Personregisterlovens anvendelsesområde knytter seg i
hovedsak til opprettelse og bruk av personregistre, jf. § 1.
Utvalget går inn for å la den nye personopplysningsloven
omfatte all elektronisk behandling av personopplysninger, og manuell
behandling når personopplysningene skal inngå i
et register.
Det er generell oppslutning under høringen om å gå bort
fra et registerbegrep når det gjelder elektronisk behandling
av personopplysninger. Enkelte instanser peker imidlertid på at
det foreslåtte behandlingsbegrepet favner vidt.
Departementet slutter seg til forslaget fra utvalget. Når
man nærmere skal skille mellom elektronisk og manuell behandling,
må man legge vekt på den særlige risiko
som elektronisk behandling medfører for personvernet.
Komiteen er enig i at den nye personopplysningsloven
må omfatte all elektronisk behandling av personopplysninger,
og også manuell behandling av personopplysninger når
disse skal inngå i et personregister. Komiteen støtter
Justisdepartementet i at en må legge spesielt vekt på den
særlige risiko elektronisk behandling medfører
for personvernet.
Komiteen viser til at man i § 2
nr. 2 definerer uttrykket behandling av personopplysninger som «enhver
formålsbestemt bruk av personopplysninger, som for eksempel
innsamling, registrering, sammenstilling, lagring og utlevering
eller en kombinasjon av disse bruksmåter». Ordet «formålsbestemt» kan
gi opphav til uklarhet, og er ikke tatt inn i Personregisterutvalgtes
lovutkast eller i EU-direktivet. I samråd med departementet
har komiteen derfor tatt ut dette utrykket.
Personregisterloven omfatter opplysninger og vurderinger som
direkte eller indirekte kan knyttes til identifiserbare enkeltpersoner,
sammenslutninger eller stiftelser.
Utvalget går inn for at opplysninger om juridiske personer
ikke lenger bør omfattes direkte av loven, og viser bl.a.
til at behovet for å verne slike opplysninger i stor grad
er begrunnet i andre hensyn enn personvernhensyn. Heller ikke Europarådskonvensjonen
eller EU-direktivet omfatter juridiske personer.
Flere høringsinstanser støtter uttrykkelig
utvalgets forslag. Noen mener imidlertid at behovet for personvern
også for juridiske personer bør vurderes på et
bredere grunnlag enn det utvalget har gjort.
Departementet er enig i vurderingene fra utvalget og flertallet
av de høringsinstansene som har uttalt seg. Med et såpass
vidtrekkende anvendelsesområde som det personopplysningsloven
legger opp til, vil det dessuten kunne være vanskelig fullt
ut å overskue konsekvensene av også å la
loven omfatte juridiske personer.
Det er likevel et behov for å verne også næringsdrivende
mot misbruk ved innsamling og formidling av kredittopplysninger.
Departementet foreslår derfor at det åpnes for å gi
forskrift om at enkelte av lovens regler også skal gjelde
for kredittopplysninger om andre enn fysiske personer, jf. § 3.
Komiteen er enig med Personregisterlovutvalget
i at opplysninger om juridiske personer ikke bør omfattes
av den nye loven. Dette begrunnes i at det i all hovedsak har vært
andre grunner enn de rent personvernmessige som har gjort at juridiske
personer er omfattet av dagens personvernregister. Komiteen legger
i denne forbindelse vekt på at verken Europarådskonvensjonen
om personvern i forbindelse med elektronisk databehandling eller
EU-direktivet, omfatter juridiske personer.
For å verne næringsdrivende mot eventuelt misbruk
ved innsamling og formidling av kredittopplysninger, synes komiteen det
er hensiktsmessig at det åpnes for at en ved forskrift
kan gjøre relevante lovregler gjeldende for kredittopplysninger
om andre enn fysiske personer.
De fleste kapitlene i personregisterloven får anvendelse
både på offentlig og privat virksomhet. Det er likevel
enkelte forskjeller på hvilke regler som gjelder for de
to sektorene. I EU-direktivet er reglene for offentlig og privat
sektor i utgangspunktet de samme.
Utvalget foreslår at også den nye loven skal
gjelde både for offentlig og privat sektor, med unntak
for behandling av personopplysninger for rent personlige aktiviteter.
Dette er i tråd med både personregisterloven og
EU-direktivet.
Det har ikke kommet innvendinger til forslaget under høringen,
og departementet slutter seg til utvalgets vurderinger.
Komiteen er enig i at den nye personopplysningsloven,
både i tråd med dagens personregisterlov og EU-direktivet,
skal gjelde både for offentlig og privat sektor. Departementets
forslag om unntak for personopplysninger for rent private formål
støttes av komiteen.
I tråd med blant annet EU-direktivet finner utvalget
det nødvendig å undergi særlig følsomme
opplysninger særskilt lovregulering når det gjelder
adgangen til i det hele tatt å behandle opplysningene og
plikten til å søke om konsesjon forut for behandlingen.
I tillegg til de samme kategoriene av sensitive opplysninger som
i dag er særregulert i personregisterloven, har utvalget,
som følge av EU-direktivet, føyd til opplysninger
om fagforeningstilhørighet.
Enkelte høringsinstanser reiser spørsmål
ved om oppregningen av sensitive opplysninger bør snevres inn,
andre ved om den bør utvides. Norsk Redaktørforening
går imot at man skal legge opp til et videre spekter av
sensitive opplysninger enn det EU-direktivet krever, og viser til
at opplysninger om straffbare forhold omfattes av forslaget. Datatilsynet
foreslår at det skal kunne gi pålegg om at behandling
av personopplysninger som på grunn av sitt omfang eller
sin art vil virke krenkende for den enkelte, skal opphøre
eller gjennomføres på særskilte vilkår.
Departementet viser til at utvalgets definisjon av sensitive
opplysninger bygger på en videreføring av gjeldende
rett samtidig som den gjennomfører EU-direktivet. Direktivet
gir en uttømmende og bindende oppregning av hvilke typer
personopplysninger som skal regnes som sensitive.
Departementet er enig i at det etter norske forhold ikke er naturlig å betrakte
opplysninger om fagforeningstilhørighet som sensitive.
Med de reglene som foreslås i § 9, åpner
man imidlertid for å behandle slike opplysninger i den
utstrekning dette er ønskelig eller nødvendig.
Departementet finner det for øvrig naturlig fortsatt å behandle
opplysninger om straffbare forhold som sensitive.
Komiteen mener som Personregisterutvalget, at
det er nødvendig å ha en særskilt lovgivning
på enkelte punkter vedrørende særlig
følsomme opplysninger. Dette gjelder både adgangen
og retten til å behandle slike opplysninger, og plikten
til å søke om konsesjon i forkant av en behandling.
Komiteen er enig i at definisjonen av sensitive opplysninger
både skal bygge på en videreføring av gjeldende
rett, og EU-direktivets oppregning av hvilke typer personopplysninger
som skal regnes som sensitive.
Det er bred enighet om at det etter norske forhold ikke er naturlig å betrakte
opplysninger om fagforeningstilhørighet som sensitive.
På dette punkt er vi imidlertid bundet av EU-direktivet
art. 8 nr. 1 som helt klart forutsetter at slike opplysninger skal
regnes som sensitive. Også i de øvrige nordiske
land har man på denne bakgrunn sett seg nødt til å karakterisere
fagforeningstilhørighet som en sensitiv personopplysning. Komiteen peker
på at reglene i § 9 i vil gi nødvendig
adgang til å behandle fagforeningsopplysninger der det
er et praktisk behov for det; etter samtykke, når det er
hjemlet i lov eller når det er nødvendig for at
den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige
plikter eller rettigheter.
Komiteen deler Justisdepartementets syn om at opplysninger
om straffbare forhold er å betrakte som sensitive.
Personregisterloven har ikke særlige regler om lovens
stedlige virkeområde og gjelder som hovedregel ikke for
personregistre på Jan Mayen, Svalbard eller i utlandet,
men det er meldeplikt til Datatilsynet for den som vil overføre
personopplysninger til utlandet når formålet med
overføringen er å innføre opplysningene
i et register.
I henhold til artikkel 4 i EU-direktivet skal man som hovedregel
anvende det landets lov hvor den behandlingsansvarlige er etablert.
Utvalget foreslår at den nye loven skal gjelde for behandlingsansvarlige
som er etablert i Norge. For behandlingsansvarlige med hovedsete
i en annen EØS-stat og datterselskap eller filial i Norge,
skal den norske loven gjelde for behandling av personopplysninger
knyttet til den norske filialens/datterselskapets virksomhet.
Loven skal også gjelde når en behandlingsansvarlig
som er etablert utenfor EØS-området benytter hjelpemidler
i Norge ved behandlingen av personopplysningene, med mindre disse hjelpemidlene
bare benyttes til å transportere personopplysningene via
Norge. Utvalget foreslår at loven skal gjelde for Svalbard
og Jan Mayen.
Departementet slutter seg i hovedtrekk til utvalgets forslag,
men går inn for å erstatte utvalgets forslag med
en hjemmel for Kongen til å gi forskrift om hvilke bestemmelser
i den nye loven som skal gjelde for Svalbard og Jan Mayen, og til
eventuelt å fastsette særregler.
Komiteen tar til etterretning at departementet ser
behov for å vurdere nærmere eventuelle særskilte tilpasninger
av lovens bestemmelser når det gjelder Svalbard og Jan
Mayen, bl.a. av hensyn til annet regelverk som ikke er gitt anvendelse
der og Svalbards folkerettslige status. Departementet foreslår derfor
en forskriftsbestemmelse som åpner for å fastsette
hvilke regler som skal gjøres gjeldende for disse områdene.
Komiteen vil understreke at det må være
en klar forutsetning for dette arbeidet at befolkningen på Svalbard
og Jan Mayen skal ha de samme krav på personvern som befolkningen
på fastlandet.
Etter personregisterloven § 1 kan det bestemmes ved
forskrift at loven ikke skal gjelde for visse typer personregistre,
og i henhold til § 41 er personregistre i stat
eller kommune unntatt fra konsesjonsplikten når registrene
er opprettet ved egen lov.
Personregisterlovutvalget foreslår at Kongen gis adgang
til å gi forskrift om at loven eller deler av den ikke
skal gjelde for bestemte former for elektronisk behandling av personopplysninger.
Den nye loven skal gjelde for behandling av personopplysninger som er
regulert i annen lov, med mindre noe annet følger av hjemmelsloven.
Under høringen har Politiets Overvåkingstjeneste, ØKOKRIM,
Riksadvokaten og Kripos tatt sterkt til orde for unntak for politiets
registre.
Departementet er enig med utvalget i at personopplysningsloven
bør være en generell lov som i utgangspunktet
gjelder for all slags behandling av personopplysninger. Det vil
imidlertid være nødvendig å gjøre unntak
fra deler av loven for personopplysningsbehandlinger som er nødvendige
ut fra beredskapshensyn eller hensynet til rikets sikkerhet, og
politiets behandling av personopplysninger.
Politiets arbeidsregistre er i dag underlagt særlige regler
på en rekke punkter. For overvåkingstjenstens registre
gjelder særlige regler i overvåkingsinstruksen.
I lys av den særlige kontroll som er etablert for registreringen
i overvåkingstjenesten, ser departementet liten grunn til
at personopplysningslovens regler skal gjelde i tillegg for overvåkingspolitiets
registre. Departementet ser et klart behov for å gjennomgå strafferegistreringsloven
med sikte på en generell revisjon, og vil igangsette et
slikt utredningsarbeid. I påvente av en slik revisjon vil
det være hensiktsmessig å la den nye personopplysningsloven
gjelde for politiregistrene i utgangspunktet, og samtidig åpne
for unntak ved forskrift fra deler av loven. Departementet slutter
seg derfor til utvalgets forslag om en forskriftshjemmel, jf. § 3
tredje ledd i lovforslaget.
Et eget spørsmål er i hvilken utstrekning Stortingets
behandling av personopplysninger bør falle utenfor loven.
EU-direktivet må trolig forstås slik at det ikke
er adgang til å gjøre noe alminnelig unntak for
politiske organers behandling av personopplysninger. Unntak for
Stortinget og tilknyttede institusjoner må derfor vurderes
i forhold til hver enkelt artikkel innenfor de rammene direktivet
setter. Hvorvidt det er ønskelig å gjøre
unntak, er en vurdering som Stortinget selv er nærmest
til å foreta. Departementet nøyer seg derfor med å peke
på behovet for å vurdere særlige innsynsregler,
unntak fra melde- og konsesjonsplikten, og om det er Datatilsynet
eller andre som bør føre tilsyn med at Stortinget
etterlever loven.
Komiteen mener i likhet med utvalget
og Justisdepartementet at personopplysningsloven i utgangspunktet
må være en generell lov som skal gjelde for alle
typer behandling av personopplysninger.
Visse unntak fra loven er etter komiteens syn likevel
nødvendige. Det vil være når beredskapshensyn,
hensynet til rikets sikkerhet og når politiets behandling
av personopplysninger tilsier det.
Med bakgrunn i dagens unntak fra personregisterloven og den særlige
kontroll som er etablert for registreringen i overvåkingstjenesten,
er komiteen enig med departementet i at personopplysningslovens regler
ikke skal gjelde for overvåkingspolitiets registre.
Komiteen deler departementets oppfatning av behovet
for en generell revisjon av strafferegistreringsloven. I tiden fram
til vi har en revidert strafferegistreringslov, vil det også etter komiteens syn være
naturlig å la den nye personopplysningsloven i utgangspunktet
omfatte politiregistre, under forutsetning at en gjennom forskrift åpner
for de nødvendige unntak fra loven. Komiteen støtter
derfor forslaget i § 3 tredje ledd om en forskriftshjemmel
med dette formål.
I forhold til internasjonalt politisamarbeid, og behovet for
registrering og bruk av personopplysninger og hensynet til personvernet
i den forbindelse, vil komiteen peke på at
Stortinget i juni 1999 vedtok loven om Schengen-informasjonssystemet
(SIS-loven).
Komiteen ser ingen grunn til å gjøre
noe alminnelig unntak for politiske organers håndtering
av personopplysninger.
Når det gjelder Stortinget og dets tilknyttede organer
viser komiteen til brev til komiteen av 9. november
1999, der Presidentskapet
«ikke ser behov for å ta initiativ til
at Stortinget helt eller delvis blir unntatt fra den nye personopplysningsloven,
slik utkastet til ny lov er utformet i Ot.prp. nr. 92 (1998-1999).»
Komiteen deler Presidentskapets syn og ser derfor
ingen grunn til å gjøre noen unntak fra loven
for Stortinget.
Komiteen viser til brev fra Riksrevisjonen av 27.
januar 2000 der det fremgår at Riksrevisjonen ser behov
for unntak fra deler av loven for sin revisjons- og kontrollvirksomhet.
Slikt unntak er gitt også etter eksisterende lov. Komiteen viser
til at Riksrevisjonens kontrollvirksomhet innebærer midlertidig
behandling av andre instansers personopplysninger i det øyemed å kontrollere
den aktuelle instansens arbeid. Komiteen viser til
at reglene i loven er utformet med sikte på primærinstansenes
ansvar, og mener det er grunnlag for å unnta Riksrevisjonen
fra reglene om innsyn, retting og om melde- og konsesjonsplikt der Riksrevisjonen
behandler opplysninger innhentet fra andre instanser som del av
sin kontrollvirksomhet. Når det gjelder varslingsplikten,
vil § 19 ikke være aktuell ettersom Riksrevisjonen
ikke innhenter opplysninger direkte fra den registrerte selv. I § 20,
som gjelder innhenting fra andre, er det i loven gjort unntak for
tilfeller der det vil være umulig eller uforholdsmessig
vanskelig å gjennomføre varsling. Etter det Riksrevisjonen
opplyser vil varsling fra deres side by på så store
praktiske vanskeligheter at de vil være omfattet av denne
unntaksregelen. Det er dermed ikke behov for ytterligere unntak
fra § 20.
Riksrevisjonens egne registre bør omfattes av loven
på samme måte som Stortingets og øvrige tilknyttede
organers registre. Komiteen antar etter dette at
det vil være behov for å gi unntak fra §§ 18, 27,
31 og 33.
Den nye loven legger generelt opp til at særregler på enkeltområder
skal gis i særlovgivningen og ikke inntas i personopplysningsloven. Komiteen deler dette
syn, og viser til at det arbeides med en ny lov om Riksrevisjonen.
Inntil denne loven er på plass mener komiteen at
de nevnte unntak bør gjøres i forskrifter, og komiteen forutsetter
at departementet følger opp dette før personopplysningsloven
trer i kraft.