Søk

Innhold

12. Behandling av personopplysninger

12.1 Gjeldende rett

Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) fastsetter at EUs personvernforordning (forordning (EU) 2016/679 – heretter personvernforordningen eller GDPR) gjelder som norsk lov. Loven og forordningen oppstiller nærmere vilkår for å behandle personopplysninger samt plikter for den som behandler personopplysninger og rettigheter for de registrerte.

Personvernforordningen artikkel 6 fastsetter krav om behandlingsgrunnlag for å kunne behandle personopplysninger. Personopplysninger kan behandles blant annet dersom behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige (artikkel 6 nr. 1 bokstav c) eller dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt (artikkel 6 nr. 1 bokstav e). For behandling etter bokstav c og e kreves i tillegg et supplerende rettsgrunnlag.

Personvernforordningen artikkel 9 og 10 oppstiller ytterligere vilkår for henholdsvis behandling av særlige kategorier av personopplysninger og personopplysninger om straffedommer og lovovertredelser. Blant annet kan særlige kategorier av personopplysninger behandles dersom behandlingen er nødvendig av hensyn til viktige allmenne interesser, jf. artikkel 9 nr. 2 bokstav g, som også oppstiller nærmere vilkår til rettsgrunnlaget.

Stortingsgodtgjørelsesloven ble vedtatt før GDPR ble innlemmet i norsk rett og har derfor ingen generell bestemmelse om behandling av personopplysninger. Flere av lovbestemmelsene forutsetter imidlertid at administrasjonen behandler personopplysninger, for eksempel krav til dokumentasjon av utgifter som skal betales av Stortinget eller krav til innsending av søknad som grunnlag for å få tildelt en ytelse. Lovens § 17 fastslår videre at «Stortinget kan innhente de opplysninger som er nødvendige for å kontrollere om vilkårene for fratredelsesytelse og etterlønn er eller har vært oppfylt i tilbakelagte perioder. Opplysninger kan blant annet innhentes fra nåværende og tidligere arbeidsgivere, pensjonsordninger, folketrygdens organer og skattemyndighetene.»

Det følger dermed forutsetningsvis av loven at Stortinget kan behandle personopplysninger.

12.2 Utvalgets forslag

Utvalget foreslår en egen bestemmelse om behandling av personopplysninger. Utvalgets forslag er ment å gi et supplerende rettsgrunnlag for behandling i medhold av personvernforordningen artikkel 6 nr. 1 bokstav c og e. Den foreslåtte bestemmelsen vil også hjemle behandling av særlige kategorier av personopplysninger, blant annet opplysninger om politisk oppfatning og helseopplysninger, jf. personvernforordningen artikkel 9 og 10.

12.3 Presidentskapets merknader

Presidentskapet deler utvalgets syn på at det er formålstjenlig med en egen bestemmelse som eksplisitt fastslår at Stortinget kan behandle personopplysninger i forbindelse med saksbehandling og kontroll knyttet til ytelsene representantene mottar etter loven. Dette selv om behandlingen av disse opplysningene først blir aktuell etter søknad eller krav om refusjon av utgifter fra representantene, og det i mange tilfeller også vil kunne foreligge et alternativt behandlingsgrunnlag i form av samtykke fra representanten selv. For å hindre eventuelle uklarheter, mener imidlertid presidentskapet at det bør fastsettes en eksplisitt bestemmelse om lovligheten av behandlingen. Dette gjelder også særlig i de tilfellene opplysninger innhentes fra andre enn representantene selv, og behandlingen vil innebære en viderebehandling av opplysninger. Presidentskapet mener en bestemmelse i tråd med utvalgets forslag vil dekke behovet på en god måte, og har inntatt en slik bestemmelse i lovforslaget.

Det vil være behov for å behandle personopplysninger ved søknader om alle typer ytelser etter loven, men hvilke typer opplysninger som anses «nødvendige» å behandle vil variere ut fra hvilken ytelse det gjelder. I tillegg vil det være aktuelt å behandle personopplysninger i forbindelse med kontroll av utbetaling knyttet til de ulike ytelsene – og bestemmelsen hjemler også dette.

Videre legger presidentskapet til grunn at det blant annet i forbindelse med behandling og kontroll av reiseregninger, saker om utbetaling av godtgjøring ved permisjon, tildeling eller bytte av pendlerbolig, fratredelsesytelse, omstillingsytelse og sykepenger, vil kunne være aktuelt å behandle særskilte kategorier av personopplysninger. Dette vil innebære behandling av særlig sensitive opplysninger etter personvernforordningen artikkel 9, eventuelt også artikkel 10.

Det følger av personvernforordningen artikkel 5 nr. 1 bokstav b at personopplysninger kun skal «samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene». Personvernforordningen artikkel 6 nr. 4 inneholder nærmere bestemmelser om behandling av personopplysninger for andre formål enn det de var innhentet for. Ofte vil behandling til et annet formål kunne være et forenlig formål. Viderebehandling for nye, uforenlige formål er imidlertid ikke tillatt uten et særskilt grunnlag for viderebehandlingen. Artikkel 6 nr. 4 gir anvisning på en ikke-uttømmende liste av momenter som den behandlingsansvarlige skal ta i betraktning i vurderingen av forenlighet.

Etter personvernforordningen må et rettsgrunnlag som skal åpne for viderebehandling for uforenlige formål, etter artikkel 6 nr. 4 utgjøre «et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1». Dette omfatter blant annet «andre viktige mål av generell allmenn interesse», jf. artikkel 23 nr. 1 bokstav e.

Innhentingsbehovet omfatter i utgangspunktet både taushetsbelagte og ikke-taushetsbelagte opplysninger. Skranker for adgangen til å overføre taushetsbelagte opplysninger kan følge blant annet av Grunnloven § 102, EMK artikkel 8 og personvernforordningen. Etter Grunnloven § 102 og EMK art. 8 er det krav om at utlevering av personopplysninger har tilstrekkelig hjemmel, forfølger et legitimt formål og er forholdsmessig.

Forrige kapittel
Neste kapittel