elektronisk når det passar for dei, utan å vere avhengige av opningstider og tilgjengelege kundebehandlarar.
Det finst gode eksempel på verksemder som har gjennomarbeidd og lett tilgjengeleg informasjon om behandling av personopplysningar på nettsidene sine. Saman med informasjonen får ein ofte høve til å logge seg inn på personlege informasjonssider som gir tilgang til noko av den informasjonen verksemda har lagra om den enkelte. Som ledd i regjeringa sitt arbeid med digitalisering av offentleg sektor kan auka bruk av elektroniske innsynsløysingar for å gi den enkelte betre kontroll med eigne opplysningar vere aktuelt. Avgjerande for bruk av automatiserte innsynsløysingar er likevel at ein kan ta hand om informasjonstryggleiken på ein god måte, slik at dei registrerte har tillit til løysingane.
Samstundes kan det vere grunn til å sjå nærmare på bruk av gjenpartsplikt, det vil seie automatisk varsling ved innsyn i eller utlevering av personopplysningar. Regjeringa legg til grunn at elektronisk gjenpartsplikt kan vere ein praktisk måte å gjennomføre innsynsrett på i mange samanhengar. Samstundes må ein ikkje bruke ordninga på ein måte som medfører at dei registrerte druknar i informasjon. Samstundes som elektronisk gjenpartsplikt kan vere ei god løysing for å gi informasjon til dei registrerte, kan det gjere dei behandlingsansvarlege meir medvitne. Det offentlege bør vere ein pådrivar for bruk av løysingar for utsending av elektronisk gjenpart til dei registrerte i samanhengar der dette er naturleg.
I april 2012 tok endringane i personopplysningslova § 11 til å gjelde. Endringane understrekar at personopplysningar som gjeld barn, ikkje kan behandlast på ein måte som er uforsvarleg av omsyn til barnet sitt beste. God og forståeleg informasjon retta mot barn og unge kan vere eit ledd i etterlevinga av desse reglane. For det offentlege vil det særleg vere aktuelt å sørgje for god og tilpassa informasjon til elevane om korleis skulen behandlar personopplysningar om dei. Det finst allereie informasjon på området utarbeidd av Senter for IKT i utdanninga.
I EUs forordningsforslag er det gjort framlegg om både generell informasjonsplikt og konkret innsynsrett for dei registrerte. Forståeleg og lett tilgjengeleg informasjon om behandling av personopplysningar og om rettane til dei registrerte er framheva. Det blir særleg understreka at informasjonen skal vere tilpassa mottakaren, spesielt dersom mottakaren er mindreårig.
EU framhevar òg verdien av at den behandlingsansvarlege etablerer rutinar som gjer at rettane til den registrerte blir oppfylte på ein korrekt måte innan rimeleg tid. Dersom den behandlingsansvarlege nektar å etterkome informasjonskrav, skal den registrerte få ei grunngiving og informasjon om klageretten.
Prinsippet om dataminimalitet tilseier at opplysningar ikkje blir lagra lenger enn nødvendig for det føremålet dei er innsamla for. Personopplysningslova inneheld likevel ingen reglar om maksimal oppbevaringstid eller slettefrist for personopplysningar. Ein generell sletteregel ville det vere vanskeleg å praktisere, og truleg ville han føre til at informasjon vart lagra lenger enn nødvendig fordi slettefristen vart sedd på som ei opning for å behalde data inntil maksimal lagringstid var oppnådd. Det er sjeldan reglar om behandling av personopplysningar har klåre og absolutte fristar for sletting av personopplysningar. Andre lovreglar har derimot heilt konkrete slettereglar, og dei vil gå føre dei generelle slettereglane i personopplysningslova.
I tillegg til kravet om at det skal vere sakleg behov for dei personopplysningane som blir behandla, pålegg personopplysningslova den behandlingsansvarlege ei plikt til å slette opplysningar som er unødvendige. Ein må vurdere sletting opp mot eventuelle krav om vidare lagring i for eksempel arkivregelverket i offentleg sektor, bokføringsregelverket eller anna spesialregelverk. Deretter må ein etablere rutinar for sletting av opplysningar som det ikkje lenger er sakleg behov for i verksemda.
Det kan vere meir ressurskrevjande å etablere rutinar for sletting enn det er å lagre alt som er generert eller på annan måte innsamla.
Det kan vere føremålstenleg å ta i bruk teknologi for å leggje til rette for betre etterleving av slettereglar i personopplysningsregelverket. Automatiserte slette- eller arkivrutinar kan bidra til betre regeletterleving og dermed betre personvern. Dersom det er juridisk mogleg, kan ein implementere automatiserte sletterutinar. I offentleg sektor vil arkivregelverket setje grenser for høvet til å slette opplysningar.
Skal automatiserte slette- og arkiveringsrutinar fungere, krevst det grundige vurderingar når dei blir etablerte. Der spesialregelverk ikkje er til hinder for det, bør ein alltid vurdere tilrettelegging for automatiserte slette- og arkiveringsrutinar når nye IKT-system for behandling av personopplysningar blir utvikla. Når nye tiltak og system med personvernkonsekvensar blir utgreidde, bør ein òg vurdere bruk av teknologi som reduserer mengda av overskotsinformasjon. Personvernfremjande bruk av teknologi kan på denne måten medverke til at personvernet blir tryggja på ein betre måte.
Det blir i meldinga peikt på at eit godt internkontrollsystem kan vere avgjerande for å sikre forsvarleg behandling av personopplysningar. Personopplysningsregelverket pålegg den behandlingsansvarlege å etablere internkontroll på personvernområdet.
Verksemder som kjem inn under personopplysningsregelverket, må setje i verk og dokumentere systematiske tiltak for å sørgje for etterleving av plikter etter personvernreglane. Den behandlingsansvarlege skal gjennomføre ei risikovurdering som grunnlag for iverksetjing av tiltak for informasjonstryggleik. Det finst i dag inga plikt til å gjennomføre risikovurderingar i arbeidet med internkontroll på dei andre områda i lova. Erfaring tilseier at mange behandlingsansvarlege ikkje gjennomfører risikovurderingar, og konsekvensen er ofte mangelfull internkontroll.
God internkontroll er uttrykk for ei bevisst haldning til og bevisste val om personvern. Tilsynsverksemda til Datatilsynet avdekkjer likevel at mange verksemder har liten kunnskap om personvernregelverket og dei pliktene som følgjer med det å behandle personopplysningar. Derfor er det viktig å setje i verk tiltak for å betre kjennskapen til og etterlevinga av internkontrollreglane på personvernområdet. I perioden 2009–2011 styrkte regjeringa budsjettet til Datatilsynet med betydelege midlar for å få gjennomført eit prosjekt om internkontroll i små og mellomstore verksemder. I dette arbeidet vart det blant anna satsa på opplæring av personvernombod.
Datatilsynet har utarbeidd omfattande kunnskaps- og rettleiingsmateriell, medrekna opplæringsprogram om internkontroll og informasjonstryggleik som blant anna er tilgjengelege på nettsidene til etaten.
Internkontroll på personvernområdet bør bli like naturleg for alle som behandlar personopplysningar, som internkontroll på HMS-området er for alle arbeidsgivarar. Som ei vidareføring av rettleiinga Vurdering av personvernkonsekvenser, som vart utarbeidd av Fornyings- og administrasjonsdepartementet i 2008, vil regjeringa derfor utarbeide rettleiingsmateriell om korleis internkontrollplikta kan etterlevast på personvernområdet i offentleg verksemd.
Uansett kor god informasjonstryggleik og uansett kor gode system for regeletterleving ein behandlingsansvarleg har, kan regelbrot skje. Enkelte regelbrot vil vere meir alvorlege og kan få større konsekvensar enn andre. For ein del slike tilfelle inneheld personopplysningsforskrifta reglar om avviksrapportering. Dersom brot på reglar og rutinar fører til at uvedkomande får tilgang til personopplysningar som er konfidensielle, skal den behandlingsansvarlege melde dette til Datatilsynet. Rutinar for retting av slike avvik og rapportering til Datatilsynet bør vere ein naturleg del av eit internkontrollsystem.
Ei rekkje tryggleiksbrot blir aldri rapporterte til Datatilsynet. Det er nødvendig å rette merksemd mot etterleving av dei gjeldande rapporteringsreglane som ledd i arbeidet med å betre etterlevinga av internkontrollreglane. I arbeidet med å leggje til rette informasjon om internkontroll for offentleg verksemd vil regjeringa òg leggje vekt på verdien av rapportering til personvernstyremakta som ledd i avvikshandteringa.
Innbyggjarane skal ha størst mogleg råderett over eigne personopplysningar og må få tilpassa informasjon frå dei behandlingsansvarlege. Det vil bli utarbeidd ein rettleiar om plikta til å gi informasjon om behandling av personopplysningar.
Elektroniske løysingar for innsyn bør vurderast dersom ein samstundes kan ta hand om informasjonstryggleiken i systema.
Elektronisk gjenpart som informasjonskjelde bør vurderast ved oppretting av store personregister som skal vere tilgjengelege for mange brukarar.
Dataminimalitet er eit mål, og det skal leggjast til rette for sporfrie alternativ og bruk av teknologi for å redusere mengda av overskotsinformasjon der dette er praktisk mogleg.
Arbeidet for å gjere personvernreglane kjende må halde fram.
Dei behandlingsansvarlege skal prioritere utgreiing av personvernkonsekvensar og tilrettelegging av internkontroll. Det vil bli utarbeidd ein rettleiar om internkontroll etter personopplysningslova.
Komiteen vil fremheve prinsippet om dataminimalitet, dvs. at det ikke registreres flere opplysninger enn det som er nødvendig for formålet. For øvrig bør publikum tilbys anonyme eller pseudonyme løsninger.
Komiteen har også merket seg at EU-kommisjonen i tråd med tidligere initiativ vil vektlegge prinsippet om å kunne bli glemt, dvs. en generell regel om å kunne trekke tilbake samtykke. I praksis vil en slik regel være svært viktig for barn og unge.
Komiteen ser positivt på at en bedrift også får pålegg om å organisere personvernspørsmål og etterlevelsen av regelverket, jf. pol. § 14.
Komiteens medlemmer fra Høyre og Kristelig Folkeparti hilser velkommen bestemmelsene i EUs foreslåtte forordning om personvern som går ut på å gi den enkelte forsterket informasjonsrett og konkret mulighet til innsyn i hva som er registrert av opplysninger om vedkommende.