Presidenten: Etter ynske frå justiskomiteen vil presidenten foreslå at debatten blir avgrensa til 1 time og 15 minutt, og at taletida blir fordelt slik på gruppene:
Arbeidarpartiet 20 minutt, Framstegspartiet 10 minutt, Kristeleg Folkeparti 10 minutt, Høgre 10 minutt, Senterpartiet 5 minutt, Sosialistisk Venstreparti 5 minutt, Venstre 10 minutt og representanten Bastesen 5 minutt.
Vidare vil presidenten foreslå at det ikkje blir gjeve høve til replikkar etter dei enkelte innlegga, og at dei som måtte teikne seg på talarlista utover den fordelte taletid, får ei taletid på inntil 3 minutt.
– Det blir rekna som vedteke.
Jan Petter Rasmussen (A) ( ordfører for saken): I dag har vi til behandling et meget viktig og forholdsvis omfattende lovforslag med stor betydning for den enkelte innbyggers personvern. IT-teknologiens utvikling krever en personvernlovgivning som er i stand til å møte framtiden. Forslaget bygger på EUs personverndirektiv og Personregisterlovutvalgets arbeid, samtidig som det er en videreføring, oppdatering og videreutvikling av dagens personregisterlov.
Ut fra informasjonssamfunnets internasjonale karakter er det nødvendig med samsvarende internasjonale regler. Direktivets utgangspunkt om fri utveksling av personopplysninger innen EU-landene og opplegg om at tredjeland skal ha et tilstrekkelig høyt beskyttelsesnivå for personvern før slike opplysninger blir sendt, er et riktig utgangspunkt for lovgivningen når det gjelder overføring av personopplysninger til tredjeland. Ved vedtak tidligere i dag har for øvrig Stortinget godkjent EØS-komiteens beslutning om at direktivet tas inn som en del av EØS-avtalen.
Elektronisk handel er i rivende utvikling, og følgelig kommer personvernet også i denne sammenheng i fokus. Arbeiderpartiet mener at vi ikke må lage strengere regler enn det EU-landene har på dette feltet, og at dette legges til grunn ved utarbeidelsen av forskriftene for personvern i tilknytning til elektronisk handel. Skulle Regjeringen mot formodning mene noe annet, må Stortinget få seg forelagt dette på nytt.
Når det gjelder retten til å reservere seg i forhold til lagring av elektroniske spor, har jeg forståelse for Regjeringens behov for en ytterligere utredning, og at en kommer tilbake til dette spørsmålet i det arbeidet som pågår for å legge til rette for elektronisk handel. For personvernet er dette temaet meget sentralt, og derfor er det viktig at Stortinget når utredningen er ferdig, på nytt får spørsmålet til behandling.
I forhold til den bebudede etterkontrollen av personopplysningsloven blir det nødvendig å fokusere spesielt på de internasjonale kommunikasjonskanaler og de spesielle utfordringer de gir oss i framtiden.
Ifølge Datatilsynet fins det i dag ca. 1 million registre her i landet, og tilsynet har siden 1980 gitt 67 000 – 68 000 konsesjoner. Dette illustrerer omfanget og ikke minst sannsynligheten for at hver enkelt av oss er registrert flere steder. Selv om det fins en rekke «kurante» registre, er det åpenbart at det må settes en rekke krav for å ivareta den enkeltes personvern.
I lovforslaget settes den enkeltes rettigheter i fokus, ikke minst det ansvar den behandlingsansvarlige for de enkelte registre skal ha.
Lovforslaget styrker rettighetene til den registrerte. Den opplysningene gjelder, får utvidet rett til innsyn i opplysningene, særlig gjelder dette i forhold til private behandlingsansvarlige. Det kanskje viktigste pålegget i loven er at den behandlingsansvarlige får en plikt til å varsle den som blir registrert om at nå er en registrering av opplysninger om vedkommende på gang. Dette kravet til den behandlingsansvarlige er etter mitt syn en skikkelig styrking av personvernet.
Et annet viktig moment i den nye loven er den enkeltes rett til å reservere seg mot telefonsalg gjennom det nye sentrale reservasjonsregisteret. Både firma, lag og foreninger som driver denne type salg, blir pliktige til å sjekke sine lister opp mot reservasjonsregisteret før første gangs utsendelse, og ellers fire ganger i året.
Dagens personregisterlov bygger i stor utstrekning på at det gis forhåndskonsesjoner. Konsesjonsplikten blir nå nedbygd, samtidig som en bygger opp et meldesystem der den enkelte behandlingsansvarlige blir pålagt å melde fra til Datatilsynet at nå er et register opprettet. Denne omlegging mener vi i Arbeiderpartiet er helt riktig. Nå får Datatilsynet mye bedre anledning til å drive holdningsskapende arbeid, og i og med at vi får et lovverk med større materielt innhold, blir det også mye mer meningsfylt å bruke tiden på etterfølgende kontroller enn på forhåndskonsesjonsbehandlinger, som tilsynet i dag bruker en veldig stor del av sin tid på.
Fortsatt vil det være konsesjonsplikt for registre som omhandler sensitive personopplysninger. Noe fremmedartet etter norske forhold er at fagforeningstilhørighet står oppført på listen over hvilke typer personopplysninger som er å betrakte som sensitive. Her er vi imidlertid bundet av EU-direktivets artikkel 8 nr. 1. De vilkår vi setter i lovforslagets § 9 for behandlingen av sensitive opplysninger, gjør likevel at dette er til å leve med.
Det samme gjør seg også gjeldende for begrepet «etnisk bakgrunn», som komiteen fra universitetshold har fått forslag om å fjerne fra listen over hva som er sensitive personopplysninger. Jeg er enig i at etnisitet på mange vis er mindre følsomt i Norge enn i mange andre land, men igjen gjør altså EU-direktivet seg gjeldende, og de vilkår en setter i § 9, skal også i disse tilfellene gjøre det mulig å finne praktiske løsninger som forskningen kan være tjent med.
Ønsket fra samme universitetshold om at en i § 9 setter en begrensing om hvor lenge opplysninger skal regnes som sensitive, er det mer naturlig å vurdere under arkivlovgivningen.
Det er viktig at vi nå får en lov som i utgangspunktet gjelder for alle typer behandling av personopplysninger, og at både offentlige og private behandlingsansvarlige er inkludert.
Visse unntak fra loven er likevel nødvendig. I de tilfeller der beredskapshensyn og hensynet til rikets sikkerhet gjør det nødvendig, og også for politiets behandling av personopplysninger, må det være unntak. Personopplysningslovens regler kan heller ikke gjelde for overvåkingstjenestens registre.
Når det gjelder strafferegistreringsloven, er det behov for en generell revisjon. I påvente av denne revisjonen synes det riktig at personopplysningsloven i utgangspunktet gjelder for politiregistre, med den klare forutsetning at det gjennom forskrift blir mulig å gjøre de nødvendige unntak fra loven.
I loven om Schengen informasjonssystem, den såkalte SIS-loven, er det etter mitt syn tatt de nødvendige hensyn til personvernet opp imot behovet for registrering og personopplysninger i forbindelse med internasjonalt politisamarbeid.
Jeg synes det er en selvfølge at loven også skal gjelde for politiske organers håndtering av personopplysninger. Vi må selvsagt kunne stille de samme krav til de behandlingsansvarlige for personregistre i politiske partier som til andre behandlingsansvarlige. Motsatt: Det ville være meningsløst om den enkelte innbygger skulle hatt mindre rettigheter overfor et eventuelt register som eksisterer i et politisk parti, enn ellers.
Det er heller ingen grunn til å unnta Stortinget fra loven; Presidentskapet ser ikke noe behov for det.
Riksrevisjonen peker i brev til komiteen på dens behov for unntak fra deler av loven på grunn av sin revisjons- og kontrollvirksomhet. En enstemmig komite går inn for å imøtekomme Riksrevisjonens ønsker. De registre og det materialet Riksrevisjonen kontrollerer, har jo en annen primæransvarlig, som selvsagt er underlagt loven på vanlig måte. Derfor er det både riktig og hensiktsmessig å unnta Riksrevisjonen fra reglene om retting, innsyn og melde- og konsesjonsplikt når Riksrevisjonen behandler opplysninger innhentet fra en annen instans som et ledd i sin kontrollvirksomhet. Derimot er det opplagt at eventuelle egne registre som Riksrevisjonen måtte ha, må omfattes av loven.
Det er bred tilslutning i komiteen om visse begrensninger for lovens anvendelse overfor personopplysninger som kun finner sted for journalistiske, kunstneriske og litterære formål. Dette er av hensyn til ytrings- og informasjonsfriheten, og samsvarer godt med artikkel 9 i EU-direktivet. Imidlertid er det meget viktig at både tilsynet og Justisdepartementet følger nøye med i om de avgrensinger som nå gjøres i lovens anvendelsesområde, virkelig tar de nødvendige hensyn til personvernet, og at departementet om nødvendig bringer problemstillingen tilbake til Stortinget.
Jeg vil også understreke at personopplysningsloven ikke skal legge begrensninger på den innsynsretten som gjelder etter offentlighetsloven, forvaltningsloven eller annen lovbestemt rett om innsyn.
Den nye loven gir Datatilsynet sanksjonsmyndighet. Arbeiderpartiet støtter adgangen til å ilegge tvangsmulkt hvis pålegg ikke blir fulgt. Likeledes støtter vi den foreslåtte øvre strafferamme på tre år for grove overtredelser av loven.
Det er nødvendig at Datatilsynet nå prioriterer arbeidet med å etablere den sentrale fortegnelsen som skal inneholde opplysninger om både konsesjon og meldepliktige personopplysningsbehandlinger. Ut fra omleggingen fra et konsesjonsbasert system til et mer meldepliktsystem og med de ressurser Datatilsynet nå får tilført, må dette være mulig å få til.
Under komitebehandlingen har vi bl.a. fokusert på fjernsynsovervåking, og det er stor enighet om at det innføres meldeplikt for denne virksomheten, for overvåking både med og uten billedopptak. Det er uhyre viktig at Datatilsynet nå får muligheter til å gripe inn overfor overvåking som skjer i strid med de gitte behandlingsregler. Vi har vært særlig opptatt av at en skal kunne bruke fjernsynsovervåking som et effektivt tiltak i kriminalitetsbekjempelsen, der en selvfølgelig baserer seg på å ha den rette balansegangen i forhold til personvernet.
Jeg er godt fornøyd med de justeringer og de nye forslag som en samlet komite fremmer i denne sammenheng.
Etter min mening styrker vi gjennom de vedtak vi i dag gjør, Datatilsynets rolle som tilsynsmyndighet. Med andre ord tilrettelegger vi bedre for tilsynets mulighet til på en best mulig måte å ivareta hver enkelts behov for personvern i forhold til alle de personregistre som i dag fins, og ikke minst i forhold til de som vil komme. Spesielt viktig blir det å sørge for at vi har en tilsynsmyndighet som er i stand til å takle fremtidens utfordringer, særlig i lys av de utfordringer den teknologiske utviklingen gir. Denne utviklingen skaper også spesielt behov for etterkontroll, og derfor er det meget viktig at vi allerede nå bestiller denne kontrollen, slik at det er mulig innen rimelig tid å foreta de lovjusteringer/-endringer som eventuelt vil vise seg å være nødvendig.
EU-direktivets artikkel 28 nr. 1 krever at tilsynsmyndigheten skal kunne utøve sine funksjoner i full uavhengighet, det vil i praksis si faglig uavhengig av regjering/departement.
I første instans er det Datatilsynet som skal utøve denne myndigheten. Arbeiderpartiet støtter at Datatilsynets direktør fortsatt skal være embetsmann, og at direktøren i framtiden kan utnevnes på åremål.
Vi er også enig i opprettelsen av den nye klagenemnda, den såkalte Personvernnemnda. Foruten at nemnda skal kunne behandle klager over Datatilsynets avgjørelser, er det etter Arbeiderpartiets syn viktig at Personvernnemnda selv på eget initiativ skal kunne omgjøre saker og også prøve alle sider av en sak. Rent administrativt må nemnda ligge under Justisdepartementet.
Kun på ett punkt viker Arbeiderpartiet fra den to-ledds ankebehandlingen det nå legges opp til, nemlig når det gjelder retting/sletting av registre eller materiale av historisk verdi. Ved slike saker skal en anke om nødvendig kunne bringes inn for Justisdepartementet. Med bakgrunn i den store historiske og nasjonale interesse et vedtak i denne type saker kan ha, mener vi at denne muligheten er en ekstra sikkerhet som er viktig å ha. Flere høringsuttalelser støtter også dette synet. For ordens skyld vil jeg gjøre oppmerksom på en feil i innstillingens side 14, der det står at «Komiteen foreslår for øvrig særlige klageregler når det gjelder spørsmål om retting eller sletting av opplysninger som har historisk verdi». Som det framgår ellers av innstillingen, skal det være Arbeiderpartiet og Fremskrittspartiet, og ikke komiteen.
Om Datatilsynet skal ha et styre eller ei, er et vanskelig spørsmål. Arbeiderpartiet hadde en klar holdning til den tidligere konflikten mellom styret og Datatilsynets direktør, men det var med utgangspunkt i gjeldende struktur. I debatten under behandlingen av Datatilsynets årsmelding fra 1996 gav vi fra Arbeiderpartiets side klart uttrykk for at vi ville gå inn i diskusjonen om den framtidige styringsmodell for Datatilsynet med et åpent sinn og på et fritt grunnlag.
Behov for et faglig kompetent styre, bl.a. fordi tilsynet ikke lenger er underlagt direkte politisk styre, er et argument for å beholde styret. Likeledes kan behovet for et organ for å utforme overordnede strategier og policy og til å ta avgjørelse i saker av prinsipiell karakter, tale for opprettholdelse av et styre for Datatilsynet.
Når Arbeiderpartiet likevel konkluderer med at det ikke lenger er nødvendig å ha et styre, bygger det på følgende argumentasjon:
-
Den nye Personvernnemnda vil overta styrets klagebehandling.
-
Nemnda skal på eget initiativ kunne omgjøre saker og prøve alle sider av en sak.
-
Justisministeren har ansvaret for eventuelle forskrifter, selv om kompetanse til å gi forskrifter på enkelte områder kan gis Datatilsynet.
-
Vi får nå en lov med langt flere materielle regler.
-
I en såpass liten organisasjon som Datatilsynet vil det kunne virke veldig byråkratisk fortsatt å opprettholde et styre.
-
Både å ha et faglig kompetent styre og en faglig kompetent klagenemnd vil innebære en unødvendig treinstansbehandling av alle klagesaker.
-
Og endelig har det også betydning at Datatilsynet rent administrativt vil ligge under Justisdepartementet.
Helt til slutt: Jeg føler meg overbevist om at de grep vi nå gjør, og det nye lovverket vi i dag vedtar, legger et godt grunnlag for det vi ønsker å oppnå, nemlig en styrking av personvernet for den enkelte innbygger.
Presidenten: Saksordføraren har gjort merksam på ein feil på side 14 i innstillinga.
Presidenten vil gjere merksam på at den reglementsmessige tida straks er over. Presidenten vil føreslå at møtet held fram til dagens kart er ferdigbehandla – og reknar det som vedteke.
Finn Kristian Marthinsen (KrF): De fleste merknadene i innstillingen står alle partiene i komiteen bak. Enigheten er dermed stor om at Regjeringen har lagt fram et meget godt forslag til personopplysningslov.
Kristelig Folkeparti har imidlertid sammen med Senterpartiet og Høyre en mindretallsmerknad til § 42 fjerde ledd. Det dreier seg om sletting av registre og materiale med historisk verdi. Komiteens flertall, Arbeiderpartiet og Fremskrittspartiet, mener at Personvernnemnda ikke skal være siste klageinstans, men at den endelige avgjørelsen skal legges til Regjeringen.
Verdien av historisk materiale har Kristelig Folkeparti stor forståelse for. Det er viktig at slikt materiale bevares for ettertiden. For å sikre tilsynsmyndighetens uavhengighet mener Kristelig Folkeparti det er viktig at alle avgjørelser i klager over vedtak fra Datatilsynet blir avgjort i Personvernnemnda.
Kristelig Folkeparti mener at det viktige hensynet til bevaring av historisk materiale må avspeiles i sammensetningen av Personvernnemnda. Til nemnda bør det oppnevnes en person fra det historisk kompetente miljø som spesielt kan ha oppmerksomheten rettet mot behovet for å bevare og arkivere materiale av historisk interesse.
Det er tverrpolitisk enighet i komiteen om at Personvernnemnda skal settes sammen av personer med kompetanse fra ulike samfunnsområder, slik at de samlet sett er i stand til å foreta en bred avveining av ulike samfunnsinteresser.
Personvernnemnda skal årlig orientere om sin virksomhet. Dermed vil det være rikelig adgang til å se om viktige hensyn bl.a. til historisk materiale blir tilstrekkelig ivaretatt.
Kristelig Folkeparti vil altså stemme imot forslaget til nytt annet punktum i § 42 fjerde ledd.
I forbindelse med behandlingen av lov om behandling av personopplysninger vedtar vi også viktige endringer for Datatilsynet.
Kristelig Folkeparti mener at de omorganiseringer det er lagt opp til, er nødvendige både i forhold til de virkemidler Datatilsynet får etter dette lovforslaget, og i forhold til den økte fokuseringen på etterfølgende kontrolltiltak. Men jeg mener at saksordfører Rasmussen på en utmerket måte har redegjort for de felles synspunkter komiteen har, og som også Kristelig Folkeparti slutter seg til. Jeg finner derfor ikke grunn til å bruke ytterligere tid på å gjenta det komiteen er enig om.
Harald Hove (V): Personvern er en grunnleggende, liberal rettighet. Enhver samfunnsborger har rett til å beskytte sitt privatliv fra utilbørlig registrering og overvåking. Utviklingen i informasjonssamfunnet skaper nye, store utfordringer i forhold til personvernet på grunn av de økte mulighetene for å samle, bruke og lagre personopplysninger. Det lagres stadig mer informasjon om hver enkelt av oss, og vi overvåkes i flere sammenhenger. Hver for seg kan denne enorme informasjonsinnsamlingen virke ufarlig, men koblet sammen gir dette nok kunnskap til å kunne kartlegge et menneskes bevegelser i detalj. Det trengs derfor et klart regelverk som setter klare grenser og hindrer at ulike ønsker om registrering gir som resultat at enkeltmenneskets rett til privatliv krenkes.
Som nevnt er personvern en viktig, liberal rettighet. Det er derfor av stor betydning for Venstre å være med og gi en lov som styrker personvernet.
Det var et viktig ærend i forrige periode for Venstre ved Lars Sponheim å bringe personvernet sterkere inn i den politiske debatten enn det hadde vært i de åtte år da Venstre var fraværende på Stortinget. Lars Sponheim fremmet en rekke forslag om slike spørsmål, og det er med en viss glede jeg registrerer at det poeng fra loven saksordføreren trakk fram som kanskje det aller viktigste, nemlig plikten til å informere den som registreres, om at man blir registrert, var noe Venstre fikk gjennomslag for som det første forslaget man fikk vedtatt i Stortinget i forrige periode. Men Venstre har også i denne perioden fulgt opp spørsmålet om personvern og om en uavhengig tilsynsmyndighet, bl.a. for å sikre Datatilsynets uavhengighet i forbindelse med debatten om Datatilsynets årsmelding våren 1998.
Det er derfor en glede at det i dag er en regjering der Venstre er med, og med en Venstre-statsråd som ansvarlig, som legger fram det lovforslaget som klart styrker personvernet i forhold til gjeldende lov. Det er også med glede jeg registrerer at komiteen har fulgt opp Regjeringens forslag.
Personvern har i grunnen vært viktig i lange tider, det er ikke noe som oppstod ved registreringsspørsmål eller i forbindelse med informasjonsteknologi. Og det er noe med at personvern alltid har vært under press når ny teknologi har skapt nye muligheter i ulike sammenhenger. Men det er allikevel all grunn til å fremheve, som jeg gjorde innledningsvis, at registrering og muligheten for å koble registre er et svært viktig spørsmål nettopp i forhold til personvern, og at det er spørsmål som blir viktigere og viktigere etter hvert som informasjonsteknologien og videoovervåking for den saks skyld, gjør det stadig lettere å krenke personvernet.
Det er vanskelig å trekke fram alle de forbedringer som den nye loven representerer, og jeg vil gjerne understreke at saksordføreren i sitt innlegg på en utmerket måte redegjorde for en rekke av de forbedringer loven representerer.
Jeg vil kanskje tillate meg å fremheve ett poeng knyttet til det forholdet at man nå får en klarere regelgivning omkring fjernsynsovervåking. Jeg skal på dette punkt også erkjenne at man samtidig legger inn en unntaksbestemmelse som har som formål å skulle kunne avklare straffbare forhold, som jeg for min del samtidig oppfatter som ganske vid og på mange måter kanskje for romslig. Jeg vil derfor gjerne understreke komiteens merknad i tilknytning til dette, slik det står på side 20 i innstillingen:
«Komiteen ser faren for et overvåkingssamfunn der kameraer trer inn i stedet for mennesker, og vil understreke at de lovregler som nå gis, totalt sett vil innskjerpe kontrollen med fjernsynsovervåking.»
Jeg føler et klart behov for å understreke den klare presisering som her ligger i komiteens innstilling.
Ellers vil jeg få lov å fremheve spørsmålet om Datatilsynets uavhengighet, det har vært et viktig spørsmål for Venstre i lengre tid og har vært fremhevet i en rekke sammenhenger. Vi er derfor svært glad for at loven innebærer at det nå opprettes en uavhengig klagenemnd, og at det derfor ikke er under Justisdepartementets ansvarsområde å håndtere de sakene.
Statsråd Odd Einar Dørum: Vi blir daglig minnet om de utfordringer som informasjonssamfunnet skaper i forhold til ønsket om å verne privatlivets fred og enkeltmenneskers personlige integritet. Den økonomiske og teknologiske utvikling åpner for mer effektiv og samfunnsnyttig håndtering og utveksling av opplysninger. Samtidig gir den samme utviklingen stadig nye muligheter til å samle inn, lagre og systematisere opplysninger om enkeltpersoner på en måte som setter personvernet under press.
Som Voksenåserklæringen viser, legger Regjeringen stor vekt på å styrke personvernet. Det er derfor med glede jeg i dag konstaterer en bred enighet i Stortinget om hovedtrekkene i det forslaget som Regjeringen har lagt fram om en helt ny lov om behandling av personopplysninger.
Lovforslaget følger opp viktige punkter i Voksenåserklæringen: Ett av disse er prinsippet om at den enkelte i størst mulig utstrekning skal ha anledning til å bestemme over bruk av opplysninger om seg selv.
Lovforslaget styrker informasjonen og åpenheten om hvilke opplysninger som behandles, og hva de brukes til, og utvider den enkeltes adgang til innsyn i de personopplysninger som behandles om han eller henne. Prinsipielt viktig er også de nye varslingsreglene som pålegger den som samler inn personopplysninger, å informere den registrerte både om innsamlingen og om hva opplysningene skal brukes til. Økt krav på informasjon vil gi den enkelte grunnlag for å treffe bevisste valg, f.eks. om å inngå i et kundeforhold, skaffe seg bonuskort eller la det være. Her er det opp til den enkelte å ta ansvar for sitt eget personvern ved å veie verdien av dette opp mot andre hensyn som gjør seg gjeldende ved de veivalg en står overfor.
Gjennom lovforslaget følger Regjeringen også opp Voksenåserklæringens program om å styrke Datatilsynets uavhengighet. Etableringen av en personvernnemnd til å behandle klager over Datatilsynets avgjørelser er en viktig nyvinning i denne sammenheng, som jeg registrerer at det er allmenn enighet om.
Det enkelte menneskets ønske om å verne om sin egen privatsfære må også i andre sammenhenger veies mot viktige samfunnsinteresser. Ønske om å bevare materiale for forskning og historisk kontroll er en slik interesse. Jeg har merket meg at et flertall i komiteen foreslår en særlig adgang til å klage til Kongen avgjørelser som Personvernnemnda treffer om å slette personopplysninger. Jeg forstår flertallet slik at Kongens myndighet skal kunne delegeres til et departement. Jeg er enig i at det er viktig å legge vekt på verdien av å ta vare på historisk materiale. Jeg mener at man kan ivareta dette viktige hensynet gjennom en bred og balansert sammensetning av Personvernnemnda, men tar selvfølgelig flertallets syn til etterretning.
Fjernsynsovervåking har vært et felt der det i flere år har vært etterlyst regler som gir Datatilsynet økt mulighet for kontroll. Jeg er glad for å konstatere en bred enighet om å innføre meldeplikt for slik overvåking, samtidig som Datatilsynet gis mulighet til å føre kontroll gjennom pålegg – som om nødvendig kan følges opp med tvangsmulkt.
Det er mitt håp at vi gjennom dette lovverket legger til rette for et godt rammeverk for vern av personopplysninger. Innenfor de generelle rammene som lovforslaget trekker opp, vil det i stor grad være opp til Datatilsynet og den nye Personvernnemnda å legge føringer for den mer konkrete praktiseringen av regelverket. Når det gjelder Datatilsynet, vil jeg understreke det aspektet at det ikke bare skal føre kontroll, men også være en rådgiver og samarbeidspartner i personvernspørsmål. I denne sammenheng er det godt å vite at vi har et handlekraftig datatilsyn som gjennom mange år har opparbeidet seg solid erfaring og kompetanse på det brede felt av problemstillinger som har konsekvenser for personvernet.
La meg kanskje også minne Stortinget om at Datatilsynet faktisk nå har fylt sine første 20 år, og at jeg har utfordret Datatilsynet til å arrangere et seminar hvor de kan trekke opp de perspektiver som personvernet står overfor i tiden som kommer. Jeg vil gjerne si fra om dette, fordi jeg tror at vi vil måtte kunne godta at vi holder opp ulike speil overfor oss selv når vi skal avveie personverninteresser mot andre interesser. Og Regjeringen vil i løpet av våren initiere to slike speil. Det ene er det personvernspeilet som Datatilsynet viser når de tegner dette opp mot det moderne kybernetiske landskap, og det andre speilet er det som vises for oss når Økokrim arrangerer sitt seminar for oss om IT-relatert kriminalitet. Vi trenger begge de perspektivene for å gå inn i den avveining som jeg for øvrig synes at Datatilsynets direktør, Georg Apenes, på en fortrinnlig måte har beskrevet i en bok han nylig har utgitt.
Jeg vil avslutte med å minne om et viktig forhold. Et godt personvern er bare et stykke på vei et spørsmål om regelverk og kontroll. Vern om enkeltes personlige integritet og respekt for privatlivet er i vel så stor grad en diskusjon om moralske og etiske holdninger hos hver og en av oss. Kort sagt: Å ta vare på personvernet vil også i fremtiden være et spørsmål om å opptre i samsvar med alminnelig god folkeskikk.
Presidenten: Fleire har ikkje bede om ordet til sak nr. 1
(Votering, sjå side 340)
Votering i sak nr. 1
Komiteen hadde rådd Odelstinget til å gjere
slikt vedtak til
lov
om behandling av personopplysninger
(personopplysningsloven)
Kapittel I Lovens formål og virkeområde
1 Lovens
formål
Formålet med denne loven er å beskytte
den enkelte mot at personvernet blir krenket gjennom behandling
av personopplysninger.
Loven skal bidra til at personopplysninger
blir behandlet i samsvar med grunnleggende personvernhensyn, herunder
behovet for personlig integritet, privatlivets fred og
tilstrekkelig kvalitet på personopplysninger.
2 Definisjoner
I denne loven forstås med:
1) personopplysning: opplysninger og
vurderinger som kan knyttes til en enkeltperson,
2) behandling av personopplysninger: enhver bruk av personopplysninger,
som f.eks. innsamling, registrering, sammenstilling, lagring og
utlevering eller en kombinasjon av slike bruksmåter,
3) personregister: registre, fortegnelser m.v. der personopplysninger
er lagret systematisk slik at opplysninger om den enkelte
kan finnes igjen,
4) behandlingsansvarlig: den som bestemmer formålet med
behandlingen av personopplysninger og hvilke hjelpemidler
som skal brukes,
5) databehandler: den som behandler personopplysninger på vegne
av den behandlingsansvarlige,
6) registrert: den som en personopplysning kan knyttes til,
7) samtykke: en frivillig, uttrykkelig og informert erklæring
fra den registrerte om at han eller hun godtar behandling av opplysninger
om seg selv,
8) sensitive personopplysninger: opplysninger om
a) rasemessig eller etnisk bakgrunn,
eller politisk, filosofisk eller religiøs oppfatning,
b) at en person har vært mistenkt, siktet, tiltalt
eller dømt for en straffbar handling,
c) helseforhold,
d) seksuelle forhold,
e) medlemskap i fagforeninger.
3 Saklig
virkeområde
Loven gjelder for
a) behandling av personopplysninger
som helt eller delvis skjer med elektroniske hjelpemidler, og
b) annen behandling av personopplysninger når disse inngår
eller skal inngå i et personregister.
Loven gjelder ikke behandling av personopplysninger som
den enkelte foretar for rent personlige eller andre private formål.
Kongen kan gi forskrift om at loven eller deler
av den ikke skal gjelde for bestemte institusjoner og sakområder.
Kongen kan gi forskrift om behandling av personopplysninger
i særskilte virksomheter eller bransjer. For behandling
av personopplysninger som ledd i kredittopplysningsvirksomhet kan
det i forskrift gis bestemmelser bl.a. om hvilke typer opplysninger
som kan behandles, hvilke kilder personopplysninger kan hentes fra,
hvem kredittopplysninger kan utleveres til og hvordan utleveringen
kan skje, sletting av kredittanmerkninger og taushetsplikt
for de ansatte i kredittopplysningsbyrået. Det kan
også gis regler om at loven eller enkelte bestemmelser
gitt i eller i medhold av den skal gjelde for behandling av kredittopplysninger
om andre enn enkeltpersoner.
4 Geografisk
virkeområde
Loven gjelder for behandlingsansvarlige som
er etablert i Norge. Kongen kan i forskrift bestemme at loven helt
eller delvis skal gjelde for Svalbard og Jan Mayen, og fastsette
særlige regler om behandling av personopplysninger for
disse områdene.
Loven gjelder også for behandlingsansvarlige
som er etablert i stater utenfor EØS-området dersom den
behandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder
likevel ikke dersom hjelpemidlene bare brukes til å overføre
personopplysninger via Norge.
Behandlingsansvarlige som nevnt i annet ledd
skal ha en representant som er etablert i Norge. Bestemmelsene som
gjelder for den behandlingsansvarlige gjelder også for
representanten.
5 Forholdet
til andre lover
Bestemmelsene i loven gjelder for behandling
av personopplysninger om ikke annet følger av en særskilt
lov som regulerer behandlingsmåten.
6 Forholdet
til lovbestemt innsynsrett etter andre lover
Loven her begrenser ikke innsynsrett etter
offentlighetsloven, forvaltningsloven eller annen lovbestemt rett til
innsyn i personopplysninger.
Dersom annen lovbestemt rett til innsyn gir
tilgang til flere opplysninger enn loven her, skal den
behandlingsansvarlige av eget tiltak veilede om retten
til å be om slikt innsyn.
7 Forholdet
til ytringsfriheten
For behandling av personopplysninger utelukkende for
kunstneriske, litterære eller journalistiske, herunder opinionsdannende,
formål gjelder bare bestemmelsene i §§ 13-15,
26, 36-41, jf. kapittel VIII.
Kapittel II Alminnelige regler for behandling av
personopplysninger
8 Vilkår
for å behandle personopplysninger
Personopplysninger (jf. § 2 nr. 1)
kan bare behandles dersom den registrerte har samtykket,
eller det er fastsatt i lov at det er adgang til slik behandling,
eller behandlingen er nødvendig for
a) å oppfylle en avtale med
den registerte, eller for å utføre gjøremål
etter den registrertes ønske før en slik avtale
inngås,
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig
forpliktelse,
c) å vareta den registrertes vitale interesser,
d) å utføre en oppgave av allmenn interesse,
e) å utøve offentlig myndighet, eller
f) at den behandlingsansvarlige eller tredjepersoner som opplysningene
utleveres til kan vareta en berettiget interesse, og hensynet
til den registrertes personvern ikke overstiger denne interessen.
9 Behandling
av sensitive personopplysninger
Sensitive personopplysninger (jf. § 2
nr. 8) kan bare behandles dersom behandlingen oppfyller et av vilkårene i § 8
og
a) den registrerte samtykker i behandlingen,
b) det er fastsatt i lov at det er adgang til slik behandling,
c) behandlingen er nødvendig for å beskytte
en persons vitale interesser, og den registrerte ikke
er i stand til å samtykke,
d) det utelukkende behandles opplysninger som den registrerte
selv frivillig har gjort alminnelig kjent,
e) behandlingen er nødvendig for å fastsette,
gjøre gjeldende eller forsvare et rettskrav,
f) behandlingen er nødvendig for at den behandlingsansvarlige
kan gjennomføre sine arbeidsrettslige plikter eller rettigheter,
g) behandlingen er nødvendig for forebyggende sykdomsbehandling,
medisinsk diagnose, sykepleie eller pasientbehandling eller for
forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med
taushetsplikt, eller
h) behandlingen er nødvendig for historiske, statistiske eller
vitenskapelige formål, og samfunnets interesse i at behandlingen
finner sted klart overstiger ulempene den kan medføre
for den enkelte.
Ideelle sammenslutninger og stiftelser kan
behandle sensitive personopplysninger innenfor rammen
av sin virksomhet selv om behandlingen ikke oppfyller et av vilkårene
i første ledd bokstav a – h. Behandlingen kan bare
omfatte opplysninger om medlemmer eller personer som på grunn
av sammenslutningens eller stiftelsens formål frivillig
er i regelmessig kontakt med den, og bare opplysninger som innsamles
gjennom denne kontakten. Personopplysningene kan ikke
utleveres uten at den registrerte samtykker.
Datatilsynet kan bestemme at sensitive personopplysninger
kan behandles også i andre tilfeller dersom viktige samfunnsinteresser
tilsier det og det settes i verk tiltak for å sikre den
registrertes interesser.
10 Register
over straffedommer
Et fullstendig register over straffedommer
kan bare føres under kontroll av en offentlig myndighet.
11 Grunnkrav
til behandling av personopplysninger
Den behandlingsansvarlige skal sørge
for at personopplysningene som behandles
a) bare behandles når dette
er tillatt etter §§ 8 og 9,
b) bare nyttes til uttrykkelig angitte formål som
er saklig begrunnet i den behandlingsansvarliges virksomhet,
c) ikke brukes senere til formål som er uforenlig
med det opprinnelige formålet med innsamlingen, uten at
den registrerte samtykker,
d) er tilstrekkelige og relevante for formålet
med behandlingen, og
e) er korrekte og oppdatert, og ikke lagres lenger enn det som
nødvendig ut fra formålet med behandlingen,
jf. §§ 27 og 28.
Senere behandling av personopplysningene for
historiske, statistiske eller vitenskapelige formål anses
ikke uforenlig med de opprinnelige formålene med innsamlingen
av opplysningene, jf. første ledd bokstav c,
dersom samfunnets interesse i at behandlingen finner sted, klart overstiger
ulempene den kan medføre for den enkelte.
12 Bruk
av fødselsnummer m.v.
Fødselsnummer og andre entydige identifikasjonsmidler
kan bare nyttes i behandlingen når det er saklig behov
for sikker identifisering og metoden er nødvendig for å oppnå slik
identifisering.
Datatilsynet kan pålegge en behandlingsansvarlig å bruke
identifikasjonsmidler som nevnt i første ledd for å sikre
at personopplysningene har tilstrekkelig kvalitet.
Kongen kan gi forskrift med nærmere
regler om bruk av fødselsnummer og andre entydige identifikasjonsmidler.
13 Informasjonssikkerhet
Den behandlingsansvarlige og databehandleren
skal gjennom planlagte og systematiske tiltak sørge for
tilfredsstillende informasjonssikkerhet med hensyn til
konfidensialitet, integritet og tilgjengelighet ved behandling av
personopplysninger.
For å oppnå tilfredsstillende
informasjonssikkerhet skal den behandlingsansvarlige og
databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen
skal være tilgjengelig for medarbeiderne hos
den behandlingsansvarlige og hos databehandleren. Dokumentasjonen
skal også være tilgjengelig for Datatilsynet og
Personvernnemnda.
En behandlingsansvarlig som lar andre få tilgang
til personopplysninger, f.eks. en databehandler eller andre
som utfører oppdrag i tilknytning til informasjonssystemet,
skal påse at disse oppfyller kravene i første
og annet ledd.
Kongen kan gi forskrift om informasjonssikkerhet
ved behandling av personopplysninger, herunder nærmere
regler om organisatoriske og tekniske sikkerhetstiltak.
14 Internkontroll
Den behandlingsansvarlige skal etablere og
holde vedlike planlagte og systematiske tiltak som er nødvendige
for å oppfylle kravene i eller i medhold av denne loven,
herunder sikre personopplysningenes kvalitet.
Den behandlingsansvarlige skal dokumentere
tiltakene. Dokumentasjonen skal være tilgjengelig
for medarbeiderne hos den behandlingsansvarlige og hos databehandleren.
Dokumentasjonen skal også være tilgjengelig for
Datatilsynet og Personvernnemnda.
Kongen kan gi forskrift med nærmere
regler om internkontroll.
15 Databehandlerens
rådighet over person-
opplysninger
En databehandler kan ikke behandle personopplysninger
på annen måte enn det som er skriftlig avtalt med
den behandlingsansvarlige. Opplysningene kan heller ikke
uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
I avtalen med den behandlingsansvarlige skal
det også gå frem at databehandleren plikter å gjennomføre
slike sikringstiltak som følger av § 13.
16 Frist
for å svare på henvendelser om
informasjon m.v.
Den behandlingsansvarlige skal svare på henvendelser
om innsyn eller andre rettigheter etter §§ 18,
22, 25, 26, 27 og 28 uten ugrunnet opphold og senest innen 30 dager
fra den dagen henvendelsen kom inn.
Dersom særlige forhold gjør
det umulig å svare på henvendelsen innen 30 dager,
kan gjennomføringen utsettes inntil det er mulig å gi
svar. Den behandlingsansvarlige skal i så fall
gi et foreløpig svar med opplysninger om grunnen
til forsinkelsen og sannsynlig tidspunkt for når svar kan
gis.
17 Betaling
Den behandlingsansvarlige kan ikke kreve vederlag for å gi
informasjon etter kapittel III eller for å etterkomme
krav fra den registrerte etter kapittel IV.
Kapittel III Informasjon om behandling av personopplysninger
18 Rett
til innsyn
Enhver som ber om det, skal få vite
hva slags behandling av personopplysninger en behandlingsansvarlig foretar,
og kan kreve å få følgende informasjon
om en bestemt type behandling:
a) navn og adresse på den
behandlingsansvarlige og dennes eventuelle representant,
b) hvem som har det daglige ansvaret for å oppfylle
den behandlingsansvarliges plikter,
c) formålet med behandlingen,
d) beskrivelser av hvilke typer personopplysninger som behandles,
e) hvor opplysningene er hentet fra, og
f) om personopplysningene vil bli utlevert, og eventuelt hvem
som er mottaker.
Dersom den som ber om innsyn er registrert,
skal den behandlingsansvarlige opplyse om
a) hvilke opplysninger om den registrerte
som behandles, og
b) sikkerhetstiltakene ved behandlingen så langt
innsyn ikke svekker sikkerheten.
Den registrerte kan kreve at den behandlingsansvarlige
utdyper informasjonen i første ledd bokstav a – f
i den grad dette er nødvendig for at den registrerte skal kunne
vareta egne interesser.
Retten til informasjon etter annet og tredje
ledd gjelder ikke dersom personopplysningene behandles utelukkende
for historiske, statistiske eller vitenskapelige formål
og behandlingen ikke får noen direkte betydning for den
registrerte.
19 Informasjonsplikt
når det samles inn opplysninger fra den registrerte
Når det samles inn personopplysninger
fra den registrerte selv, skal den behandlingsansvarlige av eget
tiltak først informere den registrerte om
a) navn og adresse på den
behandlingsansvarlige og dennes eventuelle representant,
b) formålet med behandlingen,
c) opplysningene vil bli utlevert, og eventuelt hvem som er
mottaker,
d) det er frivillig å gi fra seg opplysningene,
og
e) annet som gjør den registrerte i stand til å bruke
sine rettigheter etter loven her på best mulig måte,
som f.eks. informasjon om retten til å kreve innsyn,
jf. § 18, og retten til å kreve retting, jf. §§ 27
og 28.
Varsling er ikke påkrevd dersom det
er på det rene at den registrerte allerede kjenner til
informasjonen i første ledd.
20 Informasjonsplikt
når det samles inn opplysninger fra andre enn den registrerte
En behandlingsansvarlig som samler inn personopplysninger
fra andre enn den registrerte selv, skal av eget tiltak informere
den registrerte om hvilke opplysninger som samles inn
og gi informasjon som nevnt i § 19 første ledd
så snart opplysningene er innhentet. Dersom formålet
med innsamling av opplysningene er å gi dem videre
til andre, kan den behandlingsansvarlige vente med å varsle
den registrerte til utleveringen skjer.
Den registrerte har ikke krav på varsel
etter første ledd dersom
a) innsamlingen eller formidlingen
av opplysningene er uttrykkelig fastsatt i lov,
b) varsling er umulig eller uforholdsmessig vanskelig, eller
c) det er på det rene at den registrerte allerede
kjenner til informasjonen varslet skal inneholde.
Når varsling unnlates med hjemmel
i bokstav b, skal informasjonen likevel gis senest når
det gjøres en henvendelse til den registrerte på grunnlag
av opplysningene.
21 Informasjonsplikt
ved bruk av personprofiler
Når noen henvender seg til eller treffer
avgjørelser som retter seg mot den registrerte på grunnlag
av personprofiler som er ment å beskrive atferd, preferanser,
evner eller behov, f eks som ledd i markedsføringsvirksomhet,
skal den behandlingsansvarlige informere den registrerte om
a) hvem som er behandlingsansvarlig,
b) hvilke opplysningstyper som er anvendt, og
c) hvor opplysningene er hentet fra.
22 Rett
til informasjon om automatiserte avgjørelser
Hvis en avgjørelse har rettslig eller
annen vesentlig betydning for den registrerte og fullt
ut er basert på automatisk behandling av personopplysninger,
kan den registrerte som avgjørelsen retter seg mot, kreve
at den behandlingsansvarlige gjør rede for regelinnholdet
i datamaskinprogrammene som ligger til grunn for avgjørelsen.
23 Unntak
fra retten til informasjon
Retten til innsyn etter §§ 18
og 22 og plikten til å gi informasjon etter §§ 19,
20 og 21 omfatter ikke opplysninger som
a) om de ble kjent, ville kunne skade
rikets sikkerhet, landets forsvar eller forholdet til
fremmede makter eller internasjonale organisasjoner,
b) det er påkrevd å hemmeligholde av hensyn
til forebygging, etterforskning, avsløring og rettslig
forfølgning av straffbare handlinger,
c) det må anses utilrådelig at den registrerte
får kjennskap til, av hensyn til vedkommendes helse eller
forholdet til personer som står vedkommende nær,
d) det i medhold av lov gjelder taushetsplikt for,
e) utelukkende finnes i tekst som er utarbeidet for den
interne saksforberedelse og som heller ikke er utlevert til andre,
f) det vil være i strid med åpenbare og
grunnleggende private eller offentlige interesser å informere
om, herunder hensynet til den registrerte selv.
Opplysninger etter første ledd bokstav
c kan på anmodning likevel gjøres kjent for en
representant for den registrerte når ikke særlige
grunner taler mot det.
Den som nekter å gi innsyn i medhold
av første ledd må begrunne dette skriftlig med
presis henvisning til unntakshjemmelen.
Kongen kan gi forskrift om andre unntak fra
innsynsretten og informasjonsplikten og om vilkår
for bruk av innsynsretten.
24 Hvordan
informasjonen skal gis
Informasjonen kan kreves skriftlig hos den
behandlingsansvarlige eller hos dennes databehandler som nevnt
i § 15. Før det gis innsyn i opplysninger om en
registrert, kan den behandlingsansvarlige kreve at den registrerte
leverer en skriftlig og undertegnet begjæring.
Kapittel IV Andre rettigheter for den registrerte
25 Rett
til å kreve manuell behandling
Den som en fullt automatisert avgjørelse
som nevnt i § 22 retter seg mot eller som saken ellers
direkte gjelder, kan kreve at avgjørelsen overprøves
av en fysisk person.
Retten etter første ledd gjelder ikke
dersom den registrertes personverninteresser varetas på tilstrekkelig
måte og avgjørelsen er hjemlet i lov eller knytter
seg til oppfyllelse av kontrakt.
26 Rett
til å reservere seg mot direkte markedsføring
Kongen kan gi forskrift om et sentralt reservasjonsregister
med nærmere regler for registeret.
Den registrerte kan kreve sitt navn sperret
mot bruk til direkte markedsføring uavhengig av medium.
Sperring kan kreves både i det sentrale reservasjonsregisteret
og i markedsførerens adresseregister.
Behandlingsansvarlige som markedsfører
direkte, skal oppdatere sitt adresseregister i henhold til det sentrale
reservasjonsregisteret før første gangs utsendelse
og minst fire ganger hvert år.
Den som mottar direkte reklame, skal få opplyst
hvem som har gitt personopplysningene som ligger til grunn for henvendelsen.
Retten til å kreve sperring i det
sentrale reservasjonsregisteret gjelder ikke for markedsføring
av egne produkter fra behandlingsansvarlige som den registrerte har
et løpende kundeforhold til.
27 Retting
av mangelfulle personopplysninger
Dersom det er behandlet personopplysninger
som er uriktige, ufullstendige eller som det ikke er adgang til å behandle,
skal den behandlingsansvarlige av eget tiltak eller på begjæring
av den registrerte rette de mangelfulle opplysningene. Den behandlingsansvarlige
skal om mulig sørge for at feilen ikke får betydning
for den registrerte, f.eks. ved å varsle mottakere
av utleverte opplysninger.
Retting av uriktige eller ufullstendige personopplysninger
som kan ha betydning som dokumentasjon, skal skje ved
at opplysningene tydelig markeres og suppleres med korrekte opplysninger.
Dersom tungtveiende personvernhensyn tilsier
det, kan Datatilsynet uten hinder av annet ledd bestemme
at retting skal skje ved at de mangelfulle personopplysningene
slettes eller sperres. Hvis opplysningene ikke kan kasseres
i medhold av arkivloven, skal Riksarkivaren høres
før det treffes vedtak om sletting. Vedtaket går
foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9
og 18.
Sletting bør suppleres med registrering
av korrekte og fullstendige opplysninger. Dersom dette
ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av
den grunn gir et åpenbart misvisende bilde, skal hele dokumentet
slettes.
Kongen kan gi forskrift med utfyllende bestemmelser om
hvordan retting skal gjennomføres.
28 Forbud
mot å lagre unødvendige personopplysninger
Den behandlingsansvarlige skal ikke lagre personopplysninger
lenger enn det som er nødvendig for å gjennomføre
formålet med behandlingen. Hvis ikke personopplysningene
deretter skal oppbevares i henhold til arkivloven eller
annen lovgivning, skal de slettes.
Den behandlingsansvarlige kan uten hinder av
første ledd lagre personopplysninger for historiske, statistiske eller
vitenskapelige formål, dersom samfunnets interesse i
at opplysningene lagres klart overstiger de ulempene den
kan medføre for den enkelte. Den behandlingsansvarlige
skal i så fall sørge for at opplysningene ikke oppbevares
på måter som gjør det mulig å identifisere den
registrerte lenger enn nødvendig.
Den registrerte kan kreve at opplysninger som
er sterkt belastende for ham eller henne skal sperres eller slettes
dersom dette
a) ikke strider mot annen lov, og
b) er forsvarlig ut fra en samlet vurdering av bl.a. andres behov
for dokumentasjon, hensynet til den registrerte, kulturhistoriske
hensyn og de ressurser gjennomføringen av kravet
forutsetter.
Datatilsynet kan – etter at Riksarkivaren
er hørt – treffe vedtak om at retten til sletting
etter tredje ledd går foran reglene i arkivloven 4. desember
1992 nr. 126 §§ 9 og 18.
Hvis dokumentet som inneholdt de slettede opplysningene
gir et åpenbart misvisende bilde etter slettingen, skal
hele dokumentet slettes.
Kapittel V Overføring av personopplysninger
til utlandet
29 Grunnleggende
vilkår
Personopplysninger kan bare overføres
til stater som sikrer en forsvarlig behandling av opplysningene.
Stater som har gjennomført direktiv 95/46/EF
om beskyttelse av fysiske personer i forbindelse med behandling
av personopplysninger og om fri utveksling av slike opplysninger,
oppfyller kravet til forsvarlig behandling.
I vurderingen av om behandlingen sikres på forsvarlig måte,
skal det bl.a. legges vekt på opplysningenes
art, den planlagte behandlingens formål og varighet
samt de rettsregler, regler for god forretningsskikk og
sikkerhetstiltak som gjelder i vedkommende stat. Det skal også legges
vekt på om staten har tiltrådt Europarådets
konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med
elektronisk behandling av personopplysninger.
30 Unntak
Personopplysninger kan også overføres
til stater som ikke sikrer en forsvarlig behandling av opplysningene dersom
a) den registrerte har samtykket i
overføringen,
b) det foreligger plikt til å overføre
opplysningene etter folkerettslig avtale eller som følge
av medlemskap i internasjonal organisasjon,
c) overføringen er nødvendig for å oppfylle
en avtale med den registrerte, eller for å utføre
gjøremål etter den registrertes ønske
før en slik avtale inngås,
d) overføringen er nødvendig for å inngå eller
oppfylle en avtale med en tredjeperson i den registrertes
interesse,
e) overføringen er nødvendig for å vareta
den registrertes vitale interesser,
f) overføringen er nødvendig for å fastsette,
gjøre gjeldende eller forsvare et rettskrav,
g) overføringen er nødvendig eller følger
av lov for å beskytte en viktig samfunnsinteresse, eller
h) det er fastsatt i lov at det er adgang til å kreve
opplysninger fra et offentlig register.
Datatilsynet kan tillate overføring
selv om vilkårene i første ledd ikke er oppfylt
dersom den behandlingsansvarlige gir tilstrekkelige garantier
for vern av den registrertes rettigheter. Datatilsynet kan sette
vilkår for overføringen.
Kongen kan gi forskrift om overføring
av personopplysninger til utlandet, herunder om å stanse
eller begrense overføring til bestemte stater som ikke
tilfredsstiller kravene i § 29.
Kapittel VI Melde- og konsesjonsplikt
31 Meldeplikt
Den behandlingsansvarlige skal gi melding til
Datatilsynet før
a) behandling av personopplysninger
med elektroniske hjelpemidler,
b) opprettelse av manuelt personregister som inneholder sensitive
personopplysninger.
Meldingen skal gis senest 30 dager før
behandlingen tar til. Datatilsynet skal gi den behandlingsansvarlige kvittering
for at melding er mottatt.
Ny melding må gis før behandling
som går ut over den rammen for behandling som er angitt
i medhold av § 32. Selv om det ikke har skjedd endringer,
skal det gis ny melding tre år etter at forrige melding
ble gitt.
Kongen kan gi forskrift om at visse behandlingsmåter eller
behandlingsansvarlige er unntatt fra meldeplikt, underlagt forenklet
meldeplikt eller underlagt konsesjonsplikt. For behandlinger
som unntas fra meldeplikt kan det gis forskrift for å begrense
ulemper som behandlingen ellers kan medføre for
den registrerte.
32 Meldingens
innhold
Meldingen skal opplyse om
a) navn og adresse på den
behandlingsansvarlige og på dennes eventuelle representant
og databehandler,
b) når behandlingen starter,
c) hvem som har det daglige ansvaret for å oppfylle
den behandlingsansvarliges plikter,
d) formålet med behandlingen,
e) oversikt over hvilke typer personopplysninger som skal
behandles,
f) hvor personopplysningene hentes fra,
g) det rettslige grunnlaget for innsamlingen av opplysningene,
h) hvem personopplysningene vil bli utlevert til, herunder
eventuelle mottakere i andre stater, og
i) hvilke sikkerhetstiltak som er knyttet til behandlingen.
Kongen kan gi forskrift om hvilke opplysninger
meldingene skal inneholde og om gjennomføringen av meldeplikten.
33 Konsesjonsplikt
Det kreves konsesjon fra Datatilsynet for å behandle sensitive
personopplysninger. Dette gjelder likevel ikke for behandling
av sensitive personopplysninger som er avgitt uoppfordret.
Datatilsynet kan bestemme at også behandling
av annet enn sensitive personopplysninger krever konsesjon, dersom
behandlingen ellers åpenbart vil krenke tungtveiende personverninteresser.
I vurderingen av om konsesjon er nødvendig, skal Datatilsynet
bl.a. ta hensyn til personopplysningenes art, mengde og formålet
med behandlingen.
Den behandlingsansvarlige kan kreve at Datatilsynet avgjør
om en behandling vil kreve konsesjon.
Konsesjonsplikt etter første og annet
ledd gjelder ikke for behandling av personopplysninger i organ for
stat eller kommune når behandlingen har hjemmel i egen
lov.
Kongen kan gi forskrift om at visse behandlingsmåter ikke
trenger konsesjon etter første ledd. For behandlingsmåter
som unntas fra konsesjon kan det gis forskrift for å begrense
ulemper som behandlingen ellers kan medføre for
den registrerte.
34 Avgjørelsen
av om konsesjon skal gis
Ved avgjørelsen av om konsesjon skal
gis, skal det klarlegges om behandlingen av personopplysninger
kan volde ulemper for den enkelte som ikke avhjelpes gjennom bestemmelsene
i kapitlene II-V og vilkår etter § 35. I så fall
må det vurderes om ulempene blir oppveid av hensyn
som taler for behandlingen.
35 Vilkår
i konsesjon
I konsesjonen skal det vurderes å sette
vilkår for behandlingen når slike vilkår
er nødvendige for å begrense ulempene
behandlingen ellers ville medføre for den registrerte.
Kapittel VII Fjernsynsovervåking
36 Definisjon
Med fjernsynsovervåking menes vedvarende
eller regelmessig gjentatt personovervåking ved hjelp av
fjernbetjent eller automatisk virkende fjernsynskamera
fotografiapparat eller lignende apparat.
37 Virkeområde
Reglene i §§ 38–41
gjelder for all fjernsynsovervåking. Det samme
gjelder §§ 8, 9, 11, 31 og 32. Fjernsynsovervåking
som har som formål å avdekke opplysninger som
nevnt i § 2 nr. 8 bokstav b, er likevel tillatt,
selv om vilkårene i § 9 første ledd ikke
er oppfylt.
Når billedopptak fra fjernsynsovervåking
lagres på en måte som gjør det mulig å finne
igjen opplysninger om en bestemt person, jf. § 3
første ledd, gjelder også lovens øvrige
bestemmelser. Konsesjonsplikten etter § 33
gjelder likevel ikke for slik fjernsynsovervåking
som har som formål å avdekke opplysninger
som nevnt i § 2 nr. 8 bokstav b.
38 Grunnkrav
til overvåking
Fjernsynsovervåking av sted hvor en
begrenset krets av personer ferdes jevnlig, er bare tillatt dersom
det ut fra virksomheten er et særskilt behov for overvåkingen.
39 Utlevering
av billedopptak gjort ved fjernsynsovervåking
Personopplysninger som er innsamlet ved billedopptak
gjort ved fjernsynsovervåking, kan bare utleveres til
andre enn den behandlingsansvarlige dersom den som er avbildet samtykker
eller utleveringsadgangen følger av lov. Billedopptak
kan likevel utleveres til politiet ved etterforskning av straffbare
handlinger eller ulykker hvis ikke lovbestemt taushetsplikt er til
hinder.
40 Varsel
om at overvåking finner sted
Ved fjernsynsovervåking på offentlig
sted eller sted hvor en begrenset krets av personer ferdes jevnlig,
skal det ved skilting eller på annen måte gjøres
tydelig oppmerksom på at stedet blir overvåket
og hvem som er behandlingsansvarlig.
41 Forskrifter
Kongen kan gi forskrifter med nærmere
bestemmelser om fjernsynsovervåking og billedopptak
i forbindelse med slik overvåking, herunder om sikring,
bruk og sletting av billedopptak gjort ved fjernsynsovervåking
og om innsynsrett for den som er overvåket i de deler av
billedopptakene hvor han eller hun er avbildet. Det kan også gis
forskrift om at billedopptak kan utleveres utover det
som følger av § 39.
Votering:
Tilrådinga frå komiteen vart
samrøystes vedteken.
Vidare var tilrådd:
Kapittel VIII Tilsyn og sanksjoner
42 Datatilsynets
organisering og oppgaver
Datatilsynet er et uavhengig forvaltningsorgan
administrativt underordnet Kongen og departementet. Kongen og departementet
kan ikke gi instruks om eller omgjøre Datatilsynets utøving
av myndighet i enkelttilfeller etter loven.
Datatilsynet ledes av en direktør
som utnevnes av Kongen. Kongen kan bestemme at direktøren
ansettes på åremål.
Datatilsynet skal
1) føre en systematisk og offentlig
fortegnelse over alle behandlinger som er innmeldt etter § 31
eller gitt konsesjon etter § 33, med opplysninger som nevnt
i § 18 første ledd jf. § 23,
2) behandle søknader om konsesjoner, motta meldinger og
vurdere om det skal gis pålegg der loven gir hjemmel for
dette,
3) kontrollere at lover og forskrifter som gjelder for behandling
av personopplysninger blir fulgt, og at
feil eller mangler blir rettet,
4) holde seg orientert om og informere om den generelle nasjonale
og internasjonale utviklingen i behandlingen av personopplysninger
og om de problemer som knytter seg til slik behandling,
5) identifisere farer for personvernet, og gi råd
om hvordan de kan unngås eller begrenses,
6) gi råd og veiledning i spørsmål
om personvern og sikring av personopplysninger til dem som planlegger å behandle
personopplysninger eller utvikle systemer for slik behandling,
herunder bistå i utarbeidelsen av bransjevise atferdsnormer,
7) etter henvendelse eller av eget tiltak gi uttalelse i spørsmål
om behandling av personopplysninger, og
8) gi Kongen årsmelding om sin virksomhet.
Avgjørelser som Datatilsynet fatter
i medhold av §§ 9, 12, 27, 28, 30, 33, 34, 35,
44, 46 og 47 kan påklages til Personvernnemnda. Avgjørelser
som fattes i medhold av §§ 27 eller 28 kan påklages
videre til Kongen dersom avgjørelsen gjelder personopplysninger
som behandles for historiske formål.
Presidenten: Kristeleg Folkeparti, Høgre
og Senterpartiet har varsla at dei går mot fjerde ledd
andre punktum.
Votering:
1. Tilrådinga frå komiteen
til første, andre og tredje ledd og fjerde ledd første
punktum vart samrøystes vedteken.
2. Tilrådinga frå komiteen til fjerde
ledd andre punktum vart vedteken med 45 mot 32 røyster.
(Voteringsutskrift kl. 22.43.07)Vidare var tilrådd:
43 Personvernnemndas
organisering og oppgaver
Personvernnemnda avgjør klager over
Datatilsynets avgjørelser, jf. § 42
fjerde ledd. Nemnda er et uavhengig forvaltningsorgan
administrativt underordnet Kongen og departementet. § 42
første ledd annet punktum gjelder tilsvarende.
Personvernnemnda har syv medlemmer som oppnevnes
for fire år med adgang til gjenoppnevning for ytterligere
fire år. Lederen og nestlederen oppnevnes av Stortinget.
De øvrige fem medlemmene oppnevnes av Kongen.
Personvernnemnda kan bestemme at lederen eller nestlederen
sammen med to andre nemndsmedlemmer kan behandle klager
over avgjørelser som må avgjøres uten
opphold.
Personvernnemnda orienterer årlig
Kongen om behandling av klagesakene.
Søksmål om gyldigheten av
Personvernnemndas avgjørelser rettes mot staten ved Personvernnemnda.
Kongen kan gi nærmere regler om Personvernnemndas
organisering og saksbehandling.
44 Tilsynsmyndighetens
tilgang til opplysninger
Datatilsynet og Personvernnemnda kan kreve
de opplysningene som trengs for at de kan gjennomføre sine oppgaver.
Datatilsynet kan som ledd i sin kontroll med
at lovens regler etterleves, kreve adgang til steder hvor det finnes personregistre,
overvåkingsutstyr og billedopptak som nevnt i § 37,
personopplysninger som behandles elektronisk og hjelpemidler for
slik behandling. Tilsynet kan gjennomføre de
prøver eller kontroller som det finner nødvendig
og kreve bistand fra personalet på stedet i den grad dette
må til for å få utført
prøvene eller kontrollene.
Retten til å kreve opplysninger eller
tilgang til lokaler og hjelpemidler i henhold til første
og annet ledd gjelder uten hinder av taushetsplikt.
Kongen kan gi forskrift om unntak fra første
til tredje ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift
om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning
av utgiftene er tvangsgrunnlag for utlegg.
45 Taushetsplikt
for tilsynsmyndighetene
For ansatte i Datatilsynet, medlemmer av Personvernnemnda
og andre som utfører tjeneste for tilsynsmyndighetene
gjelder bestemmelsene om taushetsplikt i forvaltningsloven §§ 13
flg. Taushetsplikten omfatter også opplysninger
om sikkerhetstiltak, jf § 13.
Datatilsynet og Personvernnemnda kan uten hinder
av taushetsplikten etter første ledd gi opplysninger
til utenlandske tilsynsmyndigheter når det er nødvendig
for å kunne treffe vedtak som ledd i tilsynsvirksomheten.
46 Pålegg
om endring eller opphør av ulovlige behandlinger
Datatilsynet kan gi pålegg om at behandling
av personopplysninger i strid med bestemmelser i eller i medhold
av denne loven skal opphøre eller stille vilkår
som må oppfylles for at behandlingen skal være
i samsvar med loven.
47 Tvangsmulkt
Ved pålegg etter §§ 12,
27, 28 og 46 kan Datatilsynet fastsette en tvangsmulkt
som løper for hver dag som går etter utløpet
av den fristen som er satt for oppfylling av pålegget,
inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før
klagefristen er ute. Hvis vedtaket påklages, løper
ikke tvangsmulkt før Personvernnemnda har bestemt det.
Datatilsynet kan frafalle påløpt
tvangsmulkt.
48 Straff
Med bøter eller fengsel inntil ett år
eller begge deler straffes den som forsettlig eller grovt uaktsomt
a) unnlater å sende melding
etter § 31,
b) behandler personopplysninger uten nødvendig
konsesjon etter § 33,
c) overtrer vilkår fastsatt etter §§ 35
eller 46,
d) unnlater å etterkomme pålegg fra Datatilsynet
etter §§ 12, 27, 28 eller 46,
e) behandler personopplysninger i strid med §§ 13,
15, 26 eller § 39, eller
f) unnlater å gi opplysninger etter §§ 19,
20, 21, 40 eller 44.
Ved særdeles skjerpende omstendigheter
kan fengsel inntil tre år idømmes. Ved avgjørelsen
av om det foreligger særdeles skjerpende omstendigheter
skal det blant annet legges vekt på faren for stor skade
eller ulempe for den registrerte, den tilsiktede vinningen
ved overtredelsen, overtredelsens varighet og omfang,
utvist skyld, og om den behandlingsansvarlige tidligere er straffet
for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan
det fastsettes at den som forsettlig eller grovt uaktsomt overtrer
forskriften skal straffes med bøter eller fengsel
inntil ett år eller begge deler.
49 Erstatning
Den behandlingsansvarlige skal erstatte skade
som er oppstått som følge av at personopplysninger
er behandlet i strid med bestemmelser i eller i medhold av loven,
med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse
på den behandlingsansvarliges side.
Behandlingsansvarlige som formidler kredittopplysninger
og som har meddelt opplysninger som viser seg uriktige
eller åpenbart misvisende, skal erstatte skade som er oppstått
som følge av den feilaktige meddelelsen, uten hensyn til
om skaden skyldes feil eller forsømmelse på den
behandlingsansvarliges side.
Erstatningen skal svare til det økonomiske
tapet som den skadelidte er påført som følge
av den ulovlige behandlingen. Den behandlingsansvarlige
kan også pålegges å betale slik erstatning
for skade av ikke-økonomisk art (oppreisning) som synes
rimelig.
Kapittel IXI kraftsetting. Overgangsregler. Endringer
i andre lover
50 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer.
Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre
i kraft til forskjellig tid.
51 Overgangsregler
1. For behandling av personopplysninger
som er påbegynt før loven trer i kraft og som
er melde- eller konsesjonspliktig etter bestemmelsene
i kapittel VI, skal det sendes melding i henhold til § 31
eller søkes om konsesjon fra Datatilsynet i henhold
til § 33 innen ett år fra ikrafttredelsen. Dersom
behandlingen foretas i henhold til konsesjon i medhold av personregisterloven
§ 9, er fristen for å sende melding eller
søke om konsesjon to år fra ikrafttredelsen. Inntil
melding er sendt eller Datatilsynet har gitt konsesjon, kan personopplysningene
behandles i henhold til reglene i personregisterloven.
2. Et samtykke som en registrert har gitt før loven
trer i kraft skal fremdeles gjelde, hvis det tilfredsstiller
vilkårene i § 2 nr. 7.
3. Klager som Datatilsynet mottar etter at loven trer i kraft,
behandles av Personvernnemnda.
4. Kongen kan ved forskrift gi nærmere overgangsregler.
52 Endringer
i andre lover
I andre lover gjøres følgende
endringer:
§ 390 b oppheves.
Når det foreligger skjellig grunn
til mistanke om en eller flere straffbare handlinger som etter loven
kan medføre høyere straff enn fengsel i 6 måneder,
kan politiet iverksette skjult fjernsynsovervåking på offentlig
sted som nevnt i personopplysningsloven 40 når
slik overvåking vil være av vesentlig betydning
for etterforskningen. § 196 gjelder tilsvarende.
Første ledd hindrer ikke at opplysninger
overlates til eller lovlig brukes i kredittopplysningsvirksomhet
som drives i samsvar med personopplysningsloven.
§ 9 bokstav c tredje punktum
skal lyde:
Personregister eller delar av personregister
kan likevel slettast etter føresegnene i personopplysningslova.
§ 9 bokstav d annet punktum
skal lyde:
Føresegner om sletting gjevne i medhald
av 27 tredje og femte leden og 28 fjerde
leden i personopplysningslova gjeld likevel uinnskrenka.
§ 18 annet punktum skal
lyde:
Reglane i personopplysningslova om
retting og sletting av opplysningar vil likevel gjelda fullt ut.
Behandling av klientjournal
er ikke konsesjonspliktig etter personopplysningsloven
33.
§ 13 annet punktum skal
lyde:
Sammenstilling kan
ellers bare skje når dette følger av annen
lov eller av vedtak etter personopplysningsloven.
§ 14 skal lyde:
14 Innsynsrett
Innsynsrett etter personopplysningsloven
18 jf. 23 gjelder for småbåtregisteret.
§ 16 skal lyde:
§ 16 Registreringsmyndighetens
ansvar
Registreringsmyndigheten nevnt i § 3
skal sørge for at bestemmelser gitt i eller i medhold av §§ 10
til 15 i loven her og personopplysningsloven blir
fulgt.
§ 3 annet ledd tredje
og fjerde punktum skal lyde:
Dokumentasjonen skal også være
tilgjengelig for Datatilsynet og Personvernnemnda.
De ansatte i Datatilsynet, medlemmer av Personvernnemnda eller
andre som utfører tjeneste for tilsynsmyndigheten, skal
hindre at uvedkommende får tilgang til opplysninger
om sikkerhetstiltakene.
§ 4 annet ledd skal lyde:
Den registeransvarlige skal dokumentere tiltakene. Dokumentasjonen skal gjøres tilgjengelig for medarbeiderne
hos den registeransvarlige og dennes databehandler. Dokumentasjonen
skal også være tilgjengelig for Datatilsynet og Personvernnemnda.
§ 22 første ledd
første punktum skal lyde:
Datatilsynet og Personvernnemnda kan
kreve de opplysningene som trengs for å gjennomføre
sine oppgaver.
§ 23 annet skal lyde:
Datatilsynets vedtak etter første
ledd kan påklages til Personvernnemnda.
Votering:
Tilrådinga frå komiteen vart samrøystes
vedteken.Presidenten: Det vert votert over overskrifta
til lova og lova i det heile.
Votering:
Overskrifta til lova og lova i det heile vart samrøystes vedteken.Presidenten: Lovvedtaket vil verte sendt til Lagtinget.