Skriftlig spørsmål fra Hadia Tajik (A) til justisministeren

Dokument nr. 15:1255 (2009-2010)
Innlevert: 25.05.2010
Sendt: 26.05.2010
Besvart: 31.05.2010 av justisminister Knut Storberget

Hadia Tajik (A)

Spørsmål

Hadia Tajik (A): Er lagring av e-poster å regne som personopplysninger i henhold til personopplysningsloven § 2 første ledd 1), og krever det i så fall at kriteriene i personopplysningslovens § 8 eller § 9, jfr. § 11 er innfridd for at man skal kunne lagre dem?

Begrunnelse

På ulike nettsider kan man abonnere på nyhetsbrev som jevnlig gir oppdateringer fra den nettsiden. Noen slike nettsider kobler i dag e-postadressen man oppgir for et slikt abonnement til besøksloggen til den besøkende. I praksis gir det eieren av nettsiden mulighet til å knytte identiteten til den besøkende til hva vedkommende er inne på av nettsider, også i lang tid etter at man har oppgitt e-postadressen sin. Ikke alle nettsider som operer på denne måten gir informasjon om denne praksisen på sine sider. Det vil være nyttig å avklare om dette kan være å regne som et brudd på personopplysningslovens § 28 om forbud mot å lagre unødvendige personopplysninger, noe som vil avhenge av forståelsen av paragrafene omtalt i spørsmålet.

Knut Storberget (A)

Svar

Knut Storberget: Personopplysningsloven kommer blant annet til anvendelse på behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, jf. personopplysningsloven § 3 første ledd bokstav a. Det fremgår av lovens § 2 nr. 2 at ”enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter” er å anse som behandling av personopplysninger. Samtidig er personopplysningsbegrepet svært vidt og defineres som ”opplysninger og vurderinger som kan knyttes til en enkeltperson”, jf. lovens § 2 nr. 1. Både lagring av innholdet i en e-post og lagring av e-postadressen, vil følgelig kunne innebære behandling av personopplysninger, såfremt slik informasjon kan knyttes til en enkeltperson.

Jeg forstår videre at noe av bakgrunnen for representantens spørsmål er spesielt relatert til at lagring av e-postadressen kan gjør det teknisk mulig å samle opp og lagre en identifiserbar persons trafikk på internett. Også slike handlinger vil omfattes av lovens virkeområde, såfremt trafikken kan knyttes til en enkeltperson.

For det tilfellet at en handling, for eksempel slike som er nevnt ovenfor, innebærer en behandling av personopplysninger, kommer blant annet personopplysningsloven §§ 8, 9 og 11 til anvendelse. Her stilles det blant annet vilkår om at det må foreligge samtykke fra den registrerte, at det må foreligge lovhjemmel for behandlingen eller at behandlingen er nødvendig ut fra andre spesielt oppregnede formål. Det er også et krav at personopplysningene bare skal nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Videre skal ikke personopplysninger lagres lenger enn nødvendig for å gjennomføre formålet med behandlingen, jf. personopplysningsloven § 28 første ledd. Ved behandling av personopplysninger med elektroniske hjelpemidler, skal det dessuten i forkant av behandlingen meldes fra til Datatilsynet, jf. personopplysningsloven § 31 første ledd bokstav a, jf. annet ledd.

Jeg finner for øvrig grunn til å nevne at brudd på loven etter omstendighetene kan medføre overtredelsesgebyr eller straff, jf. personopplysningsloven §§ 46 og 48. Videre kan Datatilsynet gi pålegg om at behandling av personopplysninger i strid med personopplysningsloven skal opphøre, eller stille vilkår som må være oppfylt for at behandlingen skal være i samsvar med loven, jf. personopplysningsloven § 46 fjerde ledd. Manglende oppfyllelse av pålegg, kan resultere i tvangsmulkt, jf. personopplysningsloven § 47.

For ordens skyld tilføyer jeg at behandling av personopplysninger til rent personlige eller andre private formål faller utenfor personopplysningslovens virkeområde, jf. lovens § 3 annet ledd.

I Ot.prp. nr. 92 (1998-99) side 100 understreket Justisdepartementet at reglene i personopplysningsloven skal anvendes på en teknologi som er i stadig utvikling. Dette stiller særlige utfordringer til utformingen av reglene. I tråd med proposisjonen og Justiskomiteens behandling av den, jf. Innst. O. nr. 51 (1999-2000) side 26, er Justisdepartementet i gang med en etterkontroll av loven.

For øvrig vil jeg nevne at både Europarådet og EU jobber aktivt med personvernrelaterte problemstillinger. Justisdepartementet følger denne utviklingen nøye, og deltar i flere ulike fora. 1. – 4. juni 2010 skal justisdepartementet møte i Europarådets personvernkomite, TP-D, for å fremme en anbefaling om personprofilering. Lagring av trafikkdata som nevnt ovenfor benyttes av enkelte nettsteder til å lagre en personprofil som kan danne grunnlag for henvendelser til og avgjørelser om en person. Slik personprofilering omfattes av personopplysningsloven.