Det går fram av meldinga at behandling av personopplysningar
kan ha grunnlag i samtykke frå dei registrerte, i lovheimel eller
i ein av dei nærmare bestemte grunnane i personopplysningslova § 8
bokstavane a til f. Når ein skal behandle sensitive personopplysningar,
må ein ha grunnlag i både § 8 og § 9. Dette inneber at det blir
stilt strengare krav til heimelsgrunnlag ved behandling av personopplysningar
som er sensitive, enn ved behandling av andre personopplysningar.
Behandling av personopplysningar er nødvendig for
eit velfungerande samfunn og ein føresetnad for rettsstaten. Ein
må kunne samle inn personopplysningar til definerte føremål og kunne bruke
opplysningane til desse føremåla. Når det gjeld krav til rettsleg
grunnlag for behandling av personopplysningar, er det stor forskjell
mellom offentlege styremakter, private aktørar som utfører lovheimla
offentlege tenester og oppgåver, og private aktørar. Privatrettsleg
bind innbyggjarane seg frivillig ved avtalar, medan myndigheita
på det offentlegrettslege området er knytt til lovgiving. Utøving
av offentleg myndigheit er bindande utan noka form for samtykke frå
innbyggjarane.
Det blir i meldinga vist til at det er ønskjeleg
at dei registrerte har så stor råderett over eigne personopplysningar
som mogleg. Samtykke som behandlingsgrunnlag står sentralt i denne
samanhengen. I den vidare framstillinga vil spørsmålet om lovheimel
som behandlingsgrunnlag i første rekkje vere knytt til utføring
av lovpålagde offentlege oppgåver, sjølv om dette òg er eit aktuelt
behandlingsgrunnlag for private aktørar i visse samanhengar. Samtykke
som behandlingsgrunnlag er primært aktuelt i privat sektor, men kan
òg vere relevant i offentleg sektor. Enkelte personopplysningsbehandlingar
er openbert nødvendige for å utføre lovpålagde offentlege oppgåver,
sjølv om behandlinga ikkje har nokon eksplisitt heimel i lov. Då
må ein kunne leggje til grunn at lovgivaren har vurdert dei personvernmessige
konsekvensane av lova, og at den medfølgjande behandlinga ikkje
er så inngripande at ho etter legalitetsprinsippet krev ein klårare lovheimel.
Nødvendiggjerande grunnar kan vere aktuelle behandlingsgrunnlag
i både offentleg og privat sektor. I offentleg sektor vil til dømes utøving
av offentleg myndigheit eller utøving av oppgåver av allmenn interesse
kunne vere aktuelle grunnlag for innsamling og bruk av personopplysningar.
I privat verksemd kan ein aktuell grunn vere oppfylling av ei avtale
med den registrerte.
Dei tre behandlingsgrunnlaga samtykke, lovheimel
og grunn som gjer behandling nødvendig er likeverdige alternativ
i personopplysningslova.
I valet mellom samtykke eller nødvendiggjerande
grunn som grunnlag for behandling av personopplysningar, går det
fram av forarbeida til personopplysningslova at personopplysningsbehandlingar
i størst mogleg grad bør baserast på samtykke der dette let seg
gjere.
I ei rekkje samanhengar er samtykke likevel
ikkje eit eigna grunnlag for behandling av personopplysningar. Behandling
av personopplysningar i offentleg forvaltning er i stor grad basert
på heimel i lov som ein føresetnad for utøving av offentleg myndigheit
eller som ein føresetnad for å utøve ei lovpålagd offentleg oppgåve.
For private aktørar kan det òg vere nødvendig
å nytte andre behandlingsgrunnlag enn samtykke. Eit eksempel kan
vere behandling av kontaktinformasjon for bruk i direkte marknadsføring.
Behandling av kontaktinformasjon er i dei fleste tilfelle lite personverninngripande,
og det å bli kontakta for direkte marknadsføring er ikkje eit stort
personverninngrep for den enkelte. På den andre sida kan kostnaden
ved å innhente samtykke for slike behandlingar vere stor i høve
til gevinsten.
Forvaltninga si innsamling og bruk av personopplysningar
er i hovudsak fastsett i lov eller er nødvendig for å utøve offentleg
myndigheit. Tilsvarande gjeld for private aktørar som utfører lovpålagde
offentlege tenester. Forvaltninga si behandling av personopplysningar
må sjåast i samanheng med at behandling av personopplysningar ofte
skjer som del av utøvinga av myndigheit. Personopplysningane som
blir behandla, må vere relevante og oppdaterte. Langt på veg har
derfor det offentlege og dei registrerte dei same interessene når
grunnlag for behandling av personopplysningar skal vurderast.
Det blir i meldinga vist til at samtykke er
eit lite eigna behandlingsgrunnlag for dei fleste behandlingar av
personopplysningar i forvaltninga.
Somme lover regulerer sjølve behandlinga av personopplysningar,
og behandlinga kan stå fram som eit mål i seg sjølv.
Sidan forvaltninga si utøving av myndigheit byggjer
på legalitetsprinsippet, følgjer det av heimel i lov kva oppgåver
offentlege styremakter skal utføre. Ein må leggje til grunn at lovgivaren
òg har vurdert personvernsidene ved ei vedteken forvaltningsordning
som krev at visse personopplysningar blir behandla.
Lovheimel som behandlingsgrunnlag kan ein ha både
der det direkte er gitt heimel til å behandle personopplysningar,
og der det er føresett at slik behandling kan skje. Tilsvarande
gjeld for private aktørar som utfører lovpålagde offentlege tenester.
Kva opplysningar som er dekte av heimelen, må likevel avgrensast
til det som er nødvendig og relevant, slik at kravet til forholdsmessigheit
og dataminimalitet i personopplysningslova blir oppfylt.
Det går fram av meldinga at dersom ei grundig vurdering
etter legalitetsprinsippet viser at ei personopplysningsbehandling
i offentleg verksemd ikkje har slik heimel i lov at lovkravet i personopplysningslova
er oppfylt, må ein sjå om personopplysningslova gir eit anna behandlingsgrunnlag.
I slike tilfelle må forvaltninga kunne behandle personopplysningar
med heimel i personopplysningslova § 8 bokstav e, når det er nødvendig
for «å utøve offentlig myndighet».
I behandlinga av utkastet til ny personvernforordning
i EU er det peikt på at den nødvendiggjerande grunnen i personopplysningslova
§ 8 bokstav e er det mest sentrale behandlingsgrunnlaget for offentlege
styremakter. Dersom forvaltningsorganet ønskjer å samle inn opplysningar som
ikkje er relevante for utøving av myndigheit, for eksempel ei brukarundersøking,
kan behandlinga ikkje heimlast i § 8 bokstav e.
I meldinga blir det peikt på at i framtida bør
behandling av personopplysningar som er ein nødvendig føresetnad
for at den offentlege forvaltninga kan utøve myndigheit og utføre
tenester, så langt råd er ha heimel i lov. Utgreiingar av personvernkonsekvensar
i lovgivingsprosessen kan bidra til auka merksemd på behovet for og
innretninga av personopplysningsbehandlinga og såleis gi eit betre
regelverk og eit betre personvern.
Samtykke blir i mange samanhengar framheva som
det føretrekte grunnlaget for behandling av personopplysningar.
Krava til eit samtykke i personvernsamanheng
er lovregulert. Etter personopplysningslova § 2 nr. 7 skal eit samtykke
vere ei frivillig, informert og uttrykkeleg erklæring frå den registrerte
om at vedkomande godtek behandling av opplysningar om seg sjølv.
Samtykket skal vere ei aktiv handling frå dei registrerte si side.
Det er ikkje eit krav at samtykket blir gitt skriftleg. Det er likevel
den behandlingsansvarlege som har ansvaret for å dokumentere at
det er gitt eit gyldig samtykke.
Før han eller ho gir samtykke, skal den registrerte
få god og forståeleg informasjon om bruken av personopplysningar.
Informasjonen skal seie noko om føremålet med behandlinga, kva opplysningar
som blir behandla, og korleis dei blir henta inn, i tillegg til
kven som har tilgang til opplysningane. Denne informasjonen skal
danne grunnlaget for samtykket og vil vere avgjerande for kor langt
samtykket rekk.
Informasjonen må vere godt synleg og lett tilgjengeleg
for brukaren, helst samla på éin stad. Ein bør unngå å bruke vanskeleg
språk og lange formuleringar. For mykje informasjon kan føre til
at brukaren føler avmakt og unngår å setje seg inn i informasjonen,
medan for lite informasjon kan føre til at brukaren ikkje forstår
omfanget av behandlinga han eller ho samtykkjer i. Begge situasjonane
kan føre til at samtykket ikkje tilfredsstiller krava i lova. Dei
europeiske datatilsynsstyremaktene synest å vere einige om at ein
gjennomsnittleg brukar bør vere i stand til å forstå informasjonen
for at den skal vere tilfredsstillande.
Samtykket skal vere frivillig. Det blir i meldinga vist
til at dersom det kan vere tvil om den registrerte opplever å ha
eit reelt val, bør ikkje behandling av personopplysningar ha grunnlag
i samtykke.
Det blir i meldinga vist til at alternativ til
samtykke kan vere reservasjonsrett eller implisitt samtykke/konkludent
åtferd.
Det er viktig å skilje mellom samtykke til å
delta i ei gitt handling eller aktivitet og samtykke til behandling
av personopplysningar som følgjer av denne aktiviteten.
«Clickwrap» er ein avtale som blir inngått på nett
ved at standardvilkår blir presenterte for brukaren i eit eige vindauge,
og brukaren aksepterer desse vilkåra ved for eksempel å klikke på ein
«aksept»-knapp.
Både Datatilsynet og Forbrukarombodet legg til grunn
at «click-wrap»-samtykke ikkje oppfyller krava til samtykke etter
personopplysningslova og marknadsføringslova mellom anna fordi informasjonen
er mangelfull. Forbrukarombodet har det siste året prioritert å
få rydda opp i bruk av «clickwrap»-samtykke som grunnlag for behandling
av personopplysningar i marknadsføringssektoren. Tilsyn og informasjon
til behandlingsansvarlege kan bidra til å redusere problema ytterlegare.
Det eksisterer ikkje noko generelt krav om at samtykke
skal vere skriftleg. Sidan det kan vere vanskeleg å vite kva dei
registrerte har forstått og teke stilling til ved handlingane sine,
kan det vere utfordrande å godtgjere at det er gitt eit implisitt
samtykke.
Internasjonalt held ein fast ved at samtykke
som grunnlag for behandling av personopplysningar skal vere klårt
og tydeleg og innebere ein aktivitet frå den registrerte si side
som stadfestar at vedkomande forstår at det vil bli behandla personopplysningar.
Regjeringa meiner prinsippet om at samtykke helst skal vere ei uttrykkeleg erklæring
eller aktiv handling, er eit godt prinsipp som det er viktig å halde
fast ved også i tida framover.
For at eit samtykke skal vere eit gyldig grunnlag for
behandling av personopplysningar, er eit av krava at det må vere
gitt frivillig. Frivillig inneber sjølvsagt at samtykket ikkje kan
bli gitt under noka form for tvang. Men òg andre forhold kan påverke
den frie viljen, til dømes at det er eit ujamt styrkeforhold mellom
partane som inneber at den registrerte ikkje opplever å ha noko
reelt val med omsyn til å gi samtykke. Dette kan blant anna vere
tilfellet når innbyggjarane er i kontakt med offentlege styremakter.
Nokre døme kan vise dei utfordringane den behandlingsansvarlege
kan møte, og som kan tilseie at samtykke ikkje er eigna som grunnlag
for behandling av personopplysningar.
Det blir i meldinga kapittel 6.4 vist til døme
frå arbeidslivet og frå helse- og omsorgstjenesten.
Mindreårige har i dei fleste tilfelle ikkje
sjølvstendig samtykkekompetanse. Likevel er det mykje dei kan samtykkje
i, avhengig av alder og mognad. Barnet sin alder og mognad vil vere
eit viktig element i vurderinga av om barnet òg skal høyrast i spørsmålet
om behandling av opplysningar.
For å tryggje barns personvern betre tilrådde
Justis- og politidepartementet i Prop. 47 L (2011–2012) endringar
i personopplysningslova § 11. Lovendringsforslaget vart vedteke,
og frå 20. april 2012 følgjer det av personopplysningslova at ein
ikkje kan behandle personopplysningar om barn i strid med det som
er til beste for barnet. Prinsippet om barnet sitt beste tilseier
at der barnet sitt behov for omsorg og vern i praksis ikkje fell
saman med interessene til foreldra, må barnet sine interesser og
behov gå føre. Dette gjeld òg for samtykke til behandling av personopplysningar.
Spørsmålet om samtykkekompetansen til mindreårige
er særleg aktuelt ved behandling av personopplysningar i skule-
og barnehagesektoren, i helse- og omsorgssektoren og i forskingssamanheng
(sjå nærmare omtale i meldinga). Graden av sjølvråderett aukar med
alderen. På dei nemnde områda er mindreårige sin samtykkekompetanse
godt avklåra, og det er ikkje nødvendig med nye tiltak for å tryggje
barna sitt personvern.
Det er særlege utfordringar knytte til innhenting av
samtykke når mindreårige bruker tenester i informasjonssamfunnet.
Barn og unge forstår i mindre grad enn vaksne kva opplysningar som blir
lagra om dei, kva opplysningane blir brukte til, og kven som får
tilgang til opplysningar dei gir frå seg når dei bruker ulike tenester
på nett.
Bruk av sosiale medium og andre informasjonssamfunnstenester
inneber i betydeleg grad eksponering for marknadsføring. Marknadsføringa er
ofte spesielt retta mot brukaren ved å vere basert på analysar av
nettaktivitetane til brukaren. Barn og unge har ofte vanskeleg for
å forstå samanhengen mellom nettaktiviteten og reklamen dei blir
eksponerte for.
Samtykke til at personopplysningar kan nyttast til
marknadsføring på nett, blir ofte gitt på lite tydelege måtar. I
2005 utarbeidde Forbrukarombodet og Datatilsynet ei rettleiing om
innhenting og bruk av barns personopplysningar. Sidan det har utviklinga
i barns bruk av tenester i informasjonssamfunnet eksplodert.
På europeisk nivå blir det diskutert om det
skal innførast ei aldersgrense for barns samtykkekompetanse i informasjonssamfunnet.
Det er gjort framlegg om at føresette skal samtykkje så lenge barnet
er under 13 år, og det skal leggjast til rette for at samtykket
kan etterprøvast.
Det blir i meldinga peikt på at det er viktig
å ha reglar som kan tryggje personvernet til norske barn på ein
god måte, uavhengig av kva ein meiner er godt personvern i vertslandet
for ulike sosiale nettsamfunn.
Det blir vidare vist til at det er viktig å
følgje den internasjonale diskusjonen om korleis ein best kan tryggje
barns personvern, både ved bruk av tenester i informasjonssamfunnet
og elles, slik at landa kan stå samla i sine krav overfor tenestetilbydarane.
Innhenting av samtykke til behandling av personopplysningar
om personar med nedsett eller manglande vurderingsevne og især pasientar som
lir av demens, reiser særlege utfordringar. Dette er derfor spesielt
regulert i helse- og omsorgslovgivinga.
Bruken av velferdsteknologi har lenge vore eit aktuelt
tema i helse- og omsorgssektoren. I rapporten frå Hagen-utvalet
(NOU 2011:11 Innovasjon i omsorg) er det blant anna føreslått å innføre
og vidareutvikle tryggingsalarmar som har funksjonar for lokalisering
av brukaren. Dette er føreslått som ein del av eit nasjonalt program
for velferdsteknologi. Utvalet gjer framlegg om å innføre særskild
lovgiving knytt til formidling og bruk av varslings- og lokaliseringshjelpemiddel,
medrekna behandling av personopplysningar som hjelpemidla genererer.
Også frå anna hald, mellom anna Datatilsynet og Helsedirektoratet,
har det vore etterlyst eit klårare regelverk om bruk av varslings-
og lokaliseringsteknologi i tenesteytinga til pasientar og brukarar
som manglar samtykkekompetanse.
Behandling av personopplysningar som kan følgje
med bruk av slik teknologi, krev eit klårt rettsgrunnlag etter personopplysningslova,
helst i form av samtykke frå den registrerte (pasienten eller brukaren).
Pasientane eller brukarane må ha samtykkekompetanse.
Regjeringa ønskjer å skape rettsleg klårleik
og leggje betre til rette for teknologi som kan gi kvar einskild
betre høve til utfalding og livskvalitet samstundes som han eller
ho får oppfylt behovet for tryggleik. Regjeringa har derfor sendt
eit framlegg om lovendring på dette området på høyring. Framlegget
gir helse- og omsorgstenesta høve til å ta i bruk varslings- og lokaliseringssystem
for demente og andre som manglar samtykkekompetanse.
Det blir i meldinga peikt på at samtykke som
behandlingsgrunnlag er eit viktig element i det å ha råderett over
eigne personopplysningar. Råderetten står sentralt i både norske
personvernreglar og i EUs arbeid med revisjon av personvernregelverket.
I forslaget til revidert regelverk er det tydelegare fokus på reelt
samtykke til behandling av personopplysningar. Ein fordel med samtykke
som behandlingsgrunnlag er at det stør opp under og legg grunnlag
for bruken av mange av dei andre rettane innbyggjarane har i samband med
behandling av personopplysningar.
I meldinga blir det peikt på at det likevel
er grunn til å spørje om samtykke alltid gir godt personvern. I
2005 gjennomførte Transportøkonomisk institutt ei stor undersøking
om folks haldningar til og kunnskap om personvern på oppdrag frå Moderniseringsdepartementet
og Datatilsynet. Undersøkinga viste at nordmenn flest reflekterer lite
over eige personvern. Samstundes viser undersøkinga at befolkninga
har tillit til at innsamla personopplysningar blir behandla på ein
god måte både i offentleg og privat verksemd.
Ut frå svar i undersøkinga er det grunn til
å rekne med at mange samtykkjer i behandling av personopplysningar
utan å lese informasjonen dei får i samband med samtykkeerklæringa.
Verdien av samtykke som behandlingsgrunnlag har
vore framheva og understreka dei siste åra, både nasjonalt og internasjonalt.
Samtykke som behandlingsgrunnlag kan likevel gi eit inntrykk av
ein råderett som kanskje ikkje er reell. Ein bør derfor vurdere
nøye om ei personopplysningsbehandling eignar seg for å vere samtykkebasert.
Det er avgjerande at befolkninga blir sett i
stand til å ta vare på sitt eige personvern. Samtykke er viktig
i denne samanhengen og kan vanskeleg bli erstatta av andre ordningar.
Reservasjonsrett kan vere aktuelt der føremålet med
eit tiltak ikkje blir oppnådd med bruk av samtykke og ein vurderer
at nytta av personopplysningsbehandlinga er vesentleg større enn personvernulempa
for dei registrerte. Reservasjonsrett blir mellom anna brukt ved
etablering av Nasjonal kjernejournal. Registrering av opplysningar
i Nasjonal kjernejournal er lovheimla, men samstundes frivillig
ved at kvar einskild pasient har rett til å reservere seg mot å
vere med. Seinare uthenting av opplysningar om einskildpasientar
frå kjernejournalen er basert på samtykke får pasienten, med unntak
av nokre situasjonar, typisk i ein akuttmedisinsk situasjon.
I nokre samanhengar kan reservasjonsrett for den
einskilde i kombinasjon med lovheimel som behandlingsgrunnlag òg
gi ei oppleving av større valfridom enn registrering med grunnlag
i samtykke. Dette gjeld mellom anna der den registrerte på ein eller
annan måte er avhengig av tenester frå den behandlingsansvarlege,
for eksempel i pasient-lege-relasjonar. I nokre situasjonar kan
derfor reservasjonsrett gi godt personvern for den einskilde.
For at dei registrerte skal kunne vurdere om
dei ønskjer å reservere seg mot innsamling og bruk av personopplysningar,
må dei få informasjon om alle delar av bruken slik at dei blir i
stand til å ta eit slikt val. Informasjonen som skal gi grunnlag
for å vurdere bruk av reservasjonsretten, bør i det vesentlege vere
den same som om behandlinga skulle bli basert på samtykke frå dei
registrerte. Det at ein på opplyst grunnlag vel å la vere å reservere
seg, er likevel ikkje det same som å samtykkje. Det å gjere noko
aktivt er alltid meir krevjande enn passivitet, og ein må gå ut
frå at terskelen for å reservere seg er høgare enn for berre stillteiande
å akseptere noko. Dermed kan ei løysing med reservasjonsrett ikkje
likestillast med ei samtykkeløysing, der den registrerte blir tvinga
til aktivt å ta stilling til behandling av personopplysningar.
Det at ein kan reservere seg mot ei behandling
av personopplysningar, tek ikkje vare på alle dei same omsyna som
det er meininga at samtykkekrava skal tryggje. Reservasjonsrett
åleine kan derfor ikkje nyttast som eit behandlingsgrunnlag etter
personopplysningsregelverket. Det blir gjerne gitt tilbod om reservasjonsrett
fordi ein trur at dei registrerte kan reagere på personopplysningsbehandlinga,
og at det derfor er fornuftig å opne for at dei som ikkje ønskjer
å ta del i behandlinga, kan sleppe det. Grunnlaget kan vere varetaking
av den rettkomne interessa den behandlingsansvarlege har i å behandle
personopplysningar etter personopplysningslova § 8 bokstav c eller
ein annan særskild lovheimel. Reservasjonsretten er ikkje eit behandlingsgrunnlag
etter personopplysningslova, men kan vere eit personvernfremjande
tiltak. Det er viktig å halde fast ved at reservasjonsrett ikkje
er det same som at bruk av personopplysningar har grunnlag i samtykke.
Regjeringa meiner likevel at reservasjonsrett i mange samanhengar
vil gi godt personvern samstundes som det legg til rette for god
ivaretaking av allmenne interesser. Dette kan gi grunnlag for å
vurdere reservasjonsrett i fleire samanhengar enn det som i dag
er tilfellet.
Dei registrerte skal
i størst mogleg grad ha råderett over eigne personopplysningar.
Det offentlege si behandling av personopplysningar
bør ha heimel i lov eller vere grunngitt i at det er nødvendig for
utøving av offentleg myndigheit eller utføring av lovpålagde oppgåver.
I privat verksemd er samtykke det føretrekte
behandlingsgrunnlaget der den registrerte har eit reelt val om å
la seg registrere.
I somme samanhengar kan lovheimel for behandling
av personopplysningar saman med ein reservasjonsrett for dei registrerte
gi den mest reelle råderetten for den einskilde.
Komiteen er kjent
med at personopplysningsloven (Pol.) både angir samtykke og en såkalt nødvendiggjørende
grunn som rettslig grunnlag for å behandle personopplysninger.
Likeledes er komiteen av den
oppfatning at man alltid skal vurdere om samtykke er et realistisk
behandlingsgrunnlag. Prinsippet er at den registrerte i størst mulig
grad skal ha råderetten over egne personopplysninger.
Komiteens medlemmer fra Fremskrittspartiet,
Høyre og Kristelig Folkeparti sier seg uenig i regjeringens
vurdering av at «samtykke er lite egnet for de fleste behandlinger
av personopplysninger». Disse medlemmer vil tvert
imot hevde at informert, reelt samtykke er det foretrukne behandlingsgrunnlag for
innhenting av personopplysninger, og at de praktiske ulemper ved
samtykke er sterkt overdrevet. Disse medlemmervil også fremheve reservasjonsrett som
et alternativ til lovhjemlet masseinnhenting uten samtykke, men
ikke som alternativ til samtykke der det er praktisk forsvarlig.
Disse medlemmer vil også fremheve
at selv om innhenting av samtykke kan være mer omstendelig enn automatisk
registrering, vil den registrerte få en sterkere bevissthet om sin
råderett over egne opplysninger, og at man også kan bevisstgjøre
den registrerte om at opplysninger som innhentes i forbindelse med
søknad om ytelser, også kan bli gjenstand for kontroll, og dermed
være forebyggende mot uriktige opplysninger.
Disse medlemmer viser til at
samtykke er det grunnleggende behandlingsgrunnlag når private, for
eksempel næringslivet, registrerer opplysninger, men deler ikke
regjeringens oppfatning om at kontaktinformasjon i seg selv er lite inngripende.
Ved sammenkobling av andre opplysninger man har fått gjennom kundeforholdet,
og ved utveksling av kontaktinformasjon med andre, vil bildet kunne
bli et annet. Likeledes tilsier respekt for den enkelte at man gis
en reell reservasjonsrett mot markedsføring man ikke ønsker.