Judicial Electronic Data Interchange in European Civil Proceedings and Criminal Matters - Norway

Judicial Electronic Data Interchange in European Civil Proceedings and Criminal Matters - Norway

Personopplysningsvern i et nytt årtusen

— kritikk av personopplysningslovproposisjonen

 

Av Jens Petter Berg *

 

1 Oversikt

Stortingets justiskomité vil trolig i midten av februar 2000 avgi sin innstilling til regjeringens forslag til lov om behandling av personopplysninger, Ot prp nr 92 (1998—99), som ble fremmet rett etter at Stortinget hadde tatt sommerferie i 1999. Proposisjonen er basert på en lovutredning framlagt i NOU 1997: 19 Et bedre personvern. Den foreslåtte loven skal tre istedenfor den någjeldende personregisterloven, lov 9.6.1978 nr 48, formentlig tidligst fra 1.1.2001.

Det har vært tatt for gitt, og derfor vært en del av mandatet for lovutredningen, at de nye lovbestemmelsene skal utformes i overensstemmelse med EUs personopplysningsretningslinje 95/46/EF, som ble vedtatt 24 oktober 1995. Den offisielle danske versjonen av denne retningslinjen har derfor vært trykt som vedlegg til begge de nevnte dokumentene. Nå foreligger også en offisiell norsk versjon av retningslinjen — som vedlegg til St prp nr 34 (1999—2000), fremmet rett før jul 1999. Her inviterer regjeringen Stortinget til å gjøre vedtak om å samtykke til godkjenning av EØS-komiteens beslutning 25 juni 1999 om å innlemme personopplysningsretningslinjen i EØS-avtalen.

Først gjennom framleggelsen av denne samtykkeproposisjonen har det blitt offentlig kjent at EØS-komiteens beslutning ble truffet samme dag som Ot prp nr 92 passerte statsråd. Ved å sammenholde det faktum at odelstingsproposisjonen ikke ble fremmet før EØS-komiteens beslutning var på plass, med fraværet av mediaoppmerksomhet om personopplysningsretningslinjen i ukene før EØS-komiteen traff sin beslutning, får man en nokså klar indikasjon på at det fra de folkevalgtes side overhodet ikke vil bli stilt spørsmål om Stortinget skal gi sitt samtykke til å innlemme retningslinjen i EØS-avtalen. Denne beslutningen er i realiteten trolig truffet allerede i forbindelse med regjeringens konsultasjon i forkant av EØS-komiteens møte med Stortingets eget EØS-utvalg — et forum hvor møte- eller referatoffentlighet dessverre fortsatt avvises.

I det følgende tar jeg det for gitt at Norge ikke vil nedlegge veto mot personopplysningsretningslinjen. Problemstillingen blir dermed å vurdere det framlagte personopplysningslovutkastet med det utgangspunkt at norsk personopplysningslovgivning ikke må avvike mer fra personopplysningsretningslinjen enn denne konkret, og EF-retten generelt, gir spillerom for.

Det foreliggende lovutkastet vil, dersom det blir vedtatt, gi oss en personopplysningslov som ikke er så forskjellig fra personregisterloven. Dels overhales de allerede etablerte prinsippene og/eller hovedreglene for ivaretaking av personopplysningsvernet, dels justeres "kjøremønsteret" noe for dem som har behov for å håndtere personopplysninger om andre og dels gis Datatilsynet nye kontrollfunksjoner og -muligheter som samfunnets vokter av den enkeltes personopplysningsvern. Den nye loven vil ikke rokke ordningen med at sektorlovgivning på sitt område går foran den generelle personopplysningsloven, der dette enten er uttrykkelig uttalt, eller er en anerkjent tolkingsløsning. Et ferskt eksempel på dette lovgivningsmønsteret gir den nylig framlagte proposisjonen til helseregisterlov.

Under hensyn til foranstående vil jeg i fortsettelsen konsentrere meg om de mer prinsipielle sidene ved det å etablere et framtidsrettet personopplysningsvern. På et menneskerettslig regelplan eksisterer det allerede klare skranker for nasjonalstatlig, herunder EUs, utforming av personopplysningslovgivningen. Disse skrankenes betydning er dessverre fortsatt et forsømt felt både i EU som sådan, i flertallet av EU-stater og her i Norge. Av plasshensyn begrenser jeg meg til føringene fra Den Europeiske Menneskerettighetskonvensjon (EMK) art 8 om beskyttelse av respekten for privat- og familieliv mv for tolkingen av EUs personopplysningsretningslinje og for utformingen av nasjonalstatlig personopplysningslovgivning.

I det offentlige ordskiftet fram mot Stortingets avsluttende behandling av lovutkastet har man ikke kunnet unnlate å legge merke til at svenskene allerede har hatt en opphetet debatt om personopplysningsretningslinjens mulig ødeleggende effekt for fri meningsdannelse og informasjonsformidling via internettet. Denne debatten vurderer jeg som storm i et vannglass — og som et interessant eksempel på hvor galt det kan gå når man blir for "firkantet" både ved innarbeidelsen av personopplysningsretningslinjen, og ved lovtolking i sin alminnelighet.

At vi her står overfor nok et eksempel på i formen nasjonal lovgivning som i realiteten er tilpasning til EF-rettslige rammer påtvunget oss gjennom den "konstitusjonelt katastrofale" EØS-avtalen, bør ikke få overskygge den vurdering at lovutkastet vil gi et klart bedre personopplysningsvern i Norge enn personregisterloven gir. Befolkningen hadde imidlertid fortjent å få en enda bedre personopplysningslov enn den som etter alle solemerker å dømme snart vil bli vedtatt — ikke minst med hensyn på ivaretaking av menneskerettslige forpliktelser.

I artikkelen her nytter jeg termen ‘personopplysningsvern’ om den delmengde av begrepet ‘personvern’ som gjelder vern av personopplysninger. Termen ‘personvern’, som ble lansert på 1970-tallet for å aksentuere den rettslige betydningen av å skille mellom ‘integritetsbeskyttelse’ og ‘vern av personopplysninger’, har — dessverre? — blitt så populær også utenfor de kretser som lanserte termen, herunder i rikets høyeste domstol, at den titt og ofte brukes som synonym for ‘injurievern’ og ‘integritetsbeskyttelse’. Dermed har termen mistet sine fortrinn — og rettsvitenskapen må ta i bruk nye termer for å gjenopprette presisjonen i problemtilnærmingen.

Videre omtaler jeg det EU-dokumentet (95/46/EF) som vanligvis betegnes som ‘EUs personverndirektiv’ som EUs personopplysningsretningslinje. I Tyskland, som norsk justerminologi har lånt langt flere termer fra enn fra Frankrike og England, betegnes EUs ‘direktiver’ som ‘Richtlinien’. Termen ‘retningslinje’, som er den etymologiske parallell til denne termen, gir etter min mening umiddelbart en klarere pekepinn om hva slags rettslig status denne type rettsakter har enn termen ‘direktiv’, som etymologisk tilsvarer den franske og engelske ‘directive’-termen. Termen ‘direktiv’ assosieres lett med ‘ordre’, noe som gir et klart vinklet inntrykk av den rettslige statusen. Dessverre kan man påpeke mange eksempler hos oss på skadefølgene dette har fått ved innarbeidingen i norsk rett.

Termen ‘håndtering’ av personopplysninger bruker jeg som fellesterm for det som i utkastet til personopplysningslov (og i de skandinaviske språkversjonene av personopplysningsretningslinjen) betegnes som ‘behandling’ av personopplysninger. Termen ‘håndtering’ er etter min mening mindre "belastet" med forvaltningsrettslige eller helserettslige assosiasjoner til ‘saksbehandling’ eller ‘pasientbehandling’. Termen er godt forenlig med den tilsvarende tyske termen ‘Verarbeitung’, disharmonerer heller ikke med den franske termen ‘traitement’eller den engelske termen ‘processing’ og burde derfor etter min mening vært tatt i bruk i personopplysningsloven.

I fortsettelsen benytter jeg her en standardisert notasjon for avsnitt i lov-, traktat- og forskriftsbestemmelser. De respektive avsnitt, regnet i nummerrekkefølge, skrives konsekvent — uten hensyn til hvordan notasjonen er i originalteksten — med arabertall omsluttet av vanlige parenteser. Istedenfor å skrive f eks "personregisterloven § 1 første avsnitt" skriver jeg "personregisterloven § 1 (1)". Hensikten med en slik enhetlig notasjon er få en forenklet, og dermed mer presis bruk av henvisninger i juridisk litteratur.

Av samme grunner nytter jeg denne notasjonen også ved henvisning til avsnitt med bokstav- eller nummerinndeling, etterfulgt av klammeparentes eller punktum (eller omsluttet av parenteser). Jeg bruker mao notasjonen "personopplysningslovutkastet § 2 (1) (2)", ikke "... § 2 første ledd nr 2". En slik notasjon vil etter min mening åpenbart gjøre skriftbildet mer oversiktlig. Etter min mening er det altfor mye inkonsekvent notasjon i regelverksutformingen og i betegnelsen av de respektive enkeltelementene i regelverk her til lands og internasjonalt. Den nylig vedtatte skatteloven, lov 26.3.1999 nr 14, er imidlertid et oppløftende unntak, som fortjener å stå som mønster for en generell opprydding i det øvrige innenlandske regelverket.

 

2 Personopplysningslovutkastet bedømt i forhold til Norges menneskerettslige og personopplysningsvernrettslige forpliktelser — innledning

2.1 Oversikt

Det er påtakelig at menneskerettslige krav til enkeltstatenes lovgivning og rettsanvendelse har kommet mer og mer i sentrum for den alminnelige politiske oppmerksomhet innenfor Europaråds- og EU-/EØS-statene på 1990-tallet. Å gi et bidrag til forståelsen av de faktorene som har bidratt til denne situasjonen, ligger utenfor rammene for denne artikkelen. At avgjørelsene fra organene under Den europeiske menneskerettighetskonvensjon (EMK), Kommisjonen og Menneskerettighetsdomstolen (EMD) har spilt en sentral rolle for denne menneskerettslige vendingen i den nasjonale og internasjonale rettsutviklingen, er vel nokså uomstridt. I Norge fikk vi ved grunnlovsbeslutning 15 juli 1994 en ny Grl § 110 c om plikt for statens øverste organer (Stortinget, regjeringen og Høyesterett) til å sikre og respektere menneskerettighetene. I fjor fikk vi menneskerettsloven 21.5.1999 nr 30 som innarbeidet EMK og de to sentrale FN-konvensjonene om menneskerettigheter som norsk lov med rang foran annen lov (loven § 3) — dessverre hele fem år etter framleggingen av NOU 1993: 18 Lovgivning og menneskerettigheter. Nylig har regjeringen i St meld nr 21 (1999—2000) Menneskeverd i sentrum, Handlingsplan for menneskerettigheter, framlagt et ambisiøst program for ytterligere styrking av Norges innsats på det menneskerettslige feltet, utenlands som innenlands.

Å profilere menneskerettigheter gjennom politisk praksis har imidlertid sin pris. Det kan lett oppstå en avstand mellom visjon og virkelighet — synlig for flere enn bare kretsen av menneskerettseksperter. Dersom man retter oppmerksomheten mot hva som i Ot prp nr 92 faktisk er foreslått — av regjeringens angivelig mest kompetente jurister — for å styrke menneskerettighetenes stilling i Norge, er resultatet nokså nedslående. Personopplysningslovproposisjonens seks linjer om betydningen av EMK for norsk myndighetsutøvelse på personopplysningsvernets område, hvor Justisdepartementet kun viser til den ene spalten som Skaugeutvalget spanderte på EMK, viser at det fortsatt er langt fram til et utredningsnivå som kan sis å gjenspeile at Norges menneskerettighetsforpliktelser blir tatt på alvor av den utøvende statsmakt.

Det forhold at personopplysningsloven foreslås å stå tilbake for annen lov dersom dette framgår av denne (lovutkastet § 5), kan naturligvis gi grunnlag for en slags "von i hangande snøre"-betraktning i forhold til forvaltningens evne til å ta inn over seg de menneskerettslige kravene til norsk rett i framtidige lovproposisjoner. I Ot prp nr 5 (1999—2000), helseregisterlovproposisjonen, blir dette håpet tilsynelatende styrket — for her har Sosial- og helsedepartementet satt av fem sider (avsnitt 5) til drøftelse av forslagets forhold til de sentrale menneskerettslige instrumentene. Men sjøl fem sider gir ikke rom for substans i argumentasjonen. EMK art 8 er viet en drøy side, og det som står her kan sammenfattes som en departemental proklamasjon om at det eksisterer et tvingende samfunnsmessig behov ("pressing social need") for å etablere de foreslåtte helseregistrene, slik at det sentrale vilkåret som Menneskerettighetsdomstolen har oppstilt for inngrep i respekten for privat- og familieliv mv er oppfylt.

Sjøl i Høyesterett er det nok dessverre opptil flere dommere som mener at sentralforvaltningen sitter inne med særlige forutsetninger for å forvalte spørsmålet om intern norsk retts samsvar med Norges menneskerettslige forpliktelser, slik at domstolene ikke kan overprøve forvaltningens egne tolkingsstandpunkter. Et ferskt — og nedslående — eksempel på dette sto dommer Ketil Lund for som førstvoterende i den såkalte IP-adressekjennelsen, 20.12.1999 lnr 88/1999 (dissens 4—1). Det materielle stridsspørsmålet dreide seg om tolkingen av taushetspliktbestemmelsen i § 9—3 (3) i telekommunikasjonsloven 23.6.1995 nr 39. Telenor Nextel og påtalemyndigheten sto her mot hverandre i en tvist, som gjaldt om dynamiske IP-adresser var en "datakommunikasjonsadresse" som påtalemyndigheten kunne få tilgang til bare ved å rette et krav direkte til teleoperatøren. Alternativt måtte slik tilgang regnes som tilgang til en opplysning om samtaletrafikk, som nødvendiggjorde beslag etter straffeprosesslovens regler. Om forholdet til EMK art 8 uttalte dommer Lund, med tilslutning fra dommerne Coward, Dolva og justitiarius Smith:

"Heller ikke kan jeg se at EMK artikkel 8 er til hinder for den tolking jeg går inn for. Hva spesielt spørsmålet om forholdsmessigheten ved å gjøre unntak fra taushetsplikt angår, er denne avveining foretatt på generelt grunnlag av lovgiver da unntaksbestemmelsen ble gitt. ..." (Min kursivering.)

Mot dette vil jeg innvende at Samferdselsdepartementet overhodet ikke viste til EMK i forarbeidene, Ot prp nr 31 (1997—98). Den kursiverte passusen hos dommer Lund kan da vanskelig forstås på annen måte enn som en forutsetning om at departementet har foretatt en stilltiende — altså ikke synlig — avveining av lovendringens forholdsmessighet i forhold til EMK-kravene, en forutsetning som så uten videre tas for god fisk. Dette er etter min mening et klart uttrykk for en generell abdikasjon fra Høyesteretts side mht plikten etter Grl § 110 c til å "sikre" menneskerettighetene.

Menneskerettsdomstolen har i tillegg til det ovennevnte kravet om et tvingende samfunnsbehov ("pressing social need") for å gjøre innskrenkninger i retten til beskyttelse av respekt for privatlivet mv, oppstilt et krav om at innskrenkningene har et legitimt formål ("legitimate aim") og dessuten ikke er uforholdsmessige i forhold til dette legitime formålet. Hva som nærmere bestemt er de menneskerettslige kravene til norsk personopplysningslovgivning må drøftes konkret — noe jeg i resten av denne artikkelen vil gjøre i en viss utstrekning.

Mange lesere av Kritisk Juss vil erindre at jeg høsten 1998 på lederplass tok opp ordningen med offentlighet for skattelisteopplysninger i relasjon til EMK art 8 (Berg 1998b). Drøftelsen som jeg der skisserte, gir en liten pekepinn om de intrikate rettslige problemstillingene som vil melde seg med full tyngde i åra som kommer — etter at de menneskerettslige kravene til personopplysningsvernet har trengt litt lenger inn i den alminnelige rettsbevisstheten. Da er det dessverre liten drahjelp å få fra de 6 linjene som Justisdepartementet har funnet det nødvendig å spandere på dette temaet i personopplysningsproposisjonen.

 

2.2 Fri flyt av personopplysninger — i strid med grunnleggende rettigheter og frihetsrettigheter?

Formålsformuleringen ‘fri flyt av personopplysninger’ som inngår både i personopplysningsretningslinjens overskrift og i dens formålsartikkel 1 (2), synes umiddelbart vanskelig å forene med påberopelsen av fysiske personers ‘grunnleggende rettigheter og frihetsrettigheter’ i samme art 1 (1). Ikke bare synes det å være motstrid mellom fri flyt-formuleringen i art 1 (2) og de viktigste menneskerettslige bestemmelsene om beskyttelse av individers integritetsvern, EMK art 8 og FN-konvensjonen 16.12.1966 om sivile og politiske rettigheter art 17. Fri flyt-målsettingen synes også å være i motstrid med de sentrale materielle personopplysningsvernbestemmelsene, jf nærmere nedenfor i avsnitt 3.2.1.

Bruken av termen ‘fri flyt’ i denne retningslinjen har trolig først og fremst en besvergelsesfunksjon. Termen ‘fri flyt’ er nemlig sentral i Den store fortellingen om EU-prosjektet, se Pedersen (2000). Den mest nærliggende tolkingen er nok derfor at personopplysningsretningslinjens formålsartikkel tar sikte på å avverge at det indre markedets krav fører til reguleringer som er i strid med EMK art 8. Jf her retningslinjens fortale avsnitt 10, hvor det bl a heter at "tilnærmingen av lovgivningen ikke [må] føre til en svekkelse av den beskyttelse [EMK art 8 og fellesskapsrettens prinsipper] gir, men tvert imot ha som mål å sikre et høyt vernenivå i Fellesskapet". Gjennom Amsterdamtraktaten har EMK etter vedtakingen av personopplysningsretningslinjen fått en enda mer framtredende plass i EUs eget traktatgrunnlag, se Unionstraktaten art 6. Dette gir ytterligere vekt til denne formuleringen i personopplysningsretningslinjens fortale.

Art 1 (2) kan etter dette trolig ikke tolkes mer vidtrekkende enn som et forbud mot at medlemsstatene i sin nasjonale lovgivning gjennom en generell henvisning til fysiske personers grunnleggende rettigheter og frihetsrettigheter legger begrensninger for "fri flyt" av personopplysninger.

3 Grunnprinsipper og hovedregler om personopplysningsvern i lovutkastet

3.1 Materielt og prosessuelt personopplysningsvern

Verken lovutkastet, personopplysningsretningslinjen, Europarådets personopplysningskonvensjon 1981 eller EMK art (8) inneholder klare ansatser til noen rubrisering av grunnprinsipper og hovedregler etter arten av bestemmelser. I den alminnelige forvaltningslovgivningen og juridisk litteratur er derimot sondringen mellom materielle og prosessuelle bestemmelser vel innarbeidet. En slik sondring kan etter min mening ha stor verdi analytisk, og dermed bidra til større presisjon både i forbindelse med lovgivning og rettsanvendelse.

Enkelte av grunnprinsippene som jeg tar opp i det følgende har både uttalte materielle og prosessuelle aspekter. Særlig er dette aktuelt for fullstendighetsprinsippet, legalitetsprinsippet og slettingsprinsippet. Slettingsprinsippet kommer jeg i fortsettelsen tilbake til under begge rubrikker. De to andre tar jeg bare opp under rubrikken materielle personopplysningsvernbestemmelser — for å forenkle framstillingen noe.

3.2 Materielle personopplysningsvernbestemmelser

3.2.1 Kompetansegrunnlag for håndtering av personopplysninger

(1) Lovhjemmel

Dersom samtykke til håndtering av personopplysninger ikke foreligger fra den som opplysningene gjelder, melder spørsmålet seg om forvaltningsorganers håndtering av personopplysninger må regnes som et inngrep i borgernes sfære, slik at lovhjemmel trengs for håndteringen. Etter min mening har både forvaltningen og rettsvitenskapen helt fra personopplysningsvernspørsmålene ble reist for fullt tidlig på 1970-tallet, feilaktig unnlatt å forfølge dette spørsmålet til bunns. Illustrerende er følgende uttalelse fra Seiputvalget, den sentrale premissleverandøren for den gjeldende personregisterloven, om legalitetsspørsmålene i tilknytning til oppretting av personregistre:

"Etter gjeldende rettsorden kreves det ikke lovhjemmel for å samle inn og registrere persondata. Utgangspunktet er at det enkelte forvaltningsorgan kan opprette persondatasystem som hjelpemiddel i sitt arbeid. ..." (NOU 1975: 10 s 43 kap 4.6.2 første avsnitt.)

Trolig har Seiputvalget og mange andre latt seg blende av den i og for seg enkle observasjon at ‘håndtering av personopplysninger’ ikke er en rettslig, men en faktisk handling, slik at verken legalitetsprinsippet eller vanlige forvaltningsprosessuelle bestemmelser uten videre kommer til anvendelse.

Argumentsituasjonen i forhold til dette rettsspørsmålet har imidlertid aldri vært entydig. Professor Erik Boe, Institutt for offentlig rett, UiO, er vel den som i klareste ordelag har markert avstand til det standpunktet som er gjengitt foran:

"... Det avgjørende for om handlingen er tillatt eller forbudt, er ikke om det er mer eller mindre vanskelig å oppdage [det uskrevne] forbudet, men om handlingen etter sitt innhold gjør et for stort inngrep i enkeltmenneskets integritet til å kunne godtas uten hjemmel i lov. ...

Ut fra dette er det et tankekors at politiet kan iverksette overvåkningsskritt uten klar hjemmel i lov. Av hensyn til rikets indre sikkerhet kan politiet innhente opplysninger om en persons gjøren og laten, hans eller hennes kontakt med fremmede myndigheter, registrere reisevirksomhet og mye mer ... Alt sammen er handlinger som ikke ville gå på andre områder uten at loven ga tillatelse til handlingene ..." (Boe 1993 s 597 andre avsnitt, s 607 tredje avsnitt.)

Lovutkastet § 8 skaper dessverre ikke mer klarhet i spørsmålet om når lovhjemmel trengs for håndtering av personopplysninger. På flere punkter er lovutkastet til og med mer uryddig utformet enn personopplysningsretningslinjen art 7. Denne artikkelen har departementet øyensynlig forsøkt å innarbeide tilnærmet ordrett i lovutkastet, uten å ta høyde for at retningslinjen her har typiske kompromissformuleringer som skal gi plass for videreføring av ulike nasjonale forvaltningstradisjoner.

Det er således en klart uriktig tolkning å legge til grunn at retningslinjen art 7 (1) (e) forutsetter at håndtering av personopplysninger skal kunne skje uten lovhjemmel, dersom håndteringen skjer som ledd i myndighetsutøvelse. Etter ordlyden i lovutkastet § 8 (1) (e) er det altså nettopp dette departementet foreslår, med forbehold for at nødvendighetsprinsippet er ivaretatt. Denne formuleringen i lovutkastet bør ikke få overleve behandlingen i justiskomiteen, bl a fordi de bringer lovteksten i klar motstrid med kravene som EMK art 8 (2) stiller til håndtering av personopplysninger.

Framstillingen hittil av lovhjemmelspørsmålet (legalitetsprinsippet) har fokusert på spørsmålets prosessuelle side. Dette spørsmålet har imidlertid også en materiell side. Lovsformen kan ikke redde en bestemmelse som etter sitt innhold er sterkt forkastelig: skinnet bedrar ikke, når det kommer ned til det grunnleggende spørsmålet om lovgivningens legitimitet (berettigelse). På det menneskerettslige planet kommer denne sammenhengen mellom form og realitet krystallklart fram i EMK art 8 (2), formuleringen om at unntak fra retten til respekt for privat- og familieliv mv bare kan skje dersom dette er "in accordance with the law and is necessary in a democratic society in the interests of" de gode formål som listes opp i fortsettelsen. Det materielle kravet framkommer noe avdempet i Europarådets personopplysningskonvensjon 1981, som i art 5 (1) (b) fastsetter at "[p]ersonal data undergoing automatic processing shall be ... stored for specified and legitimate purposes ...". Tilsvarende gjenfinnes det materielle kravet i personopplysningsretningslinjen art 6 (1) (b), hvor det heter at "personopplysninger ... skal innsamles til bestemte, uttrykkelig angitte og berettigede formål ...".

Jeg syns ikke at Justisdepartementet gjennom merknadene til personopplysningslovutkastet har klart å bidra så mye til den praktiske grenseoppgangen i forhold til dette ytterst viktige, men også kompliserte rettsspørsmålet. Etter min mening inneholder både personopplysningsretningslinjen og lovutkastet uklarheter på dette punktet, som ikke blir mindre uklare når man ser spørsmålet i sammenheng med den manglende konkretisering av beslutningsgrunnlaget i forhold til av den interesseavveiningsbaserte kategorien av berettigede håndteringer av personopplysninger (avsnitt (2) nedenfor), eller i sammenheng med nødvendighetsprinsippet (avsnitt 3.2.2 nedenfor). Her vil det nok komme mange stridsspørsmål i åra framover, hvorav flere sikkert vil finne veien til Den europeiske menneskerettighetsdomstolen for avgjørelse.

Det er nesten unødvendig å understreke at det vel uomstridt er den ikke-trivielle håndtering av personopplysninger som bringer kompetansespørsmålene her opp til overflaten. Dette har lenge vært i samsvar med den gjengse forståelsen av begrepet ‘inngrep’ i borgernes sfære. Tilsvarende kan man si om praksis fra EMK-organene om forståelsen av EMK art (8) (1) om beskyttelse av respekten til privat- og familieliv mv.

 

(2) Interesseavveining som surrogat for samtykke

For privates håndtering av personopplysninger er det ikke den tradisjonelle hjemmelsproblematikken som hittil har stått sentralt, derimot spørsmålet om karakteren av den interesseavveiningsbaserte avgjørelsen som her enten har vært obligatorisk, eller fungert som samtykkesurrogat.

Med forbehold for at nødvendighetsprinsippet er ivaretatt åpnes det i lovutkastet § 8 (1) (d) for at personopplysninger håndteres for å utføre oppgaver av allmenn interesse, og § 8 (1) (f) tillater at personopplysninger håndteres for å ivareta bl a den behandlingsansvarliges berettigede interesser, dersom hensynet til personopplysningsvernet for de berørte ikke overstiger denne interessen. Med mindre den planlagte håndteringen av personopplysninger gjelder sensitive opplysninger, vil altså den behandlingsansvarlige alene ha rett og plikt til å foreta de avveininger som trengs for å ta stilling til håndteringens lovlighet. For de sensitive personopplysningenes del føres dagens konsesjonsregime videre, slik at det blir Datatilsynet som må treffe denne avgjørelsen.

Departementet har ikke gjort noe forsøk på å klargjøre karakteren av de avveiningene som her må foretas, men har nøyd seg med å vise til gjeldende teori og praksis. Proposisjonen gir således lite veiledning om de momentene som typisk vil være sentrale i forbindelse med interesseavveiningen. Det er etter mitt syn en kjempesvakhet at departementet heller ikke antyder noen målsetting mht hvor stor andel av den samlede håndteringen av personopplysninger i samfunnet som skal kunne få godkjentstempelet på seg, i kraft av dette avveiningsbaserte kompetansegrunnlaget. Dette grunnlaget er jo det i særklasse mest utflytende, sammenholdt med de to andre kompetansegrunnlaget (lov og samtykke). Etter min mening er det vanskelig å se noe praktisk behov for dette kompetansegrunnlaget i det hele tatt, og det er iallfall bekymringsfullt at lovutkastet ikke inneholder klare taushetspliktbestemmelser for behandlingsansvarlige som håndterer personopplysninger på dette grunnlaget (se nærmere avsnitt 8.2 nedenfor).

Det er vanskelig å få øye på noen normpreskriptiv ambisjon i den såkalte interesseteorien, som har stått sentralt i norsk teori om personopplysningsvern. Interesseteorien synes å mangle en etisk plattform, i tillegg til at den ikke sondrer mellom materielle og prosessuelle personopplysningsverninteresser. Interesseteorien gir mao ikke svar på de spørsmålene som departementet her overlater til teori og praksis.

3.2.2 Nødvendighet (innsamlingsbegrensning)

I lovutkastet § 8, som har overskriften "Vilkår for å behandle personopplysninger", heter det:

"Personopplysninger ... kan bare behandles dersom ... behandlingen er nødvendig for a) ... b) ... c) ... d) ... e) ..." (min kursivering).

Med denne formuleringen, som innarbeider personopplysningsretningslinjen art 7 (1) (b)—(f), foreslås lovfesting av et generelt materielt vilkår for håndtering av personopplysninger som i personopplysningsvernrettslig litteratur er kjent under betegnelsen nødvendighetsprinsippet. Nødvendighetsprinsippet omtales i juridisk litteratur også som ufullstendighetsprinsippet (Simitis 1994) og innsamlingsbegrensningsprinsippet (Hartlev og Blume 1999). Prinsippet er allerede i bruk i personregisterloven, men der har det hovedsakelig kommet til uttrykk som en skranke bare for håndtering av de såkalt følsomme personopplysningene, se pregl § 6 (2). Generelt har man bare anvendt et saklighetsprinsipp som grunnvilkår for håndtering av personopplysninger, se pregl § 6 (1)

Det er nok fortsatt til dels uklart hva som er den nærmere rekkevidden av nødvendighetsprinsippet i den "tapningen" som vi ser i lovutkastet § 8. Det må nok være på det reine at prinsippet både stiller krav til kvaliteten på den avveining som foretas for å ta stilling til lovligheten av en aktuell håndtering av personopplysninger, og oppstiller en kjerne av ukrenkelighet, det man i tysk statsforfatningsdoktrine har betegnet som sjølbestemmelsesrett om personopplysninger (Informationeller Selbstbestimmung). Langt på vei vil man kunne få veiledning for tolkingen ved å se på hvordan den liknende normen i EMK art 8 (2) er blitt tolket av menneskerettighetsorganene i Strasbourg.

Det er ikke å lett å spore om det er en manglende tiltro til nødvendighetsprinsippets klarhet som har bidratt til at departementet har foreslått å beholde saklighetsprinsippet som et supplerende materielt prinsipp, se lovutkastet § 11 (1) (b), eller om denne opphopingen av materielle vilkår skyldes en glipp i forbindelse med at man i motsetning til Skaugeutvalget valgte å innarbeide retningslinjen art 7 i sin helhet. Et slikt dobbeltsporet system virker etter mitt syn lite hensiktsmessig, og er iallfall ikke noe som trengs for å oppfylle retningslinjens krav.

 

3.2.3 Slettingsplikt ved opphør av legitimt håndteringsformål

I lovutkastet § 28, jf § 11 (1) (e) foreslås lovfestet en plikt til sletting når det legitime (berettigede) håndteringsformålet ikke lenger er til stede, altså en bestemmelse om materiell slettingsplikt — som ikke må forveksles med lovutkastet § 27 om plikt til sletting av personopplysninger mens det legitime håndteringsformålet fortsatt består. Også denne bestemmelsen fremmes for å innarbeide personopplysningsretningslinjen.

Den materielle slettingsplikten var, i en noe avdempet form, allerede inntatt i Europarådets personopplysningsvernkonvensjon 1981 art 5 (1) (e): som plikt til å fjerne de individualiserende kjennetegnene når det ikke lenger var bruk for dem ut fra formålet opplysningene var innhentet for.

I tråd med norske forvaltningsorganers beryktede hang til litt for raskt å konstatere harmoni mellom en folkerettslig forpliktelse og intern norsk rett er slettingsplikten etter denne bestemmelsen hittil ikke blitt innarbeidet i norsk rett. Denne bestemmelsen må derfor hilses velkommen som en klar styrking av det materielle personopplysningsvernet.

 

3.2.4 Fullstendighet

I lovutkastet § 11 (1) (d) og (e) er det foreslått bestemmelser som skal sikre at de personopplysningene som det er lovlig og berettiget å håndtere, er tilstrekkelige, relevante, korrekte og oppdaterte — alt sammen presiseringer av det personopplysningsvernrettslige fullstendighetsprinsippet, jf de tilsvarende formuleringer i personopplysningsretningslinjen art 6 (1) (c) og (d). Formålet med dette prinsippet er innlysende — å sørge for at kvaliteten på håndteringen av personopplysninger er tilfredsstillende, jf at retningslinjens art 6 har overskriften "Prinsipper for opplysningenes kvalitet".

Det eneste nye i forslaget i forhold til den gjeldende bestemmelsen i pregl § 8 (1) er et høyere presisjonsnivå i regelutformingen, noe som er klart positivt, fordi det gir argumentativ styrke til en ekspansiv tolking av de nærstående bestemmelsene om innsynsrett og rettings- og slettingsplikt, jf nærmere i avsnitt 3.3.2—4 nedenfor.

 

3.3 Prosessuelle personopplysningsvernbestemmelser

3.3.1 Formålsbestemt håndtering

(1) Utgangspunkt

Den behandlingsansvarliges plikt etter lovutkastet § 11 (1) (b) til å sørge for at personopplysninger "bare nyttes ... til uttrykkelig angitte formål", og etter lovutkastet § 11 (1) (c) til å sørge for at personopplysninger "ikke brukes se[i]nere til formål som er uforenlig med det opprinnelige formålet med innsamlingen", er en betydningsfull nydannelse. Det er det personopplysningsvernrettslige formålsbestemthetsprinsippet som her løftes tydelig fram i en generell norsk personopplysningslov. Prinsippet gjenkjennes naturligvis også allerede i pregl § 11 (1), og har i høy grad vært en virksom, men til dels omstridt del av Datatilsynets konsesjonspraksis helt fra vedtakingen av personregisterloven — hovedsakelig under merkelappen [skranker mot] bruk av overskuddsinformasjon. Prinsippets nærmere innhold har i den siste mannsalder også i flere sammenhenger vært prøvet for Høyesterett. Lovutkastets utforming er noenlunde i samsvar med personopplysningsretningslinjen (art 6 (1) (b)) — og må uansett tolkes i samsvar med denne.

Noe hastverkspreget virker det når Justisdepartementet i lovutkastet § 11 (1) (c) har nyttet termen ‘brukes’, istedenfor ‘behandles’. Poenget med retningslinjen art 6 (1) (b) er nemlig å slå fast at alle former for håndtering av personopplysninger som faller inn under definisjonen av ‘behandling’, herunder lagring for påkommende, uforenlige formål, er i strid med retningslinjen.

Lovforslaget her er etter min mening et positivt skritt i retning av mer forutberegnelighet for den enkelte. Hva den endrede formulering av prinsippet vil bety i praksis, er derimot ikke enkelt å vurdere.

 

(2) Formålsbestemthetsprinsippets betydning i forhold til de nøytrale bruksformålene

Formålsbestemthetsprinsippet som framkommer gjennom § 11 (1) (b) og (c) er trolig den mest interessante nydannelsen i lovutkastet, betraktet fra synsvinkelen "lovfastsatte skranker for utvidende og/eller analogisk bruk av lovbestemmelser". Der hunden ligger begravet er imidlertid hvor tolkingstvilen gjelder gråsonen mellom de klart uforenlige bruksformålene og bruksformål som er mer eller mindre nøytrale, bedømt i forhold til de opprinnelige. Dette tolkingsspørsmålet ble i juridisk litteratur hos oss grundig belyst fra et forvaltningsrettslig ståsted allerede på 70-tallet (Bernt 1978, Boe 1978). Det er nær sagt innebygd i tolkingsspørsmålet at det vil oppstå strid blant jurister og lekfolk om den ‘riktige’ eller ‘argumentativt godtakbare’ løsningen på det.

Dessverre gir ikke personopplysningsretningslinjen holdepunkter for løsningen av tolkingstvilen i slike saker — noe som er lett forklarlig når man tar høyde for de nokså ulike lovskrivings- og lovtolkingstradisjoner som skal tilgodeses ved utformingen av en slik retningslinje. Det er en nokså åpenbar forskjell mellom den kontinentale (les: tyske) nøyaktigheten i utpenslingen av lovbestemmelser, særlig bestemmelser som setter skranker for myndighetsinngrep i borgernes sfære, og den dansk-norske "strikkløs bukse"-mentaliteten på dette feltet. Dermed vil konsesjonsbehandlings- og klagevedtakspraksis etter personregisterloven i flere år fortsatt være sentrale hjelpemidler når nye tolkingstvilspørsmål melder seg.

 

3.3.2 Innsynsrett i personopplysninger

(1) Utgangspunkt

I lovutkastet kap III, §§ 18—24, er det foreslått nye bestemmelser om innsynsrett og om unntak fra innsynsrett. Hovedbestemmelsen om innsynsrett i lovutkastet § 18 utdyper og befester den retten som vi kjenner fra pregl § 7. En viktig prinsipiell (men kanskje ikke så praktisk viktig) nydannelse er at innsynsretten etter § 18 (1) inntrer allerede i forhold til personopplysninger som innsamles — dvs ikke er avgrenset til opplysninger som lagres i et register, slik pregl § 7 (1) første setning gjør.

Lovtkastet §§ 19 og 20 (jf retningslinjen art 10 og 11) inneholder under overskriften "informasjonsplikt" bestemmelser som et stykke på vei pålegger den behandlingsansvarlige aktivitetsforpliktelser overfor den personen som opplysningene gjelder. Den førstnevnte bestemmelsen er ved nærmere øyesyn en bestemmelse om veiledningsplikt når opplysningene som skal registreres innsamles fra vedkommende sjøl, og er en klar forbedring i forhold til gjeldende lov. Den sistnevnte bestemmelsen, som gjelder når personopplysninger samles inn fra tredjemann, pålegger den behandlingsansvarlige å varsle den personen som opplysningene gjelder seinest når opplysninger registreres, eller — hvis opplysningene samles inn med sikte på viderespredning — seinest når dette skjer. Fra dette utgangspunktet gjøres det imidlertid vidtgående unntak i § 20 (2), f eks slik at all lovbestemt innsamling av personopplysninger fra tredjemann vil være upåvirket av bestemmelsen.

Etter min mening har Justisdepartementet gjort en for overflatisk vurdering her, gjennom bemerkningen om at "loven selv [i slike tilfelle] vil gi tilstrekkelig varsel" (min kursivering). Her har vi riktignok ett av flere eksempler på at personopplysningsretningslinjen ikke inneholder stort mer enn fromme besvergelser om hvordan nasjonal lovgivning bør utformes. Det heter således i den engelske versjonen av art 11 (2) at medlemsstatene i slike situasjoner skal "provide appropriate safeguards", mens den norske versjonen stiller krav om "nødvendige garantier". Spørsmålet er naturligvis om Justisdepartementets "vil gi"-formulering er ment som et framtidsløfte om ny lovgivning om innsynsrettigheter ved lovbestemt innsamling av personopplysninger fra tredjemann, eller bare er ment som en formaning/besvergelse om tolkingen/innholdet av allerede eksisterende lovhjemler.

Departementet bruker feilaktig termen ‘den registrerte’ både i overskriftene og i teksten til §§ 19—20, sjøl om det etter de sentrale språkversjoner av retningslinjen art 10—11 er på det reine at informasjonsplikten ikke er begrenset til personopplysninger som er registrert: Den engelske teksten bruker termen ‘data subject’, den tyske bruker termen ‘die betroffene Person’, den franske ‘la personne concernée’.

 

(2) Unntak fra innsynsrett

Jeg har tidligere i en annen sammenheng — i tilknytning til det da framlagte høringsutkast til "mappeinnsynslov" — hevdet at det man kan kalle ‘personopplysningsinnsynsretten’ er en såkalt grunnrettighet i norsk rett, noe som innebærer sterke begrensninger i lovgiverens kompetanse til å beklippe denne (Berg 1998a). Det er ikke spor av liknende refleksjoner om personopplysningsinnsynsretten i lovutkastet, noe som etter min mening kan bringe Norge på kollisjonskurs med Den europeiske menneskerettighetskonvensjonen. Lovutkastet § 23 (4), som inneholder en helt åpen fullmakt for Kongen til gjennom forskrift å gjøre andre unntak fra innsynsretten mv enn de som ellers er nevnt i § 23, aktualiserer slike potensielle menneskerettighetsbrudd i særlig grad. Domspraksis fra Menneskerettighetsdomstolen viser nemlig at innsynsrett etter EMK dels forankres i art 6 (1) om grunnkrav til rettferdig rettergang, dels i art 8 (1) om retten til respekt for privat- og familieliv, korrespondanse mv.

Den foreslåtte unntakskatalogen i lovutkastet § 23 (1) bærer preg av å være en nokså ureflektert kolportering av personopplysningsretningslinjens fortale, avsnitt 43, som gir medlemsstatene kompetanse, men altså ikke plikt, til å begrense innsynsretten helt eller delvis på nærmere angitte saksfelt (herunder på saksfelt hvor retningslinjen overhodet ikke kommer til anvendelse, jf nærmere herom nedenfor i avsnitt 8.1). Resultatet har blitt flere overflødige og/eller meningsuklarhetskapende forslag:

Lovutkastet § 23 (1) (a), unntak fra innsynsrett for opplysninger som, om de ble kjent, ville kunne skade rikets sikkerhet mv, er mht skadesituasjonene likelydende med offvl § 6 (1) (1), og pga lovutkastet § 5 langt på vei overflødig for å effektivisere denne lovens unntak fra allmennhetens innsynsrett i forvaltningens saksdokumenter. Innenfor rettspleien, hvor offentlighetsloven ikke gjelder (offvl § 1 (3)), reguleres møte-, referat- og dokumentoffentlighet av særbestemmelser, først og fremst i domstolsloven, som nylig er blitt "overhalt" av Stortinget. Heller ikke av hensyn til denne sektoren av forvaltningen trengs noen unntaksbestemmelse som foreslått i lovutkastet § 23 (1) (a). Og i forhold til privat sektor vil sikkerhetslovens bestemmelser om dokumentsikkerhet og -gradering overflødiggjøre den foreslåtte bestemmelsen.

Lovutkastet § 23 (1) (b) er relevant bare på sektorer av strafferettspleien hvor denne fra før mangler bestemmelser om unntak fra innsynsrett — dvs i det alt vesentlige i forhold til politiets, herunder POTs registre. I merknadene til bestemmelsen nevner departementet pussig nok sivile kontrollmyndigheters (ligningsforvaltningens) unntaksbehov som et ytterligere anvendelsesområde. Ligningsforvaltningen har imidlertid for alle praktiske formål ikke behov for andre begrensninger i innsynsretten enn de som følger av lignl § 3-4 om begrensninger i partsinnsynsretten. Om det skulle være noen slike behov hos andre kontrollmyndigheter, er det etter min mening i lovgivningen om disse at man må skaffe seg de nødvendige hjemlene for unntak fra innsynsrett. Sett i forhold til at bestemmelser om unntak fra innsynsrett i KRIMSYS og andre politiregistre i dag kun er "hjemlet" i en ikke kunngjort instruks fra Justisdepartementets politiavdeling, kan det på sett og vis være en fordel å få vedtatt en lovbestemmelse som dekker det samme behovet. Lovutkastet § 23 (1) (b) er imidlertid gitt en altfor generell utforming til å tilfredsstille kravene etter EMK art 8 (2) til de materielle behov for slike inngrep (tvingende samfunnsmessig behov osv, se foran i avsnitt 2.1), samt kravene til inngrepshjemlers presishet og forutberegnelighet. Den adekvate lovgivningsprosedyre ville mao også her være å gi særlovgivning på angjeldende saksområder, og fjerne denne utflytende unntakshjemmelen fra lovutkastet. På bakgrunn av departementets argumentasjon i proposisjonen (s 30), er det nå på tide at STortinget stiller krav om at en slik særlovgivning fremmes raskt.

Lovutkastet § 23 (1) (c), jf § 23 (2) om unntak fra innsynsrett når innsyn må anses utilrådelig av hensyn til vedkommendes helse eller forholdet til personer som står henne nær, er avskrift av fvl § 19 (1) (c), og den eneste av alternativene her i § 23 (1) som ikke er ny i forhold til personregisterloven. Den for lengst akterutseilte paternalistiske "hvite frakkers herredømme"-mentaliteten som svever over denne forvaltningslovbestemmelsen hadde det imidlertid vært gode grunner til å høvle kraftig ned, istedenfor å lime den ubeskåret inn i personopplysningsloven.

Om lovutkastet § 23 (1) (d), unntak fra innsynsrett for opplysninger som er taushetsbelagte i medhold av lov, heter det i proposisjonen på s 121 andre spalte nestsiste avsnitt at "særlig de generelle reglene i forvaltningsloven § 13 er praktiske" for offentlige behandlingsansvarlige. Denne bemerkningen er meningsløs, for det er uomstridt at taushetsplikt etter forvaltningsloven utelukkende er gitt av hensyn til private diskresjonsinteresser. Innsynsrettsnektelse i medhold av lovutkastet § 23 (1) (d) kan mao ikke bygge på fvl § 13 (alminnelig tjenstlig taushetsplikt). De eneste lovbestemmelsene det kunne være relevant å bygge en innsynsnektelse på, er sikkerhetsloven §§ 12 og 25 (1), bestemmelser henholdsvis om plikt til å beskytte sikkerhetsgradert informasjon og om at klareringsnektelser ikke skal regnes som enkeltvedtak (noe som altså medfører at det heller ikke gjelder noen partsinnsynsrett i slike saker). Det behovet for unntak fra personopplysningsinnsynsrett som knytter seg til disse bestemmelsene i sikkerhetsloven, er imidlertid fullt ut dekket opp gjennom lovutkastet § 5.

Lovutkastet § 23 (1) (e) om unntak fra innsynsrett for personopplysninger som utelukkende finnes i "tekst" som er "utarbeidet for den interne saksforberedelse", "og som heller ikke er utlevert til andre", er breddfullt av svakheter. Én ting er at lovutkastet er lett gjenkjennelig som en parafrase over offvl § 5, men hvis siktemålet er å harmonisere unntaket med denne bestemmelsen, kan ikke internkontrollen i departementet ha vært helt på høyden. Termen ‘tekst’ er f eks meningsløs som avgrensningskriterium i en lov hvor personopplysningene i utgangspunktet behandles "med elektroniske hjelpemidler". Videre er det påfallende at departementet legger opp til innsynsrett, dersom "teksten" er utlevert til andre, noe offvl § 5 (2) (a) ikke tillater, dersom det interne dokumentet er innkommet fra et underordnet organ. Dessuten er det lite betryggende å introdusere begrepet ‘intern saksforberedelse’ som mer enn noe annet vil være aktuelt for håndtering av personopplysninger innenfor privat sektor, uten å spandere noen linjer på hvordan man tenker seg at de berørte personer skal kunne hanskes med dette kriteriet.

Lovutkastet § 23 (1) (f), hvor det foreslås unntak fra innsynsrett i opplysninger som det "vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv", framstår som en generalklausul om unntak fra personopplysningsinnsynsrett, som i sin utflytende avfatting representerer en svakt gjennomtenkt underminering av hele tankegangen bak lovutkastets innsynsrettsbestemmelser. I og med at departementet overhodet ikke påviser noe behov for en slik bestemmelse i merknadene, har det formodningen mot seg at det eksisterer noe behov for den. Forholdet er naturligvis slik at unntak fra innsynsrett begrunnet i "åpenbare og grunnleggende interesser" jevnt over er ivaretatt gjennom annen lovgivning. Skulle det melde seg et konkret behov for ytterligere unntak fra innsynsrett, er det jo bare for regjeringen å komme på banen med et lovforslag for vedkommende saksfelt. Den avsluttende passusen om hensynet til den registrerte selv er ved siden av den allerede kritiserte bestemmelsen i utkastet (1) (c) om mulig enda mer paternalistisk, og bør derfor uansett ikke få tilslutning.

 

3.3.3 Rett til retting

Lovutkastet § 27 (1) og (2) om rett til retting ved håndtering av uriktige personopplysninger, ved håndtering av ufullstendige personopplysninger og ved håndtering av personopplysninger som det ikke er lovlig å håndtere, viderefører den gjeldende pregl § 8, men klargjør og utfyller denne bestemmelsen på en måte som styrker personopplysningsvernet.

 

3.3.4 Rett til sletting

Lovutkastet § 27 (3) og (4) gir Datatilsynet kompetanse til å treffe avgjørelse om sletting/sperring av uriktige eller ufullstendige opplysninger, sjøl om de kan ha betydning som dokumentasjon, dersom tungtveiende personopplysningsvernhensyn tilsier det. I lovmerknadene nevner departementet som eksempel på en slik situasjon en uriktig registrering av en påstand om at vedkommende er bruker av barnepornografi. Bestemmelsene viderefører den gjeldende pregl § 8, men klargjør og utfyller denne bestemmelsen på en måte som styrker personopplysningsvernet.

 

3.3.5 Klagerett til Datatilsynet for krenkede private

Nytt i lovutkastet er at de krenkedes klagerettigheter generelt styrkes, noe som er udelt positivt sett fra en forvaltningsprosessuell synsvinkel. Noen hvite flekker er det likevel her:

Etter min mening er det en klar svakhet i forslaget at Justisdepartementet ikke fremmer forslag om klagerett til Datatilsynet for personer som mener seg utsatt for en lovstridig innsynsrettsnektelse. Riktignok avbøtes dette noe på vei ved at Datatilsynets generelle kompetanse etter utkastet § 46 til å gi pålegg om at "behandling av personopplysninger i strid med bestemmelser i ... denne loven skal opphøre", også innebærer at tilsynet etter henvendelse fra den krenkede på eget initiativ vil kunne gi pålegg om innsyn i situasjoner hvor den behandlingsansvarlige nekter det. En uttrykkelig klagerett for krenkede personer ville imidlertid ha effektivisert innsynsretten — ikke minst innenfor privat sektor, hvor den krenkede ikke kan benytte alternative innsynskanaler (forvaltningsrettslig partsinnsynsrett eller dokumentinnsynsrett etter offentlighetsloven).

Heller ikke dersom den behandlingsansvarlige nekter å etterkomme en anmodning om retting, har departementet foreslått at den krenkede private skal ha klagerett til Datatilsynet. Den krenkede er altså henvist til tilsynets gode vilje for å få til resultater, eller — naturligvis — av egen vilje/evne til å gå rettens vei for å få gjennomslag for sitt standpunkt.

 

3.3.6 Informasjonsplikt ved bruk av personprofiler

Lovutkastet § 21 om informasjonsplikt ved bruk av personprofiler er i samsvar med NOU 1997: 17, og er ett av ytterst få "særnorske" forslag i hele lovutkastet. Det er en interessant nyordning, som trolig vil ha betydning særlig som forbrukervernbestemmelse i tilknytning til veksten i e-handel.

 

3.3.7 Informasjonsplikt ved automatiserte avgjørelser

Lovutkastet § 22 om rett til informasjon om automatiserte avgjørelser, jf § 25 om en særdeles betinget reservasjonsrett i forhold til å bli underkastet slike avgjørelser, kan langt på vei karakteriseres som symbolpolitiske markeringer, innarbeidet fra personopplysningsretningslinjen art 15.

 

4 Lovutkastet ellers i hovedtrekk vurdert med ståsted hos den som personopplysningene gjelder

4.1 Skranker mot visse former for påtrengende markedsføring uten hensyn til kilden for innsamling av personopplysninger mv

Lovutkastet § 26 styrker forbrukernes reservasjonsrett mot alle former for adressert reklame via postkasse, telefon, internett eller faks, noe som de fleste forbrukere sikkert vil hilse med glede.

 

4.2 Skranker for fjernsynsovervåking

I lovutkastet kapittel VII, §§ 36—41, er det foreslått noe strengere materielle vilkår for åpenlys fjernsynsovervåking, herunder videoovervåking, enn det som følger av pregl §§ 37a og 37b.

For det første vil personopplysningsloven komme til sin anvendelse i sin helhet i forhold til lagring av billedopptak fra fjernsynsovervåking dersom opptakene allerede på lagringstidspunktet er gjort personentydige, se lovutkastet § 37 (2). Loven kommer mao ikke til anvendelse i sin helhet bare av den grunn at billedopptakene oppfyller legaldefinisjonen av personopplysninger i lovutkastet § 2 (1) (1) i den forstand at de er "opplysninger ... som kan knyttes til en enkeltperson", dersom det settes inn menneskelige og/eller maskinelle ressurser. Ved fjernsynsovervåking i banker ville det typisk være mulig i ettertid å identifisere mange av bankkundene på billedopptakene, fordi bankene allerede har bilder av dem i sine bankkortkundearkiver. Slik fjernsynsovervåking vil likevel fortsatt ikke medføre at loven i sin helhet kommer til anvendelse.

For det andre foreslås at grunnkravene til behandling av personopplysninger som omhandlet i lovutkastet §§ 8—9 og 11 gjøres gjeldende i forhold til andre former for fjernsynsovervåking, dvs vanligvis videoovervåking hvor overvåkingskamera bare nyttes til monitorframvisning, men også når dette kombineres med opptak og lagring. Typisk her er fjernsynsovervåking av steder hvor allmennheten ferdes. Departementet har dessverre lagt opp til at den materielle slettingsplikten etter § 28 ikke skal gjelde i den sistnevnte tilfellegruppa, se lovutkastet § 37 (1). Dette framstår ikke som vel gjennomtenkt. § 28 burde vært gjort gjeldende tilsvarende også her. Datatilsynet vil imidlertid gjennom sin generelle påleggskompetanse etter § 46 kunne påse at sletting skjer.

For det tredje foreslås det at meldingspliktreglene (utkastet §§ 31—32) skal komme til anvendelse for all fjernsynsovervåking som ikke er konsesjonspliktig. Dette er trolig den kraftigste regelinnstrammingen i forhold til dagens regler, jf vilkåret i § 31 (2) om at melding skal sendes tilsynet 30 dager før behandling (les: fjernsynsovervåkingen) tar til.

4.3 Rett til erstatning, herunder erstatning for ikke-økonomisk skade

I lovutkastet § 49 (3) siste setning er det fremmet forslag om å åpne for erstatning også for ikke-økonomisk skade (oppreisning) dersom personopplysninger er håndtert i strid med "bestemmelser i eller i medhold av loven". I proposisjonen motiverer departementet forslaget med at det ved slike krenkelser ofte vil være vanskelig for skadelidte å påvise noe økonomisk tap. Dette er etter min mening en klar forbedring av gjeldende bestemmelser. Forslaget vil bringe Norge på linje med de øvrige land i Norden på dette området, hvor retningslinjen ikke legger noen føringer.

5 Personopplysningslovutkastet betraktet med ståsted hos den som ønsker å håndtere personopplysninger om andre

5.1 Oversikt

Det er en smakssak om man vil betrakte bestemmelsene om konsesjon, meldeplikt osv som prosessuelle personopplysningsvernbestemmelser. I framstillingen her har jeg funnet det hensiktsmessig å behandle disse bestemmelsene under synsvinkelen forvaltningsbestemmelser.

5.2 Konsesjonsplikt

Etter lovutkastet § 33 begrenses virkeområdet for den gjeldende ordningen med konsesjonsplikt (forhåndssamtykke) til håndtering av sensitive opplysninger. Det er etter mitt syn positivt at Justisdepartementet har vektlagt personopplysningenes sensitivitet som det avgjørende kriterium for opprettholdelse av den strengeste forvaltningskontrollen. Skaugeutvalget hadde foreslått å forbeholde en slik kontroll for håndtering av personopplysninger som tok sikte på å treffe avgjørelser, i forvaltningsrettslig eller privatrettslig forstand. Hva det siste innebar, var imidlertid noe uklart. Og uansett var det klart at Skaugeutvalgets løsning ville ha løftet helsesektorens pasientbehandling over i den meldepliktige gruppa (se nedenfor), noe som fra flere hold ble kritisert under høringsbehandlingen. På den andre siden er det bekymringsfullt at lovutkastet § 33 (5) fører videre någjeldende lovs helt åpne fullmakt for Kongen til ved forskrift å gjøre unntak fra konsesjonsplikten.

Under forberedelsen av det foreliggende lovutkastet har spørsmålet om konsesjonsordningens viktighet som en prosessuell personopplysningsvernbestemmelse vært av de mer omdiskuterte spørsmålene. Diskusjonen tok utgangspunkt i det forhold at EUs personopplysningsretningslinje på et forberedelsesstadium tegnet til helt å utelukke opprettholdelse av et slikt kontrollinstrument. I og med at retningslinjen art 20 her overlater et nokså fritt spillerom for valg av forvaltningsregime til den enkelte stat, har spørsmålets dramatikkpotensiale falt til nærmest et nullnivå. Trolig har mange folks tiltro til den nåværende konsesjonsordningens effekt vært overdrevet. Her ligger det et unyttet potensiale for empiriske studier. Mitt eget inntrykk etter i flere år å ha interessert meg for Datatilsynets konsesjoner til ligningsforvaltningens registre, er at slik forhåndskontroll utøves best av Stortinget sjøl som lovgiver, i nært samspill med Datatilsynet. At slikt samspill har forekommet og hatt betydning for praktisk utforming av ligningsloven, fins det flere eksempler på.

5.3 Meldeplikt

For håndtering av annet enn sensitive personopplysninger og for håndtering ellers av personopplysninger med elektroniske hjelpemidler, vil meldeplikt erstatte dagens konsesjonspliktregime, se lovutkastet §§ 31—32. Her har det fra Skaugeutvalgets side vært tatt til orde for elektroniske meldingsinnsendings- og administrasjonsrutiner, slik at meldeplikten skal bli til å leve med både for de behandlingsansvarlige og tilsynsmyndigheten. Som nevnt i avsnitt 5.2 foran, har temperaturen i striden om det skal være forhåndskontroll eller etterpåkontroll med ordninger for håndtering av personopplysninger, falt ned til en behagelig temperatur. Heller ikke jeg ser noe konfliktstoff i de foreslåtte reglene her.

5.4 Tvangsmulktileggelse overfor behandlingsansvarlige

I lovutkastet § 47 er det foreslått en tvangsmulkthjemmel for at Datatilsynet skal kunne sette makt bak sine pålegg til de meldepliktige behandlingsansvarlige m fl. Dette er unektelig et spenstig enkeltelement i loven. I tråd med bestemmelsens forbilder — særlig konkurranseloven § 6-4 og kredittilsynsloven § 10 m fl — er angivelsen av rammene for anvendelsen av dette sanksjonsmiddelet nokså upresis. En slik angivelse reiser viktige rettslige spørsmål, herunder om vern mot sjølinkriminering etter EMK art 6 (1), som jeg må la ligge i denne omgang. Hvorvidt det å få utdelt dette riset bak speilet til personopplysningsvernets pris vil bidra til å befeste og styrke Datatilsynets gode omdømme både blant folk flest og i forvaltning og næringsliv, gjenstår å se i praksis. Uansett vil tilsynet med dette sanksjonsmiddelet definitivt ta spranget over i rekken av samfunnets kontrolletater, og Gudleiv Forr har derfor helt rett i sin oppfordring om at bl a media må se det som sin oppgave å vokte slike etater (Forr 2000).

6 Personopplysningslovutkastet betraktet med ståsted hos Datatilsynet

6.1 Uavhengig status for Datatilsynet

Omdefineringen av Datatilsynets status til å bli et uavhengig forvaltningsorgan, jf formuleringen i lovutkastet § 42 (1) om at "Kongen og departementet" ikke kan "gi instruks om eller omgjøre Datatilsynets utøving av myndighet i enkelttilfeller etter loven", er en viktig institusjonell endring, som neppe ville ha sett dagens lys hvis den ikke hadde kommet til oss via personopplysningsretningslinjen art 28 (1) andre underavsnitt. Her har vi fått et eksempel på det som etter svensk forfatnings- og forvaltningsskikk er en sjølsagt ting — at statsetater utenfor sentralforvaltningen, herunder direktorater, ikke kan instrueres om utøvelsen av forvaltningsmyndighet i enkeltsaker. Jeg hilser forslaget velkommen som udelt positivt.

En problemstilling som savnes, er imidlertid spørsmålet om Datatilsynets administrative innplassering i sentralforvaltningen. Sjøl om dette spørsmålet i utgangspunktet etter Grunnloven hører under Kongen, kan jeg ikke se at Stortinget er bundet av dette til å la være å ta det opp. Det er påtakelig at tilsynets underordning under Justisdepartementet har skapt en del uheldige bindinger når det gjelder mulighetene for akseptabel kontroll med politiets, herunder POTs registre. Disse problemene ville det trolig bli langt enklere å hanskes med, dersom Arbeids- og administrasjonsdepartementet, eller trolig enda bedre: Statsministerens kontor, ble gjort til tilsynets administrative foresatte.

 

6.2 Frittstående klageorgan

I lovutkastet § 43, jf § 42 (4), er det fremmet forslag om å etablere et frittstående klageorgan, Personvernnemnda, istedenfor den gjeldende ordningen med klage til nærmeste overordnede organ, altså Justisdepartementet (Arbeids- og administrasjonsdepartementet i saker under Justisdepartementets forvaltningsområde). Også dette er en institusjonelt spennende reform, ikke minst § 43 (2) om at lederen og nestlederen skal oppnevnes av Stortinget.

 

7 Særskilt om forholdet mellom personopplysningsvern og ytringsfrihet

I lovutkastet § 7, som innarbeider retningslinjen art 5, er det gjort unntak fra lovutkastets sentrale bestemmelser om materielle og prosessuelle personopplysningsvernrettigheter av hensyn til ytringsfriheten. For å være sikker på at ytringsfriheten ikke tråkkes for nær, har departementet for egen regning tatt med ‘opinionsdannende formål’ som en håndteringsform som skal være omfattet av privilegiene etter denne bestemmelsen.

Dette forslaget representerer en klar styrking av ytringsfriheten på bekostning av personopplysningsvernet, uten at jeg kan se at argumentasjonen her er overbevisende. Ikke minst den sistnevnte tilføyelsen av de opinionsdannende formål vil kunne fungere som brekkstang for rasistiske grupperingers oppbygging av registre over sine "rasefiender" for "opinionsdannende" formål. Dette er ikke lystelig — og vil jo før eller seinere trolig materialisere seg i handlinger som er straffbare etter strl § 135 a. Men det er et dårlig skjult spark i baken til flertallet i Kjuus-dommen, Rt 1997 s 1821, å fremme et forslag med dette innholdet.

Jeg viser ellers til Ytringsfrihetskommisjonens innstilling NOU 1999: 21, herunder til stipendiat Kyrre Eggens utredning i Særskilt vedlegg nr 1 til denne (Eggen 1999). Denne innstillingen forelå som kjent først etter at Ot prp nr 92 ble fremmet. Det er vel nokså påregnelig at § 7 uansett må justeres etter at denne utredningen er ferdigbehandlet. I denne forbindelsen bør man også ta oppspørsmålet om å få effektive straffebestemmelser hos oss mot det danskene kaller informasjonsheleri — en sport som dyrkes flittig i media bl a i forhold til taushetsbelagte ligningsopplysninger som media får tak i gjennom "brådne kar" i ligningsforvaltningen.

 

8 Enkelte andre spørsmål

8.1 Betydningen av en klarere formulert formålsparagraf og av full overensstemmelse med legaldefinisjonene i personopplysningsretningslinjen

Formuleringen i § 1 (1) om at formålet er å beskytte den enkelte mot at "personvernet blir krenket gjennom behandling av personopplysninger", kunne mer treffende vært formulert slik at formålet er å beskytte den enkelte mot "uberettiget (alternativt: illegitim) behandling av personopplysninger". Dermed ville man på en langt mer presis måte knytte an både til kjerneformuleringer i Europarådets personopplysningsvernkonvensjon 1981 og til EUs personopplysningsretningslinje. Nøkkelformuleringen ‘uberettiget’ innebærer at formell lovhjemmel ikke alene er tilstrekkelig. Lovhjemmelen må dessuten ha en slik moralsk kvalitet at den tåler å bli underkastet den skjerpede domstolskontroll som Grl § 110 c og menneskerettsloven legger opp til. Justisdepartementets formulering, som ikke gjenfinnes i NOUen, synes først og fremst motivert i en følelse av at det ville være fordelaktig å få med termen ‘personvern’ i formålsparagrafen. Denne termen er, som nevn foran i avsnitt 1, allerede så utvannet at den ikke sier noe mer enn termen ‘den personlige integritet’.

Heller ikke formuleringen i § 1 (2) om at loven skal bidra til at personopplysninger blir behandlet "i samsvar med grunnleggende personvernhensyn" bidrar til noen klargjøring ut over det som allerede er formulert i første avsnitt. Det er også vanskelig å skjønne beveggrunnene for å framheve målsettingen om datakvalitet i lovens formålsbestemmelse, ikke minst fordi denne termen har et nokså uklart begrepsinnhold i personopplysningsvernsammenheng (Bygrave 1996). Forslagets "herunder"-ledd synes dessuten dårlig gjennomtenkt, for slike ledd nyttes jo for å framheve at det som står etter ‘herunder’ er en delmengde av det som står før dette ordet. I den foreslåtte lovteksten er situasjonen imidlertid den motsatte: termen ‘personlig integritet’ og termen ‘privatlivets fred’ omfatter også termen ‘grunnleggende personvernhensyn’.

Justisdepartementets formålsformulering i lovutkastet § 1 framstår etter dette som den i særklasse sletteste sammenholdt med ellers foreliggende formuleringer innen EU-/EØS-området. En klart bedre formulering av bestemmelsen kunne f eks være:

"Formålet med denne loven er å beskytte den enkelte mot krenkelse av personlig integritet og privatlivets fred gjennom uberettiget behandling av personopplysninger."

Justisdepartementet har heller ikke hatt noen heldig hånd med sitt forsøk på å transformere personopplysningsretningslinjens legaldefinisjon av det som i St prp nr 34 nå kalles ‘behandling’. I motsetning til alle andre EU- og EØS-stater som har endret sin lovgivning, har departementet prøvd seg på en klargjørende "vri" av retningslinjens definisjon. Resultatet er imidlertid begredelig. Det anbefaler seg å lime inn retningslinjens definisjon i lovutkastet, i den språkdrakten den har fått i stortingsproposisjonen. Schartum (2000 s 1) har framført tilsvarende kritikk her.

 

8.2 Betydningen av å innta en generell taushetspliktsbestemmelse i personopplysningsloven

En lovbestemmelse om taushetsplikt i forbindelse med håndtering av personopplysninger trengs for å gi tilstrekkelig personopplysningsvern, spesielt i privat sektor. Bare gjennom en slik bestemmelse vil det komme klart til uttrykk at en behandlingsansvarlig i privat sektor ikke har fri rådighet over personopplysningene om sine kunder. Bestemmelsen kunne gjerne døpes "lex Moland", som samfunnets unnskyldning overfor en person som ble mobbet bort fra jobben sin fordi en ansatt hos et foretak som levde av å megle kommandittandeler brakte med seg kundeopplysninger om bl a Molands begynnende vanskeligheter med ligningsmyndighetene til sin nye jobb som journalist i Dagens Næringsliv, og fra denne posisjonen startet det som i ettertid for offentligheten er kjent som Moland- eller Airbus-saken. Skaugeutvalgets forslag inneholdt en slik taushetspliktbestemmelse, § 13, som dessverre har falt bort i departementets lovutkast. Dette har trolig ikke vært tilsiktet, og bør kunne rettes opp igjen under komitébehandlingen.

 

8.3 Betydningen av lovens generelle rekkevidde vurdert i forhold til personopplysningsretningslinjens avgrensede rekkevidde

Tre spørsmål trenger nærmere inn på her: for det første personopplysningsretningslinjens saklige rekkevidde, for det andre retningslinjens intenderte harmoniseringsnivå, og for det tredje hva regjeringen faktisk har foreslått innenfor de to førstnevnte rammene.

Mht retningslinjens saklige rekkevidde må man ta utgangspunkt i de alminnelige prinsippene for EF-rettens rekkevidde i forhold til medlemsstatenes rett. Slik gjøres det rimeligvis også i retningslinjen, se art 3 (2), jf fortalen avsnitt (13). I art 13, som har overskrift "Unntak og begrensninger", rotes imidlertid kompetansedelingsspørsmålene sammen, ved at det i første avsnitt åpnes adgang for medlemsstatene til gjennom lovvedtak å fastsette begrensninger i nærmere angitte beskyttelsesbestemmelser i retningslinjen, dersom slike begrensninger "er nødvendig for" bl a (a) statens sikkerhet, (b) forsvaret, (c) offentlig sikkerhet og (d) forebygging, etterforsking, avsløring og rettslig forfølging av straffbare handlinger ... Denne "delegeringen" er meningsløs, fordi Rådet og Europaparlamentet etter Traktaten om det europeiske fellesskap (EF) overhodet ikke har kompetanse til å regulere medlemsstatenes ordning av disse spørsmålene.

Det er også egnet til å forundre at man i art 8 (5) har inntatt en bestemmelse som regulerer håndtering av bl a straffesaksopplysninger, fordi denne bestemmelsen etter samme traktat bare har rettslig betydning for privates eventuelle håndtering av slike opplysninger. Formentlig av denne grunn inneholder lovutkastet i § 10 en like overflødig bestemmelse om skranker for privates håndtering av straffesaksopplysninger. Man skal imidlertid ikke ha interessert seg mye for strafferesaksopplysninger for å skjønne at det i de fleste EU-statene er myndighetenes håndtering av slike opplysninger som er problemet. Og denne delen av myndighetsutøvelsen er det vel ikke noen gang aktuelt å privatisere. Se også Schartum (2000 s 3).

Når det gjelder hvilket harmoniseringsnivå personopplysningsretningslinjen legger opp til i nasjonal lovgivning, trekker flere artikler og fortaleavsnitt i ulik retning. Å gi noe entydig svar på spørsmålet om retningslinjen er en totalharminiseringsretningslinje eller bare en minimumsretningslinje, er derfor ikke lett, og det er ikke overraskende at meningene herom fortsatt er delte. Ikke bare skyldes denne uklarheten utformingen av fortalen avsnitt (8), (9) og (22). Også det spillerom som flere av artiklene gir for valg av nasjonale tilpasninger, gjør det vanskelig å gi generelle svar. Det forhold at retningslinjen både i sitt navn og i avsnitt to i formålsartikkelen (art 1 (2)) anvender termen "fri flyt av personopplysninger" kan riktignok utlegges som et tolkingsmoment i retning totalharmonisering.

Mht det saklige området for personopplysningsloven har regjeringen ikke overraskende lagt opp til at loven i utgangspunktet skal gjelde generelt i Norge, dvs ikke med den saklige begrensningen som følger av Traktaten om det europeiske fellesskap. Slik har man valgt å gjøre det også i de øvrige nordiske land, og vel i så godt som alle øvrige EU-stater også. I lovutkastet § 5 har følgelig lovens generelle gjennomslagskraft i forhold til annen lovgivning blitt foreslått å være utgangspunktet. Imidlertid åpnes det for at Stortinget gjennom særskilt lovgivning kan gjøre avvik fra personopplysningslovens bestemmelser. Det ligger imidlertid i kortene at slike avvik må være forenlig med EF-retten, altså enten skje på områder som saklig ligger utenfor EF-rettens dekningsområde, eller være forenlig med føringene fra personopplysningsretningslinjen.

 

Henvisninger

Berg, Jens Petter 1994 Internasjonalisering av lovgivningsprosessen som utfordring for demokratiet — EØS-avtalens betydning for det konstitusjonelle maktforholdet mellom Stortinget og regjeringen, i: Kritisk Juss 1994 (21) s 194—203

Berg, Jens Petter 1996 Finansinstitusjonenes rapporteringsplikt til ØKOKRIM ved mistanke om hvitvasking av penger — et gjennombrudd for "informant"-samfunnet?, i: Kritisk Juss 1996 (23) s 147—163 og Forvaltningsinformatisk notatserie 1996 (3) nr 3, Avdeling for forvaltningsinformatikk, Institutt for rettsinformatikk, UiO, ISSN 0809-4292

Berg, Jens Petter 1998a Mappeinnsyn som grunnrettighet for borgerne, [leder] i: Kritisk Juss 1998 (25) s 3—4

Berg, Jens Petter 1998b Offentlige skattelister — i strid med EMK?, [leder] i: Kritisk Juss 1998 (25) s 203—20

Bernt, Jan Fridthjof 1978 Utenforliggende hensyn som ugyldighetsgrunn : Et bidrag til læren om forvaltningens diskresjonære kompetanse, i: TfR 1978 (91) s 241—348

Blume, Peter Registrering af dna-profiler, i: Ugeskrift for Retsvæsen 1999 (134) s 1—6

og Mette Hartlev 1999

Boe, Erik 1978 Ulovlige hensyn i forvaltningsretten, i: TfR 1978 (91) s 349—401

Boe, Erik 1993 Innføring i Juss [bind 2] : Statsrett og forvaltningsrett. Oslo: TANO 1993

Bygrave, Lee A. 1996 Ensuring Right Information on the Right Person(s): Legal Controls of the Quality of Personal Information — Part I, i: Forvaltningsinformatisk notatserie 1996 (3) nr 4, Avdeling for forvaltningsinformatikk, UiO

Bygrave, Lee A. 1997 Personvern i praksis : Justisdepartementets behandling av klager på Datatilsynets enkeltvedtak 1980—1996. Oslo: Cappelen Akademisk Forlag 1997

Bygrave, Lee A. 1998 Data Protection Pursuant to the Right to Privacy in Human Rights Treaties, i: International Journal of Law and Information Technology (1998) Vol 6 No 3. Glasgow: Oxford University Press 1998, ISSN 0967-0769

Djønne, Erik, Tove Grønn

og Tor Hafli Personregisterloven : lov om personregistre m.m. av 9 juni 1978 nr 48 : med kommentarer. Oslo: Tano 1987

Eggen, Kyrre 1999 Norges internasjonale forpliktelser på ytringsfrihetens område, i: Særskilt vedlegg nr 1 til NOU 1999: 27 Ytringsfrihetskommisjonen, [Utredninger]

Forr, Gudleiv 2000 Vokt vokterne, [oppslag] i: Dagbladet 28.1.2000

NOU 1975: 10 Offentlige persondatasystem og personvern [Seiputvalget]

NOU 1997: 19 Et bedre personvern — forslag til lov om behandling av personopplysninger [Skaugeutvalget]

Pedersen, Arild 2000 Store norske fortellinger, i: Dagsavisen 10.1.2000

Schartum, Dag Wiese 2000 Notat til Stortingets justiskomité med kommentarer og forslag til justeringer av forslaget til lov om behandling av personopplysninger, 22.1.2000, [Under publisering] i: Forvaltningsinformatisk notatserie 2000 (7) nr ?, Avdeling for forvaltningsinformatikk, UiO

Simitis, Spiros 1994 Lob der Unvollständigkeit — Zur Dialektik der Transparenz personenbezogener Information, i: Gegenrede : Aufklärung — Kritik — Öffentlichkeit : Festschrift für Ernst Gottfried Mahrenholz / redigert av Herta Däubler-Gmelin, Klaus Kinkel, Hans Meyer og Helmut Simon. Baden-Baden: Nomos 1994

Skjerdal, Nicolai V. 1998 Kvalitative hjemmelskrav : Legalitetsprinsippet i norsk rett og lovskravet i Den europeiske menneskerettighetskonvensjon med enkelte komparative linjer. Oslo: Tano Aschehoug 1998.

Publisert 17. des. 2009 19:33
Del på e-post