Forslaget til ny lov om behandling av personopplysninger

Artikkelserie i 3 deler

1 – Bedre innsyn

I over 17 år har " personregisterloven" regulert bruken av personregistre. Den 13. juni overleverte Personregisterlovutvalget sin innstilling med forslag om ny lovgivning for å ivareta personvern. I denne andre av tre artikler går medlem av utvalget, professor Dag Wiese Schartum ved Avdeling for forvaltningsinformatikk, gjennom de deler av forslaget som gjelder den enkeltes innsynsrett.

I dagens lov har alle rett til å få vite hva som er registrert om dem selv ved hjelp av elektroniske hjelpemidler. I offentlig sektor har en også rett til å få vite innholdet av personopplysninger som ikke er elektronisk lagret, mens det i privat sektor ikke er en slik rett. I lovforslaget likestilles offentlig og privat sektor ved at det gis like innsynsrettigheter. Forslaget gir f.eks rett til innsyn i opplysninger på papir som banken eller forsikringsselskapet har om deg. På lignende måte som ved innsyn etter forvaltningsloven er det imidlertid gjort enkelte unntak, bl.a for dokumenter som er utarbeidet for intern saksforberedelse.

I dag har alle rett til å få vite hvilke opplysningstyper som er tatt inn i et offentlig register. Lovforslaget gir en generell rett til innsyn i flere opplysninger som beskriver opplegg for behandling av personopplysninger. Dersom du f.eks vurderer å skaffe deg et Domino-kort, vil du etter lovforslaget ha rett til å kreve informasjon om formålet med innsamlingen av opplysninger i tilknytning til kortet, hvem opplysninger samles inn fra, hvor de gis videre samt hvem som er ansvarlig for behandlingen av personopplysninger. Tanken er bl.a at denne rettigheten skal sette folk bedre i stand til å vurdere om kunde- og kontraktsforhold m.v. skal inngås eller ikke.

Lovforslaget gir også rett til å bli varslet når de opplysninger som blir samlet inn ikke er innhentet fra personen selv. Dersom arbeidsgiver sender opplysning om sykefravær til ditt forsikringsselskap, vil dette således kunne utløse en plikt for forsikringsselskapet til å sende varsel til deg om at opplysninger er mottatt. Hensikten er bl.a å legge til rette for at uriktig eller ufullstendig informasjon ikke skal bli stående uimotsagt.Det er foreslått unntak for tilfelle der varsling er uforholdsmessig vanskelig, når opplysningen må antas å være kjent, eller når videregivelse av opplysningen er hjemlet i lov.

Noen ganger brukes bildet av datamaskinen som en "sort boks" for å understreke at datamaskinsystemer som styrer behandling av personopplysninger m.v. er utilgjengelige for folk flest. I tillegg til de nevnte innsynsreglene foreslår utvalget to bestemmelser som særlig kan få funksjon som "bokseåpnere" og som kan gjøre det lettere å få innblikk i hva som faktisk foregår i datamaskinsystemene. For det første er det foreslått en bestemmelse som gir plikt til å varsle dersom det brukes "personprofiler" når det skal treffes avgjørelser om eller gjøres henvendelser til personer. En "personprofil" er en samling av opplysninger som brukes for å anta noe om personers preferanser, holdninger, evner m.v. Det "mønster" du etterlater deg i elektroniske betalingssystemer kan f.eks være av stor verdi for markedsføring overfor deg. Etter lovforslaget kan ikke slike personprofiler anvendes uten at vedkommende person varsles om hvilke opplysninger og kilder som er anvendt. Formålet er å unngå manipulerende situasjoner det den ene parten vet "alt" uten at den personen kunnskapen gjelder er klar over denne kunnskapen. F.eks skal du få vite at årsaken til at akkurat du får tilbud om billig bruktbil er det faktum at du flere ganger har benyttet deg av bilforretningens hjemmeside på Internett og i skattelistene står oppført med lav inntekt.

Et annet forslag som vil kunne gjøre det lettere å få innsyn i hvorledes opplysninger blir behandlet, er bestemmelsen om at alle skal ha krav på å få forklart innholdet av edb-programmer som styrer totalt automatiserte avgjørelser. I begrunnelsen skal det gjøres rede for regelinnholdet i de datamaskinprogrammer som ligger til grunn for avgjørelsen. Selv om det foreløpig ikke er mange avgjørelsesprosesser som er "uberørte av menneskehender", vil en slik bestemmelse fungere som et signal og en garanti for at det alltid skal være mulig å få en individuell behandling.

De nevnte forslag til regler som gir deg rett til innsyn og kunnskap om hvorledes personopplysninger behandles i datamaskinsystemer (og ellers), reiser spørsmålet om dette virkelig er rettigheter som folk vil bruke. Etter min mening skal det ikke meget til for at de foreslåtte bestemmelsene om innsyn fullt ut lar seg forsvare. Særlig vil innsynsretten om generelle forhold kunne få positiv betydning for pressens arbeid og således være et viktig supplement til dagens offentlighetslovgivning.

Forslaget til ny lov om behandling av personopplysninger:

2 – Et svekket Datatilsyn?

I 17 år har " personregisterloven" regulert bruken av personregistre. Den 13. juni overleverte Personregisterlovutvalget sin innstilling med forslag om ny lovgivning for å ivareta personvern. Dette er den første av tre artikler der medlem av utvalget, professor Dag Wiese Schartum ved Avdeling for forvaltningsinformatikk gjennomgår de viktigste elementene i forslaget. I denne første artikkelen gjør Schartum rede for bakgrunn for arbeidet og forslag til en ny konsesjons- og meldepliktordning.

Utredningen har hatt EUs direktiv om personvern som ramme og dagsorden, og har skjedd parallelt med lignende lovrevisjoner i de andre nordiske land. Dette innebærer neppe at vi vil få lik lovgivning innen Norden, men at den blir harmonisert og likeverdig med andre land som vi har et tett samkvem med.

Lovforslaget innebærer et "hamskifte" med vesentlige endringer i rettstilstanden. I motsetning til det som har kommet til uttrykk i enkelte forhåndspekulasjoner, oppsummerer imidlertid utvalget forslagene i tittelen på NOUen til: "Et bedre personvern". En grunn til at mange har fryktet et dårligere personvern, er at dagens konsesjonsordning for personregistre står for fall. Ordningen fastsetter bl.a at alle som skal etablere et elektronisk personregister må ha konsesjon (tillatelse) fra Kongen, en myndighet som er delegert Datatilsynet. Konsesjonssakene har vært viktige for etableringen av personvern som et nytt fagfelt og som politisk stridstema. Omstridte konsesjoner har bl.a gitt anledning til verdifull uenighet med presseoppslag og friske meningsutvekslinger. På mange måter kan det sies å ha eksistert et likhetstegn mellom "personvern" og konsesjonsbehandling i Datatilsynet.

Utvalget foreslår en langt mindre omfattende konsesjonsordning som skal være knyttet til bruk av sensitive opplysninger for å treffe enkeltavgjørelser i offentlig og privat sektor. Det betyr ikke at det er "fritt fram" for alle andre. I tillegg til konsesjonsordningen blir det nemlig foreslått en rekke andre tiltak som vil mer enn kompensere for endringen i konsesjonsordningen.

Begrunnelsen for å redusere konsesjonsplikten er blant annet at dette vil frigjør meget tid til veiledning og til kontroll med at loven følges. I lovutkastet gis det en rekke nye konkrete regler om hvorledes personopplysninger skal behandles. Datatilsynet er i forslaget gitt kompetanse til å gripe inn dersom tilsynet mener at disse reglene ikke er overholdt. I motsetning til dagens situasjon kan de etter forslaget ilegge tvangsmulkt dersom pålegg fra tilsynet ikke etterkommes. Dette vil avgjort være med på å styrke Datatilsynets stilling.

I tillegg til konsesjonsplikten er det foreslått en bred meldepliktordning som i utgangspunktet innebærer at alle som vil behandle personopplysninger ved hjelp av edb skal inngi melding om dette til Datatilsynet. Meldingsordningen vil etablere en forpliktende kontakt mellom de behandlingsansvarlige og Datatilsynet, samt danne grunnlag for utsending av informasjon ved endringer av regelverk m.v. Viktigere er imidlertid meldeordningens funksjon som en hovedkilde for den kunnskap som Datatilsynet til enhver tid må erverve om teknologiske og samfunnsmessige forhold. Utvalget går langt i retning av å forutsette mulighet for valgfri elektronisk innsending av meldinger og peker på muligheten for at alle meldinger foreligger i manskinlesbar form. Dette kan sies å være nødvendig for at meldingene ikke bare skal bli hauger av papir, men et materiale som gjør det lettere for Datatilsynet å prioritere og gjennomføre virkningsfulle tiltak.

For flertallet av de som skal forestå behandling av personopplysninger vil det neppe være meldeplikten som vil tiltrekke seg størst oppmerksomhet. Av større betydning vil det trolig være at det foreslås en plikt til å etablere systematisk tiltak for å sikre personopplysningers kvalitet, diskresjon og tilgjengelighet. Videre foreslås det en plikt til å etablere et internkontrollsystem, dvs dokumenterte rutiner som sikrer overholdelse av lovens regler. Begge bestemmelser skal bidra til å påse at personvern ikke bare er noe som pålegges utenfra, men i tillegg blir en integrert del av tenkningen hos de offentlige og private virksomheter som behandler personopplysninger. I tråd med dette er det foreslått at Datatilsynet også skal ha som oppgave å bistå ved utvikling av "bransjevise adferdsnormer" på personvernområdet. Dette er regler som er ment å understøtte personvernet og som en bransje eller lignende blir enige om skal være retningsgivende for sitt område.

Oppsummeringsvis kan det sies at den politiske, teknologiske og samfunnsmessige utviklingen gjør at dagens konsesjonsordning for personregistre uansett står for fall. Til erstatning har Personregisterlovutvalget foreslått et knippe av tiltak som dels styrker Datatilsynet og som dels stiller nye krav til de organsisasjoner og enkeltpersoner som behandler personopplysninger. Til sammen vil dette kunne gi et Datatilsyn som står godt rustet til å møte framtidige utfordringer på personvernområdet.

3 - Bedre tilsyn med overvåkning

I 17 år har " personregisterloven" regulert bruken av personregistre. Den 13. juni overleverte Personregisterlovutvalget sin innstilling med forslag om ny lovgivning for å ivareta personvern. I denne siste av tre artikler gjennomgår medlem av utvalget, professor Dag Wiese Schartum ved Avdeling for forvaltningsinformatikk de deler av forslaget som spesielt gjelder fjernsynsovervåkning.

I dag er overvåking av personer med fjernbetjent eller automatisk virkende kamera bare tillatt dersom det er saklig begrunnet ut i fra virksomheten hos den som ønsker å foreta overvåkingen. Nasking fra butikker kan for eksempel gi saklig grunn til å videoovervåke deler av butikklokalet. Overvåking av sted der en begrenset gruppe personer jevnlig ferdes, for eksempel arbeidssteder, er bare tillatt dersom det er et særskilt behov for overvåkningen. I henhold til § 390 b i straffeloven skal overvåking av offentlig sted eller arbeidssted alltid varsles ved skilt eller på annen måte.

I forslaget til ny lov er spørsmål vedrørende fjernsynsovervåking av personer og billedopptak i tilknytning til dette bedre integrert i lovgivningen for øvrig. Utvalget foreslår at det alltid skal være angitt et uttrykkelig formål for overvåkningen. Dette kommer i tillegg til kravene om saklig begrunnelse, og innebærer bl.a at en ikke uten videre kan endre formål selv om det nye formålet er saklig begrunnet. En overvåkning med formålet å kontrollere kunder, kan i følge forslaget for eksempel ikke uten videre endres til å kontrollere ansatte.

Den kanskje viktigste endringen vedrørende overvåking er forslaget om at elektronisk overvåking skal omfattes av de generelle bestemmelsene i en lov om behandling av personopplysninger. Dette innebærer blant annet at bestemmelsene om innsyn i opplysninger om en selv, og kravet om retting, sletting og supplering av opplysninger vil gjelde også for ulike typer digitale opptak. En ansatt som er utsatt for overvåkning på sin arbeidsplass, vil etter forslaget dessuten ha innsynsrett til det billedmaterialet som gjelder ham eller henne.

Også at annen form for elektronisk overvåking enn den bildebaserte er omfattet av lovfoslagets generelle regler. Således vil behandling av personopplysninger ved hjelp av teknologi for å overvåke senile og andre hjelpetrengende på (institusjon eller hjemme) eller ved overvåkning av innsatte i fengsler i utgangspunktet være omfattet av forslaget. Slik teknologi er imidlertid ikke spesielt drøftet, og generelt er det grunn til å tro at det vil melde seg behov for særreguleringer.

Utvalget foreslår også at Datatilsynet skal kunne gripe inn og kreve opphør av slik overvåkning tilsynet mener er ulovlig, og eventuelt ilegge tvangsmulkt dersom forbud og påbud fra tilsynet ikke etterkommes. For billedopptak som er elektroniske gjelder i tillegg reglene om meldeplikt, noe som innebærer at Datatilsynet skal gis beskjed om formålet med overvåkningen, hva bildene brukes til og hvem som er ansvarlig for overvåkningen. Forslaget innebærer med andre ord en utvidet rolle for Datatilsynet i forhold til overvåking.

Oppsummeringsvis er det særlig grunn til å fremheve at Personregisterlovutvalgets forslag innebærer at en lang rekke personvernbestemmelser får anvendelse på elektronisk overvåkning, noe som innebærer en markert endring i forhold til dagens rettstilstand. Et annet spørsmål er om denne styrkingen vil være tilstrekkelig til å møte det som synes å være en klar økning i bruk av ulike typer overvåkningsteknologi.