Til Odelstinget
I proposisjonen legger Justisdepartementet frem et forslag til
en ny lov om behandling av personopplysninger.
Lovforslaget representerer delvis en videreføring, oppdatering
og videreutvikling av gjeldende bestemmelser i personregisterloven,
men inneholder også en rekke nye regler. Dagens omfattende
forhåndskontroll (konsesjonsplikt) ved opprettelse av personregistre foreslås
nedbygd. Det legges større vekt på etterfølgende
kontroll i regi av Datatilsynet med grunnlag i en meldeplikt for
alle som behandler personopplysninger.
For å vareta hensynet til ytringsfriheten, foreslås det
at bare en begrenset del av lovens regler skal gjelde når
det behandles personopplysninger for journalistiske, kunstneriske
eller litterære formål.
Det foreslås flere og mer utførlige regler
om hvordan personopplysninger kan behandles, og lovforslaget styrker
rettighetene til den som personopplysningene gjelder, bl.a. får
den registrerte utvidet krav på innsyn - særlig
i forhold til private behandlingsansvarlige. Som en viktig nyskapning
pålegges den som behandler personopplysninger av eget tiltak å varsle den
registrerte når opplysninger om vedkommende samles inn.
Videre foreslås flere og mer utførlige regler
om når personopplysninger kan overføres til utlandet,
og regelverket for fjernsynsovervåking foreslås
skjerpet. Det innføres et generelt erstatningsansvar for
brudd på lovens bestemmelser.
For politiets behandling av personopplysninger vil det være
nødvendig å gjøre unntak fra deler av loven
i påvente av en generell revisjon av strafferegistreringsloven
med sikte på å utarbeide en ny lov om politiregistre.
Klager over Datatilsynets avgjørelser skal ikke lenger
avgjøres av Justisdepartementet, men foreslås overført
til en egen klagenemnd; Personvernnemnda.
Som en følge av lovforslaget er det nødvendig å styrke
tilsynet såvel bemanningsmessig som datateknisk.
Dagens personregisterlov gir generelle regler om registrering
og informasjonsbehandling. Personvern og behandling av personopplysninger
varetas også av en rekke andre lover og lovbestemmelser,
bl.a. i straffeloven og gjennom regler om taushetsplikt. I tillegg
til de lovfestede og avtalefestede reglene om personvern, har vi
et ulovfestet personvern som er domstolsskapt. Det finnes dessuten
forskjellige internasjonale regelsett som er av betydning for utformingen
av norske regler om behandling av personopplysninger, bl.a. Europarådets
konvensjon og EUs direktiv om beskyttelse av personopplysninger.
Proposisjonen bygger på Personregisterlovutvalgets utredning
NOU 1997:19 Et bedre personvern, som har vært sendt på høring
til en rekke institusjoner og organisasjoner.
I proposisjonen pkt. 2.4 og 2.5 gis en redegjørelse for
EU-direktivet om beskyttelse av personopplysninger, og om lovgivningen
i de andre nordiske land.
Personregisterlovutvalget deler personvernbegrepet inn i følgende
tre perspektiver; det integritetsfokuserte personvernet (den enkeltes ønske
om kontroll over opplysninger om en selv), det maktfokuserte personvernet
(motvirke at andre styrker sin posisjon ved at de har tilgang til
mange viktige personopplysninger), og det beslutningsfokuserte personvernet (kontroll
med at beslutninger fattes på riktig grunnlag).
Satsingen på informasjonssamfunnet og IT vil trolig
gjøre det stadig mer utfordrende å ivareta personvernet.
Samfunnets informasjonsgrunnlag øker også i volum.
Personregisterlovutvalget har lagt frem et lovforslag for en
stor del utformet etter mønster av EUs personverndirektiv.
Forslaget representerer samtidig en videreføring av sentrale
grunntrekk i gjeldende personregisterlov.
Regler som begrenser mulighetene til å behandle personopplysninger,
vil ha en side til ytrings- og informasjonsfriheten. Lovforslaget
begrenser ikke retten til innsyn etter offentlighetslovgivningen.
I utgangspunktet vil de alminnelige reglene i den nye personopplysningsloven
om meldeplikt og konsesjonsplikt også gjelde for behandling
av personopplysninger i forskning og for statistiske formål.
Det foreslås imidlertid enkelte særregler for å tilpasse regelverket
til forskningens særlige behov.
Komiteen, medlemmene fra Arbeiderpartiet, Vidar
Bjørnstad, Astrid Marie Nistad, Jan Petter Rasmussen og Ane Sofie
Tømmerås, fra Fremskrittspartiet, Jan Simonsen og Jørn L. Stang,
fra Kristelig Folkeparti, Finn Kristian Marthinsen og åse Wisløff Nilssen,
fra Høyre, lederen Kristin Krohn Devold og Bjørn Hernæs, og fra Senterpartiet,
Tor Nymo, peker på at IT-teknologien og informasjonssamfunnets
utvikling krever en oppdatert personvernlovgivning som møter framtidens
utfordringer. Ut fra den teknologiske utviklings internasjonale
karakter, synes komiteen det er fornuftig å bygge
den norske lovgivningen etter samme lest som EUs personverndirektiv,
samtidig som lovforslaget er en videreføring og oppdatering
av gjeldende bestemmelser i personregisterloven.
Komiteen er enig i at krav om konsesjonsplikt ved
opprettelse av personregistre trappes ned, og at en går
over til et lovverk som mer baserer seg på en etterfølgende
kontroll fra Datatilsynet med utgangspunkt i en meldeplikt for alle
som behandler personopplysninger.
I kryssningspunktet mellom personvern og ytrings- og informasjonsfriheten
må en etter komiteens mening gjøre
avveininger som i best mulig grad ivaretar begge hensyn. Komiteen er
dessuten enig i at personvernlovgivningen ikke må begrense retten
til innsyn etter offentlighetsloven.
Selv om reglene i den nye personopplysningsloven om meldeplikt
og konsesjonsplikt i utgangspunktet gjelder for behandling av personopplysninger
til historiske, vitenskapelige og statistiske formål, er
det etter komiteens mening viktig med enkelte særregler når
det gjelder personopplysninger på disse feltene.
Personregisterlovens anvendelsesområde knytter seg i
hovedsak til opprettelse og bruk av personregistre, jf. § 1.
Utvalget går inn for å la den nye personopplysningsloven
omfatte all elektronisk behandling av personopplysninger, og manuell
behandling når personopplysningene skal inngå i
et register.
Det er generell oppslutning under høringen om å gå bort
fra et registerbegrep når det gjelder elektronisk behandling
av personopplysninger. Enkelte instanser peker imidlertid på at
det foreslåtte behandlingsbegrepet favner vidt.
Departementet slutter seg til forslaget fra utvalget. Når
man nærmere skal skille mellom elektronisk og manuell behandling,
må man legge vekt på den særlige risiko
som elektronisk behandling medfører for personvernet.
Komiteen er enig i at den nye personopplysningsloven
må omfatte all elektronisk behandling av personopplysninger,
og også manuell behandling av personopplysninger når
disse skal inngå i et personregister. Komiteen støtter
Justisdepartementet i at en må legge spesielt vekt på den
særlige risiko elektronisk behandling medfører
for personvernet.
Komiteen viser til at man i § 2
nr. 2 definerer uttrykket behandling av personopplysninger som «enhver
formålsbestemt bruk av personopplysninger, som for eksempel
innsamling, registrering, sammenstilling, lagring og utlevering
eller en kombinasjon av disse bruksmåter». Ordet «formålsbestemt» kan
gi opphav til uklarhet, og er ikke tatt inn i Personregisterutvalgtes
lovutkast eller i EU-direktivet. I samråd med departementet
har komiteen derfor tatt ut dette utrykket.
Personregisterloven omfatter opplysninger og vurderinger som
direkte eller indirekte kan knyttes til identifiserbare enkeltpersoner,
sammenslutninger eller stiftelser.
Utvalget går inn for at opplysninger om juridiske personer
ikke lenger bør omfattes direkte av loven, og viser bl.a.
til at behovet for å verne slike opplysninger i stor grad
er begrunnet i andre hensyn enn personvernhensyn. Heller ikke Europarådskonvensjonen
eller EU-direktivet omfatter juridiske personer.
Flere høringsinstanser støtter uttrykkelig
utvalgets forslag. Noen mener imidlertid at behovet for personvern
også for juridiske personer bør vurderes på et
bredere grunnlag enn det utvalget har gjort.
Departementet er enig i vurderingene fra utvalget og flertallet
av de høringsinstansene som har uttalt seg. Med et såpass
vidtrekkende anvendelsesområde som det personopplysningsloven
legger opp til, vil det dessuten kunne være vanskelig fullt
ut å overskue konsekvensene av også å la
loven omfatte juridiske personer.
Det er likevel et behov for å verne også næringsdrivende
mot misbruk ved innsamling og formidling av kredittopplysninger.
Departementet foreslår derfor at det åpnes for å gi
forskrift om at enkelte av lovens regler også skal gjelde
for kredittopplysninger om andre enn fysiske personer, jf. § 3.
Komiteen er enig med Personregisterlovutvalget
i at opplysninger om juridiske personer ikke bør omfattes
av den nye loven. Dette begrunnes i at det i all hovedsak har vært
andre grunner enn de rent personvernmessige som har gjort at juridiske
personer er omfattet av dagens personvernregister. Komiteen legger
i denne forbindelse vekt på at verken Europarådskonvensjonen
om personvern i forbindelse med elektronisk databehandling eller
EU-direktivet, omfatter juridiske personer.
For å verne næringsdrivende mot eventuelt misbruk
ved innsamling og formidling av kredittopplysninger, synes komiteen det
er hensiktsmessig at det åpnes for at en ved forskrift
kan gjøre relevante lovregler gjeldende for kredittopplysninger
om andre enn fysiske personer.
De fleste kapitlene i personregisterloven får anvendelse
både på offentlig og privat virksomhet. Det er likevel
enkelte forskjeller på hvilke regler som gjelder for de
to sektorene. I EU-direktivet er reglene for offentlig og privat
sektor i utgangspunktet de samme.
Utvalget foreslår at også den nye loven skal
gjelde både for offentlig og privat sektor, med unntak
for behandling av personopplysninger for rent personlige aktiviteter.
Dette er i tråd med både personregisterloven og
EU-direktivet.
Det har ikke kommet innvendinger til forslaget under høringen,
og departementet slutter seg til utvalgets vurderinger.
Komiteen er enig i at den nye personopplysningsloven,
både i tråd med dagens personregisterlov og EU-direktivet,
skal gjelde både for offentlig og privat sektor. Departementets
forslag om unntak for personopplysninger for rent private formål
støttes av komiteen.
I tråd med blant annet EU-direktivet finner utvalget
det nødvendig å undergi særlig følsomme
opplysninger særskilt lovregulering når det gjelder
adgangen til i det hele tatt å behandle opplysningene og
plikten til å søke om konsesjon forut for behandlingen.
I tillegg til de samme kategoriene av sensitive opplysninger som
i dag er særregulert i personregisterloven, har utvalget,
som følge av EU-direktivet, føyd til opplysninger
om fagforeningstilhørighet.
Enkelte høringsinstanser reiser spørsmål
ved om oppregningen av sensitive opplysninger bør snevres inn,
andre ved om den bør utvides. Norsk Redaktørforening
går imot at man skal legge opp til et videre spekter av
sensitive opplysninger enn det EU-direktivet krever, og viser til
at opplysninger om straffbare forhold omfattes av forslaget. Datatilsynet
foreslår at det skal kunne gi pålegg om at behandling
av personopplysninger som på grunn av sitt omfang eller
sin art vil virke krenkende for den enkelte, skal opphøre
eller gjennomføres på særskilte vilkår.
Departementet viser til at utvalgets definisjon av sensitive
opplysninger bygger på en videreføring av gjeldende
rett samtidig som den gjennomfører EU-direktivet. Direktivet
gir en uttømmende og bindende oppregning av hvilke typer
personopplysninger som skal regnes som sensitive.
Departementet er enig i at det etter norske forhold ikke er naturlig å betrakte
opplysninger om fagforeningstilhørighet som sensitive.
Med de reglene som foreslås i § 9, åpner
man imidlertid for å behandle slike opplysninger i den
utstrekning dette er ønskelig eller nødvendig.
Departementet finner det for øvrig naturlig fortsatt å behandle
opplysninger om straffbare forhold som sensitive.
Komiteen mener som Personregisterutvalget, at
det er nødvendig å ha en særskilt lovgivning
på enkelte punkter vedrørende særlig
følsomme opplysninger. Dette gjelder både adgangen
og retten til å behandle slike opplysninger, og plikten
til å søke om konsesjon i forkant av en behandling.
Komiteen er enig i at definisjonen av sensitive opplysninger
både skal bygge på en videreføring av gjeldende
rett, og EU-direktivets oppregning av hvilke typer personopplysninger
som skal regnes som sensitive.
Det er bred enighet om at det etter norske forhold ikke er naturlig å betrakte
opplysninger om fagforeningstilhørighet som sensitive.
På dette punkt er vi imidlertid bundet av EU-direktivet
art. 8 nr. 1 som helt klart forutsetter at slike opplysninger skal
regnes som sensitive. Også i de øvrige nordiske
land har man på denne bakgrunn sett seg nødt til å karakterisere
fagforeningstilhørighet som en sensitiv personopplysning. Komiteen peker
på at reglene i § 9 i vil gi nødvendig
adgang til å behandle fagforeningsopplysninger der det
er et praktisk behov for det; etter samtykke, når det er
hjemlet i lov eller når det er nødvendig for at
den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige
plikter eller rettigheter.
Komiteen deler Justisdepartementets syn om at opplysninger
om straffbare forhold er å betrakte som sensitive.
Personregisterloven har ikke særlige regler om lovens
stedlige virkeområde og gjelder som hovedregel ikke for
personregistre på Jan Mayen, Svalbard eller i utlandet,
men det er meldeplikt til Datatilsynet for den som vil overføre
personopplysninger til utlandet når formålet med
overføringen er å innføre opplysningene
i et register.
I henhold til artikkel 4 i EU-direktivet skal man som hovedregel
anvende det landets lov hvor den behandlingsansvarlige er etablert.
Utvalget foreslår at den nye loven skal gjelde for behandlingsansvarlige
som er etablert i Norge. For behandlingsansvarlige med hovedsete
i en annen EØS-stat og datterselskap eller filial i Norge,
skal den norske loven gjelde for behandling av personopplysninger
knyttet til den norske filialens/datterselskapets virksomhet.
Loven skal også gjelde når en behandlingsansvarlig
som er etablert utenfor EØS-området benytter hjelpemidler
i Norge ved behandlingen av personopplysningene, med mindre disse hjelpemidlene
bare benyttes til å transportere personopplysningene via
Norge. Utvalget foreslår at loven skal gjelde for Svalbard
og Jan Mayen.
Departementet slutter seg i hovedtrekk til utvalgets forslag,
men går inn for å erstatte utvalgets forslag med
en hjemmel for Kongen til å gi forskrift om hvilke bestemmelser
i den nye loven som skal gjelde for Svalbard og Jan Mayen, og til
eventuelt å fastsette særregler.
Komiteen tar til etterretning at departementet ser
behov for å vurdere nærmere eventuelle særskilte tilpasninger
av lovens bestemmelser når det gjelder Svalbard og Jan
Mayen, bl.a. av hensyn til annet regelverk som ikke er gitt anvendelse
der og Svalbards folkerettslige status. Departementet foreslår derfor
en forskriftsbestemmelse som åpner for å fastsette
hvilke regler som skal gjøres gjeldende for disse områdene.
Komiteen vil understreke at det må være
en klar forutsetning for dette arbeidet at befolkningen på Svalbard
og Jan Mayen skal ha de samme krav på personvern som befolkningen
på fastlandet.
Etter personregisterloven § 1 kan det bestemmes ved
forskrift at loven ikke skal gjelde for visse typer personregistre,
og i henhold til § 41 er personregistre i stat
eller kommune unntatt fra konsesjonsplikten når registrene
er opprettet ved egen lov.
Personregisterlovutvalget foreslår at Kongen gis adgang
til å gi forskrift om at loven eller deler av den ikke
skal gjelde for bestemte former for elektronisk behandling av personopplysninger.
Den nye loven skal gjelde for behandling av personopplysninger som er
regulert i annen lov, med mindre noe annet følger av hjemmelsloven.
Under høringen har Politiets Overvåkingstjeneste, ØKOKRIM,
Riksadvokaten og Kripos tatt sterkt til orde for unntak for politiets
registre.
Departementet er enig med utvalget i at personopplysningsloven
bør være en generell lov som i utgangspunktet
gjelder for all slags behandling av personopplysninger. Det vil
imidlertid være nødvendig å gjøre unntak
fra deler av loven for personopplysningsbehandlinger som er nødvendige
ut fra beredskapshensyn eller hensynet til rikets sikkerhet, og
politiets behandling av personopplysninger.
Politiets arbeidsregistre er i dag underlagt særlige regler
på en rekke punkter. For overvåkingstjenstens registre
gjelder særlige regler i overvåkingsinstruksen.
I lys av den særlige kontroll som er etablert for registreringen
i overvåkingstjenesten, ser departementet liten grunn til
at personopplysningslovens regler skal gjelde i tillegg for overvåkingspolitiets
registre. Departementet ser et klart behov for å gjennomgå strafferegistreringsloven
med sikte på en generell revisjon, og vil igangsette et
slikt utredningsarbeid. I påvente av en slik revisjon vil
det være hensiktsmessig å la den nye personopplysningsloven
gjelde for politiregistrene i utgangspunktet, og samtidig åpne
for unntak ved forskrift fra deler av loven. Departementet slutter
seg derfor til utvalgets forslag om en forskriftshjemmel, jf. § 3
tredje ledd i lovforslaget.
Et eget spørsmål er i hvilken utstrekning Stortingets
behandling av personopplysninger bør falle utenfor loven.
EU-direktivet må trolig forstås slik at det ikke
er adgang til å gjøre noe alminnelig unntak for
politiske organers behandling av personopplysninger. Unntak for
Stortinget og tilknyttede institusjoner må derfor vurderes
i forhold til hver enkelt artikkel innenfor de rammene direktivet
setter. Hvorvidt det er ønskelig å gjøre
unntak, er en vurdering som Stortinget selv er nærmest
til å foreta. Departementet nøyer seg derfor med å peke
på behovet for å vurdere særlige innsynsregler,
unntak fra melde- og konsesjonsplikten, og om det er Datatilsynet
eller andre som bør føre tilsyn med at Stortinget
etterlever loven.
Komiteen mener i likhet med utvalget
og Justisdepartementet at personopplysningsloven i utgangspunktet
må være en generell lov som skal gjelde for alle
typer behandling av personopplysninger.
Visse unntak fra loven er etter komiteens syn likevel
nødvendige. Det vil være når beredskapshensyn,
hensynet til rikets sikkerhet og når politiets behandling
av personopplysninger tilsier det.
Med bakgrunn i dagens unntak fra personregisterloven og den særlige
kontroll som er etablert for registreringen i overvåkingstjenesten,
er komiteen enig med departementet i at personopplysningslovens regler
ikke skal gjelde for overvåkingspolitiets registre.
Komiteen deler departementets oppfatning av behovet
for en generell revisjon av strafferegistreringsloven. I tiden fram
til vi har en revidert strafferegistreringslov, vil det også etter komiteens syn være
naturlig å la den nye personopplysningsloven i utgangspunktet
omfatte politiregistre, under forutsetning at en gjennom forskrift åpner
for de nødvendige unntak fra loven. Komiteen støtter
derfor forslaget i § 3 tredje ledd om en forskriftshjemmel
med dette formål.
I forhold til internasjonalt politisamarbeid, og behovet for
registrering og bruk av personopplysninger og hensynet til personvernet
i den forbindelse, vil komiteen peke på at
Stortinget i juni 1999 vedtok loven om Schengen-informasjonssystemet
(SIS-loven).
Komiteen ser ingen grunn til å gjøre
noe alminnelig unntak for politiske organers håndtering
av personopplysninger.
Når det gjelder Stortinget og dets tilknyttede organer
viser komiteen til brev til komiteen av 9. november
1999, der Presidentskapet
«ikke ser behov for å ta initiativ til
at Stortinget helt eller delvis blir unntatt fra den nye personopplysningsloven,
slik utkastet til ny lov er utformet i Ot.prp. nr. 92 (1998-1999).»
Komiteen deler Presidentskapets syn og ser derfor
ingen grunn til å gjøre noen unntak fra loven
for Stortinget.
Komiteen viser til brev fra Riksrevisjonen av 27.
januar 2000 der det fremgår at Riksrevisjonen ser behov
for unntak fra deler av loven for sin revisjons- og kontrollvirksomhet.
Slikt unntak er gitt også etter eksisterende lov. Komiteen viser
til at Riksrevisjonens kontrollvirksomhet innebærer midlertidig
behandling av andre instansers personopplysninger i det øyemed å kontrollere
den aktuelle instansens arbeid. Komiteen viser til
at reglene i loven er utformet med sikte på primærinstansenes
ansvar, og mener det er grunnlag for å unnta Riksrevisjonen
fra reglene om innsyn, retting og om melde- og konsesjonsplikt der Riksrevisjonen
behandler opplysninger innhentet fra andre instanser som del av
sin kontrollvirksomhet. Når det gjelder varslingsplikten,
vil § 19 ikke være aktuell ettersom Riksrevisjonen
ikke innhenter opplysninger direkte fra den registrerte selv. I § 20,
som gjelder innhenting fra andre, er det i loven gjort unntak for
tilfeller der det vil være umulig eller uforholdsmessig
vanskelig å gjennomføre varsling. Etter det Riksrevisjonen
opplyser vil varsling fra deres side by på så store
praktiske vanskeligheter at de vil være omfattet av denne
unntaksregelen. Det er dermed ikke behov for ytterligere unntak
fra § 20.
Riksrevisjonens egne registre bør omfattes av loven
på samme måte som Stortingets og øvrige tilknyttede
organers registre. Komiteen antar etter dette at
det vil være behov for å gi unntak fra §§ 18, 27,
31 og 33.
Den nye loven legger generelt opp til at særregler på enkeltområder
skal gis i særlovgivningen og ikke inntas i personopplysningsloven. Komiteen deler dette
syn, og viser til at det arbeides med en ny lov om Riksrevisjonen.
Inntil denne loven er på plass mener komiteen at
de nevnte unntak bør gjøres i forskrifter, og komiteen forutsetter
at departementet følger opp dette før personopplysningsloven
trer i kraft.
Utvalget foreslår utvidede regler om rett til å kreve
innsyn i behandlingen av personopplysninger og nye regler som pålegger
de behandlingsansvarlige å varsle de registrerte når
opplysninger om dem samles inn. Utvalget går også inn
for gi den registrerte større adgang til å kreve
opplysninger om seg selv sperret eller slettet enn det som følger
av gjeldende lov. EU-direktivet utgjør en sentral premiss
for de fleste elementene i utvalgets forslag på dette området.
Personregisterloven § 4 etablerer en plikt
for Datatilsynet til å føre en allment tilgjengelig
fortegnelse over personregistre med konsesjon. På grunn
av stor arbeidsbyrde har det ikke vært mulig for Datatilsynet å opprette
en slik fortegnelse som er lett tilgjengelig. EU-direktivet pålegger
tilsynsmyndigheten plikt til å føre et register
over meldepliktige behandlinger av personopplysninger.
Utvalget foreslår en plikt for Datatilsynet til å etablere
en sentral fortegnelse som skal inneholde opplysninger om både
konsesjons- og meldepliktige personopplysningsbehandlinger. Oversikten
kan bl.a. bli et nyttig virkemiddel for personer som ønsker
innsyn. Ingen høringsinstanser har hatt innvendinger mot utvalgets
forslag.
Departementet slutter seg til forslaget, og går i likhet
med utvalget også inn for å pålegge alle
behandlingsansvarlige, også de som ikke er undergitt melde-
eller konsesjonsplikt, å gjøre tilgjengelig slike
opplysninger som den offentlige fortegnelsen over konsesjons- og
meldepliktige behandlinger skal inneholde.
Etter personregisterloven § 7 er det en generell adgang
for alle til å få vite hvilke typer opplysninger som
er tatt inn i offentlige registre, uavhengig av om man selv er registrert.
EU-direktivet gir i artikkel 12 den registrerte rett til å få opplyst
hos den behandlingsansvarlige om det behandles personopplysninger
om en selv, om formålet med behandlingen, hvilke opplysningstyper som
brukes, kilden for og mottakerne av opplysningene, samt i visse
tilfeller «logikken» bak visse behandlinger. Ulike
unntak fra denne innsynsretten er hjemlet i artikkel 13.
Utvalget foreslår at innsynsretten etter personregisterloven § 7
utvides til også å omfatte innsyn hos private
behandlingsansvarlige. Informasjonsplikten vil omfatte de samme
typer opplysninger som skal inntas i Datatilsynets offentlige oversikt
( jf. punkt 5.3 nedenfor) og gjelder derved flere kategorier av
opplysninger enn dagens innsynsrett i offentlige registre. Plikten
til å gi slik generell informasjon skal omfatte også de
som er melde- eller konsesjonspliktige. Dette er en utvidelse i
forhold til EU-direktivet som bare legger denne plikten på dem
som ikke har melde- eller konsesjonsplikt.
Med unntak av Sparebankforeningen og Den norske Bankforening
har det ikke kommet innvendinger mot å utvide plikten til å gi
generell informasjon. Flere instanser påpeker likevel behovet
for å gjøre visse unntak fra den generelle innsynsadgangen.
Departementet er enig med utvalget i at plikten til å gjøre
generelle opplysninger tilgjengelige bør gjelde for alle
behandlingsansvarlige, men det er behov for å gjøre
visse begrensninger i innsynsadgangen. F.eks. bør det,
som også utvalget har foreslått, åpnes
for unntak i den grad det er nødvendig av hensyn til rikets sikkerhet,
beredskapshensyn eller av hensyn til forebygging og etterforskning
av straffbare handlinger.
Departementet har videre utformet en unntaksregel som åpner
for at private behandlingsansvarlige skal kunne nekte innsyn i opplysninger
som det vil være av konkurransemessig betydning å hemmeligholde,
jf. § 23 første ledd bokstav f i lovforslaget.
Innsynsadgangen vil heller ikke få anvendelse i forhold til
redaksjonelle registre.
Etter personregisterloven § 7 første
ledd har den enkelte rett til innsyn i opplysninger om seg selv
når opplysningen lagres eller bearbeides ved hjelp av elektroniske
hjelpemidler. Loven gjør unntak fra innsynsretten for registre
som bare skal brukes til utarbeidelse av statistisk materiale, forskning
og generelle planer. Innsynsretten gjelder heller ikke opplysninger som
det må anses utilrådelig at vedkommende får kjennskap
til, av hensyn til personens helse eller forholdet til andre personer
som står vedkommende nær.
Utvalget foreslår i tråd med EU-direktivet å likestille
retten til innsyn i opplysninger om en selv i manuelle og elektronisk
registre, og går også inn for at innsynsretten
bør være den samme i forhold til private og offentlige
behandlingsansvarlige. Forslaget innebærer en utvidet innsynsrett
hos private behandlingsansvarlige. Unntaksreglene er i hovedsak
en videreføring av nåværende unntaksregler
i personregisterloven § 7.
Datatilsynet og Den norske Advokatforening gir sin tilslutning
til forslaget. Norsk Journalistlag og Norsk Presseforbund uttaler
at innsynsretten ikke bør få noen praktisk betydning
i forhold til journalisters arbeid. Norges Forsikringsforbund mener
at innsynsretten på flere punkter vanskelig lar seg forene
med de reglene som følger av forsikringslovgivningen. Enkelte
instanser har påpekt behovet for å gjøre
unntak for opplysninger om straffbare handlinger. Forbrukerombudet
tar til orde for at den behandlingsansvarlige skal pålegges å angi
en begrunnelse for avslaget i de tilfellene der den registrerte
nektes innsyn.
Departementet slutter seg til forslaget om å gi den registrerte
innsynsrett både i manuelle registre og opplysninger som
behandles elektronisk, uten hensyn til om opplysningene behandles
i det offentlige eller private. Det foreslås videre at
det skal kunne gis innsyn til en representant for den registrerte
i de tilfeller der det av helsemessige grunner vil være
utilrådelig å gi opplysninger direkte til den
registrerte selv. Regelen om den registrertes innsynsrett får
ikke anvendelse i forhold til pressens arkiver. Departementet går
dessuten inn for å pålegge den behandlingsansvarlige
en plikt til å begrunne et avslag ved å vise til
den relevante lovbestemmelsen, jf. § 23 tredje
ledd i lovforslaget.
EU-direktivet gir i artikkel 12 enhver rett til å få vite
hvilken logikk som ligger bak edb-behandlingen av opplysninger om
vedkommende i de tilfellene der behandlingene utelukkende baseres
på edb og munner ut i en avgjørelse som har rettslig
eller annen vesentlig betydning for den registrerte. Personregisterloven
har ikke slike bestemmelser.
Utvalget foreslår en bestemmelse etter mønster
av direktivet. Det har ikke kommet prinsipielle innvendinger mot
dette forslaget under høringen, og departementet slutter
seg til utvalgets forslag, jf. § 22.
Etter komiteens mening er det nødvendig
for at personopplysningsloven skal fungere etter intensjonene, at
Datatilsynet etablerer en sentral fortegnelse som skal inneholde
opplysninger om både konsesjons- og meldepliktige personopplysningsbehandlinger.
I og med nedtrappingen av konsesjonsbehandlingene og overgangen
til et system mer basert på meldeplikt, og de ressurser
Datatilsynet nå vil få tilført, skulle
det etter komiteens syn være mulig for Datatilsynet
nå å prioritere arbeidet med å etablere
en slik fortegnelse.
Komiteen slutter seg også til departementets syn
om å pålegge alle behandlingsansvarlige, også de som
ikke er pålagt melde- eller konsesjonsplikt, å gjøre
de samme opplysninger tilgjengelige som den offentlige fortegnelse
over konsesjons- og meldepliktige behandlinger skal inneholde.
Komiteen er enig i at innsynsretten alle i dag har
når det gjelder generelle opplysninger og informasjon i
henhold til personregisterlovens § 7, utvides til
også å omfatte innsyn hos private behandlingsansvarlige. Komiteen synes
også det er viktig at plikten til å gjøre
slike opplysninger tilgjengelige skal gjelde for alle behandlingsansvarlige,
uansett om de er melde- eller konsesjonspliktige eller ei.
Når det gjelder begrensninger i innsynsadgangen, mener komiteen i
likhet med Justisdepartementet at det kan gis unntak for innsynsretten
bl.a. når det er nødvendig ut fra hensynet til
forebygging og etterforskning av straffbare handlinger.
Komiteen er enig med departementet i at det er nødvendig å ha
en unntaksregel som gir private behandlingsansvarlige mulighet for å nekte
innsyn i opplysninger som det av konkurransemessige grunner kan
ha betydning ikke å gjøre tilgjengelige. Videre mener komiteen at
det er viktig at innsynsadgangen ikke vil gjelde i forhold til redaksjonelle
registre.
Når det gjelder den enkeltes rett til innsyn i opplysninger
om seg selv, så er komiteen enig i at den registrerte
må gis innsynsrett, både i manuelle registre og
i opplysninger som behandles elektronisk. Denne retten må være
uavhengig om det dreier seg om offentlig eller privat behandling.
Komiteen synes det er fornuftig at en stort sett følger
dagens unntaksregler i personregisterlovens § 7 når
det gjelder retten til innsyn i opplysninger om en selv. Komiteen støtter
likeledes departementets forslag om at en representant for den registrerte
skal kunne gis innsyn i tilfeller der det av helsemessige grunner
ikke er tilrådelig at den registrerte selv får disse
opplysninger.
At den registrertes innsynsrett ikke gjelder i forhold til pressens
arkiver er etter komiteens oppfatning riktig.
Departementets forslag om å gi den behandlingsansvarlige
pålegg om å begrunne et avslag ved å vise til
den relevante lovbestemmelsen som begrunner avslaget, er meget viktig
for komiteen, ikke minst i forhold til den registrertes
vurderinger av og mulighet for å gå videre med
saken.
Komiteen er enig i at en i det nye lovforslaget, i
tråd med EU-direktivets artikkel 12, legger opp til at enhver
skal ha rett til å få vite hvilken «logikk» eller behandlingsregler
som ligger til grunn for EDB-behandling av opplysninger om vedkommende.
Personregisterloven har ingen generelle regler om at registereiere
har plikt til å gi informasjon av eget tiltak til dem som
er registrert i registeret. Kredittopplysningsforetak har imidlertid
en plikt til å sende gjenpart til den registrerte når
de gir kredittopplysning skriftlig om personer som ikke er næringsdrivende.
Stortinget har bedt Regjeringen legge fram forslag til generelle
regler om informasjonsplikt.
EU-direktivet inneholder i artiklene 10 og 11 regler
om informasjonsplikt for den behandlingsansvarlige. Det gjelder
unntak fra opplysningsplikten bl.a. for informasjon som den registrerte
allerede er kjent med. I medhold av artikkel 13 gjøres
bl.a. unntak når det er nødvendig av hensyn til
rikets sikkerhet eller rettslig forfølging av straffbare
forhold.
Etter utvalgets oppfatning er direktivets informasjonsplikt et
viktig supplement til innsynsretten, og det foreslår regler
om informasjonsplikt for den behandlingsansvarlige både
når det innhentes personopplysninger fra den registrerte
selv og når slike opplysninger innhentes fra andre kilder.
Utvalget foreslår unntak fra varslingsplikten der den registrerte
allerede antas å kjenne til de forholdene som det skal
varsles om. Når opplysninger hentes fra andre enn den registrerte,
foreslår utvalget også unntak dersom det er umulig
eller uforholdsmessig vanskelig å varsle de registrerte
eller det er fastsatt i lov at det er adgang til å registrere
eller videregi opplysningene.
Under høringen har flere instanser uttrykt støtte
til de nye varslingsreglene. En del instanser legger samtidig vekt
på at varslingsplikten ikke må bli så omfattende
at den blir uhåndterlig og kostbar for de behandlingsansvarlige
og en forvirrende «støy» for de registrerte.
Datatilsynet og Forbrukerombudet mener varslingsreglene på enkelte
punkter er for skjønnsmessig utformet. Det er også kommet
visse innvendinger til reglene fra pressehold, forsikringsbransjen, politiet
og fra forskningsinstanser.
Etter departementets syn har utvalget funnet frem til regler
som stort sett balanserer og ivaretar de ulike hensynene, men departementet
strammer inn unntakene på enkelte punkter i forhold til
utvalgets forslag. For behandlinger som den registrerte allerede
kjenner til, skal varsling bare kunne unnlates når det
er på det rene at den registrerte er kjent med opplysningene
fra før, jf. §§ 19 og 20 i lovforslaget.
Hvis varsling unnlates som en følge av at det er umulig
eller uforholdsmessig vanskelig, skal informasjonen likevel alltid
gis senest i forbindelse med at det gjøres en henvendelse
til den registrerte på grunnlag av opplysningene. Innhenting
av opplysninger for forskning vil være et eksempel på innhenting
som ofte vil kunne falle inn under lovforslagets unntak.
Departementet foreslår at unntakene fra innsynsreglene
i det alt vesentlige gis tilsvarende anvendelse i forhold til varslingsreglene,
jf. § 23 i lovforslaget som oppstiller felles
unntaksregler både fra innsyns- og varslingsbestemmelsene.
Som et supplement til de generelle varslingsreglene foreslår
utvalget en særlig regel om varslingsplikt ved bruk av
såkalte personprofiler, dvs. en samling av opplysninger
som brukes for å anta noe om personers preferanser, holdninger
og atferdsmønstre. Utvalget foreslår at slike
personprofiler ikke skal kunne benyttes uten at den opplysningene
gjelder varsles om hvilke opplysninger og kilder som er anvendt.
Det er ulike syn på forslaget blant høringsinstansene.
Departementet går inn for å følge
opp utvalgets forslag til varslingsregel ved bruk av personprofiler, jf. § 19
første ledd.
Komiteen er fornøyd med at
departementet i tråd med EU-direktivet legger opp til generelle
regler om at behandlingsansvarlige på eget initiativ har
plikt til å varsle dem som er registrert.
Dette er også fullt ut i samsvar med stortingsvedtak
av 21. april 1994, som lyder:
«Stortinget ber Regjeringen legge fram forslag
til endringer i lov om personregister, slik at eieren av et personregister
som hovedregel plikter å varsle personene som registreres
eller er registrert, om registreringen, dens omfang og formålet
med denne.»
Komiteen ser klart at de nye varslingsreglene, som
i seg selv er en klar styrking av personvernet i forhold til reglene
i personregisterloven, også må ha unntaksregler. Komiteen er
enig med Justisdepartementet i at for opplysninger som den registrerte
allerede kjenner til, kan det kun tillates unntak fra varslingen
når det er på det rene at den registrerte kjenner
opplysningene fra før. Hvis varsling unnlates på det
grunnlag at det er umulig eller uforholdsmessig vanskelig, deler komiteen departementets
syn om at informasjonen likevel alltid må gis senest i
forbindelse med at den registrerte får henvendelse på grunnlag
av de registrerte opplysninger.
Komiteen har ingen innvendinger mot at det også er
unntak fra varslingsplikten når det er fastsatt i lov at
det er adgang til å registrere eller gi videre de aktuelle
opplysninger.
I og med at varslingsplikten langt på vei vil virke som
en innsynsrett for den registrerte, synes komiteen det
er fornuftig og rasjonelt at en koordinerer unntaksreglene for innsyn
og varsling, slik en har gjort ved i § 23 å foreslå felles
unntaksregler.
Komiteen er enig med departementet i at en må vise
varsomhet i forbindelse med bruk av personprofiler, og er følgelig
enig i at de behandlingsansvarlige får varslingsplikt ved
eventuell bruk av slike profiler. Komiteen vil understreke
viktigheten av at personprofiler ikke skal kunne benyttes uten at
den registrerte det gjelder, både blir varslet om hvilke
opplysninger det gjelder og hvilke bilder man har brukt. Komiteen vil
i denne forbindelse særlig vise til § 11
c, der det understrekes at personopplysninger ikke skal kunne brukes
til formål som er uforenlige med det formål de
er samlet inn for, uten at den registrerte samtykker.
Komiteen mener det kan være ønskelig
med en klarere presisering av lovskravet når det gjelder unntak
fra varslingsplikten i § 20 annet ledd og har
i samråd med departementet endret bokstav a i bestemmelsen
slik:
«innsamlingen eller formidlingen av
opplysningene er uttrykkelig fastsatt
i lov.»
Videre finner komiteen det hensiktsmessig å presisere
i lovteksten at informasjonsplikten vedrørende personprofiler
omfatter tilfeller der noen treffer avgjørelser om den
registrerte med bakgrunn i profilen. § 21, innledningen,
er endret i samsvar med dette slik:
«Når noen henvender seg til eller
treffer avgjørelse som retter seg mot den registrerte …»
Etter personregisterloven har enhver krav på å få navnet
sitt sperret mot utsendelse av adressert reklame. EU-direktivet
oppstiller bl.a. en rett til å motsette seg persondatabehandlinger
som er ledd i markedsføring.
Utvalget går inn for å videreføre
adgangen til å kunne reservere seg mot utsending av adressert
reklame og telefonmarkedsføring. Alle som markedsfører
direkte skal etter utvalgets forslag minst to ganger i året
vaske sine registre mot et sentralt reservasjonsregister.
Flere støtter uttrykkelig adgangen til å reservere seg
mot reklame og markedsføring i et sentralt reservasjonsregister.
Forbrukerombudet tar til orde for at man bør vurdere å gå lenger,
ved å stille krav om forhåndssamtykke til telefonsalg
og direkteadressert reklame.
Departementet slutter seg til utvalgets forslag om å videreføre
adgangen til å kreve sitt navn sperret mot bruk i markedsføringsøyemed. Å nedfelle
et generelt krav om forhåndssamtykke, fremstår
som tungvint og vanskelig å gjennomføre i praksis.
Departementet er ellers enig med LO i at det kan være grunn
til å vurdere også en generell rett til å reservere
seg mot lagring av elektroniske spor. Regjeringen vil komme tilbake
til dette spørsmålet.
Personregisterloven har ingen regler om rett til å nekte
automatiserte avgjørelser som innebærer behandling
av personopplysninger. EU-direktivet oppstiller med visse unntak
en slik rett for den enkelte når det gjelder avgjørelser
om personlige forhold som har rettsvirkninger for ham eller henne
eller som berører vedkommende i vesentlig grad.
Utvalget foreslår en regel som etter mønster
av direktivet gir rett til å kreve manuell behandling av personopplysninger
ved enkeltavgjørelser som fullt ut baserer seg på elektronisk
behandling og som karakteriserer personlige egenskaper. Unntak foreslås
også i tråd med direktivets regler.
Ingen har under høringen hatt prinsipielle innvendinger
mot forslaget, men noen er i tvil om bestemmelsen vil få noen
praktisk betydning. Forbrukerombudet er skeptisk til å gjøre
unntak fra retten til å kreve manuell behandling der avgjørelsen
er knyttet til inngåelse eller oppfyllelse av en kontrakt.
Departementet slutter seg i hovedtrekk til utvalgets forslag,
men vilkårene er utformet noe annerledes, jf. § 25.
Selv om regelen trolig vil ha begrenset betydning i dag, kan det
ikke utelukkes at den vil bli mer praktisk i fremtiden hvis fullstendig
automatiserte beslutningsprosesser blir vanligere.
Komiteen støtter fullt ut
at en i lovforslaget viderefører adgangen til å kreve
sitt navn sperret mot bruk i markedsføringsøyemed.
Opprettelsen av et sentralt reservasjonsregister er etter komiteens syn viktig,
og komiteen er fornøyd med at behandlingsansvarlige
i lovforslaget § 26, pålegges å oppdatere sitt
adresseregister i henhold til det sentrale reservasjonsregister
før første gangs utsendelse og minst fire ganger
hvert år.
Komiteen ser at det i praksis kan være
vanskelig å gjennomføre et generelt krav om forhåndssamtykke
til telefonsalg og direkteadressert reklame. Komiteen mener
imidlertid at en ved gjennomføringen av de behandlingsansvarliges
oppdatering av sine registre opp mot det felles reservasjonsregisteret,
trolig reduserer behovet for forhåndssamtykke.
En vurdering av en generell reservasjonsrett mot lagring av elektroniske
spor er etter komiteens mening et sentralt spørsmål. Komiteen har forståelse
for at det kreves en nærmere utredning av dette tema, og
forutsetter at Regjeringen kommer tilbake til Stortinget med en
vurdering av spørsmålet.
Komiteen er enig i at en med utgangspunkt i direktivet,
innfører en rett for den enkelte til å kreve manuell
behandling av personopplysninger ved enkeltavgjørelser
der en kun baserer seg på elektronisk behandling, og der
avgjørelsen har rettslig eller annen vesentlig betydning
for den registrerte. Selv om denne regelen i dag vil ha begrenset
betydning, utelukker komiteen ikke at den kan bli
mer relevant i fremtiden.
Når det gjelder unntaket fra å kreve manuell
behandling knyttet til avgjørelser om inngåelse
eller oppfyllelse av kontrakter, har komiteen forståelse
for Forbrukerombudets skepsis. Komiteen går
imidlertid inn for Justisdepartementets forslag, under forutsetning
at Datatilsynet bruker sin kompetanse til å avgjøre
om personverntiltakene er tilstrekkelige, og eventuelt gir pålegg
om opphør av den automatiske behandlingen hvis tiltakene
for å sikre personvernet ikke er tilfredsstillende.
Etter personregisterloven § 8 har den registeransvarlige
plikt til å rette, slette eller supplere personopplysninger
som er uriktige, ufullstendige eller ulovlige å ta inn
i et register, dersom manglene kan få betydning for den
registrerte. Retting m.v. skal i utgangspunktet foretas av eget
tiltak fra den registeransvarliges side. Datatilsynet har samtidig
myndighet til å gi pålegg om dette. Pålegget
kan påklages til Justisdepartementet.
Etter artikkel 12 i EU-direktivet har den registrerte rett til å få rettet,
slettet eller sperret mangelfulle opplysninger. Den enkelte gis
også rett til å kreve at den behandlingsansvarlige
underretter dem som opplysningene måtte være utlevert
til om at opplysningene er slettet, rettet eller sperret, med mindre
en slik underretning er umulig eller uforholdsmessig vanskelig å gjennomføre.
Utvalget går inn for å videreføre
den nåværende regelen i personregisterloven med
enkelte endringer. Det foreslås regler om sletting og sperring
også av personopplysninger som ikke er mangelfulle, men
der den behandlingsansvarlige enten mangler saklig grunn for å oppbevare
dem eller opplysningene er belastende for den registrerte og det
finnes forsvarlig å slette/sperre dem ut fra en
samlet vurdering av ulike interesser.
Flere høringsinstanser har vært opptatt av
forholdet mellom de foreslåtte reglene om retting og sletting og
arkivlovgivningens regler om kassasjon. Datatilsynet og Forbrukerombudet
mener at plikten til å rette/slette mangelfulle
opplysninger bør gjelde uten hensyn til om mangelen kan
få betydning for den registrerte. Andre ser behov for å klargjøre
adgangen til å lagre opplysninger for forskning og vitenskapelige forhold.
Utvalgets forslag vil styrke personvernet og skape bedre harmoni
mellom arkivlovgivningen og personvernlovgivningen enn i dag. Departementet
mener derfor at hovedtrekkene i forslaget bør følges
opp. Det bør oppstilles som et utgangspunkt at retting
som hovedregel bør skje ved at de uriktige opplysningene tydelig
markeres som uriktige, kombinert med en supplering med korrekte
opplysninger. Sletting bør bare benyttes når meget
sterke personvernhensyn taler for det. Departementet går
inn for å følge prinsippet i arkivloven om at
arkivmateriale ikke kan rettes ved sletting dersom opplysningene
har hatt noe å si for f.eks. et vedtak, jf. § 27
annet ledd i lovforslaget. Datatilsynet skal imidlertid likevel
kunne pålegge sletting dersom tilstrekkelig tungtveiende
personvernhensyn tilsier det. Før slikt pålegg
kan gis, skal Riksarkivaren høres. Det foreslås
også en viss adgang for den registrerte til å kreve
slettet eller sperret personopplysninger som ikke er mangelfulle
eller overflødige, men som likevel oppleves som sterkt
belastende, jf. § 28 tredje ledd i lovforslaget.
Dette er en skjerping av vilkårene sammenlignet med utvalgets
forslag.
Når opplysninger likevel slettes, bør slettingen kombineres
med en tilføyelse av de riktige opplysningene. Dersom slik
tilføyelse ikke er mulig, foreslår departementet
en bestemmelse om at hele dokumentet skal slettes dersom de delene
av dokumentet som gjenstår etter slettingen, gir et åpenbart
misvisende bilde av saken, jf. § 27 fjerde ledd
og § 28 siste ledd.
Departementet går inn for at retting skal skje selv om
feilen ikke har noen påviselig betydning for den registrerte.
Komiteen registrerer at flere av høringsinstansene
har vært opptatt av forholdet mellom de foreslåtte
reglene om retting og sletting, og arkivlovgivningens regler om
kassasjon, og komiteen er derfor tilfreds med at
det foreliggende forslag, samtidig som det styrker personvernet,
også gir et bedre samsvar mellom arkivlovgivningen og personlovgivningen
enn tilfellet er i dag.
Komiteen er enig i at retting som en hovedregel
bør skje ved at de uriktige opplysningene tydelig markeres
som uriktige, supplert med de korrekte opplysninger.
Når det gjelder sletting, mener komiteen i likhet
med Justisdepartementet, at den muligheten bare må benyttes
når meget sterke personvernhensyn tilsier det. Komiteen er
videre enig i at en følger prinsippet i arkivloven om at
arkivmateriale ikke kan rettes ved sletting, hvis opplysningene
har hatt noe å si for et vedtak. Komiteen er
enig i at en ved retting, kombinert ved supplering og markering
av at de opprinnelige opplysningene var uriktige, langt på vei kan
redusere konflikten mellom personvernhensyn og dokumentasjons-,
forsknings-, og kulturelle/historiske hensyn. Ifølge
lovforslaget foreslås et unntak som gir Datatilsynet rett
til å pålegge sletting hvis tilstrekkelig tungtveiende
personvernhensyn tilsier det. Hvis Datatilsynet benytter seg av
denne retten, legger komiteen spesielt vekt på at
Riksarkivaren skal høres.
Komiteen foreslår for øvrig
særlige klageregler når det gjelder spørsmål
om retting eller sletting av opplysninger som har historisk verdi.
Komiteen støtter departementet i at det
gis adgang for den registrerte til å kreve slettet eller
sperret personopplysninger som ikke er mangelfulle, men som likevel
oppleves som sterkt belastende.
Komiteen er enig i at når opplysninger
endelig er besluttet slettet, bør slettingen kombineres
med en tilføyelse av de riktige opplysningene. Hvis dette
ikke er mulig og de gjenværende deler av dokumentet åpenbart
gir et misvisende bilde av saken, synes komiteen det
er riktig at hele dokumentet slettes.
Etter komiteens syn skal en feil rettes, selv
om feilen ikke har noen påviselig betydning for den registrerte.
Det finnes i dag ingen generell regel om hvor raskt de registeransvarlige
skal gi svar på henvendelser fra de registrerte eller utføre
plikter i forhold til disse, men det er gitt enkelte tidsfrister
bl.a. for svar på begjæring om innsyn. I EU-direktivet
er det bare enkelte spredte tidsfrister.
Utvalget foreslår at krav om generell informasjon om
personopplysningsbehandlinger, innsyn i opplysninger om den registrerte,
informasjon om automatiserte avgjørelser, retting eller
sletting av opplysninger, manuell behandling og reservasjon mot
navnebruk i markedsføringsøyemed skal gjennomføres
uten ugrunnet opphold og senest innen én måned.
Hvis forholdene tilsier lenger svartid, skal det likevel gis et svar
innen nevnte frist der det opplyses om grunnen til forsinkelsen
og det sannsynlige tidspunktet for gjennomføringen.
Det er ikke kommet innvendinger mot utvalgets forslag under høringen,
og departementet slutter seg til forslaget.
Det er ikke gitt noen generell regel
om adgang til å ta seg betalt for innsyn m.v. i personregisterloven, men
kredittopplysningsforetak kan beregne seg en rimelig godtgjørelse
for skriftlige meldinger til de registrerte om hvilke kredittopplysninger
om dem foretaket har. Etter EU-direktivet artikkel 12 skal den registrerte
kunne begjære innsyn hos den registeransvarlige uten urimelige
kostnader.
Utvalget går inn for at det som utgangspunkt ikke skal
koste noe for de registrerte å praktisere de individuelle
personverngarantiene, men åpner for at det kan gis forskrift
om betaling dersom særlige grunner gjør det nødvendig.
Flere høringsinstanser støtter utvalgets forslag. Noen
mener loven i visse tilfeller bør åpne direkte
for at det kan kreves vederlag. Departementet er enig i at det klare
utgangspunktet bør være at det ikke skal koste
noe for den registrerte å gjøre gjeldende de rettighetene
som lovutkastet gir til å kreve innsyn, begrunnelse, retting
og reservasjon mot direkte markedsføring. Hvis det i lys
av erfaringene med loven viser seg at dette fører til uakseptable
belastninger for den enkelte behandlingsansvarlige, bør
det åpnes for å gi regler om betaling ved forskrift.
Komiteen slutter seg til at de krav
som stilles i forbindelse med de rettigheter den enkelte vil få ifølge personopplysningsloven
skal gjennomføres uten ugrunnet opphold og senest innen
en måned. I de tilfeller det er nødvendig med
lengre tid, må det likevel etter komiteens mening
gis et svar innen den nevnte frist, hvor det opplyses om hvorfor
gjennomføringen er forsinket, og når det kan forventes
at kravene vil bli realisert.
Komiteen deler departementets syn om at det i utgangspunktet
ikke skal koste noe for den registrerte å få realisert
de rettigheter som ligger i lovutkastet. Komiteen avviser
at en ved forskrift åpner for å gi regler om betaling
for å få gjennomført rettigheter som
loven gir. Hvis departementet på et senere tidspunkt mener
at dette spørsmålet igjen må vurderes, ønsker komiteen at
Stortinget får seg forelagt spørsmålet
på nytt.
Personregisterloven kombinerer en omfattende konsesjonsplikt
med enkelte materielle regler om hvordan personopplysninger kan
behandles, samt regler om rådgivning og etterfølgende
kontroll fra Datatilsynets side.
For å unngå en rutinemessig konsesjonsbehandling
av en stor mengde like registre og registre som er uproblematiske
ut fra et personvernsynspunkt, er det fastsatt en rekke unntak fra
konsesjonsplikten. Disse registrene er underlagt diverse materielle
regler i personregisterforskriften.
EU-direktivet etablerer i artiklene 18 og 19 en tilsynsordning
der hovedregelen er meldeplikt til tilsynsmyndigheten for all elektronisk
behandling av personopplysninger. For personopplysningsbehandlinger
som kan innebære særlige farer for de registrertes
friheter og rettigheter, kreves strengere forhåndskontroll.
Artikkel 18 oppstiller visse unntak fra meldeplikten, ved at
man på nærmere bestemte vilkår enten
kan gi regler om forenklet meldeplikt eller helt frita for meldeplikt.
Det gjelder bl.a. unntak for behandlinger hvor det ikke er sannsynlig
at de registrertes rettigheter krenkes og for intern behandling
av sensitive opplysninger i en sammenslutning med politisk, filosofisk,
religiøst eller faglig formål.
Etter gjeldende rett har man ikke noen generell meldepliktordning
i tillegg til konsesjonssystemet. Utvalget går inn for
at det innføres meldeplikt for alle som benytter elektroniske
systemer for behandling av personopplysninger og for opprettelse
av manuelle registre med sensitive personopplysninger. Virkeområdet
for meldeplikten blir etter dette videre enn dagens konsesjonsordning.
Utvalget foreslår imidlertid at det åpnes for
gjennom forskrift å fastsette visse unntak fra meldeplikten,
og mener at de fleste av de nåværende forskriftsbestemte
unntakene fra konsesjonsplikten bør videreføres
som unntak fra meldeplikten i den nye loven. Kravene til meldingens
innhold foreslås oppregnet i en egen lovbestemmelse som
går lenger enn det som kreves i henhold til EU-direktivet.
Det er bred oppslutning blant høringsinstansene om å begrense
den nåværende konsesjonsplikten til fordel for
et meldepliktsystem kombinert med mer vidtrekkende tilsynsoppgaver
for Datatilsynet.
Departementet er enig med utvalget og høringsinstansene
i at det er behov for å legge om det nåværende
konsesjonssystemet til en bred meldepliktsordning. En effektiv kontroll
med at lovens regler etterleves vil være av større
betydning for ivaretakelse av personvernet enn rutinemessig behandling
av konsesjonssøknader.
De nåværende unntakene fra konsesjonsplikten vil
kunne tjene som et mulig utgangspunkt for å vurdere nærmere
hvilke unntak som bør gjøres fra meldeplikten.
Datatilsynet har under høringen hatt innvendinger mot utvalgets
forslag om å unnta fra meldeplikten behandlinger som utelukkende
gjør bruk av allment tilgjengelige opplysninger. Departementet
er enig med Datatilsynet i at et slikt unntak er lite hensiktsmessig.
EU-direktivet åpner for å gjøre unntak
fra meldeplikten der den behandlingsansvarlige peker ut en person
med ansvar for vern av personopplysninger. Flere land har på ulikt
vis etablert slike ordninger. Departementet går ikke inn
for å regulere nærmere en slik ordning nå.
Komiteen syns det er riktig å legge
om dagens konsesjonssystem til en bred meldepliktsordning. Komiteen er
av den oppfatning at et bredere lovverk i kombinasjon med et meldepliktsystem
vil ivareta personvernet på en bedre måte enn
et rutinemessig konsesjonssøknadssystem. Dagens unntak
fra konsesjonsplikten er etter komiteens mening et godt
utgangspunkt for å vurdere hvilke unntak det er hensiktsmessig
og fornuftig å ha i forhold til meldeplikten.
Komiteen er enig i at en ikke på et generelt grunnlag
gjør unntak for meldeplikten for behandlinger som bare
gjør bruk av allment tilgjengelige opplysninger.
Komiteen støtter Justisdepartementet
i at en ikke nå går inn for en nærmere
regulering av den åpning EU-direktivet gir for å unnta
fra meldeplikten de tilfeller der den behandlingsansvarlige peker
ut en person med ansvar for vern av personopplysninger.
Utvalget mener at konsesjonsplikten bør begrenses til
de tilfellene der hensynet til personvernet gjør det sterkt ønskelig
med en grundig forhåndsvurdering. Utvalget foreslår
på denne bakgrunn at det kreves konsesjon for behandling
av personopplysninger som kan karakteriseres som sensitive og som
kan munne ut i en enkeltavgjørelse som er bestemmende for
bestemte personers rettigheter eller plikter. Konsesjonsplikten
forutsettes å omfatte elektronisk behandling av slike opplysninger
og manuell behandling når opplysningene inngår
i et personregister. Personregistre i offentlig virksomhet som er
opprettet ved egen lov, skal undergis de samme reglene for konsesjons-
og meldeplikt som behandlinger i privat sektor. I dag er slike registre
unntatt fra konsesjonsplikt.
Blant høringsinstansene tar Den norske Advokatforening
og Norges Forsikringsforbund til orde for å avskaffe konsesjonsordningen
helt og holdent. Andre er imidlertid skeptiske til at nåværende
konsesjonsplikt i så stor grad skal erstattes av meldeplikt.
Noen høringsinstanser tar også til orde for å gjøre
unntak fra konsesjonsplikten på bestemte områder,
bl.a. for de registrene som er opprettet ved lov, og for banker
og andre finansinstitusjoners behandling av sensitive personopplysninger.
Departementet er enig med utvalget og flertallet av høringsinstansene
i at det fremdeles er behov for en forhåndskontroll med
slike typer behandlinger av personopplysninger som representerer
en særlig risiko for personvernet. Hva som er å anse
som sensitive opplysninger, følger av § 2
nr. 8 i lovforslaget.
Som enkelte høringsinstanser har påpekt, gir utvalgets
forslag om å innsnevre konsesjonsplikten til behandlinger
som har til formål å treffe «enkeltavgjørelser» en
avgrensning som kan være vanskelig å praktisere.
Departementet går på denne bakgrunn ikke inn for å benytte
dette begrepet, jf. § 33 første ledd
i lovforslaget. Dermed får man en bredere anlagt konsesjonsordning
enn det som følger av utvalgets forslag. Det vil derfor
være behov for å gjøre unntak fra konsesjonskravet
for personopplysninger som det ikke er behov for å forhåndskontrollere
ut fra et personvernsynspunkt. Departementet foreslår derfor
unntak fra konsesjonsplikten for behandling av sensitive personopplysninger
som er avgitt uoppfordret. Bestemmelsen som unntar fra konsesjonsplikten de
personregistre i offentlig virksomhet som er opprettet ved egen
lov videreføres også, men også disse registrene
bør være meldepliktige. Øvrige unntak
fra hovedregelen om konsesjonsplikt kan mest hensiktsmessig gis
i forskrift.
Departementet foreslår dessuten i § 33
annet ledd en bestemmelse som gir Datatilsynet adgang til å bestemme
at også annen behandling enn den som gjelder sensitive
personopplysninger skal kreve konsesjon dersom den ellers åpenbart
vil krenke tungtveiende personverninteresser.
I likhet med Personregisterlovutvalget og flertallet
av høringsinstansene mener komiteen at det fremdeles
skal være konsesjonsplikt for personopplysninger som må anses å være
sensitive. Komiteen er enig i departementets konklusjon
som ikke begrenser konsesjonsplikten bare til behandlinger som tar
sikte på å ta enkeltavgjørelser. En får
dermed en konsesjonsplikt med et bredere utgangspunkt enn det som
lå i utvalgets forslag.
Forslaget om unntak fra konsesjonsplikten for sensitive opplysninger
som gis uoppfordret får komiteens tilslutning.
Det samme gjelder for personregistre i offentlig virksomhet som
er opprettet ved egen lov. Komiteen synes det er
greit at sistnevnte registre er meldepliktige. Eventuelle andre
unntak kan etter komiteens mening gis i forskrift.
Komiteen er enig i at Datatilsynet kan bestemme
at det også for annen behandling enn for sensitive personopplysninger
kan kreves konsesjon hvis det er åpenbart at den ellers
vil krenke tungtveiende personverninteresser.
Den behandlingsansvarlige har rett til på forhånd å få avklart
fra Datatilsynets side om en behandling krever konsesjon. Komiteen forutsetter
at dette ikke fører til at en med utgangspunkt i den nye
lovens overgang fra konsesjon til mer meldeplikt, likevel får unødig
mange forespørsler om forhåndsklarering av om
en behandling krever konsesjon. Det er videre viktig etter komiteens mening
at det ikke skapes uryddighet i forhold til når det kreves
konsesjon.
Komiteen mener det kan være hensiktsmessig å knytte
unntaket fra konsesjonsplikten for stat eller kommune generelt til
behandlingen av personopplysninger fremfor bare til registre. En
slik endring vil være i tråd med begrepsbruken
for øvrig i lovforslaget. Komiteen har etter
dette i samråd med departementet foretatt følgende
endring i § 33 fjerde ledd:
«Konsesjonsplikt etter første og annet ledd
gjelder ikke for behandling av personopplysninger i organ for stat
eller kommune når behandlingen har hjemmel i egen lov.»
Datatilsynet skal etter gjeldende lov kontrollere om personregisterlovens
regler etterleves og tilsynet skal veilede de som planlegger å opprette
personregistre om personvern og datasikring. Utvalget går
inn for å videreføre dagens regler om rådgivning
og kontroll i det nye lovforslaget.
Flere høringsinstanser har understreket betydningen
av at Datatilsynet får frigjort ressurser til rådgivning,
informasjon, og kontrollvirksomhet.
Departementet uttaler at en grunnleggende forutsetning for lovforslaget
er at Datatilsynet i større grad enn tidligere skal konsentrere
seg om etterfølgende kontrollvirksomhet og om informasjons-
og veiledningsarbeid.
Komiteen slutter seg til at det foreliggende
lovforslag legger forholdene langt bedre til rette for at Datatilsynet
i større grad enn tidligere skal kunne drive effektiv etterfølgende
kontrollvirksomhet og informasjons- og veiledningsarbeid.
Personregisterloven har i begrenset grad regler om hvordan personopplysninger
skal behandles. Slike regler følger i all hovedsak av Datatilsynets
konsesjonsvilkår, eller av forskrift.
Utvalget foreslår at man i større grad enn
i dag lovfester materielle regler som direkte gir uttrykk for hvordan
behandling av personopplysninger bør foregå. De
viktigste materielle regler som utvalget foreslår, er krav
til saklighet og relevans ved behandling av personopplysninger,
vilkår for bruk av personopplysninger til andre formål
enn det de opprinnelig var innhentet for og en nærmere
presisering av når man kan behandle sensitive opplysninger.
Utvalget foreslår også en egen regel om bruk av
fødselsnummer.
Det synes å være generell oppslutning blant høringsinstansene
om å lovfeste flere alminnelige regler om hvordan personopplysninger
kan eller skal behandles. Datatilsynet går inn for at man
også lovfester en regel om utlevering av personopplysninger.
Flere instanser har hatt kommentarer til forslaget om når
opplysninger kan brukes til et annet formål enn det de
opprinnelig var innhentet for.
Departementet går lenger enn utvalget i å utpensle i
lovteksten hvilke grunnleggende krav som må stilles til
behandlingen av personopplysninger, jf. § 11 i
lovforslaget. Departementet foreslår også en regel
som angir vilkårene for når man i det hele tatt
kan behandle personopplysninger, jf. § 8 i lovforslaget
i samsvar med EU-direktivet og lovforslagene i de øvrige
nordiske land.
Departementet har forenklet og omformulert utvalgets forslag
til regel om når personopplysninger kan brukes til andre
formål enn de opprinnelig ble innsamlet for. Etter departementets
forslag er det et vilkår for slik bruk at det innhentes
samtykke fra den registrerte, eller godtgjøres at bruken
faller inn under et av de andre grunnvilkårene i § 8
i lovforslaget. Det presiseres i lovteksten at gjenbruk av personopplysninger
for historiske, statistiske eller vitenskapelige formål
ikke anses som uforenlig med de opprinnelige innsamlingsformålene,
forutsatt at samfunnets interesse i at gjenbruken finner sted klart
overstiger de ulempene som den kan medføre for den registrerte.
Departementet finner det ikke hensiktsmessig å utforme
en generell regel om utlevering av personopplysninger. På enkelte
punkter er det imidlertid behov for særlige regler. For øvrig
vil § 19 i lovforslaget pålegge den som
tilbyr betalingskort å informere om betalingsopplysninger
vil bli brukt til andre formål enn det som måtte
følge direkte av innsamlingen, og om hvem opplysningene
eventuelt vil bli utlevert til.
Ved nedtrappingen av konsesjonsplikten til en ordning
mer basert på meldeplikt, er det etter komiteens mening
både naturlig og nødvendig at en i større
grad enn i dag lovfester materielle regler som gir direkte retningslinjer
for hvordan behandlingen av personopplysninger bør foregå.
Komiteen slutter seg til departementets opplegg
som går lenger enn utvalgets, ved i lovteksten å foreslå vilkårene
for når en i det hele tatt kan behandle personopplysninger
(§ 8). Dette samsvarer bra med EU-direktivet og
de andre nordiske lands lovgivning på dette felt.
Departementets opplegg, som setter som vilkår at det
innhentes samtykke fra den registrerte for at personopplysninger
kan brukes til andre formål enn de opprinnelig er samlet
inn for, eller at det godtgjøres at bruken kommer inn under
retningslinjene i § 8, synes etter komiteens oppfatning å være
fornuftig. Komiteen er også enig i formuleringen
i lovteksten vedrørende gjenbruk av personopplysninger
for historiske, statistiske eller vitenskapelige formål.
Komiteen støtter departementet i at det
ikke er hensiktsmessig å utforme en generell regel om utlevering. Komiteen er
imidlertid innforstått med at det på enkelte områder
kan være nødvendig med særlige regler,
som f.eks. at ideelle sammenslutninger ikke kan utlevere sensitive
opplysninger uten at den registrerte er enig i det (§ 9
annet ledd), og regel for utlevering av personopplysninger gjort
ved fjernsynsopptak (§ 39).
Komiteen synes dessuten det er viktig at den som
tilbyr betalingskort blir pålagt å informere om
betalingsopplysninger vil bli brukt til andre formål enn det
som følger direkte av innsamlingen, og hvem opplysningene
i tilfelle blir utlevert til (§ 19).
For å understreke det ansvaret som den enkelte behandlingsansvarlige
har for å følge lovverket om personvern, foreslår
utvalget å innføre regler om internkontroll. Disse
reglene vil pålegge både offentlige og private
behandlingsansvarlige en plikt til å etablere systematiske
tiltak for å påse og dokumentere at såvel personvernlovgivningen
som ulike pålegg fra Datatilsynet blir etterlevd.
Det har ikke kommet innvendinger mot forslaget under høringen,
og departementet følger opp utvalgets forslag i § 14.
Komiteen slutter seg til forslaget
om å innføre regler for internkontroll. Komiteen tror
dette forslaget om selvjustis har mye for seg, og at det kan komme
til å bety mye for at både personvernlovgivningen
og eventuelle pålegg fra Datatilsynet kan bli fulgt. Komiteen synes
det er riktig at både offentlige og private behandlingsansvarlige
får en slik plikt.
I andre land har man positive erfaringer med bruk av retningslinjer
for behandling av personopplysninger som virksomheter eller bransjerepresentanter selv
utarbeider på frivillig basis. Utvalget mener at gode grunner
taler for at de også tas i bruk i Norge. Departementet
støtter utvalgets forslag om å oppfordre til bruk
av bransjevise atferdsnormer. Unnlatelse av å følge
normene vil kunne bli møtt med reaksjoner fra bransjeorganisasjonene,
men vil ikke i seg selv resultere i noen offentligrettslig reaksjon.
Komiteen synes forslaget om å oppfordre
til bruk av bransjevise atferdsnormer er meget interessant, og slutter
seg til oppfordringen.
Etter personregisterloven er følgende fire virksomheter
særskilt regulert: kredittopplysningsvirksomhet, databehandlingsvirksomhet
for andre, adresserings- og distribusjonsvirksomhet og markeds-
og opinionsundersøkelser. Det kreves konsesjon for å drive
virksomhet som nevnt.
EU-direktivet har ingen særregler for visse typer virksomheter
slik som personregisterloven har, men er ikke til hinder for at
det enkelte land fastsetter slike regler.
Utvalget ønsker ikke å videreføre
en slik særskilt regulering av visse virksomheter som det
personregisterloven legger opp til i dag. Fordi utvalget foreslår
en rekke nye materielle regler for behandling av personopplysninger
i loven, blir behovet for særregulering mindre. Utvalget
foreslår likevel en forskriftshjemmel som kan benyttes
til å gi særregler ved forskrift dersom det skulle
vise seg å oppstå behov for det.
Norsk Redaktørforening og Datatilsynet tar til orde
for at kredittopplysningsvirksomhet bør særreguleres
ved lov og ikke gjennom forskrift.
Selv om kredittopplysningsvirksomhet har så stor praktisk
betydning og berører så mange mennesker at regulering
i lov kan ha gode grunner for seg, finner departementet det i første
omgang mest hensiktsmessig å gi særlige regler
ved forskrift til personopplysningsloven.
Komiteen har merket seg at EU-direktivet
ikke har særregler for visse type virksomheter, men at
det ikke er til hinder for at det enkelte land selv kan fastsette
slike regler.
Komiteen er enig i at behovet for særregler
for visse områder blir mindre, i og med at det nå foreslås en
rekke nye materielle regler for behandling av personopplysninger.
Når det gjelder kredittopplysningsvirksomhet, mener imidlertid komiteen at
denne virksomheten fremdeles bør særreguleres
ved lov. I første omgang kan det gjøres ved forskrift
som departementet foreslår, men komiteen forutsetter
at det igangsettes et arbeid for at de særregler som bør
gis for kredittopplysningsvirksomhet gis i lovs form.
Komiteen slutter seg ellers til utvalgets forslag om
at det gis en forskriftshjemmel som kan benyttes til å gi
særregler hvis det viser seg at det vil bli behov for slik
regulering av personopplysningsbehandlingen i enkelte typer virksomheter.
Fjernsynsopptak som ikke anses å utgjøre noe personregister,
reguleres gjennom bestemmelsene i personregisterloven §§ 37
a og b. Etter personregisterloven § 37 a er fjernsynsovervåking
bare tillatt når det er saklig begrunnet ut fra hensynet
til den som foretar overvåkingen. Datatilsynet har ingen
sanksjonsmuligheter overfor dem som igangsetter overvåking
i strid med lovens regler. Personregisterloven § 37
b setter vilkår for lagring og etterbruk av billedopptak som
er gjort ved fjernsynsovervåking, og suppleres med mer
detaljerte regler i forskrift.
Straffeloven § 390 b inneholder en særlig
regel for automatisk personovervåking på arbeidsplasser eller
offentlig sted. Etter denne bestemmelsen er det et vilkår
for overvåking at det ved skilting eller på annen måte
tydelig fremgår at stedet blir overvåket.
Utvalget foreslår at dagens regler om fjernsynsovervåking
videreføres, samtidig som de suppleres på to punkter.
For det første gis Datatilsynet kompetanse til å gripe
inn og stoppe overvåking som skjer i strid med loven. For
det annet innføres det meldeplikt for fjernsynsovervåking
som resulterer i billedopptak. Forbudet i straffeloven § 390
b foreslås flyttet til den nye personopplysningsloven.
Det er bred oppslutning blant høringsinstansene om å undergi
fjernsynsovervåking strengere kontroll enn etter gjeldende
rett.
Departementet er enig med utvalget og høringsinstansene
i at det er behov for skjerpet kontroll med fjernsynsovervåking.
Særreglene om overvåking samles i et eget kapittel
VII i lovforslaget.
Både for fjernsynsovervåking med og uten billedopptak
foreslår utvalget at reglene om saklighetskrav, varsling
og Datatilsynets adgang til å gi pålegg skal få anvendelse.
Utvalget går imidlertid bare inn for å pålegge
meldeplikt for fjernsynsovervåking der det gjøres
billedopptak. Departementet går inn for at også fjernsynsovervåking
uten billedopptak underlegges meldeplikt.
Etter departementets syn bør en eventuell regulering
av andre elektroniske overvåkingsformer enn fjernsynsovervåking
gjøres til gjenstand for en særskilt utredning
dersom det i lys av erfaringene med den nye personopplysningsloven
viser seg å være behov for det.
Komiteen mener det er behov for skjerpet
kontroll med fjernsynsovervåking, og synes det er hensiktsmessig
at særreglene for fjernsynsovervåking samles i
et eget kapittel i lovforslaget.
Komiteen går inn for at det innføres
meldeplikt både for fjernsynsovervåking med og
uten billedopptak. For begge typer opptak er det også viktig
at reglene om varsling, saklighetskrav og Datatilsynets adgang til å gi
pålegg kommer til anvendelse.
Etter komiteens syn vil en ved å innføre meldeplikt
for fjernsynsovervåking og ved å gi Datatilsynet
mulighet til å gripe inn overfor overvåking som
skjer i strid med lovforslagets behandlingsregler, gir tilsynet
nye og viktig virkemidler til å kontrollere om overvåkingen
som finner sted er lovlig.
For komiteen er det viktig at fjernsynsovervåking
skal kunne være et tiltak i kriminalbekjempelsen, derfor
er det spesielt viktig for denne type overvåking å finne
den rette balansegangen i forhold til personvernet.
Komiteen peker på at iht. § 37
gjelder bl.a. reglene i § 9 om behandling
av sensitive personopplysninger for all fjernsynsovervåking.
Etter § 2 nr. 8 inkluderer sensitive personopplysninger «at
en person har vært mistenkt, siktet, tiltalt eller dømt
for en straffbar handling». Av de opplysninger som defineres
som sensitive, er det i første rekke denne regelen som
er relevant i forhold til fjernsynsovervåking.
Komiteen peker på at når mistanke
om straffbare forhold regnes som en sensitiv opplysning, vil fjernsynsovervåking
som viser et lovbrudd der lovbryteren vil kunne identifiseres, for
eksempel et bankran eller hærverk på en skole,
i prinsippet komme inn under de særskilte behandlingsreglene
for sensitive opplysninger i § 9, dvs. at man
ikke vil kunne foreta overvåkingen hvis ikke vilkårene
i § 9 første ledd foreligger. Komiteen mener
det fremstår som meget tvilsomt om § 9 første
ledd gir adgang til overvåking der det skjer et faktisk
lovbrudd.
For behandling av sensitive personopplysninger som ikke er hjemlet
i § 9 første (eller annet) ledd, vil det
være påkrevet både med Datatilsynets
samtykke etter § 9 tredje ledd og konsesjon etter § 33. Komiteen forstår § 9
tredje ledd slik at Datatilsynet ikke gis myndighet til å utforme generelle regler, men at regelen tar sikte
på at Datatilsynet skal fatte avgjørelser i enkeltsaker.
Enkeltsaksbehandling av tillatelser til fjernsynsovervåking
er en lite hensiktsmessig fremgangsmåte, og denne regelen
er derfor etter komiteens syn ikke egnet som hjemmel
til å gi særregler for fjernsynsovervåking. Komiteen mener
at forholdet uansett bør reguleres direkte i loven, ettersom det
vil gi større klarhet om håndteringen av opplysninger
om straffbare forhold som avdekkes ved overvåking. Komiteen peker
på at overvåking, for eksempel i butikker, banker,
postkontor, bensinstasjoner, skoler, særlig utsatte offentlige
rom m.v., nettopp har som formål å beskytte mot,
og evt. avdekke, kriminelle forhold, og at den praktiske bruken
av opptakene i all hovedsak vil være knyttet til straffbare forhold.
I proposisjonen er det forutsatt at fjernsynsovervåking
skal være meldepliktig på linje med annen behandling
av personopplysninger, og komiteen mener dette vil
være tilstrekkelig for at Datatilsynet kan holde kontroll
med virksomheten, slik at konsesjonsplikt for ovennevnte forhold
ikke er nødvendig.
Komiteen fremmer følgende
forslag:
«§ 37 første
ledd tredje punktum skal lyde:
Fjernsynsovervåking som har som formål å avdekke
opplysninger som nevnt i § 2 nr. 8 bokstav b er likevel
tillatt, selv om vilkårene i § 9 første
ledd ikke er oppfylt.»
Komiteen fremmer videre følgende
forslag:
Ǥ 37 annet ledd annet
punktum skal lyde:
Konsesjonsplikten etter § 33 gjelder
likevel ikke for slik fjernsynsovervåking som har som formål å avdekke
opplysninger som nevnt i § 2 nr. 8 bokstav b.»
Komiteen vil understreke at den endring som her
foretas er ment å lette politiets og tilsynsmyndighetens
praktiske håndtering av fjernsynsovervåking der
det avsløres kriminelle handlinger. Komiteen ser
faren for et overvåkingssamfunn der kameraer trer inn i
stedet for mennesker, og vil understreke at de lovregler som nå gis
totalt sett vil innskjerpe kontrollen med fjernsynsovervåking.
Krav til sikring av registre som ikke er konsesjonspliktige,
er nedfelt i forskrift. For konsesjonspliktige personregistre setter
Datatilsynet krav til sikkerheten i konsesjonsvilkårene.
Datatilsynet har også utarbeidet generelle retningslinjer
om informasjonssikkerhet.
I henhold til artikkel 17 i EU-direktivet skal medlemsstatene
gi regler om den behandlingsansvarliges plikt til å iverksette
tekniske og organisatoriske tiltak for å beskytte personopplysninger.
Utvalget foreslår en regel som pålegger den
behandlingsansvarlige et kontinuerlig ansvar for tilstrekkelig sikring
av personopplysninger. Eventuelle pålegg om sikringstiltak
skal kunne fastsettes av Datatilsynet gjennom enkeltvedtak. Ingen
høringsinstanser har hatt innvendinger mot forslaget.
Komiteen registrerer at EU-direktivet
legger opp til at medlemsstatene skal gi regler om den behandlingsansvarliges
plikt til å iverksette tiltak for å beskytte personopplysninger. Komiteen slutter
seg til forslaget på dette punkt, som gir den behandlingsansvarlige
ansvar gjennom tekniske og organisatoriske tiltak for at tilstrekkelig
sikring av personopplysninger finner sted. For komiteen er
det også viktig at Datatilsynet gjennom enkeltvedtak skal
kunne gi pålegg om sikringstiltak, hvis tilsynet finner
det nødvendig.
Sammen med bestemmelsen om internkontroll (§ 14)
synes komiteen at sikringsbestemmelsen (§ 13)
legger et godt grunnlag for ivaretakelse av personvernet.
Etter personregisterloven § 36 må Datatilsynet
i utgangspunktet samtykke før personregistre eller personopplysninger
som skal innføres i et personregister overføres
til utlandet, men samtykkekravet er ved forskrift redusert til en
meldeplikt. Bruk av internasjonale kommunikasjonskanaler som internett
reiser særlige spørsmål i forhold til
gjeldende regler.
EU-direktivet fastsetter at det skal være fri utveksling
av personopplysninger mellom medlemslandene, mens det for overføring
av personopplysninger til tredjeland oppstilles ulike grunnprinsipper
som skal sikre at opplysninger som hovedregel bare overføres
til land som har et tilstrekkelig beskyttelsesnivå når
det gjelder personvern.
Utvalget går inn for at overføring til tredjeland som
hovedregel bare skal kunne tillates dersom mottakerlandet regulerer
behandling av personopplysninger på en tilstrekkelig forsvarlig
måte. De stater som har gjennomført EU-direktivet,
skal anses å oppfylle kravet. På nærmere
bestemte vilkår skal man også kunne overføre
opplysninger til stater som ikke anses å regulere behandlingen
av personopplysninger på en tilstrekkelig forsvarlig måte.
Utvalget legger da blant annet vekt på at det er vanskelig å ha
noen klar oppfatning av hvilke behov for overføring som
kan oppstå i fremtiden. Datatilsynet skal føre
kontroll med at vilkårene for overføring er oppfylt,
og vil ha kompetanse til å nekte eller sette vilkår
for overføringen.
Utvalget drøfter videre enkelte spørsmål
knyttet til bruk av internasjonale kommunikasjonskanaler, som internett.
Mange av de hjemmesidene som opprettes på internett vil
normalt falle utenfor lovforslagets anvendelsesområde,
ettersom de ofte vil være rent private. For de hjemmesidene
som omfattes av lovforslaget, finner utvalget det naturlig å anse publiseringen
på internett som en overføring av personopplysninger
til utlandet.
Det er ikke kommet vesentlige innvendinger mot utvalgets forslag,
og departementet slutter seg i hovedsak til forslaget. Det har vært
reist spørsmål om forhåndskontroll fra
Datatilsynets side før opplysningene overføres
til utlandet. Departementet kan ikke se noen grunn til å innføre
et krav om forhåndskontroll utover den som vil bli foretatt
i forbindelse med lovens alminnelige regler om melde- og konsesjonsplikt.
Det er reist spørsmål om hvilken betydning
overføringsreglene i praksis vil få i forhold
til bruk av internett. Departementet viser til at private hjemmesider med
informasjon av privat karakter, og internettjenester der personopplysninger
bare brukes for kunstneriske, litterære eller journalistiske
(opinionsdannende) formål, vil kunne legges ut på internett
uten hensyn til behandlings- og overføringsregler.
Det er på det rene at bruk av internasjonale kommunikasjonskanaler
som internett vil kunne stille mange og stadig nye utfordringer
til lovverket. Dette er derfor et område som det vil være
grunn til å følge særlig nøye
i forbindelse med den etterkontrollen av personopplysningsloven
som det vil bli lagt opp til.
EU-direktivets utgangspunkt om at det skal være fri
utveksling av personopplysninger mellom medlemslandene og at overføringer
til tredjeland som hovedregel kun skal kunne skje når vedkommende land
har et tilstrekkelig høyt beskyttelsesnivå for
personvern, synes etter komiteens oppfatning å være et
godt utgangspunkt for den norske lovgivningen. Derfor er komiteen enig
i at alle land som gjennomfører EU-direktivet må anses å oppfylle
kravet, og at overføringen til tredjeland i utgangspunkt
skal kunne skje når vedkommende land har en tilstrekkelig forsvarlig
behandlingsmåte av personopplysninger.
Under bestemte vilkår må det også etter komiteens syn
være mulig å overføre personopplysninger til
tredjeland som normalt ikke oppfyller de strenge krav vi setter
for behandling av personopplysninger.
Komiteen følger departementet i at det
ikke er nødvendig å innføre spesielle
krav om forhåndskontroll ved overføringer av personopplysninger
til utlandet. Lovens alminnelige regler om melde- og konsesjonsplikt
må etter komiteens syn anses å være
tilstrekkelig også i disse tilfeller.
Bruk av internasjonale kommunikasjonskanaler, som internett,
stiller en overfor spesielle utfordringer. Komiteen er
enig med Justisdepartementet i at private hjemmesider med informasjon
av privat karakter, og internettjenester der personopplysninger
kun brukes for kunstneriske, litterære eller journalistiske formål,
fritt må kunne legges ut på nettet. For de hjemmesidene
som omfattes av lovforslaget, mener komiteen imidlertid
at overføringsreglene for personopplysninger til utlandet
må gjelde.
Komiteen peker på at det må utformes
forutsigbare rettslige og økonomiske rammebetingelser for den
elektroniske handelen som sikrer norske bedrifter konkurranseevne
nasjonalt og internasjonalt. For å sikre konkurranseevne
bør det i utgangspunktet ikke innføres strengere
regelverk i Norge enn i EU-land. Dette må legges til grunn
ved utarbeidelse av forskrifter på området. Skulle
Regjeringen mene at det er nødvendig å innføre
strengere regler for slik virksomhet i Norge, må reglene
forelegges Stortinget til behandling. Komiteen peker
på at stabile og gode rammevilkår er er viktig
kriterium for å sikre investorinteresser i denne bransjen.
Når det gjelder internasjonale kommunikasjonskanaler,
ser komiteen klart at lovverket vil kunne bli stilt
overfor mange og nye utfordringer i framtiden, og at dette vil være
et felt en må følge spesielt nøye i forbindelse
med etterkontrollen av personopplysningsloven. Komiteen forutsetter
at dette er et spørsmål som vil bli forelagt Stortinget
på nytt.
Nye teknologiske muligheter til å behandle personopplysninger
kombinert med flere lovregler om slik behandling aktualiserer forholdet
til ytrings- og informasjonsfriheten.
I personregisterforskriften er det gjort unntak fra konsesjonsplikten
for forlagenes personregistre til bruk ved utgivelse av leksika,
og dags- og ukepressens personregistre til bruk i journalistisk
virksomhet. Artikkel 10 i den europeiske menneskerettighetskonvensjonen
(EMK) og artikkel 19 i FNs konvensjon om sivile og politiske rettigheter
(SP) beskytter ytringsfriheten. Inngrep i disse rettighetene kan
bare forsvares hvis de er i samsvar med lov, er nødvendige
i et demokratisk samfunn og ivaretar nærmere oppregnede
formål, bl.a. vernet av andres omdømme eller rettigheter.
I henhold til artikkel 9 i EU-direktivet skal det gjøres
unntak fra de fleste av de alminnelige reglene i direktivet for
behandling av personopplysninger som utelukkende finner sted i journalistisk øyemed
eller i kunstnerisk eller litterær virksomhet i den grad
det er nødvendig for å forene retten til privatlivets
fred med reglene om ytringsfrihet.
Utvalget foreslår at det åpnes for å gjøre
unntak fra personopplysningsloven når det er nødvendig
for å forene hensynet til ytringsfrihet med personvern. Unntak
vil for det første være nødvendig hvis
loven ellers vil stride mot Grunnloven § 100 eller
de folkerettslige forpliktelser vi har påtatt oss. Utover
dette skal det gjøres unntak når hensynet til
ytringsfriheten veier tyngre enn personvernhensyn. Utvalget legger til
grunn at Datatilsynet av hensyn til ytringsfriheten bør
vise tilbakeholdenhet med å bruke sin kontrollkompetanse
ved bruk av personopplysninger i journalistisk, kunstnerisk eller
litterær virksomhet.
Presseorganisasjonene har vesentlige innvendinger mot utvalgets
forslag. De mener at personvern gjennomgående har blitt
tillagt for stor vekt i forhold til andre interesser. Den norske
Advokatforening sier seg enig i at loven som utgangspunkt bør
gjelde for behandling av personopplysninger i journalistisk øyemed
og for kunstnerisk eller litterær virksomhet.
Departementet er enig i at det er behov for å presisere
klarere i loven hvilke regler det skal gjøres unntak fra
av hensyn til ytrings- og informasjonsfriheten. Det foreslås
at man for behandling av personopplysninger som utelukkende finner
sted for journalistiske, kunstneriske eller litterære formål,
begrenser lovens anvendelsesområde til å gjelde
reglene om sikring, internkontroll, databehandlerens rådighet, retten
til å kreve sitt navn sperret i markedsføringsøyemed
og reglene om fjernsynsovervåking.
Reglene om meldeplikt, bestemmelsen om rett til generell informasjon
i § 18, behandlingsreglene i §§ 8 og
9, og reglene i § 11 om krav til saklighet, relevans og
formålsangivelse, innsynsreglene, varslingsreglene og reglene
om overføring av personopplysninger til utlandet vil ikke
gjelde for litterær, kunstnerisk eller journalistisk virksomhet.
Komiteen ser klart at kombinasjonen
av dagens muligheter til å behandle personopplysninger og
flere lovregler på feltet gjør det nødvendig å se
på forholdet til ytrings- og informasjonsfriheten.
I forhold til ytringsfriheten er vi bundet opp av Grunnloven § 100
og de folkerettslige forpliktelser vi har påtatt oss. Ellers
følger komiteen departementets linje i at
unntak fra reglene i personopplysningsloven som gjøres
ut fra hensynet til ytringsfriheten, bør presiseres klart
i loven. Komiteen er ellers enig i at Datatilsynet
bør vise tilbakeholdenhet med å bruke sin kontrollkompetanse
ved bruk av personopplysninger i forhold til journalistisk, kunstnerisk
og litterær virksomhet.
Komiteen slutter seg til de foreslåtte
begrensninger for lovens anvendelsesområde i forhold til
behandling av personopplysninger som kun finner sted for journalistiske,
kunstneriske og litterære formål. Etter komiteens syn
virker denne utformingen av reglene også å være
godt i samsvar med de retningslinjer artikkel 9 i EU-direktivet
legger opp til.
Komiteen er imidlertid opptatt av at tilsynet
og Justisdepartementet må følge nøye
med i om de avgrensninger i lovens anvendelsesområde som
nå gjøres på disse områder,
tar de nødvendige hensyn til personvernet. Hvis så ikke
er tilfelle, forutsetter komiteen at Justisdepartementet
kommer tilbake til Stortinget med problemstillingen ved en senere
anledning.
Komiteen vil understreke at den databehandlingen
som foregår i mediene som ikke er knyttet til den journalistiske
virksomheten, selvfølgelig omfattes av lovforslaget i likhet
med annen ordinær behandling av personopplysninger. Det
kan f.eks. dreie seg om behandling av abonnentopplysninger til faktureringsformål
eller til direkte markedsføring.
I Datatilsynets konsesjoner er det oppstilt til dels strenge
begrensninger i adgangen til å utlevere personopplysninger.
Disse reglene må likevel vike for krav om innsyn i medhold
av forvaltnings- og offentlighetsloven. EU-direktivet inneholder
ikke noen uttrykkelig regulering av forholdet mellom behandlingsreglene
i direktivet og innsynsregler som måtte følge
av annen lovgivning.
Utvalget foreslår regler om innsyn som skal gjelde i
forhold til både offentlige og private behandlingsansvarlige.
Pressens organisasjoner tar til orde for uttrykkelig å slå fast
i den nye personopplysningsloven at den ikke skal ha betydning for
den retten enhver har til å kreve innsyn etter offentlighetsloven
eller andre regler om innsyn.
For helt å avskjære mulig tvil om dette forholdet, foreslår
departementet en bestemmelse som uttrykkelig fastslår at
reglene i personopplysningsloven ikke begrenser annen lovbestemt
rett til innsyn, jf. § 6 i lovforslaget. Departementet
går dessuten inn for å pålegge den behandlingsansvarlige
en veiledningsplikt om annen lovbestemt innsynsrett.
Komiteen er enig i at personopplysningsloven ikke
skal begrense innsynsretten etter offentlighetsloven, forvaltningsloven
eller annen lovbestemt rett til innsyn i personopplysninger. Komiteen støtter
forslaget om at den behandlingsansvarlige av eget tiltak skal veilede
den som ber om innsyn om annen lovbestemt rett som gir adgang til
flere opplysninger enn det personopplysningsloven gir.
I dette kapitlet drøftes ulike spørsmål
knyttet til hvilke oppgaver Datatilsynet bør utføre
i fremtiden og hvilken stilling Datatilsynet bør ha.
Utvalget konkluderer med at de fleste oppgavene som EU-direktivet
tillegger tilsynsmyndigheten allerede i dag helt eller delvis utføres
av Datatilsynet, og at dette er oppgaver som vil bli videreført
i det nye lovforslaget.
Det er bred oppslutning blant høringsinstansene om at
Datatilsynet i tillegg til øket kontrollvirksomhet skal
ha som en viktig oppgave å bevisstgjøre folk om personvernspørsmål.
Departementet bemerker bl.a. at de nye virkemidlene som Datatilsynet
får etter lovforslaget, vil stille store krav til tilsynet
og nødvendiggjøre en omstilling og omorganisering
av virksomheten. Det vil være naturlig å delegere
kompetanse til å gi forskrifter i medhold av lovforslaget
til Datatilsynet.
Etter personregisterloven § 2 er Datatilsynet
et «frittstående organ underordnet Kongen og det
departement Kongen fastsetter», dvs. Justisdepartementet. Datatilsynet
er et forvaltningsorgan og enkeltvedtak som Datatilsynet fatter,
kan klages inn for Justisdepartementet.
Artikkel 28 nr. 1 i EU-direktivet krever at tilsynsmyndigheten
skal kunne utøve sine funksjoner i «full uavhengighet».
Det er under utføringen av tilsynsoppgavene at tilsynsmyndigheten
skal være uavhengig av regjeringen/departementet,
og uavhengigheten skal være faglig og ikke administrativ.
Utvalget mener at Datatilsynet rent administrativt bør
være underlagt Justisdepartementet også i fremtiden,
og at departementets instruksjonsmyndighet på samme måte
som i dag er begrenset til rent organisatoriske og administrative
forhold. Utvalget foreslår at Datatilsynets uavhengighet
i faglige spørsmål skal komme tydelig frem i selve
lovteksten.
Utvalget er delt i to like store fraksjoner i spørsmålet
om Datatilsynet fremdeles bør ha et styre. Den ene fraksjonen
mener at det ikke vil være behov for å opprettholde
dagens styreordning når det opprettes en bredt sammensatt
og faglig kompetent klageinstans (Personvernnemnda). Den andre fraksjonen
går inn for å beholde dagens ordning med et bredt
sammensatt og faglig kompetent styre bl.a. fordi tilsynet ikke lenger
er underlagt direkte politisk styring fra regjeringen. Denne fraksjonen ønsker
derfor et styre som i tillegg til å forberede klagesaker,
skal behandle og treffe avgjørelser i saker av prinsipiell karakter
og fastsette de forskriftene som Datatilsynet måtte få ansvar
for å utforme.
Et samlet utvalg går inn for at Datatilsynets direktør
fremdeles bør være en uavsettelig embetsmann som
utnevnes av regjeringen, og at regjeringen bør ha anledning
til å ansette direktøren på åremål.
Utvalget går inn for at det fremdeles bør være
adgang til å få overprøvd Datatilsynets
avgjørelser administrativt, men foreslår å opprette
en ny klageinstans - Personvernnemnda - som er rettslig uavhengig av
regjeringen og Justisdepartementet. Forslaget har delvis sin bakgrunn
i EU-direktivets krav om full uavhengighet. Nemnda underordnes Justisdepartementet
når det gjelder rent administrative spørsmål.
Et flertall i utvalget mener at nemnda bør bestå av
fem medlemmer som oppnevnes av Kongen, mens et mindretall mener
at man i en nemnd på syv medlemmer bør dele oppnevningskompetansen
mellom Kongen (fem medlemmer) og Stortinget (leder og nestleder som
begge skal være jurister). Under behandlingen av personregisterloven
var det ikke flertall i Stortinget for å gi Stortinget
kompetanse til å oppnevne medlemmer i Datatilsynets styre.
Det er bred enighet blant høringsinstansene om at Datatilsynet
skal være et faglig uavhengig organ som rent administrativt
er underlagt Justisdepartementet. Høringsinstansene er
delt i spørsmålet om Datatilsynet fremdeles bør
ha et styre, hvem som bør utpeke medlemmene av den nye
klagenemnda, og hvor mange medlemmer nemnda bør ha. Noen
få høringsinstanser stiller seg skeptisk til å opprette
en klagenemnd i det hele tatt. Av dem som har uttalt seg om styrespørsmålet,
går et flertall inn for at Datatilsynet fremdeles bør
ledes av et styre. Det er også et klart flertall for forslaget
om å opprette en egen klagenemnd. Datatilsynet og Norges
Forsikringsforbund mener at klagenemnda ikke bør kunne
omgjøre Datatilsynets avgjørelser av eget tiltak.
Departementet mener det ikke er naturlig å karakterisere
Datatilsynet som en ombudsinstans, men som et forvaltningsorgan
som skal være faglig uavhengig av regjeringen med særskilt
vide fullmakter. I en såpass liten organisasjon som Datatilsynet
vil det kunne fremstå som unødvendig byråkratiserende
med et styre. Departementet finner på denne bakgrunn ikke grunn
til å opprettholde et styre i Datatilsynet.
Departementet slutter seg til utvalgets forslag om at Datatilsynets
direktør også i fremtiden bør være
en embetsmann, og at regjeringen får anledning til å utnevne
direktøren på åremål.
Utvalgets forslag om å opprette en egen nemnd til å behandle
klager over Datatilsynets avgjørelser vil styrke Datatilsynets
uavhengighet, og - slik departementet ser det - sikre en kvalitativ
og upartisk klagebehandling. Departementet foreslår at
klagenemnda skal behandle klagesaker og dessuten ha adgang til å omgjøre
avgjørelser av eget tiltak. Personvernnemnda skal kunne
prøve alle sider av saken.
Selv om det vil opprettholde et klarere skille mellom forvaltningsmyndigheten
og Stortinget å legge oppnevningsmyndigheten i sin helhet
til Kongen, er departementet enig med de av utvalgsmedlemmene og
høringsinstansene som mener at Stortinget bør
oppnevne klagenemndas leder og nestleder. Nemnda bør i
så fall ha syv medlemmer. Det er en forutsetning at nemndsmedlemmene
oppnevnes ut fra faglige kvalifikasjoner og ikke partipolitisk tilhørighet,
og lederen og nestlederen bør ha juridisk embetseksamen. Medlemmenes
funksjonstid kan naturlig settes til fire år med adgang
til gjenoppnevning én gang. Administrativt foreslås
nemnda lagt under Justisdepartementet. Nemnda skal være
rettslig uavhengig av departementet, slik at departementet verken
kan instruere i enkeltsaker eller gi generelle instrukser om lovtolking og
skjønnsutøving.
Komiteen mener at en omstilling og
omorganisering av Datatilsynets virksomhet er nødvendig
som en følge både av de virkemidler Datatilsynet
får etter dette lovforslaget, og den økte fokuseringen
på etterfølgende kontrolltiltak. I denne sammenheng
legger komiteen også stor vekt på tilsynets
viktige oppgave å bevisstgjøre folk om personvernspørsmål.
Komiteen viser til at det på enkelte
områder kan være aktuelt å delegere kompetanse
til å gi forskrifter til Datatilsynet. Komiteen understreker
at det ved en slik delegering fortsatt vil være statsråden som
er formelt ansvarlig for regelverket.
Komiteen legger stor vekt på EU-direktivets krav
om «full uavhengighet» for tilsynsmyndigheten under
utøvelsen av sine funksjoner, og mener at dette bør
ligge til grunn for den norske organiseringen av tilsynsmyndigheten.
Komiteen støtter utvalgets forslag om å oppnevne
en egen klagenemnd (Personvernnemnda) til å behandle klager
over Datatilsynets avgjørelser. Etter komiteens mening
styrker dette oppfyllelsen av kravet om tilsynsmyndighetens «fulle
uavhengighet». Komiteen er enig i at Personvernnemnda
skal behandle klagesaker og også ha adgang til å omgjøre saker
av eget tiltak. Nemnda må etter komiteens mening
kunne prøve alle sider av en sak. Komiteen vil
dessuten understreke nødvendigheten av at nemnda rent fysisk
får en plassering utenom Datatilsynets lokaler, dette for å understreke
de to tilsynsmyndighetenes selvstendige posisjoner.
På samme vis som Datatilsynet rent administrativt skal
ligge under departementet, må det samme etter komiteens syn
være tilfelle for Personvernnemnda. I diskusjonen om nemndas
størrelse og hvordan den skal oppnevnes, lander komiteen på samme konklusjon
som Justisdepartementet: Nemnda skal ha syv medlemmer, fem oppnevnt
av Kongen, leder og nestleder oppnevnes av Stortinget og at de to
sistnevnte skal være jurister. Komiteen vil
understreke at nemndmedlemmene skal oppnevnes ut fra faglige kvalifikasjoner
og ikke partipolitisk tilhørighet.
Komiteen slutter seg til forslaget om at Datatilsynets
direktør fortsatt skal være embetsmann, og at regjeringen
kan utnevne direktøren på åremål.
Spørsmålet om Datatilsynet skal ha et styre
eller ei, er etter komiteens mening vanskelig. Gode grunner
og argumenter kan gis både for og imot et fortsatt styre,
noe diskusjonen i utvalget og et utvalg delt i to like fraksjoner
med tydelighet viser. Komiteen viser bl.a. til at
argumentet om å ha både et fortsatt faglig kompetent
styre og en faglig kompetent klagenemnd vil innebære en
tre-instans behandling av alle klagesaker. Dette taler imot fortsatt å ha
et styre.
På den annen side kan komiteen se behovet
for en bred styrebehandling av prinsipielle og viktige personvernspørsmål
som knytter seg til andre saker enn klagesaker, og som ikke vil
bli behandlet i det nye klageorganet.
Komiteen er enig i Justisdepartementets karakteristikk
av Datatilsynet som et faglig uavhengig forvaltningsorgan med særskilt
vide fullmakter. At Personvernnemnda på eget initiativ
skal kunne omgjøre saker, og at vi nå får
en lov med langt flere materielle regler, er argumenter som for komiteen taler
mot fortsatt opprettholdelse av et styre. Dessuten deler komiteen departementets
oppfatning om at i en såpass liten organisasjon som Datatilsynet
vil det kunne virke veldig byråkratisk fortsatt å opprettholde
et styre.
På dette grunnlag kommer komiteen til
samme konklusjon som departementet om at en ikke finner det nødvendig å opprettholde
et styre i Datatilsynet.
Når det gjelder myndigheten til endelig avgjørelse om
sletting av registre og materiale med historisk verdi, mener komiteens
flertall, medlemmene fra Arbeiderpartiet og Fremskrittspartiet,
at Personvernnemnda ikke skal være siste klageinstans.
Ut fra den store nasjonale interesse og betydning en slik avgjørelse
kan ha, synes flertallet det er riktig at myndigheten
til å fatte en slik avgjørelse kan overprøves
i to instanser, og at den endelige avgjørelsen legges til
Regjeringen. Med et overordnet faglig ansvar for både personvernlovgivningen
og arkivloven vil departementsbehandling av saker hvor personvernhensyn
må veies mot hensynet til bevaring av historiske data for
ettertiden, utgjøre en ekstra sikkerhet for en særlig
grundig behandling av saken.
Flertallet fremmer følgende
forslag til endring i § 42 i tråd med
dette:
§§ 42 fjerde ledd skal
lyde:
Avgjørelser som Datatilsynet fatter i medhold
av §§ 9, 12, 27, 28, 30, 33, 34, 35, 44, 46 og
47 kan påklages til Personvernnemnda. Avgjørelser
som fattes i medhold av §§ 27 eller 28 kan påklages
videre til Kongen dersom avgjørelsen gjelder personopplysninger
som behandles for historiske formål.»
Komiteens medlemmer fra Kristelig Folkeparti,
Høyre og Senterpartiet har stor forståelse for
verdien av historisk materiale. Det er viktig at slikt materiale
kan bevares for ettertiden. Disse medlemmer vil imidlertid
vise til EUs personverndirektiv og det krav som der stilles til
tilsynsmyndighetens uavhengighet. For å sikre tilsynsmyndighetens
uavhengighet er det viktig at alle avgjørelser over klager
på vedtak fra Datatilsynet avgjøres i Personvernnemnda. Disse
medlemmer mener at nemndas sammensetning bør avspeile
det viktige hensyn til bevarelse av historisk materiale, ved at
det i nemnda oppnevnes en person fra dette miljøet. Personvernnemnda
skal årlig orientere Kongen om sin virksomhet. Det vil
i den sammenheng være adgang til å se hvorvidt
dette viktige hensyn er tilstrekkelig ivaretatt.
Disse medlemmer vil etter dette stemme imot forslaget
til nytt annet punktum i § 42 fjerde ledd.
Etter personregisterloven § 8 har Datatilsynet
adgang til i visse tilfeller å gi den registeransvarlige pålegg
om å rette, slette eller supplere et personregister. Tilsynet
har ikke anledning til å følge opp gjennomføringen
av pålegget med virkemidler som f.eks. tvangsmulkt.
Personregisterloven § 40 pålegger
objektivt erstatningsansvar for kredittopplysningsforetak som meddeler
opplysninger i strid med lovens regler eller opplysninger som viser
seg uriktige eller åpenbart misvisende. For andre virksomheter
finnes det ingen erstatningsregel i personregisterloven, slik at
det er det alminnelige ulovfestede uaktsomhetsansvaret som gjelder.
I Innst. S. nr. 80 (1991-1992) ber justiskomiteen regjeringen vurdere
om det er ønskelig å utvide den objektive erstatningsregelen
for kredittforetak til andre typer registre og om det bør
innføres en egen lovhjemmel for oppreisningserstatning
i personregisterloven.
Personregisterloven § 38 setter straff for
forsettlige og uaktsomme overtredelser av visse bestemmelser i loven.
Artikkel 23 og 24 i EU-direktivet pålegger medlemsstatene å fastsette
sanksjoner, herunder regler om erstatning, for overtredelse av de
nasjonale bestemmelser som gis til gjennomføring av direktivet.
Utvalget foreslår en bestemmelse som gir Datatilsynet
generell hjemmel til å gi pålegg om at behandling
av personopplysninger i strid med lovens regler skal opphøre
eller bare kunne fortsette på nærmere bestemte
vilkår. Datatilsynet får kompetanse til å ilegge en
løpende tvangsmulkt når dette er nødvendig
for å sikre at pålegg blir etterlevd.
Utvalget går videre inn for at den behandlingsansvarlige
skal være ansvarlig for økonomisk tap som han
forvolder, med mindre han eller hun godtgjør at vedkommende
ikke har utvist uaktsomhet (skyldansvar med omvendt bevisbyrde).
Kredittopplysningsforetak skal, på samme måte
som i dag ha et objektivt ansvar. Utvalget frarår at det
innføres en oppreisningsregel i den nye loven.
Utvalget går inn for å sette straff for overtredelse av
en rekke av reglene i forslaget til ny personopplysningslov. Det
foreslår at straffen under særdeles skjerpende
omstendigheter kan settes til fengsel inntil to år, mens
strafferammen ellers er ett år.
Det er generell oppslutning blant høringsinstansene
om å skjerpe og utvide dagens sanksjonsbestemmelser. Enkelte
reiser imidlertid spørsmål om påleggsbestemmelsen
går langt nok. Datatilsynet foreslår en regel
som gir tilsynet adgang til å gi pålegg om at
behandlinger av personopplysninger som på grunn av sitt
omfang eller art vil virke krenkende for den enkelte skal opphøre,
eller bare kunne gjennomføres på nærmere
bestemte vilkår. Det har ikke kommet innvendinger mot forslaget
om å innføre et erstatningsansvar. Flere tar til
orde for at det også bør kunne gis erstatning
for ikke-økonomisk tap. Når det gjelder straffebestemmelse,
reiser ØKOKRIM spørsmål om strafferammen
ved særdeles skjerpende omstendigheter bør økes
til tre år.
Departementet slutter seg i hovedsak til forslagene om å utvide
og skjerpe sanksjonsmulighetene. I motsetning til utvalget mener
departementet at det er behov for en oppreisningsbestemmelse, jf.
lovutkastets § 49, og departementet finner ikke
grunn til å straffesanksjonere innsynsreglene. Strafferammen for
særlig grove overtredelser av den nye loven bør slik
departementet ser det settes til tre år.
Datatilsynet får gjennom lovforslaget til dels vide fullmakter.
En hjemmel til ut fra en helhetsvurdering å sette særlige
vilkår for særskilte behandlinger av personopplysninger,
vil i realiteten fremstå som en generell fullmakt for tilsynet
til å gjøre unntak fra og supplere lovens behandlingsregler.
Departementet går ikke inn for å gi Datatilsynet
en slik skjønnsmessig adgang til å stanse eller
sette vilkår også for behandlinger som er lovlige.
Stortinget har i Innst. S. nr. 80 (1991-1992) fra justiskomiteen
bedt Regjeringen vurdere om det er ønskelig å utvide
den objektive erstatningsregelen for kredittforetak til andre typer
registre, og om det bør innføres en egen lovhjemmel
for oppreisningserstatning i personregisterloven. Sammen med EU-direktivets
pålegg til medlemsstatene om å fastsette sanksjoner,
herunder regler om erstatning for overtredelse av de nasjonale regler
som følger av gjennomføringen av direktivet, gir
dette stortingsvedtaket etter komiteens mening et
godt utgangspunkt for vurdering av sanksjoner og erstatningsspørsmålet.
Komiteen er enig i at Datatilsynet gis en generell
adgang til å pålegge behandlingsansvarlige å stoppe
ulovlige behandlinger eller stille de nødvendige vilkår
for at behandlingen skjer i samsvar med loven.
Komiteen går inn for å gi Datatilsynet
mulighet for å ilegge løpende tvangsmulkt når
det er nødvendig for å sikre at de lovmessige
vedtak blir etterlevd. Komiteen vil understreke viktigheten
av at tilsynsmyndigheten får den nødvendige tyngde
og virkning bak sine pålegg, og mulighet til å gripe
inn raskt overfor de behandlingsansvarlige.
Komiteen er enig i lovforslaget om å innføre
en generell erstatningsregel bygget på et skyldansvar med
omvendt bevisbyrde.
Komiteen følger departementet i at loven
får en oppreisningsbestemmelse (§ 49)
og at det ikke er nødvendig å straffesanksjonere
innsynsreglene. Dette siste vil også være i samsvar
med innsynsreglene i forvaltningsloven og offentlighetsloven som
ikke er straffebelagt.
Komiteen støtter at strafferammen for
særlig grove overtredelser av loven settes til tre år. Komiteen slutter
seg også til departementets forslag om å skjerpe
skyldkravet til å omfatte både forsettlige og grovt
uaktsomme brudd på lovens regler.
Komiteen støtter Justisdepartementet
i at Datatilsynet ikke får en skjønnsmessig adgang
til å stanse eller sette vilkår også for
behandlinger som er lovlige.
Den nye loven forutsetter i stor grad en omprioritering av Datatilsynets
arbeidsoppgaver, ved at fokus flyttes fra behandling av konsesjonssøknader
til etterfølgende kontroll. Det vil være et økt
behov - ikke minst i en overgangsperiode - for å styrke
tilsynets muligheter for å veilede og informere. Det er
også sannsynlig at man vil oppleve en økning av
antall klagesaker. Departementet mener på denne bakgrunn at
Datatilsynet bør tilføres fem nye saksbehandlerstillinger
på permanent basis, og fire midlertidige stillinger for
en periode på to år.
Utgifter til utredning og utvikling av meldepliktsystemet beregnes
til om lag 2 400 000 kroner, mens utgiftene til
anskaffelse av datasystem anslås til ca. 2 250 000
kroner. Som følge av at styret i Datatilsynet avvikles,
reduseres de administrative utgiftene med ca. 280 000 kroner
pr. år. Opprettelsen av en egen klagenemnd vil innebære
at Justisdepartementet sparer ca. 0,5 årsverk. De samlede
utgiftene til nemnda anslås til noe over 1,5 mill. kroner.
Lovforslaget vil påføre de behandlingsansvarlige kostnader,
først og fremst som en følge av de mer omfattende
innsynsreglene og de nye varslingsreglene. Det er vanskelig å tallfeste
hvor store kostnader dette vil medføre. I den grad praktiseringen
av innsynsreglene skulle vise seg å føre
til uakseptable omkostninger for de behandlingsansvarlige, åpnes
det i § 17 i lovforslaget for å gi forskrifter
om at de registrerte må betale vederlag. Kravene til sikring
og internkontroll i §§ 13 og 14 vil også kunne
medføre visse omkostninger for de behandlingsansvarlige.
Departementet ser grunn til å foreta en etterkontroll
etter en periode på ca. fem år for å undersøke
om de nye reglene virker etter sin hensikt.
Ut fra den omprioritering og de samlede oppgaver Datatilsynet
får ved gjennomføringen av den nye loven, støtter komiteen den
bemanningsstyrking Justisdepartementet foreslår.
Komiteen er ikke enig med departementet at det
kan gis forskrifter om at de registrerte om nødvendig kan
bli pålagt å betale vederlag for utgifter de behandlingsansvarlige
får ved gjennomføringen av innsynsreglene. Hvis
spørsmålet etter departementets mening skulle
bli aktuelt, må det forelegges Stortinget på nytt.
Komiteen ser helt klart behovet for en etterkontroll.
Resultatet av etterkontrollen og eventuelle forslag om endringer
eller justeringer av lovverket forutsetter komiteen blir
framlagt for Stortinget på en dertil egnet måte.
Komiteen synes en periode før etterkontroll
på 4 år kan være fornuftig. Dette tar
høyde for at loven gir en overgangsperiode på 2 år
for å søke konsesjon etter de nye reglene, og
legger til grunn at evalueringen skal skje to år etter
dette.
Komiteen viser til proposisjonen og
rår Odelstinget til å gjøre følgende
vedtak til lov
om behandling av personopplysninger
(personopplysningsloven)
Kapittel I Lovens formål og virkeområde
§ 1 Lovens formål
Formålet med denne loven er å beskytte
den enkelte mot at personvernet blir krenket gjennom behandling
av personopplysninger.
Loven skal bidra til at personopplysninger blir behandlet
i samsvar med grunnleggende personvernhensyn, herunder behovet for
personlig integritet, privatlivets fred og tilstrekkelig kvalitet
på personopplysninger.
§ 2 Definisjoner
I denne loven forstås med:
1) personopplysning: opplysninger og vurderinger som
kan knyttes til en enkeltperson,
2) behandling av personopplysninger: enhver bruk av personopplysninger,
som f.eks. innsamling, registrering, sammenstilling, lagring og
utlevering eller en kombinasjon av slike bruksmåter,
3) personregister: registre, fortegnelser m.v. der personopplysninger
er lagret systematisk slik at opplysninger om den enkelte kan finnes
igjen,
4) behandlingsansvarlig: den som bestemmer formålet
med behandlingen av personopplysninger og hvilke hjelpemidler som
skal brukes,
5) databehandler: den som behandler personopplysninger på vegne
av den behandlingsansvarlige,
6) registrert: den som en personopplysning kan knyttes til,
7) samtykke: en frivillig, uttrykkelig og informert erklæring
fra den registrerte om at han eller hun godtar behandling av opplysninger
om seg selv,
8) sensitive personopplysninger: opplysninger om
a) rasemessig eller etnisk
bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
b) at en person har vært mistenkt, siktet, tiltalt
eller dømt for en straffbar handling,
c) helseforhold,
d) seksuelle forhold,
e) medlemskap i fagforeninger.
§ 3 Saklig virkeområde
Loven gjelder for
a) behandling av personopplysninger som helt eller delvis
skjer med elektroniske hjelpemidler, og
b) annen behandling av personopplysninger når disse
inngår eller skal inngå i et personregister.
Loven gjelder ikke behandling av personopplysninger som
den enkelte foretar for rent personlige eller andre private formål.
Kongen kan gi forskrift om at loven eller deler av den
ikke skal gjelde for bestemte institusjoner og sakområder.
Kongen kan gi forskrift om behandling av personopplysninger
i særskilte virksomheter eller bransjer. For behandling
av personopplysninger som ledd i kredittopplysningsvirksomhet kan
det i forskrift gis bestemmelser bl.a. om hvilke typer opplysninger
som kan behandles, hvilke kilder personopplysninger kan hentes fra,
hvem kredittopplysninger kan utleveres til og hvordan utleveringen
kan skje, sletting av kredittanmerkninger og taushetsplikt
for de ansatte i kredittopplysningsbyrået. Det kan også gis
regler om at loven eller enkelte bestemmelser gitt i eller i medhold av
den skal gjelde for behandling av kredittopplysninger om andre enn
enkeltpersoner.
§ 4 Geografisk virkeområde
Loven gjelder for behandlingsansvarlige som er etablert
i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis
skal gjelde for Svalbard og Jan Mayen, og fastsette særlige
regler om behandling av personopplysninger for disse områdene.
Loven gjelder også for behandlingsansvarlige som
er etablert i stater utenfor EØS-området dersom den
behandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder
likevel ikke dersom hjelpemidlene bare brukes til å overføre
personopplysninger via Norge.
Behandlingsansvarlige som nevnt i annet ledd skal ha en
representant som er etablert i Norge. Bestemmelsene som gjelder
for den behandlingsansvarlige gjelder også for representanten.
§ 5 Forholdet til andre
lover
Bestemmelsene i loven gjelder for behandling av personopplysninger
om ikke annet følger av en særskilt lov som regulerer
behandlingsmåten.
§ 6 Forholdet til lovbestemt
innsynsrett etter andre lover
Loven her begrenser ikke innsynsrett etter offentlighetsloven,
forvaltningsloven eller annen lovbestemt rett til innsyn i personopplysninger.
Dersom annen lovbestemt rett til innsyn gir tilgang til
flere opplysninger enn loven her, skal den behandlingsansvarlige
av eget tiltak veilede om retten til å be om slikt innsyn.
§ 7 Forholdet til ytringsfriheten
For behandling av personopplysninger utelukkende for kunstneriske,
litterære eller journalistiske, herunder opinionsdannende,
formål gjelder bare bestemmelsene i §§ 13-15,
26, 36-41, jf. kapittel VIII.
Kapittel II Alminnelige regler for behandling av personopplysninger
§ 8 Vilkår
for å behandle personopplysninger
Personopplysninger (jf. § 2 nr. 1) kan bare behandles
dersom den registrerte har samtykket, eller det er fastsatt i lov
at det er adgang til slik behandling, eller behandlingen er nødvendig
for
a) å oppfylle en avtale med den registerte,
eller for å utføre gjøremål
etter den registrertes ønske før en slik avtale
inngås,
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig
forpliktelse,
c) å vareta den registrertes vitale interesser,
d) å utføre en oppgave av allmenn interesse,
e) å utøve offentlig myndighet, eller
f) at den behandlingsansvarlige eller tredjepersoner som
opplysningene utleveres til kan vareta en berettiget interesse,
og hensynet til den registrertes personvern ikke overstiger denne
interessen.
§ 9 Behandling av sensitive
personopplysninger
Sensitive personopplysninger (jf. § 2 nr. 8) kan bare
behandles dersom behandlingen oppfyller et av vilkårene
i § 8 og
a) den registrerte samtykker i behandlingen,
b) det er fastsatt i lov at det er adgang til slik behandling,
c) behandlingen er nødvendig for å beskytte
en persons vitale interesser, og den registrerte ikke er i stand
til å samtykke,
d) det utelukkende behandles opplysninger som den registrerte
selv frivillig har gjort alminnelig kjent,
e) behandlingen er nødvendig for å fastsette,
gjøre gjeldende eller forsvare et rettskrav,
f) behandlingen er nødvendig for at den behandlingsansvarlige
kan gjennomføre sine arbeidsrettslige plikter eller rettigheter,
g) behandlingen er nødvendig for forebyggende sykdomsbehandling,
medisinsk diagnose, sykepleie eller pasientbehandling eller for
forvaltning av helsetjenester, og opplysningene behandles av helsepersonell
med taushetsplikt, eller
h) behandlingen er nødvendig for historiske, statistiske
eller vitenskapelige formål, og samfunnets interesse i
at behandlingen finner sted klart overstiger ulempene den kan medføre
for den enkelte.
Ideelle sammenslutninger og stiftelser kan behandle sensitive
personopplysninger innenfor rammen av sin virksomhet selv om behandlingen
ikke oppfyller et av vilkårene i første ledd bokstav
a - h. Behandlingen kan bare omfatte opplysninger om medlemmer eller personer
som på grunn av sammenslutningens eller stiftelsens formål
frivillig er i regelmessig kontakt med den, og bare opplysninger
som innsamles gjennom denne kontakten. Personopplysningene kan ikke utleveres
uten at den registrerte samtykker.
Datatilsynet kan bestemme at sensitive personopplysninger
kan behandles også i andre tilfeller dersom viktige samfunnsinteresser
tilsier det og det settes i verk tiltak for å sikre den
registrertes interesser.
§ 10 Register over
straffedommer
Et fullstendig register over straffedommer kan bare føres
under kontroll av en offentlig myndighet.
§ 11 Grunnkrav til
behandling av personopplysninger
Den behandlingsansvarlige skal sørge for at personopplysningene
som behandles
a) bare behandles når dette er tillatt
etter §§ 8 og 9,
b) bare nyttes til uttrykkelig angitte formål som
er saklig begrunnet i den behandlingsansvarliges virksomhet,
c) ikke brukes senere til formål som er uforenlig
med det opprinnelige formålet med innsamlingen, uten at
den registrerte samtykker,
d) er tilstrekkelige og relevante for formålet
med behandlingen, og
e) er korrekte og oppdatert, og ikke lagres lenger enn det
som nødvendig ut fra formålet med behandlingen,
jf. §§ 27 og 28.
Senere behandling av personopplysningene for historiske,
statistiske eller vitenskapelige formål anses ikke uforenlig
med de opprinnelige formålene med innsamlingen av opplysningene,
jf. første ledd bokstav c, dersom samfunnets interesse
i at behandlingen finner sted, klart overstiger ulempene den kan
medføre for den enkelte.
§ 12 Bruk av fødselsnummer
m.v.
Fødselsnummer og andre entydige identifikasjonsmidler
kan bare nyttes i behandlingen når det er saklig behov
for sikker identifisering og metoden er nødvendig for å oppnå slik
identifisering.
Datatilsynet kan pålegge en behandlingsansvarlig å bruke
identifikasjonsmidler som nevnt i første ledd for å sikre
at personopplysningene har tilstrekkelig kvalitet.
Kongen kan gi forskrift med nærmere regler om bruk
av fødselsnummer og andre entydige identifikasjonsmidler.
§ 13 Informasjonssikkerhet
Den behandlingsansvarlige og databehandleren skal gjennom
planlagte og systematiske tiltak sørge for tilfredsstillende
informasjonssikkerhet med hensyn til konfidensialitet, integritet
og tilgjengelighet ved behandling av personopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet
skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet
og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig
for medarbeiderne hos den behandlingsansvarlige og hos databehandleren.
Dokumentasjonen skal også være tilgjengelig for
Datatilsynet og Personvernnemnda.
En behandlingsansvarlig som lar andre få tilgang til
personopplysninger, f.eks. en databehandler eller andre som utfører
oppdrag i tilknytning til informasjonssystemet, skal påse
at disse oppfyller kravene i første og annet ledd.
Kongen kan gi forskrift om informasjonssikkerhet ved behandling
av personopplysninger, herunder nærmere regler om organisatoriske
og tekniske sikkerhetstiltak.
§ 14 Internkontroll
Den behandlingsansvarlige skal etablere og holde vedlike
planlagte og systematiske tiltak som er nødvendige for å oppfylle
kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet.
Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen
skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige
og hos databehandleren. Dokumentasjonen skal også være tilgjengelig
for Datatilsynet og Personvernnemnda.
Kongen kan gi forskrift med nærmere regler om internkontroll.
§ 15 Databehandlerens
rådighet over personopplysninger
En databehandler kan ikke behandle personopplysninger på annen
måte enn det som er skriftlig avtalt med den behandlingsansvarlige.
Opplysningene kan heller ikke uten slik avtale overlates til noen andre
for lagring eller bearbeidelse.
I avtalen med den behandlingsansvarlige skal det også gå frem
at databehandleren plikter å gjennomføre slike
sikringstiltak som følger av § 13.
§ 16 Frist for å svare
på henvendelser om
informasjon m.v.
Den behandlingsansvarlige skal svare på henvendelser
om innsyn eller andre rettigheter etter §§ 18, 22,
25, 26, 27 og 28 uten ugrunnet opphold og senest innen 30 dager
fra den dagen henvendelsen kom inn.
Dersom særlige forhold gjør det umulig å svare
på henvendelsen innen 30 dager, kan gjennomføringen utsettes
inntil det er mulig å gi svar. Den behandlingsansvarlige
skal i så fall gi et foreløpig svar med opplysninger
om grunnen til forsinkelsen og sannsynlig tidspunkt for når
svar kan gis.
§ 17 Betaling
Den behandlingsansvarlige kan ikke kreve vederlag for å gi
informasjon etter kapittel III eller for å etterkomme krav
fra den registrerte etter kapittel IV.
Kapittel III Informasjon om behandling av
personopplysninger
§ 18 Rett til innsyn
Enhver som ber om det, skal få vite hva slags
behandling av personopplysninger en behandlingsansvarlig foretar,
og kan kreve å få følgende informasjon om
en bestemt type behandling:
a) navn og adresse på den behandlingsansvarlige
og dennes eventuelle representant,
b) hvem som har det daglige ansvaret for å oppfylle den
behandlingsansvarliges plikter,
c) formålet med behandlingen,
d) beskrivelser av hvilke typer personopplysninger som behandles,
e) hvor opplysningene er hentet fra, og
f) om personopplysningene vil bli utlevert, og eventuelt
hvem som er mottaker.
Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige
opplyse om
a) hvilke opplysninger om den registrerte som
behandles, og
b) sikkerhetstiltakene ved behandlingen så langt
innsyn ikke svekker sikkerheten.
Den registrerte kan kreve at den behandlingsansvarlige
utdyper informasjonen i første ledd bokstav a - f i den
grad dette er nødvendig for at den registrerte skal kunne
vareta egne interesser.
Retten til informasjon etter annet og tredje ledd gjelder
ikke dersom personopplysningene behandles utelukkende for historiske,
statistiske eller vitenskapelige formål og behandlingen
ikke får noen direkte betydning for den registrerte.
§ 19 Informasjonsplikt
når det samles inn
opplysninger fra den registrerte
Når det samles inn personopplysninger fra den registrerte
selv, skal den behandlingsansvarlige av eget tiltak først
informere den registrerte om
a) navn og adresse på den behandlingsansvarlige
og dennes eventuelle representant,
b) formålet med behandlingen,
c) opplysningene vil bli utlevert, og eventuelt hvem som
er mottaker,
d) det er frivillig å gi fra seg opplysningene,
og
e) annet som gjør den registrerte i stand til å bruke sine
rettigheter etter loven her på best mulig måte, som
f.eks. informasjon om retten til å kreve innsyn, jf. § 18,
og retten til å kreve retting, jf. §§ 27 og
28.
Varsling er ikke påkrevd dersom det er på det
rene at den registrerte allerede kjenner til informasjonen i første
ledd.
§ 20 Informasjonsplikt
når det samles inn
opplysninger fra andre enn den registrerte
En behandlingsansvarlig som samler inn personopplysninger
fra andre enn den registrerte selv, skal av eget tiltak informere
den registrerte om hvilke opplysninger som samles inn og gi informasjon
som nevnt i § 19 første ledd så snart
opplysningene er innhentet. Dersom formålet med innsamling
av opplysningene er å gi dem videre til andre, kan den
behandlingsansvarlige vente med å varsle den registrerte
til utleveringen skjer.
Den registrerte har ikke krav på varsel etter
første ledd dersom
a) innsamlingen eller formidlingen av opplysningene
er uttrykkelig fastsatt i lov,
b) varsling er umulig eller uforholdsmessig vanskelig, eller
c) det er på det rene at den registrerte allerede
kjenner til informasjonen varslet skal inneholde.
Når varsling unnlates med hjemmel i bokstav b, skal
informasjonen likevel gis senest når det gjøres
en henvendelse til den registrerte på grunnlag av opplysningene.
§ 21 Informasjonsplikt
ved bruk av personprofiler
Når noen henvender seg til eller treffer avgjørelser
som retter seg mot den registrerte på grunnlag av personprofiler
som er ment å beskrive atferd, preferanser, evner eller
behov, f eks som ledd i markedsføringsvirksomhet, skal
den behandlingsansvarlige informere den registrerte om
a) hvem som er behandlingsansvarlig,
b) hvilke opplysningstyper som er anvendt, og
c) hvor opplysningene er hentet fra.
§ 22 Rett til informasjon
om automatiserte avgjørelser
Hvis en avgjørelse har rettslig eller annen vesentlig
betydning for den registrerte og fullt ut er basert på automatisk
behandling av personopplysninger, kan den registrerte som avgjørelsen
retter seg mot, kreve at den behandlingsansvarlige gjør
rede for regelinnholdet i datamaskinprogrammene som ligger til grunn
for avgjørelsen.
§ 23 Unntak fra retten
til informasjon
Retten til innsyn etter §§ 18 og 22 og
plikten til å gi informasjon etter §§ 19,
20 og 21 omfatter ikke opplysninger som
a) om de ble kjent, ville kunne skade rikets sikkerhet,
landets forsvar eller forholdet til fremmede makter eller internasjonale
organisasjoner,
b) det er påkrevd å hemmeligholde av hensyn
til forebygging, etterforskning, avsløring og rettslig forfølgning
av straffbare handlinger,
c) det må anses utilrådelig at den registrerte
får kjennskap til, av hensyn til vedkommendes helse eller
forholdet til personer som står vedkommende nær,
d) det i medhold av lov gjelder taushetsplikt for,
e) utelukkende finnes i tekst som er utarbeidet for den
interne saksforberedelse og som heller ikke er utlevert til andre,
f) det vil være i strid med åpenbare og
grunnleggende private eller offentlige interesser å informere om,
herunder hensynet til den registrerte selv.
Opplysninger etter første ledd bokstav c kan på anmodning
likevel gjøres kjent for en representant for den registrerte
når ikke særlige grunner taler mot det.
Den som nekter å gi innsyn i medhold av første ledd
må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.
Kongen kan gi forskrift om andre unntak fra innsynsretten
og informasjonsplikten og om vilkår for bruk av innsynsretten.
§ 24 Hvordan informasjonen
skal gis
Informasjonen kan kreves skriftlig hos den behandlingsansvarlige
eller hos dennes databehandler som nevnt i § 15. Før
det gis innsyn i opplysninger om en registrert, kan den behandlingsansvarlige
kreve at den registrerte leverer en skriftlig og undertegnet begjæring.
Kapittel IV Andre rettigheter for den registrerte
§ 25 Rett til å kreve
manuell behandling
Den som en fullt automatisert avgjørelse som nevnt
i § 22 retter seg mot eller som saken ellers direkte gjelder,
kan kreve at avgjørelsen overprøves av en fysisk
person.
Retten etter første ledd gjelder ikke dersom den registrertes
personverninteresser varetas på tilstrekkelig måte
og avgjørelsen er hjemlet i lov eller knytter seg til oppfyllelse
av kontrakt.
§ 26 Rett til å reservere
seg mot direkte markedsføring
Kongen kan gi forskrift om et sentralt reservasjonsregister
med nærmere regler for registeret.
Den registrerte kan kreve sitt navn sperret mot bruk til
direkte markedsføring uavhengig av medium. Sperring kan
kreves både i det sentrale reservasjonsregisteret og i
markedsførerens adresseregister.
Behandlingsansvarlige som markedsfører direkte, skal
oppdatere sitt adresseregister i henhold til det sentrale reservasjonsregisteret
før første gangs utsendelse og minst fire ganger
hvert år.
Den som mottar direkte reklame, skal få opplyst hvem
som har gitt personopplysningene som ligger til grunn for henvendelsen.
Retten til å kreve sperring i det sentrale reservasjonsregisteret
gjelder ikke for markedsføring av egne produkter fra behandlingsansvarlige
som den registrerte har et løpende kundeforhold til.
§ 27 Retting av mangelfulle
personopplysninger
Dersom det er behandlet personopplysninger som er uriktige,
ufullstendige eller som det ikke er adgang til å behandle,
skal den behandlingsansvarlige av eget tiltak eller på begjæring
av den registrerte rette de mangelfulle opplysningene. Den behandlingsansvarlige
skal om mulig sørge for at feilen ikke får betydning
for den registrerte, f.eks. ved å varsle mottakere av utleverte
opplysninger.
Retting av uriktige eller ufullstendige personopplysninger
som kan ha betydning som dokumentasjon, skal skje ved at opplysningene
tydelig markeres og suppleres med korrekte opplysninger.
Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet
uten hinder av annet ledd bestemme at retting skal skje ved at de
mangelfulle personopplysningene slettes eller sperres. Hvis opplysningene
ikke kan kasseres i medhold av arkivloven, skal Riksarkivaren høres
før det treffes vedtak om sletting. Vedtaket går
foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9
og 18.
Sletting bør suppleres med registrering av korrekte
og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet
som inneholdt de slettede opplysningene av den grunn gir et åpenbart
misvisende bilde, skal hele dokumentet slettes.
Kongen kan gi forskrift med utfyllende bestemmelser om
hvordan retting skal gjennomføres.
§ 28 Forbud mot å lagre
unødvendige personopplysninger
Den behandlingsansvarlige skal ikke lagre personopplysninger
lenger enn det som er nødvendig for å gjennomføre
formålet med behandlingen. Hvis ikke personopplysningene
deretter skal oppbevares i henhold til arkivloven eller annen lovgivning,
skal de slettes.
Den behandlingsansvarlige kan uten hinder av første
ledd lagre personopplysninger for historiske, statistiske eller
vitenskapelige formål, dersom samfunnets interesse i at
opplysningene lagres klart overstiger de ulempene den kan medføre
for den enkelte. Den behandlingsansvarlige skal i så fall
sørge for at opplysningene ikke oppbevares på måter
som gjør det mulig å identifisere den registrerte
lenger enn nødvendig.
Den registrerte kan kreve at opplysninger som er sterkt
belastende for ham eller henne skal sperres eller slettes dersom
dette
a) ikke strider mot annen lov, og
b) er forsvarlig ut fra en samlet vurdering av bl.a. andres
behov for dokumentasjon, hensynet til den registrerte, kulturhistoriske
hensyn og de ressurser gjennomføringen av kravet forutsetter.
Datatilsynet kan - etter at Riksarkivaren er hørt
- treffe vedtak om at retten til sletting etter tredje ledd går
foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9
og 18.
Hvis dokumentet som inneholdt de slettede opplysningene
gir et åpenbart misvisende bilde etter slettingen, skal
hele dokumentet slettes.
Kapittel V Overføring av personopplysninger
til utlandet
§ 29 Grunnleggende
vilkår
Personopplysninger kan bare overføres til stater som
sikrer en forsvarlig behandling av opplysningene. Stater som har
gjennomført direktiv 95/46/EF om beskyttelse
av fysiske personer i forbindelse med behandling av personopplysninger
og om fri utveksling av slike opplysninger, oppfyller kravet til
forsvarlig behandling.
I vurderingen av om behandlingen sikres på forsvarlig
måte, skal det bl.a. legges vekt på opplysningenes
art, den planlagte behandlingens formål og varighet samt
de rettsregler, regler for god forretningsskikk og sikkerhetstiltak
som gjelder i vedkommende stat. Det skal også legges vekt
på om staten har tiltrådt Europarådets
konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med
elektronisk behandling av personopplysninger.
§ 30 Unntak
Personopplysninger kan også overføres
til stater som ikke sikrer en forsvarlig behandling av opplysningene
dersom
a) den registrerte har samtykket i overføringen,
b) det foreligger plikt til å overføre
opplysningene etter folkerettslig avtale eller som følge
av medlemskap i internasjonal organisasjon,
c) overføringen er nødvendig for å oppfylle
en avtale med den registrerte, eller for å utføre
gjøremål etter den registrertes ønske
før en slik avtale inngås,
d) overføringen er nødvendig for å inngå eller
oppfylle en avtale med en tredjeperson i den registrertes interesse,
e) overføringen er nødvendig for å vareta
den registrertes vitale interesser,
f) overføringen er nødvendig for å fastsette,
gjøre gjeldende eller forsvare et rettskrav,
g) overføringen er nødvendig eller følger
av lov for å beskytte en viktig samfunnsinteresse, eller
h) det er fastsatt i lov at det er adgang til å kreve
opplysninger fra et offentlig register.
Datatilsynet kan tillate overføring selv om vilkårene
i første ledd ikke er oppfylt dersom den behandlingsansvarlige
gir tilstrekkelige garantier for vern av den registrertes rettigheter.
Datatilsynet kan sette vilkår for overføringen.
Kongen kan gi forskrift om overføring av personopplysninger
til utlandet, herunder om å stanse eller begrense overføring
til bestemte stater som ikke tilfredsstiller kravene i § 29.
Kapittel VI Melde- og konsesjonsplikt
§ 31 Meldeplikt
Den behandlingsansvarlige skal gi melding til Datatilsynet
før
a) behandling av personopplysninger med elektroniske
hjelpemidler,
b) opprettelse av manuelt personregister som inneholder
sensitive personopplysninger.
Meldingen skal gis senest 30 dager før behandlingen
tar til. Datatilsynet skal gi den behandlingsansvarlige kvittering
for at melding er mottatt.
Ny melding må gis før behandling som
går ut over den rammen for behandling som er angitt i medhold av § 32.
Selv om det ikke har skjedd endringer, skal det gis ny melding tre år
etter at forrige melding ble gitt.
Kongen kan gi forskrift om at visse behandlingsmåter
eller behandlingsansvarlige er unntatt fra meldeplikt, underlagt
forenklet meldeplikt eller underlagt konsesjonsplikt. For behandlinger
som unntas fra meldeplikt kan det gis forskrift for å begrense
ulemper som behandlingen ellers kan medføre for den registrerte.
§ 32 Meldingens innhold
Meldingen skal opplyse om
a) navn og adresse på den behandlingsansvarlige
og på dennes eventuelle representant og databehandler,
b) når behandlingen starter,
c) hvem som har det daglige ansvaret for å oppfylle den
behandlingsansvarliges plikter,
d) formålet med behandlingen,
e) oversikt over hvilke typer personopplysninger som skal
behandles,
f) hvor personopplysningene hentes fra,
g) det rettslige grunnlaget for innsamlingen av opplysningene,
h) hvem personopplysningene vil bli utlevert til, herunder
eventuelle mottakere i andre stater, og
i) hvilke sikkerhetstiltak som er knyttet til behandlingen.
Kongen kan gi forskrift om hvilke opplysninger meldingene
skal inneholde og om gjennomføringen av meldeplikten.
§ 33 Konsesjonsplikt
Det kreves konsesjon fra Datatilsynet for å behandle
sensitive personopplysninger. Dette gjelder likevel ikke for behandling
av sensitive personopplysninger som er avgitt uoppfordret.
Datatilsynet kan bestemme at også behandling av annet
enn sensitive personopplysninger krever konsesjon, dersom behandlingen
ellers åpenbart vil krenke tungtveiende personverninteresser.
I vurderingen av om konsesjon er nødvendig, skal Datatilsynet
bl.a. ta hensyn til personopplysningenes art, mengde og formålet
med behandlingen.
Den behandlingsansvarlige kan kreve at Datatilsynet avgjør
om en behandling vil kreve konsesjon.
Konsesjonsplikt etter første og annet ledd gjelder ikke
for behandling av personopplysninger i organ for stat eller kommune
når behandlingen har hjemmel i egen lov.
Kongen kan gi forskrift om at visse behandlingsmåter
ikke trenger konsesjon etter første ledd. For behandlingsmåter
som unntas fra konsesjon kan det gis forskrift for å begrense
ulemper som behandlingen ellers kan medføre for den registrerte.
§ 34 Avgjørelsen
av om konsesjon skal gis
Ved avgjørelsen av om konsesjon skal gis, skal det
klarlegges om behandlingen av personopplysninger kan volde ulemper
for den enkelte som ikke avhjelpes gjennom bestemmelsene i kapitlene
II-V og vilkår etter § 35. I så fall
må det vurderes om ulempene blir oppveid av hensyn som
taler for behandlingen.
§ 35 Vilkår
i konsesjon
I konsesjonen skal det vurderes å sette vilkår
for behandlingen når slike vilkår er nødvendige
for å begrense ulempene behandlingen ellers ville medføre for
den registrerte.
Kapittel VII Fjernsynsovervåking
§ 36 Definisjon
Med fjernsynsovervåking menes vedvarende eller regelmessig
gjentatt personovervåking ved hjelp av fjernbetjent eller
automatisk virkende fjernsynskamera fotografiapparat eller lignende
apparat.
§ 37 Virkeområde
Reglene i §§ 38 - 41 gjelder for all
fjernsynsovervåking. Det samme gjelder §§ 8,
9, 11, 31 og 32. Fjernsynsovervåking som har som formål å avdekke opplysninger
som nevnt i § 2 nr. 8 bokstav b, er likevel tillatt, selv
om vilkårene i § 9 første ledd ikke er
oppfylt.
Når billedopptak fra fjernsynsovervåking
lagres på en måte som gjør det mulig å finne
igjen opplysninger om en bestemt person, jf. § 3 første
ledd, gjelder også lovens øvrige bestemmelser.
Konsesjonsplikten etter § 33 gjelder likevel ikke
for slik fjernsynsovervåking som har som formål å avdekke
opplysninger som nevnt i § 2 nr. 8 bokstav b.
§ 38 Grunnkrav til
overvåking
Fjernsynsovervåking av sted hvor en begrenset krets
av personer ferdes jevnlig, er bare tillatt dersom det ut fra virksomheten
er et særskilt behov for overvåkingen.
§ 39 Utlevering av
billedopptak gjort ved fjernsynsovervåking
Personopplysninger som er innsamlet ved billedopptak gjort
ved fjernsynsovervåking, kan bare utleveres til andre enn
den behandlingsansvarlige dersom den som er avbildet samtykker eller
utleveringsadgangen følger av lov. Billedopptak kan likevel
utleveres til politiet ved etterforskning av straffbare handlinger eller
ulykker hvis ikke lovbestemt taushetsplikt er til hinder.
§ 40 Varsel om at overvåking
finner sted
Ved fjernsynsovervåking på offentlig
sted eller sted hvor en begrenset krets av personer ferdes jevnlig,
skal det ved skilting eller på annen måte gjøres
tydelig oppmerksom på at stedet blir overvåket
og hvem som er behandlingsansvarlig.
§ 41 Forskrifter
Kongen kan gi forskrifter med nærmere bestemmelser
om fjernsynsovervåking og billedopptak i forbindelse med
slik overvåking, herunder om sikring, bruk og sletting
av billedopptak gjort ved fjernsynsovervåking
og om innsynsrett for den som er overvåket i de deler av
billedopptakene hvor han eller hun er avbildet. Det kan også gis
forskrift om at billedopptak kan utleveres utover det som følger
av § 39.
Kapittel VIII Tilsyn og sanksjoner
§ 42 Datatilsynets
organisering og oppgaver
Datatilsynet er et uavhengig forvaltningsorgan administrativt
underordnet Kongen og departementet. Kongen og departementet kan
ikke gi instruks om eller omgjøre Datatilsynets utøving
av myndighet i enkelttilfeller etter loven.
Datatilsynet ledes av en direktør som utnevnes
av Kongen. Kongen kan bestemme at direktøren ansettes på åremål.
Datatilsynet skal
1) føre en systematisk og offentlig fortegnelse
over alle behandlinger som er innmeldt etter § 31 eller gitt
konsesjon etter § 33, med opplysninger som nevnt i § 18
første ledd jf. § 23,
2) behandle søknader om konsesjoner, motta meldinger
og vurdere om det skal gis pålegg der loven gir hjemmel
for dette,
3) kontrollere at lover og forskrifter som gjelder for behandling
av personopplysninger blir fulgt, og at feil eller mangler blir
rettet,
4) holde seg orientert om og informere om den generelle
nasjonale og internasjonale utviklingen i behandlingen av personopplysninger
og om de problemer som knytter seg til slik behandling,
5) identifisere farer for personvernet, og gi råd
om hvordan de kan unngås eller begrenses,
6) gi råd og veiledning i spørsmål
om personvern og sikring av personopplysninger til dem som planlegger å behandle
personopplysninger eller utvikle systemer for slik behandling,
herunder bistå i utarbeidelsen av bransjevise atferdsnormer,
7) etter henvendelse eller av eget tiltak gi uttalelse i spørsmål
om behandling av personopplysninger, og
8) gi Kongen årsmelding om sin virksomhet.
Avgjørelser som Datatilsynet fatter i medhold
av §§ 9, 12, 27, 28, 30, 33, 34, 35, 44, 46 og
47 kan påklages til Personvernnemnda. Avgjørelser
som fattes i medhold av §§ 27 eller 28 kan påklages
videre til Kongen dersom avgjørelsen gjelder personopplysninger
som behandles for historiske formål.
§ 43 Personvernnemndas
organisering og oppgaver
Personvernnemnda avgjør klager over Datatilsynets
avgjørelser, jf. § 42 fjerde ledd. Nemnda er et
uavhengig forvaltningsorgan administrativt underordnet Kongen og
departementet. § 42 første ledd annet punktum
gjelder tilsvarende.
Personvernnemnda har syv medlemmer som oppnevnes for fire år
med adgang til gjenoppnevning for ytterligere fire år.
Lederen og nestlederen oppnevnes av Stortinget. De øvrige
fem medlemmene oppnevnes av Kongen.
Personvernnemnda kan bestemme at lederen eller nestlederen
sammen med to andre nemndsmedlemmer kan behandle klager over avgjørelser
som må avgjøres uten opphold.
Personvernnemnda orienterer årlig Kongen om behandling
av klagesakene.
Søksmål om gyldigheten av Personvernnemndas avgjørelser
rettes mot staten ved Personvernnemnda.
Kongen kan gi nærmere regler om Personvernnemndas
organisering og saksbehandling.
§ 44 Tilsynsmyndighetens
tilgang til opplysninger
Datatilsynet og Personvernnemnda kan kreve de opplysningene
som trengs for at de kan gjennomføre sine oppgaver.
Datatilsynet kan som ledd i sin kontroll med at lovens
regler etterleves, kreve adgang til steder hvor det finnes personregistre,
overvåkingsutstyr og billedopptak som nevnt i § 37,
personopplysninger som behandles elektronisk og hjelpemidler for
slik behandling. Tilsynet kan gjennomføre de prøver
eller kontroller som det finner nødvendig og kreve bistand
fra personalet på stedet i den grad dette må til
for å få utført prøvene eller
kontrollene.
Retten til å kreve opplysninger eller tilgang
til lokaler og hjelpemidler i henhold til første og annet ledd
gjelder uten hinder av taushetsplikt.
Kongen kan gi forskrift om unntak fra første til tredje
ledd av hensyn til rikets sikkerhet. Kongen kan også gi
forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag
til dekning av utgiftene er tvangsgrunnlag for utlegg.
§ 45 Taushetsplikt
for tilsynsmyndighetene
For ansatte i Datatilsynet, medlemmer av Personvernnemnda
og andre som utfører tjeneste for tilsynsmyndighetene gjelder
bestemmelsene om taushetsplikt i forvaltningsloven §§ 13
flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak,
jf § 13.
Datatilsynet og Personvernnemnda kan uten hinder av taushetsplikten
etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter
når det er nødvendig for å kunne treffe
vedtak som ledd i tilsynsvirksomheten.
§ 46 Pålegg
om endring eller opphør av ulovlige
behandlinger
Datatilsynet kan gi pålegg om at behandling av personopplysninger
i strid med bestemmelser i eller i medhold av denne loven skal opphøre
eller stille vilkår som må oppfylles for at behandlingen
skal være i samsvar med loven.
§ 47 Tvangsmulkt
Ved pålegg etter §§ 12, 27,
28 og 46 kan Datatilsynet fastsette en tvangsmulkt som løper
for hver dag som går etter utløpet av den fristen
som er satt for oppfylling av pålegget, inntil pålegget
er oppfylt.
Tvangsmulkten løper ikke før klagefristen
er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt
før Personvernnemnda har bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 48 Straff
Med bøter eller fengsel inntil ett år
eller begge deler straffes den som forsettlig eller grovt uaktsomt
a) unnlater å sende melding etter § 31,
b) behandler personopplysninger uten nødvendig konsesjon
etter § 33,
c) overtrer vilkår fastsatt etter §§ 35
eller 46,
d) unnlater å etterkomme pålegg fra Datatilsynet
etter §§ 12, 27, 28 eller 46,
e) behandler personopplysninger i strid med §§ 13, 15,
26 eller § 39, eller
f) unnlater å gi opplysninger etter §§ 19,
20, 21, 40 eller 44.
Ved særdeles skjerpende omstendigheter kan fengsel
inntil tre år idømmes. Ved avgjørelsen
av om det foreligger særdeles skjerpende omstendigheter skal
det blant annet legges vekt på faren for stor skade eller
ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen,
overtredelsens varighet og omfang, utvist skyld, og om den behandlingsansvarlige tidligere
er straffet for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes
at den som forsettlig eller grovt uaktsomt overtrer forskriften
skal straffes med bøter eller fengsel inntil ett år
eller begge deler.
§ 49 Erstatning
Den behandlingsansvarlige skal erstatte skade som er oppstått
som følge av at personopplysninger er behandlet i strid
med bestemmelser i eller i medhold av loven, med mindre det godtgjøres
at skaden ikke skyldes feil eller forsømmelse på den
behandlingsansvarliges side.
Behandlingsansvarlige som formidler kredittopplysninger
og som har meddelt opplysninger som viser seg uriktige eller åpenbart
misvisende, skal erstatte skade som er oppstått som følge
av den feilaktige meddelelsen, uten hensyn til om skaden skyldes
feil eller forsømmelse på den behandlingsansvarliges side.
Erstatningen skal svare til det økonomiske tapet som
den skadelidte er påført som følge av
den ulovlige behandlingen. Den behandlingsansvarlige kan også pålegges å betale
slik erstatning for skade av ikke-økonomisk art (oppreisning)
som synes rimelig.
Kapittel IX Ikraftsetting. Overgangsregler.
Endringer i andre lover
§ 50 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Kongen
kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft
til forskjellig tid.
§ 51 Overgangsregler
1. For behandling av personopplysninger som er påbegynt
før loven trer i kraft og som er melde- eller konsesjonspliktig
etter bestemmelsene i kapittel VI, skal det sendes melding i henhold
til § 31 eller søkes om konsesjon fra Datatilsynet
i henhold til § 33 innen ett år fra ikrafttredelsen.
Dersom behandlingen foretas i henhold til konsesjon i medhold av
personregisterloven § 9, er fristen for å sende
melding eller søke om konsesjon to år fra ikrafttredelsen.
Inntil melding er sendt eller Datatilsynet har gitt konsesjon, kan
personopplysningene behandles i henhold til reglene i personregisterloven.
2. Et samtykke som en registrert har gitt før loven trer
i kraft skal fremdeles gjelde, hvis det tilfredsstiller vilkårene
i § 2 nr. 7.
3. Klager som Datatilsynet mottar etter at loven trer i
kraft, behandles av Personvernnemnda.
4. Kongen kan ved forskrift gi nærmere overgangsregler.
§ 52 Endringer i andre
lover
I andre lover gjøres følgende endringer:
1. Lov 22. mai 1902 nr. 10 Almindelig borgerlig Straffelov
endres slik:
§ 390 b oppheves.
2. Lov 9. juni 1978 nr. 48 om personregistre m.m. oppheves.
3. I lov 22. mai 1981 nr. 25 om rettergangsmåten
i straffesaker skal § 202 a første ledd lyde:
Når det foreligger skjellig grunn til mistanke
om en eller flere straffbare handlinger som etter loven kan medføre
høyere straff enn fengsel i 6 måneder, kan politiet
iverksette skjult fjernsynsovervåking på offentlig
sted som nevnt i personopplysningsloven § 40 når
slik overvåking vil være av vesentlig betydning for
etterforskningen. § 196 gjelder tilsvarende.
4. I lov 13. mai 1988 nr. 26 om inkassovirksomhet skal § 22
annet ledd lyde:
Første ledd hindrer ikke at opplysninger overlates til
eller lovlig brukes i kredittopplysningsvirksomhet som drives i
samsvar med personopplysningsloven.
5. Lov 4. desember 1992 nr. 126 om arkiv endres slik:
§ 9 bokstav c tredje punktum skal lyde:
Personregister eller delar av personregister kan likevel
slettast etter føresegnene i personopplysningslova.
§ 9 bokstav d annet punktum skal lyde:
Føresegner om sletting gjevne i medhald av § 27 tredje
og femte leden og § 28 fjerde leden i personopplysningslova gjeld
likevel uinnskrenka.
§ 18 annet punktum skal lyde:
Reglane i personopplysningslova om retting
og sletting av opplysningar vil likevel gjelda fullt ut.
6. I lov 19. juni 1997 nr. 62 om familievernkontorer
skal § 11 tredje ledd lyde:
Behandling av klientjournal er ikke
konsesjonspliktig etter personopplysningsloven § 33.
7. Lov 26. juni 1998 nr. 47 om fritids- og småbåter endres
slik:
§ 13 annet punktum skal lyde:
Sammenstilling kan ellers bare skje
når dette følger av annen lov eller av vedtak
etter personopplysningsloven.
§ 14 skal lyde:
§ 14 Innsynsrett
Innsynsrett etter personopplysningsloven § 18
jf. § 23 gjelder for småbåtregisteret.
§ 16 skal lyde:
§ 16 Registreringsmyndighetens ansvar
Registreringsmyndigheten nevnt i § 3 skal sørge for
at bestemmelser gitt i eller i medhold av §§ 10
til 15 i loven her og personopplysningsloven blir
fulgt.
8. Lov om Schengen informasjonssystem (SIS)
endres slik:
§ 3 annet ledd tredje og fjerde punktum
skal lyde:
Dokumentasjonen skal også være tilgjengelig
for Datatilsynet og Personvernnemnda. De ansatte
i Datatilsynet, medlemmer av Personvernnemnda eller andre
som utfører tjeneste for tilsynsmyndigheten, skal hindre
at uvedkommende får tilgang til opplysninger om sikkerhetstiltakene.
§ 4 annet ledd skal lyde:
Den registeransvarlige skal dokumentere tiltakene. Dokumentasjonen skal
gjøres tilgjengelig for medarbeiderne hos den
registeransvarlige og dennes databehandler. Dokumentasjonen
skal også være tilgjengelig for Datatilsynet og
Personvernnemnda.
§ 22 første ledd første
punktum skal lyde:
Datatilsynet og Personvernnemnda kan
kreve de opplysningene som trengs for å gjennomføre
sine oppgaver.
§ 23 annet skal lyde:
Datatilsynets vedtak etter første ledd kan påklages til
Personvernnemnda.
Oslo, i justiskomiteen, den 22. februar 2000
| Kristin Krohn Devold |
Jan Petter Rasmussen |
Jan Simonsen |
| leder |
ordfører |
sekretær |